Autentifikues i sigurt AN14559 EdgeLock A30
“
Specifikimet:
- Autentifikuesi i sigurt: EdgeLock A30
- Mbështet: platforma IoT, aksesorë elektronikë, harxhues
pajisje - Karakteristikat kryesore:
- Gjenerimi i çelësave ECC në çip
- Kriteret e zakonshme të sigurisë EAL 6+ i certifikuar
- Mbështet kriptografinë AES, ECDSA, ECDH, SHA, HMAC, HKDF
funksionalitetin - Furnizohet me VDD
- Paketa: Zgjidhje e gatshme për përdorim me produkt të plotë
mbështetje
Udhëzime për përdorimin e produktit:
1. Mbiview i EdgeLock A30:
EdgeLock A30 është një IC i sigurt vërtetimi i krijuar për të
aplikacione të ndryshme duke përfshirë platformat IoT, elektronike
aksesorë dhe pajisje harxhuese. Siguron që çelësat privatë janë
mbrohet brenda IC dhe mbështet operacionet kriptografike për
komunikim të sigurt.
2. Karakteristikat kryesore:
- Gjenerimi i çelësave ECC në çip për menaxhim të sigurt të çelësave
- Kriteret e përbashkëta të sigurisë EAL 6+ të certifikuara me AVA_VAN.5
- Mbështet kriptografinë AES, ECDSA, ECDH, SHA, HMAC dhe HKDF
funksionet
3. Fillimi:
Për të filluar përdorimin e EdgeLock A30, referojuni dokumentit AN14238
“Filloni me mbështetjen e autentifikuesit të sigurt EdgeLock A30
paketë” për udhëzime të hollësishme të konfigurimit.
Pyetjet e bëra më shpesh (FAQ):
Pyetje: Cili është ndryshimi kryesor midis EdgeLock A5000 dhe
EdgeLock A30?
Përgjigje: Dallimet kryesore përfshijnë veçori të përmirësuara kriptografike,
çertifikatat e sigurisë dhe mbështetje për një gamë më të gjerë të
algoritmet kriptografike në EdgeLock A30 në krahasim me
A5000.
Pyetje: Si mund të siguroj komunikim të sigurt me EdgeLock A30?
A: Përdorni funksionet kriptografike të mbështetura si AES,
ECDSA dhe HMAC për të krijuar kanale të sigurta dhe për të vërtetuar
seancat e komunikimit.
“`
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Rev. 1.1 - 23 janar 2025
Shënim aplikimi
Informacioni i dokumentit
Informacion
përmbajtja
Fjalë kyçe
Autentifikues i sigurt EdgeLock A30, NX Middleware
Abstrakt
Ky dokument përshkruan konsideratat për migrimin e një dizajni ekzistues të bazuar në EdgeLock A5000 në EdgeLock A30.
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
1 Rreth vërtetuesit të sigurt të EdgeLock A30
EdgeLock A30 është një IC i sigurt vërtetimi për platformat IoT, aksesorët elektronikë dhe pajisjet harxhuese si pajisjet elektronike shtëpiake, aksesorët celularë dhe furnizimet mjekësore.
EdgeLock A30 mbështet gjenerimin e çelësave ECC në çip për t'u siguruar që çelësat privatë të mos ekspozohen kurrë jashtë IC. Kryen operacione kriptografike për funksionet kritike të komunikimit dhe kontrollit të sigurisë. EdgeLock A30 është siguria me kritere të zakonshme EAL 6+ i certifikuar me AVA_VAN.5 në nivelin e produktit dhe mbështet një API gjenerike Crypto që ofron funksione kriptografike AES, ECDSA, ECDH, SHA, HMAC dhe HKDF.
· Karakteristikat e kriptografisë asimetrike mbështesin 256 bit ECC mbi kurbat NIST P-256 dhe brainpool P256r1. · Veçoritë e kriptografisë simetrike mbështesin AES-128 dhe AES-256. · Autentifikimi i ndërsjellë i bazuar në PKI bazuar në protokollin Sigma-I. · Protokolli simetrik i autentifikimit të ndërsjellë me tre kalime i pajtueshëm me NTAG42x dhe MIFARE DesFire EV2,
DesFire EV3 dhe DesFire Light. · Siguroni kanalin e mesazheve duke përdorur enkriptimin/deshifrimin e sesioneve AES-128 ose AES-256 dhe MAC.
Certifikimi i sigurisë së kritereve të përbashkëta siguron që masat e sigurisë IC dhe mekanizmat e mbrojtjes janë vlerësuar kundër skenarëve të sofistikuar të sulmeve joinvazive dhe invazive. · A30 mbështet një ndërfaqe kontakti I2C dhe ka dy GPIO shtesë. · A30 mbështet një dizajn me fuqi të ulët dhe konsumon vetëm 5 A në modalitetin Deep-Power-Down kur një i jashtëm
VDD është dhënë.
Figura 1. Mbështetja e paketës së EdgeLock A30view
Dorëzuar si një zgjidhje e gatshme për përdorim, EdgeLock A30 përfshin një paketë të plotë të mbështetjes së produktit që thjeshton dizajnin dhe redukton kohën për t'u bërë. Për më shumë detaje, referojuni AN14238 Filloni me paketën e mbështetjes së autentifikuesit të sigurt EdgeLock A30.
