Vstavaná Bezpečnosť a IoT — Riadenie od A po Z
Čo je vstavaná bezpečnosť?
Vstavaná bezpečnosť zahŕňa integráciu kryptografickej ochrany priamo do hardvéru pomocou komponentov ako Secure Elements, HSM a TPM. Vytvára Hardware Root of Trust, ktorý chráni zariadenia pred manipuláciou, klonovaním a kybernetickými útokmi, v súlade so zákonom o kybernetickej odolnosti EÚ a smernicou NIS2.
Vstavaná bezpečnosť (Embedded security) je prax budovania kryptografickej ochrany priamo do hardvéru — s využitím Secure Elements odolných voči manipulácii, hardvérových bezpečnostných modulov (HSM) a šifrovaných bootovacích reťazcov na vytvorenie hardvérového koreňa dôvery (Root of Trust). Na rozdiel od čisto softvérovej bezpečnosti, ochranu zakotvenú v hardvéri nemožno obísť malvérom, exploitmi pamäte ani útokmi prostredníctvom vzdialeného spustenia kódu.
Prostredníctvom partnerskej siete Inovasense riadi IoT projekty, ktoré sú bezpečné už od návrhu (secure by design) — cielené na súlad so zákonom EÚ o kybernetickej odolnosti (EÚ 2024/2847), smernicou NIS2 (EÚ 2022/2555), IEC 62443 pre priemyselnú bezpečnosť a ETSI EN 303 645 pre spotrebiteľské IoT.
Prečo záleží na hardvérovej bezpečnosti v roku 2026
Zákon o kybernetickej odolnosti EÚ nadobúda povinnú účinnosť v roku 2027 a vyžaduje od všetkých produktov s digitálnymi prvkami predávaných v EÚ implementáciu riešenia zraniteľností, softvérového kusovníka (SBOM) a záväzkov na 5-ročné bezpečnostné aktualizácie. Produkty klasifikované ako “kritické” čelia posúdeniu zhody treťou stranou.
Bezpečnosť zakotvená v hardvéri už nie je prémiovou funkciou — je to regulačná požiadavka.
⚠ Toto je jediná cesta k súladu s CRA a RED.
Nezáplatujeme softvér — implementujeme fyzický Hardware Root of Trust s certifikáciou EAL6+ na garantovanie vašej CE značky. Aktualizácia firmvéru nedokáže pridať Secure Element, ktorý na vašej doske neexistuje.
Objednať Gap Analýzu zhody →- Uloženie kľúčov odolné voči manipulácii — Kryptografické kľúče nikdy neopustia bezpečný prvok; ich extrakcia vyžaduje deštruktívnu fyzickú analýzu
- Measured boot — Každá fáza firmvéru je kryptograficky overená pred spustením, čo zabraňuje perzistencii rootkitov
- Odolnosť voči fyzickým útokom — Aktívne tieniace siete, detektory napäťových glitchov a svetelné senzory detegujú a reagujú na pokusy o fyzické vniknutie
- Bezpečnosť životného cyklu — Bezpečný provisioning, rotácia kľúčov, správa certifikátov a vyradenie z prevádzky na konci životnosti riadené hardvérom
- Post-kvantová pripravenosť — Hybridná výmena kľúčov (ML-KEM + X25519) a digitálne podpisy (ML-DSA) chrániace pred budúcimi kvantovými hrozbami
Architektonický stack bezpečnosti
Hardvérový Root of Trust
Projekty integrujú certifikované bezpečnostné IO od popredných európskych výrobcov (STMicroelectronics, Infineon, NXP) na zabezpečenie hardvérovej suverenity:
| Komponent | Produkty | Certifikácia | PQC Ready |
|---|---|---|---|
| Secure Elements | STMicroelectronics STSAFE-A110, Infineon OPTIGA Trust M, NXP EdgeLock SE050 | CC EAL6+ | Cesta aktualizácie firmvéru |
| TPM Moduly | STMicroelectronics ST33 (TPM 2.0), Infineon SLB 9672 | TCG 2.0, FIPS 140-3 | Áno |
