Hardware Root of Trust (HRoT)
Hardware Root of Trust je fyzicky izolovaná, proti manipulácii odolná hardvérová súčiastka, ktorá slúži ako základná bezpečnostná kotva celého výpočtového systému. Poskytuje nemenný východiskový bod pre kryptografické overovanie — ten jeden prvok v systéme, ktorému sa musí bezpodmienečne dôverovať, pretože jeho integrita je zaručená fyzickým návrhom, nie softvérom.
Prečo „koreň” (Root)?
V kryptografickej bezpečnosti každé overenie závisí na tom, že bol najprv overený niečo iný. Tento reťazec musí niekde začať — pri „koreni”, ktorý sám nemôže byť kompromitovaný. Hardware Root of Trust tento koreň poskytuje uložením počiatočných overovacích kľúčov vo fyzicky neextrahovateľnom hardvéri (OTP poistky, ROM alebo dedikovaný bezpečný kremík).
Bez hardvérového koreňa môže byť akákoľvek softvérová bezpečnosť podkopaná: útočník, ktorý kontroluje zavádzací firmvér, môže poraziť akékoľvek šifrovanie, autentifikáciu alebo kontrolu prístupu, ktorá sa načíta po ňom.
Ako to funguje
Reťazec dôvery
┌──────────────────────────────────────────────────────────────┐
│ HARDWARE ROOT OF TRUST (Nemenný — ROM/OTP/Secure Element) │
│ Obsahuje: Koreňový verejný kľúč, kód na overenie zavedenia │
└──────────────────┬───────────────────────────────────────────┘
│ Overuje podpis ↓
┌──────────────────▼───────────────────────────────────────────┐
│ ZAVÁDZACÍ PROGRAM FÁZA 1 (Prvý meniteľný kód) │
│ Overený: HRoT Overuje: Zavádzací program fáza 2 │
└──────────────────┬───────────────────────────────────────────┘
│ Overuje podpis ↓
┌──────────────────▼───────────────────────────────────────────┐
│ ZAVÁDZACÍ PROGRAM FÁZA 2 / JADRO OS │
│ Overený: Fáza 1 Overuje: Aplikačný firmvér │
└──────────────────┬───────────────────────────────────────────┘
│ Overuje podpis ↓
┌──────────────────▼───────────────────────────────────────────┐
│ APLIKAČNÝ FIRMVÉR │
│ Overený: Fáza 2 Vykonáva: Bežná prevádzka zariadenia │
└──────────────────────────────────────────────────────────────┘Technológie Hardware Root of Trust
| Technológia | Implementácia | Certifikácia | Použitie |
|---|---|---|---|
| Secure Elements | Dedikovaný IC odolný voči manipulácii (STSAFE-A110, OPTIGA Trust M, SE050) | CC EAL5+/EAL6+ | IoT zariadenia, priemyselné riadiče |
| TPM | Diskrétny čip alebo firmvérový (fTPM) | TCG 2.0, FIPS 140-3 | Servery, PC, automobilový priemysel |
| ARM TrustZone | Izolácia na úrovni CPU (Bezpečný/Normálny svet) | PSA Certified L1-L3 | MCU (STM32, NXP i.MX) |
| OTP poistky | Jednorazovo programovateľná pamäť v SoC | Závisí od SoC výrobcu | Všetok kremík — uloženie hashov kľúčov |
| ROM kód | Nemenný kód v mask ROM | Továrensky overený | Overenie prvého stupňa zavádzania |
| DICE | TCG štandard pre vrstvovú identitu zariadení | TCG DICE | Obmedzený IoT, automobilový priemysel |
Prečo CRA vyžaduje Hardware Root of Trust
EU Cyber Resilience Act vyžaduje od produktov s digitálnymi prvkami:
- Bezpečné zavádzanie — ktoré je bezpečné len ak je kotvené v hardvéri.
- Úložisko kľúčov odolné voči manipulácii — čisto softvérové úložisko nesplňuje túto požiadavku.
- Nesfalšovateľná identita zariadenia — vyžaduje hardvérovú atestáciu, nie klonovateľné softvérové ID.
- Autentifikované aktualizácie firmvéru — podpisovacie kľúče musia byť uložené v odolnom hardvéri.
Regulačný záver: Ak váš MCU nemá fyzický secure enclave alebo Secure Element, nemôžete tvrdiť súlad s CRA pridaním softvéru. Kremík sa musí zmeniť.
Softvérový vs. hardvérový Root of Trust
| Aspekt | Softvérový Root of Trust | Hardvérový Root of Trust |
|---|---|---|
| Úložisko kľúčov | Flash pamäť (čitateľná cez JTAG/SWD) | Kremík odolný voči manipulácii (fyzicky neextrahovateľný) |
| Overenie zavedenia | Dá sa obísť prepísaním flash | Nemenný ROM kód — nedá sa modifikovať |
| Odolnosť voči útokom | Zraniteľný voči výpisom firmvéru, glitchingu | Navrhnutý na odolanie fyzickým útokom (mriežkové štíty, senzory) |
| Náklady | Zadarmo (iba softvér) | 0,50–3,00 € za kus (Secure Element) |
| Súlad s CRA | ❌ Nesplňuje požiadavku „odolný voči manipulácii” | ✅ Splňuje hardvérové bezpečnostné požiadavky |
| Certifikácia | Nedá sa certifikovať na vysokej úrovni dôvery | CC EAL5+, EAL6+, FIPS 140-3 |
Súvisiace pojmy
- Secure Boot — Proces, ktorý využíva Hardware Root of Trust na overenie integrity firmvéru pri každom štádiu zavedenia.
- Secure Element — Diskrétny čip odolný voči manipulácii bežne používaný ako Hardware Root of Trust.
- HSM — Hardvérové bezpečnostné moduly poskytujúce Root of Trust na úrovni servera/infraštruktúry.
- CRA — Nariadenie EÚ, ktoré vyžaduje Hardware Root of Trust pre pripojené produkty.