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 2 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
2 Migrimi nga EdgeLock EdgeLock A5000 në EdgeLock A30
Ky dokument përshkruan konsideratat për migrimin e një dizajni ekzistues të bazuar në zgjidhjen EdgeLock A5000 në zgjidhjen EdgeLock A30. Ai është organizuar në seksionet e mëposhtme: · Seksioni 2.1 Konsideratat e integrimit të harduerit · Seksioni 2.2 Ndërfaqja I2C dhe konsideratat e protokollit të komunikimit · Seksioni 2.3 Konsideratat e aplikimit të vërtetimit · Seksioni 2.4 Konsideratat e softuerit të mesëm
Figura 2 tregon krahasimin e nivelit të lartë midis EdgeLock A5000 dhe EdgeLock A30
Aplikacioni i vërtetimit
Skemat e kriptove ECC të mbështetura nga kthesat eliptike të algoritmit simetrik të kriptos AES
Sesionet e aplikacionit të kanaleve të sigurta të autentifikimit të ndërsjellë të derivimit të çelësit të funksionit hash MAC
Mbështetja e aplikacionit
Komunikimi
ECDSA ECDH/ECDHE1 NIST Brainpool
AES (128, 192, 256)
CBC, ECB, CTR CCM, GCM HMAC, CMAC GMAC SHA HKDF (RFC5869) Vërtetimi i ndërsjellë asimetrik Vërtetimi i ndërsjellë simetrik Pritësi i sigurt i kanalit -SE Numri i seancave të vërtetuara të njëkohshme të vërtetuara. Lidhja e bazuar në renë ECC-TLS1.2,
T=1 mbi protokollin I2C
Adresa I2C Ndërfaqja e memories së përdoruesit pa pagesë TRNG DRBG në vëllimin e furnizimit të GPIO-ve MCU/MPUtage Gama
Mënyrat e kursimit të energjisë
Gama e temperaturës Paketa
Objektivi I2C
hyrje, dalje, njoftim për vërtetimin e suksesshëm
Power-Down (me mbajtjen e gjendjes) Deep-Power-Down (pa mbajtje të gjendjes) Pini ENA (HW Reset & aktivizo Deep-Power-Down
A5000 P256/P384
X P256/P384
–
X
XXXX SHA 256/384 X Autentifikimi EC-Key Sesioni AESKey (SCP03 duke përdorur AES128) Platforma SCP03
2
X
T=1` mbi I2C sipas Platformës Globale ose NXP UM11225
Përcaktuar gjatë prodhimit (parazgjedhja: 0x48)
NIST SP800 -90B, AIS31 NIST SP800 -90A, AIS20
8 KB
X (deri në 1 Mbit/s)
–
1.62 V deri në 3.6 V 460A (aktivizohet nëpërmjet T=1 mbi I2C )[2] <5 A (aktivizohet përmes pinit ENA)
X
-40 deri +105 °C HX2QFN20
A30 P256 ose P256r1
X P256 P256r1
AES (128 dhe 256)
XXX SHA 256/384 X Sigma-I vërtetimi i bazuar në AES (AES128/256) [1] Mesazhimi i sigurt EV2 [1] 1
X
T=1` mbi I2C sipas Platformës Globale
Adresa I2C e konfigurueshme nga përdoruesi (e parazgjedhur: 0x20)
NIST SP800 -90B, AIS31 NIST SP800 -90A, AIS20
16 KB
X (deri në 1 Mbit/s)
2 GPIO
1.0 deri në 2.0 V -
maksimumi 5 A (aktivizuar nëpërmjet T=1` mbi I2C)
–
-40 deri +105 ºC WLCSP16 ose HVQFN20
Karakteristikat e HW
Figura 2. Krahasimi i nivelit të lartë midis EdgeLock A5000 dhe EdgeLock A30
2.1 Konsideratat e integrimit të harduerit
Autentifikuesi i sigurt EdgeLock A30 është projektuar për aplikacione që funksionojnë me bateri dhe për MCU/MPU me një vëllim furnizimitage prej 1.8 V. Prandaj, nga pikëpamja harduerike, EdgeLock A30 nuk është as pin-to-pin dhe as paketë e pajtueshme me EdgeLock A5000. Kjo do të thotë, një dizajn i ri PCB kërkohet në rast të migrimit nga një dizajn hardueri ekzistues EdgeLock A5000 në EdgeLock A30. Tabelat e mëposhtme krahasojnë llojet në lidhje me dizajnin e HW.
Tabela 1. Paketa e krahasimit të paketave
A5000 HX2QFN20
A30 WLCSP16 ose HVQFN20
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 3 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Tabela 2. Funksioni i krahasimit të kunjave të pinit Furnizimi me energji elektrike I2C Rivendosja e ndezjes së energjisë, GPIO me rrymë të thellë
A5000 VCC, GND SDA, SCL ENA, VIN, VOUT -
A30 KQV, GND
SDA, SCL -[1] [2] GPIO1, GPIO2[3] [1] EdgeLock A30 mbështet për të aktivizuar një rivendosje të ndezjes nëpërmjet T=1` mbi protokollin I2C. [2] EdgeLock A30 mundëson Deep Power Down nëpërmjet T=1` mbi protokollin I2C. [3] EdgeLock A30 ka dy GPIO të konfigurueshme. GPIO-të mund të konfigurohen si hyrje, dalje dhe njoftim për vërtetimin e suksesshëm.