| Java Card | STMicroelectronics ST31 / STPay, NXP JCOP4 | CC EAL6+, EMVCo | Na úrovni apletu |
| Bezpečné MCU | STM32H5 / STM32U5 (TrustZone + ST-ONE), NXP LPC55S | PSA Certified L3 | Podpora knižníc |
| Bezpečné Enklávy | STM32MP2 (Hardvérová izolácia), ARM CCA | Izolácia certifikovaná | Hardvérovo asistovaná |
Kryptografická implementácia
- Symetrická: AES-128/256-GCM (hardvérovo akcelerovaná), ChaCha20-Poly1305
- Asymetrická: ECC P-256/P-384, Ed25519/Ed448, RSA-3072/4096
- Post-Kvantová (štandardy NIST): ML-KEM-768/1024 (zapuzdrenie kľúča), ML-DSA-65/87 (digitálne podpisy), SLH-DSA (bezstavové podpisy založené na hashovaní)
- Hybridné schémy: X25519 + ML-KEM pre TLS 1.3, ECDSA + ML-DSA pre podpisovanie firmvéru
- Hashovanie: SHA-256, SHA-3, SHAKE-256, HMAC pre autentifikáciu správ
- Správa kľúčov: Odvodenie HKDF, reťazce certifikátov X.509v3, rozhrania PKCS#11, DICE (Device Identifier Composition Engine)
Secure Boot a ochrana firmvéru
Implementácie secure boot sa riadia modelom ARM PSA (Platform Security Architecture):
- Nemeniteľný bootloader — Uložený v ROM, kryptograficky overuje ďalšiu fázu pomocou Ed25519 alebo ML-DSA
- Reťazec dôvery — Každá fáza bootovania overuje tú nasledujúcu; Hardware Root of Trust je ukotvený v hardvérových poistkách (fuses)
- Integrita za behu — Jednotky ochrany pamäte (MPU) a TrustZone vynucujú izoláciu procesov
- Bezpečné OTA aktualizácie — Podpísané balíčky firmvéru (manifest SUIT) s atomickým návratom (rollback) pri zlyhaní overenia
- Integrácia SBOM — Automatizované generovanie softvérového kusovníka pre súlad s CRA
Vývoj Java Card aplikácií
Java Card je bezpečné prostredie pre vykonávanie apletov na certifikovaných čipoch Smart Card (CC EAL6+). Prostredníctvom partnerskej siete dodávame vlastné Java Card aplikácie na platformách STMicroelectronics ST31/STPay a NXP JCOP4, v spolupráci s certifikovanými integrátormi Smart Card podľa potreby.
Čo dodávame
- Vývoj vlastných apletov — Bezpečné aplety v Java Card 3.1 pre platby (EMVCo), dopravné elektronické cestovné lístky, štátne eID a firemnú kontrolu prístupu
- Platobné riešenia — EMV kontaktné/bezkontaktné platobné aplety, tokenizácia a implementácie bezpečných peňaženiek na báze STPay pre fintech a bankovníctvo
- Identita a prístup — Digitálna identita na báze PKI, autentifikátory FIDO2/WebAuthn a správa certifikátov X.509 na bezpečných prvkoch
- Autentifikácia IoT zariadení — Vzájomná TLS autentifikácia pomocou certifikátov uložených na Java Card, atestácia zariadení a bezpečný provisioning pre správu flotily
- NFC a bezkontaktné — Aplety kompatibilné s ISO 14443 / ISO 7816 pre bezkontaktné transakcie, prístup do budov a infraštruktúru inteligentných miest
Platformy a certifikácia
| Platforma | Typ | Certifikácia | Použitie |
|---|---|---|---|
| ST31 / STPay (STMicroelectronics) | Bezpečný Smart Card IO | CC EAL6+, EMVCo | Platby, doprava, eID |
| NXP JCOP4 | Java Card OS na SE | CC EAL6+, FIDO | Identita, kontrola prístupu |
| Infineon SLE 78 | Bezpečnostný kontrolér | CC EAL6+ | Štátne ID, zdravotníctvo |
Všetky Java Card riešenia zahŕňajú provisioning bezpečného kanála kompatibilného s GlobalPlatform, správu životného cyklu apletov a vzdialenú správu apletov (RAM).