Tabela 3.Furnizimi Voltage krahasimi Furnizimi me energji elektrike Voltage
A5000 1.62 V deri në 3.6 V
A30 1 V në 2 V [1] [1] Kërkohen ndërruesit e nivelit në rast se bordet MCU/MPU janë të dizajnuara për një vëllim furnizimitage prej 3.3 V/5 V.
2.1.1 Diagrami i qarkut të aplikimit me mbështetje depp power off
Ky kapitull krahason skemat e aplikacioneve me mbështetjen e thellë të fikjes midis EdgeLock A5000 dhe EdgeLock A30.
2.1.1.1 Diagrami i qarkut të aplikimit A5000
Figura 3. Diagrami i qarkut të aplikimit EdgeLock A5000 me mbështetje të thellë të rrymës
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 4 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Sekuenca e rivendosjes së A5000 HW: · Cakto pinin ENA në nivelin logjik zero · Prisni 2 ms · Vendosni pinin ENA në nivelin logjik të nivelit të lartë A5000 Modaliteti Deep Power Down: · PIN ENA logjike niveli zero .. Deep Power Down i aktivizuar · Logjika e pinit ENA të nivelit të lartë .. Deep Power Down çaktivizohet
2.1.1.2 Diagrami i qarkut të aplikimit A30
Vcc 1 deri në 0 V
Host-pjesë
Pritësi
SCL SDA
I2C-bus Pullups[1]
100 nF/50V
KQV
SCL SDA
A30
GND
GPIO1 GPIO2
Pjesa A30
Figura 4. Diagrami i qarkut të aplikimit EdgeLock A30 me mbështetje të thellë të rrymës
Rivendosja e ndezjes: · Rekomandohet që kontrolluesi pritës të mund të kryejë një rivendosje të ndezjes duke kontrolluar VCC-në. · Është e mundur të furnizohet A30 nëpërmjet MCU/MPU GPIO. GPIO është në gjendje të japë rrymë deri në 15 mA.
A30 aktivizon një rivendosje nëpërmjet T=1` mbi protokollin I2C: · Kërkesa/përgjigja për rivendosjen e çipit të pronarit NXP S-Blocks SE
A30 mundëson Deep Power Down nëpërmjet T=1` mbi protokollin I2C: · Kërkesë/përgjigje e pronarit NXP S-Block Deep Power Down
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 5 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
2.2 Konsideratat e ndërfaqes I2C dhe protokollit të komunikimit
Tabela 4 krahason në detaje ndryshimet e ndërfaqes së synuar I2C midis EdgeLock A5000 dhe EdgeLock A30.
Tabela 4. Krahasimi i ndërfaqes së synuar I2C
Objektivi I2C
A5000
Adresa I2C e konfigurueshme
Përcaktuar gjatë prodhimit
Adresa e parazgjedhur I2C
0x48
Shpejtësia e komunikimit
deri në 1 Mbit/s
A30 Përdoruesi i konfigurueshëm [1] 0x20 deri në 1 Mbit/s
[1] Konfigurohet nëpërmjet komandës SetConfiguration.Tabela 5 liston ndryshimet në lidhje me protokollin e mbështetur të shtresës së lidhjes së të dhënave.
Tabela 5. Krahasimi i protokollit të komunikimit
A5000
Protokolli i shtresës së lidhjes së të dhënave
T=1` mbi I2C sipas NXP UM11225 [1] dhe T=1` mbi I2C sipas Platformës Globale [2]
S-Blloqet e pronarit NXP
Rivendosja e çipit
A30 T=1` mbi I2C sipas Platformës Globale
Rivendosja e çipit dhe Deep Power Down
2.3 Konsideratat e aplikimit të vërtetimit
2.3.1 Autentifikimi i EdgeLock A30 ka përfunduarview
A30 mbështet dy protokolle për të krijuar një kanal të sigurt mesazhesh:
· Autentifikimi i ndërsjellë asimetrik i bazuar në PKI Ai bazohet në Sigma-I 256-bit ECC (NIST P-256 ose brainpoolP256r1). Gjeneron çelësat e sesionit AES-128 ose 256 për shkëmbimin e mesazheve të vërtetimit të ndërsjellë Sigma-I. Gjeneron çelësat e sesionit AES-128 ose 256 të përdorur për kanalin e sigurt të mesazheve EV2.
· Autentifikimi i ndërsjellë simetrik i bazuar në AES I njëjti protokoll siç është prezantuar në produktet MIFARE DESFire EV2. Bazuar në AES-128 ose AES-256. Gjeneron çelësa sesioni AES-128 ose 256 për kanalin e mesazheve të sigurta EV2.
· Të dyja metodat reciproke të vërtetimit inicojnë një MIFARE DESFire dhe NTAGKanali i mesazheve i sigurt 42x i përputhshëm EV2 (sesion i vërtetuar). Enkriptimi/deshifrimi i sesionit AES-128 ose AES-256 dhe çelësat MAC. Të drejtat e aksesit në komandat pasuese dhe files jepet pas vërtetimit të suksesshëm të ndërsjellë në varësi të konfigurimit. A30 mbështet një kanal të hapur të mesazheve të sigurta (sesion i vërtetuar) në të njëjtën kohë.
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 6 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
2.3.2 Algoritmet dhe protokollet kripto
Nga pika e aplikimit të view dallimet e mëposhtme do të merren parasysh përpara se të migrojnë nga EdgeLock A5000 në EdgeLock A30:
· EdgeLock A30 mbështet pothuajse të njëjtat algoritme kripto dhe skema si A5000. · EdgeLock A30 mbështet vërtetim të ndryshëm dhe protokolle të sigurta të mesazheve.
EdgeLock A30 nuk mbështet më shumë se një sesion aplikacioni si A5000. EdgeLock A30 jep të drejta aksesi në komandat pasuese dhe files pas suksesshme simetrike ose
vërtetimi i ndërsjellë asimetrik. · EdgeLock A30 mbështet politika të ndryshme objektesh. · EdgeLock A30 nuk mbështet vërtetimin e sigurt dhe Regjistrin e konfigurimit të platformës (PCR) si A5000.
Krahasimi nga algoritmet e kriptos dhe pika e protokollit të vërtetimit të view ndërmjet EdgeLock A5000 dhe EdgeLock A30 mund të gjendet në Figurën 5.
Figura 5. Krahasimi i algoritmeve të kriptos dhe protokollit të vërtetimit midis EdgeLock A5000 dhe EdgeLock A30
2.3.3 Objektet e sigurta
Dallimet e mëposhtme midis EdgeLock A5000 dhe EdgeLock A30 merren parasysh:
Tabela 6. Krahasimi i objekteve kryesore dhe certifikimit midis EdgeLock A5000 dhe EdgeLock A30
A5000
A30
Gjithsej memoria e disponueshme falas e përdoruesit
8 KB
16 KB
Kyçja e çelësit (simetrik dhe asimetrik)
Mbyllje e bazuar në politikë.
Fshirja e çelësave të vazhdueshëm nuk mbështetet.
Politika e përditësimit të çelësit përcakton nëse është e mundur të përditësohet vlera e çelësit.
Ruajtja e çelësave AES Ruajtja e çelësave EC
Numri i çelësave nuk është fiks. Konsumon kujtesën e përdoruesit.
Numri i çelësave nuk është fiks. Konsumon kujtesën e përdoruesit.
Deri në pesë hyrje të vazhdueshme kyçe AES. Nuk konsumon kujtesën e përdoruesit.
Deri në pesë hyrje të vazhdueshme të çelësit EC[1]. Konsumon kujtesën e përdoruesit.
Trajtimi i pjesës së çelësit publik EC në çiftin e çelësave Ruhet pas gjenerimit të çelësit brenda një çelësi Vlera e çelësit publik kthehet por
brezi.
objekt.
nuk ruhet brenda një objekti kyç A30 (tek
optimizoni konsumin e memories).
Ruajtja e çelësit publik EC
Ruhet në memorie si çelës publik dhe si i ruajtur vetëm si pjesë e një certifikate X509
pjesë e një certifikate X509.
(FileLloji.Të dhënat standarde).
Po fshihet files nuk mbështetet.
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 7 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Tabela 6. Krahasimi i objekteve kryesore dhe certifikimit midis EdgeLock A5000 dhe EdgeLock A30 …vazhdim
A5000
A30
Depoja e certifikatave Sigma-I
Nuk mbështetet, sepse A5000 nuk mbështet protokollin e vërtetimit asimetrik Sigma-I.
Depo e dedikuar e certifikatave për certifikatat Sigma-I.
[1] A30 mbështet deri në pesë çelësa të qëndrueshëm EC për operacione të ndryshme kripto, përfshirë. SIGMA-I Autentifikimi i ndërsjellë.Tabela 7.Të dhënat files
Gjithsej memoria e disponueshme falas e përdoruesit Ruani të dhënat e papërpunuara numëruesin monotonic
File mbyllje File Të drejtat e hyrjes
A5000 8 KB Binar File 1 byte gjatësi
Politika e mbylljes së bazuar në politikë me të drejta për krijimin e objektit
A30
16 KB
FileLloji.Të dhënat standarde
4 bajt gjatësi FileLloji.Bashkues
Po fshihet files nuk mbështetet.
Të drejtat e aksesit: FileAR.Lexo,File AR. Shkruaj, FileAR.Lexo Shkruaj FileAR. Ndryshimi
2.3.4 Komandat
EdgeLock A30 mbështet komanda të ndryshme të vërtetuesit (APDU) si EdgeLock A5000. Shënim: API-të NX MW sss (Secure Sub System), bibliotekat OpenSSL, PKSC11# dhe Mbed TLS po abstragojnë shtresën APDU. Figura 6 jep një përmbledhje të shkurtërview të komandave EdgeLock A30 APDU.