Bezdrôtová konektivita pre IoT
Projekty cielené na konektivitu prispôsobenú požiadavkám každej aplikácie na napájanie, dosah a šírku pásma:
| Protokol | Dosah | Dátový tok | Spotreba | Najlepšie pre |
|---|---|---|---|---|
| BLE 5.4 | 100m | 2 Mbps | Ultra-nízka | Nositeľná elektronika, asset tagy, PAwR |
| LoRaWAN 1.0.4 | 15km | 50 kbps | Veľmi nízka | Environmentálne monitorovanie, meranie |
| NB-IoT (Rel-17) | Mobilné | 250 kbps | Nízka | Sledovanie majetku na veľké vzdialenosti |
| Wi-Fi 7 (802.11be) | 50m | 5,8 Gbps | Stredná | Video v reálnom čase, brány (gateways) |
| Thread 1.3/Matter | 30m | 250 kbps | Nízka | Smart home/building, interoperabilita |
| 5G RedCap (Rel-17) | Mobilné | 150 Mbps | Stredná | Priemyselné IoT, autonómne systémy |
| DECT NR+ (2024) | 1km | 3 Mbps | Nízka | Privátne priemyselné mesh siete, nemobilné |
Dizajn s ultra-nízkou spotrebou
IoT projekty cieľujú na viacročnú výdrž batérie vďaka:
- Optimalizácii režimu spánku — Odber prúdu <500 nA v hlbokom spánku s budením cez RTC
- Pracovnému cyklu (Duty cycling) — Inteligentné algoritmy plánovania znižujú aktívny čas pod 0,1%
- Zberu energie (Energy harvesting) — Solárne (interiér/exteriér), termoelektrické a vibračné zberacie obvody
- Profilovaniu spotreby — Skutočný odber prúdu sa meria v každej fáze návrhu pomocou analyzátorov Otii Arc a PPK2
- Optimalizácii chémie batérií — LiFePO4 pre extrémne teploty, solid-state články pre dlhú životnosť, hybridné topológie so superkondenzátormi
Súlad a certifikácia (2026)
| Nariadenie | Účinnosť | Požiadavka | Ako pomáhame |
|---|---|---|---|
| Zákon o kybernetickej odolnosti EÚ (EÚ 2024/2847) | 2027 povinné | Riešenie zraniteľností, SBOM, 5-ročné aktualizácie | Architektúra Secure-by-design, automatizovaný SBOM, technická dokumentácia CRA |
| Smernica NIS2 (EÚ 2022/2555) | Okt 2024 | Bezpečnosť dodávateľského reťazca pre kľúčové subjekty | Bezpečný životný cyklus vývoja, plán reakcie na incidenty |
| IEC 62443 | Prebieha | Bezpečnosť priemyselnej automatizácie | Model zón a kanálov, hodnotenie SL-T, SDL |
| ETSI EN 303 645 | Prebieha | Základná bezpečnosť spotrebiteľského IoT | Všetkých 13 ustanovení: žiadne predvolené heslá, bezpečné úložisko, minimálny útočný povrch |
| Delegovaný akt RED (2022/30) | Aug 2025 | Kybernetická bezpečnosť pre rádiové zariadenia | Secure boot, overené aktualizácie, ochrana siete |
| GDPR Čl. 25 | Prebieha | Ochrana údajov už pri návrhu | Architektúra chrániaca súkromie, lokálne spracovanie, minimálny zber údajov |
| Zákon o umelej inteligencii (2024/1689) | 2025–2027 | Klasifikácia rizika systému AI | Podpora posudzovania zhody pre IoT s podporou Edge AI |
Všetky bezpečnostné architektúry sú navrhnuté a zdokumentované v rámci Európskej únie. Štandardné výstupy zahŕňajú dokumentáciu modelu hrozieb (STRIDE/DREAD), správy o bezpečnostných testoch, SBOM a analýzy medzier v súlade s predpismi.
Často kladené otázky
Čo je vstavaná bezpečnosť v IoT?
Vstavaná bezpečnosť v IoT označuje bezpečnostné opatrenia zakotvené priamo v hardvéri zariadení — vrátane Secure Elements, apletov Java Card, modulov TPM a šifrovaného bootovania. Inovasense riadi IoT projekty s hardvérovým základom dôvery (Hardware Root of Trust) v súlade so zákonom o kybernetickej odolnosti EÚ (CRA).
Prečo je hardvérová bezpečnosť dôležitá pre IoT?
Čisto softvérovú bezpečnosť možno obísť. Hardvérová bezpečnosť poskytuje Hardware Root of Trust odolný voči manipulácii, chráni kryptografické kľúče, zabezpečuje secure boot a zabraňuje neoprávneným aktualizáciám firmvéru — čo je nevyhnutné pre kritickú infraštruktúru a pripojené zariadenia.
Čo je zákon o kybernetickej odolnosti EÚ?
Zákon o kybernetickej odolnosti EÚ (CRA, EÚ 2024/2847) je legislatíva EÚ vyžadujúca, aby všetky produkty s digitálnymi prvkami spĺňali požiadavky na kybernetickú bezpečnosť počas celého ich životného cyklu. Stáva sa povinným v roku 2027.