Figura 6. EdgeLock A30 APDU komanda mbiview
2.4 Konsideratat e Middleware
Ky kapitull ofron një krahasim të shkurtër midis EdgeLock A5000 Plug & Trust Middleware dhe EdgeLock A30 Plug & Trust Middleware dhe përpjekjes së vlerësuar të migrimit të softuerit të mesëm.
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 8 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
2.4.1 EdgeLock A5000 Plug & Trust Middleware Figura 7 tregon një paraqitje të thjeshtuar të komponentëve EdgeLock A5000 Plug & Trust Middleware:
Figura 7. Bllok diagrami Plug & Trust Middleware
· EdgeLock Plug & Trust Middleware shpërndahet nëpërmjet paketave të ndryshme: Paketa e softuerit të plotë Multiplatform Plug & Trust (www.nxp.com/A5000). Paketa Plug & Trust Mini (GitHub) është një nëngrup i programit të mesëm Plug & Trust për përdorim Linux. Paketa Nano Plug & Trust (GitHub) është një version minimalist i programit të mesëm Plug & Trust i optimizuar për pajisjet e kufizuara. Ai gjithashtu siguron një integrim me Zephyr OS dhe një ishample të vërtetimit Qi 1.3.
· Platformat e mbështetura MCU/MPU jashtë kutisë: MCU: MIMXRT1170-EVK, MIMXRT1060-EVK, FRDM-64F dhe MPU LPC55S69-EVK: Raspberry Pi dhe MCIMX8M-EVK
· Mjeti për sigurimin e linjës së komandës: ssscli
2.4.2 EdgeLock A30 Plug & Trust Middleware
Figura 8 jep një përmbledhje të shkurtërview nga komponentët EdgeLock A30 NX Middleware:
Paraintegrimi
te kryesore
OS dhe MCU/MPU
Linux®, FreeRTOSTM, Bare-Metal
Mjediset e zhvilluesit: Linux, Windows®
Përdorimi i Bazuar në Rast Shemample Kodin
ARM® mbedTM
TLS
OpenSSL
PKCS #11
Materie
Qi 1.3 Auth. Demo
Demoja e resë kompjuterike TLS1.3
API
Figura 8. Blloku i NX Middleware
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 9 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
· NX Middleware shpërndahet nëpërmjet GitHub. · Nuk kërkohet asnjë paketë e dedikuar Mini dhe Nano pasi kjo tashmë është pjesë e lëshimit të NX Middleware. · Platformat e mbështetura MCU/MPU jashtë kutisë:
MCU: FRDM-64F dhe LPC55S69-EVK MPU: Raspberry Pi · Mjeti për sigurimin e linjës së komandës: nxclitool
Shënim: Aktualisht vetëm platforma Linux mund të shkarkohet nga GitHub. Publikimet e platformës Windows, FRDM-K64F dhe LPC55S69-EVK MCU ofrohen aktualisht si një paketë .zip dhe mund të shkarkohen nga www.nxp.com/A30. Këto platforma do të shtohen në GitHub në lëshimet e mëvonshme dhe do të zëvendësojnë paketën zip më pas.
2.4.3 Migrimi nga EdgeLock A5000 Plug & Trust Middleware dhe EdgeLock A30 NX Middleware
Figura 9 tregon arkitekturën e nivelit të lartë EdgeLock A30 NX Middleware dhe jep një fundview të përpjekjes së vlerësuar të migrimit të aplikacionit. Për shembullampMegjithatë, përpjekja për migrimin e aplikacionit është minimale kur përdoret një nga shtresat më të larta, siç janë modulet plug-in. E kundërta është e vërtetë kur aplikacioni përdor shtresën APDU të autentifikimit të sigurt të nivelit të ulët. Dy nënkapitujt e mëposhtëm përshkruajnë përpjekjet e migrimit në platformat MCU (metal i zhveshur, freeRTOS, …) dhe në platformat e integruara Linux.
Examples, Use Cases dhe Tools
Menaxher i sesionit
SSS API
Modulet plug-in
(OpenSSL Engine, OpenSSL Provider, PKSC11)
Pritësi
Kripto
(mbed TLS, OpenSSL)
VCOM
NX APDU
Menaxheri i qasjes
T=1` mbi I2C
A30 Autentifikues i Sigurt
Përpjekje migrimi Shumë e ulët E ulët Mesatare në e lartë
Figura 9. Arkitektura NX Middleware – përpjekje e vlerësuar e migrimit
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 10 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
· API-të e Session Manager për të hapur një sesion. Mbështeten seancat e mëposhtme: Vërtetimi i ndërsjellë asimetrik i bazuar në sesion të thjeshtë PKI (Sigma-I-Verifier ose Sigma-I-Prover) Vërtetimi i ndërsjellë Simetrik i bazuar në AES Shënim: Të dyja metodat e vërtetimit të ndërsjellë iniciojnë një seancë mesazhesh të përputhshme me MIFARE DESFire EV2 të sigurta.
· SSS API-të Ofron API abstraksioni për kriptomën e EdgeLock A30, OpenSSL dhe mbedTLS. API-të SSS po mbështesin operacionet e zakonshme të kriptove.
· NX APDUs Implementon komandat e vërtetuesit EdgeLock A30 (APDUs)
· Access Manager Menaxhoni aksesin nga procese të shumta Linux në EdgeLock A30. Proceset e klientit lidhen përmes protokollit JRCPv1 me menaxherin e aksesit.
T=1` mbi protokollin e komunikimit I2C sipas Platformës Globale.
2.4.3.1 Middleware në platformat MCU (metal i zhveshur, freeRTOS, ...)
NX Middleware ofron dy shtresa të ndryshme të API-ve të kriptove për të hyrë në vërtetuesin e sigurt EdgeLock A30 siç tregohet në figurën 10. Përveç kësaj, çelësi i ndryshëm dhe file menaxhimi duhet të merret parasysh.
Figura 10. Shtresat NX Middleware kripto API
sss_API-të janë të pavarura nga hardueri i sigurt i vërtetuesit dhe zvogëlon përpjekjen e transferimit në krahasim me shtresën APDU API. Më shumë detaje mund të gjenden në tabelën 8.
Tabela 8. Migrimi i Middleware në platformat MCU
API
EdgeLock A5000
Plug & Trust Middleware
Komandat e Se05x_ API specifike të Authenticatorit të sigurt (APDU)
EdgeLock A30 NX Middleware
nx_ API-të
API-të e nën-sistemit të sigurisë sss_ API-të
sss_ API
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
Në varësi të rastit të përdorimit, përpjekja e bartjes është mesatare në të lartë.
Përpjekjet për transportim janë minimale. API-të SSS janë API funksionale për të abstraguar aksesin në lloje të ndryshme të nën-sistemeve kriptografike.
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 11 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
2.4.3.2 Migrimi në platformat e integruara Linux
Në platformat e integruara Linux, NX Middleware ofron një motor OpenSSL, një ofrues OpenSSL dhe një modul plug-in PKSC#11 përveç API-ve sss_API dhe APDU. Përpjekja e migrimit për shtresën sss_API dhe APDU është e ngjashme me atë për MCU. Modulet plug-in kërkojnë kryesisht zëvendësimin e bibliotekave përkatëse Linux dhe rregullime minimale në nivelin e aplikacionit. Përveç kësaj, çelësi i ndryshëm dhe file menaxhimi duhet të merret parasysh.
Tabela 9. Migrimi i Middleware në platformat e integruara Linux
Modulet plug-in
EdgeLock A5000
EdgeLock A30
Lidhni dhe besoni Middleware NX Middleware
Komandat e Se05x_ API specifike të Authenticatorit të sigurt (APDU)
nx_ API-të
API-të e nën-sistemit të sigurisë sss_ API-të
sss_ API
Motori OpenSSL Ofruesi OpenSSL PKCS#11 Menaxheri i Qasjes[1]
Lidhe dhe besoje motorin OpenSSL
Plug & Beso ofruesin OpenSSL
Plug & Trust PKCS #11 plug-in
Menaxheri i hyrjes në prizë dhe besim
Motori NX OpenSSL Ofruesi NX OpenSSL NX PKCS #11 plug-in NX Access Manager
Përpjekje për bartje
Në varësi të rastit të përdorimit, përpjekja e bartjes është mesatare në të lartë.
Përpjekjet për transportim janë minimale. API-të SSS janë API funksionale për të abstraktuar aksesin në lloje të ndryshme të Nën-Sistemeve Kriptografike.
Përpjekja minimale e përmbledhur nga motori OpenSSL.
Përpjekja minimale e përmbledhur nga ofruesi OpenSSL.
Përpjekja minimale e përmbledhur nga shtojca PKCS #11.
Përpjekja minimale e përmbledhur nga Menaxheri i Aksesit.
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 12 / 17
NXP gjysmëpërçuesit
3 Historia e rishikimeve
Tabela 10.Historiku i rishikimit
Numri i rishikimit
Data
AN14559 v.1.1
23 janar 2025
AN14559 v.1.0
21 janar 2025
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Përshkrimi Tabela e saktë 7 Versioni fillestar
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 13 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Informacion ligjor
Përkufizimet
Draft - Një status i draftit në një dokument tregon se përmbajtja është ende nën rishikim të brendshëmview dhe subjekt i miratimit zyrtar, i cili mund të rezultojë në modifikime ose shtesa. NXP Semiconductors nuk jep asnjë përfaqësim ose garanci për saktësinë ose plotësinë e informacionit të përfshirë në një version draft të një dokumenti dhe nuk ka asnjë përgjegjësi për pasojat e përdorimit të një informacioni të tillë.
Mohim përgjegjësish
Garancia dhe përgjegjësia e kufizuar — Informacioni në këtë dokument besohet të jetë i saktë dhe i besueshëm. Megjithatë, NXP Semiconductors nuk jep asnjë përfaqësim ose garanci, të shprehur ose të nënkuptuar, në lidhje me saktësinë ose plotësinë e një informacioni të tillë dhe nuk do të ketë asnjë përgjegjësi për pasojat e përdorimit të këtij informacioni. NXP Semiconductors nuk mban asnjë përgjegjësi për përmbajtjen në këtë dokument nëse ofrohet nga një burim informacioni jashtë NXP Semiconductors. Në asnjë rast, gjysmëpërçuesit NXP nuk do të jenë përgjegjës për ndonjë dëmtim indirekt, të rastësishëm, ndëshkues, të veçantë ose pasues (përfshirë - pa kufizim fitimet e humbura, kursimet e humbura, ndërprerjen e biznesit, kostot që lidhen me heqjen ose zëvendësimin e ndonjë produkti ose tarifat e ripërpunimit) nëse ose këto dëme nuk bazohen në dëmshpërblim (përfshirë neglizhencën), garanci, shkelje të kontratës ose ndonjë teori tjetër ligjore. Pavarësisht nga dëmtimet që mund të pësojë klienti për çfarëdo arsye, përgjegjësia totale dhe kumulative e NXP Semiconductors ndaj klientit për produktet e përshkruara këtu do të kufizohet në përputhje me Termat dhe kushtet e shitjes komerciale të NXP Semiconductors.
E drejta për të bërë ndryshime — NXP Semiconductors rezervon të drejtën të bëjë ndryshime në informacionin e publikuar në këtë dokument, duke përfshirë pa kufizim specifikimet dhe përshkrimet e produktit, në çdo kohë dhe pa paralajmërim. Ky dokument zëvendëson dhe zëvendëson të gjithë informacionin e dhënë përpara publikimit të tij.
Përshtatshmëria për përdorim — Produktet NXP Semiconductors nuk janë të dizajnuara, të autorizuara ose të garantuara që të jenë të përshtatshme për t'u përdorur në mbështetje për jetën, sisteme ose pajisje kritike për jetën ose sigurinë, as në aplikacione ku mund të pritet në mënyrë të arsyeshme dështimi ose mosfunksionimi i një produkti NXP Semiconductors të rezultojë në lëndime personale, vdekje ose dëmtime të rënda pronësore ose mjedisore. NXP Semiconductors dhe furnitorët e tij nuk pranojnë asnjë përgjegjësi për përfshirjen dhe/ose përdorimin e produkteve NXP Semiconductors në pajisje ose aplikacione të tilla dhe për këtë arsye përfshirja dhe/ose përdorimi i tillë është në rrezikun e klientit.
Aplikacionet — Aplikacionet që përshkruhen këtu për cilindo prej këtyre produkteve janë vetëm për qëllime ilustruese. NXP Semiconductors nuk jep asnjë përfaqësim ose garanci që aplikacione të tilla do të jenë të përshtatshme për përdorimin e specifikuar pa testime ose modifikime të mëtejshme. Klientët janë përgjegjës për projektimin dhe funksionimin e aplikacioneve dhe produkteve të tyre duke përdorur produktet NXP Semiconductors dhe NXP Semiconductors nuk pranon asnjë përgjegjësi për asnjë ndihmë me aplikacionet ose dizajnimin e produktit të klientit. Është përgjegjësi e vetme e klientit të përcaktojë nëse produkti NXP Semiconductors është i përshtatshëm dhe i përshtatshëm për aplikacionet e klientit dhe produktet e planifikuara, si dhe për aplikimin dhe përdorimin e planifikuar të klientëve të palëve të treta të klientit. Konsumatorët duhet të ofrojnë masa mbrojtëse të përshtatshme për dizajnin dhe funksionimin për të minimizuar rreziqet që lidhen me aplikacionet dhe produktet e tyre. NXP Semiconductors nuk pranon asnjë përgjegjësi në lidhje me ndonjë parazgjedhje, dëmtim, kosto ose problem që bazohet në ndonjë dobësi ose parazgjedhje në aplikacionet ose produktet e klientit, ose aplikacionin ose përdorimin nga klientët e palës së tretë të klientit. Klienti është përgjegjës për kryerjen e të gjitha testeve të nevojshme për aplikacionet dhe produktet e klientit duke përdorur produktet NXP Semiconductors në mënyrë që të shmanget një parazgjedhje e aplikacioneve dhe produkteve ose e aplikacionit ose përdorimi nga klientët e palës së tretë të klientit. NXP nuk pranon asnjë përgjegjësi në këtë drejtim.
Termat dhe kushtet e shitjes komerciale — Produktet NXP Semiconductors shiten duke iu nënshtruar kushteve të përgjithshme të shitjes komerciale, siç janë publikuar në https://www.nxp.com/profile/kushtet, përveç nëse është rënë dakord ndryshe në një marrëveshje të vlefshme individuale me shkrim. Në rast të lidhjes së një marrëveshjeje individuale do të zbatohen vetëm termat dhe kushtet e marrëveshjes përkatëse. NXP Semiconductors shprehimisht kundërshton zbatimin e termave dhe kushteve të përgjithshme të klientit në lidhje me blerjen e produkteve të NXP Semiconductors nga klienti.
Kontrolli i eksportit — Ky dokument si dhe artikujt e përshkruar këtu mund t'i nënshtrohen rregulloreve të kontrollit të eksportit. Eksporti mund të kërkojë një autorizim paraprak nga autoritetet kompetente.
Përshtatshmëria për t'u përdorur në produkte jo të kualifikuara për automobila — Nëse ky dokument nuk thotë shprehimisht se ky produkt specifik NXP Semiconductors është i kualifikuar për automobila, produkti nuk është i përshtatshëm për përdorim automobilistik. Nuk është as i kualifikuar dhe as i testuar në përputhje me kërkesat e testimit të automobilave ose aplikimit. NXP Semiconductors nuk pranon asnjë përgjegjësi për përfshirjen dhe/ose përdorimin e produkteve jo të kualifikuara për automobila në pajisjet ose aplikacionet e automobilave. Në rast se klienti përdor produktin për dizajnim dhe përdorim në aplikacionet e automobilave sipas specifikimeve dhe standardeve të automobilave, klienti (a) do të përdorë produktin pa garancinë e produktit nga NXP Semiconductors për aplikime, përdorim dhe specifikime të tilla automobilistike, dhe (a) b) sa herë që klienti përdor produktin për aplikime automobilistike përtej specifikimeve të NXP Semiconductors, ky përdorim do të jetë vetëm në rrezik të klientit dhe (c) klienti dëmshpërblen plotësisht NXP Semiconductors për çdo përgjegjësi, dëmtim ose pretendim të dështuar të produktit që rezulton nga dizajni i klientit dhe përdorimi i produkti për aplikimet e automobilave përtej garancisë standarde të NXP Semiconductors dhe specifikimeve të produktit të NXP Semiconductors.
Publikime HTML - Një version HTML, nëse disponohet, i këtij dokumenti ofrohet si mirësjellje. Informacioni përfundimtar gjendet në dokumentin e aplikueshëm në formatin PDF. Nëse ka një mospërputhje midis dokumentit HTML dhe dokumentit PDF, dokumenti PDF ka përparësi.
Përkthime - Një version jo-anglisht (i përkthyer) i një dokumenti, duke përfshirë informacionin ligjor në atë dokument, është vetëm për referencë. Versioni në anglisht do të mbizotërojë në rast të ndonjë mospërputhjeje midis versionit të përkthyer dhe atij në anglisht.
Siguria — Klienti e kupton që të gjitha produktet NXP mund t'i nënshtrohen dobësive të paidentifikuara ose mund të mbështesin standardet ose specifikimet e vendosura të sigurisë me kufizime të njohura. Klienti është përgjegjës për projektimin dhe funksionimin e aplikacioneve dhe produkteve të tij gjatë gjithë ciklit të jetës së tij për të reduktuar efektin e këtyre dobësive në aplikacionet dhe produktet e klientit. Përgjegjësia e klientit shtrihet edhe në teknologji të tjera të hapura dhe/ose të pronarit të mbështetura nga produktet NXP për përdorim në aplikacionet e klientit. NXP nuk pranon asnjë përgjegjësi për ndonjë cenueshmëri. Klienti duhet të kontrollojë rregullisht përditësimet e sigurisë nga NXP dhe të ndjekë siç duhet. Klienti duhet të zgjedhë produkte me karakteristika sigurie që plotësojnë më së miri rregullat, rregulloret dhe standardet e aplikacionit të synuar dhe të marrë vendimet përfundimtare të projektimit në lidhje me produktet e tij dhe është vetëm përgjegjës për pajtueshmërinë me të gjitha kërkesat ligjore, rregullatore dhe të sigurisë në lidhje me produktet e tij, pavarësisht për çdo informacion ose mbështetje që mund të ofrohet nga NXP. NXP ka një ekip të reagimit ndaj incidentit të sigurisë së produktit (PSIRT) (i arritshëm në PSIRT@nxp.com) që menaxhon hetimin, raportimin dhe lëshimin e zgjidhjeve për dobësitë e sigurisë të produkteve NXP.
NXP B.V. — NXP B.V. nuk është një kompani operuese dhe nuk shpërndan apo shet produkte.
Markat tregtare
Shënim: Të gjitha markat e referuara, emrat e produkteve, emrat e shërbimeve dhe markat tregtare janë pronë e pronarëve të tyre përkatës.
NXP — marka e fjalës dhe logoja janë marka tregtare të NXP BV
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 14 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Tabelat
Tab. 1. Tab. 2. Tab. 3. Tab. 4. Tab. 5. Tab. 6.
Krahasimi i paketës ……………………………………..3 Krahasimi me kunja ………………………………………………. 4 Furnizimi VoltagKrahasimi …………………………….4 Krahasimi i ndërfaqes së synuar I2C ……………………… 6 Krahasimi i protokollit të komunikimit ………………. 6 Krahasimi i çelësit dhe objektit të certifikimit midis EdgeLock A5000 dhe EdgeLock A30 ……………………………………………………………….. 7
Tab. 7. Tab. 8. Tab. 9.
Tab. 10.
Të dhënat files ……………………………………………………….. 8 Migrimi i softuerit të mesëm në platformat MCU …….. 11 Migrimi i softuerit të mesëm në platformat e integruara Linux………………………………………………………….12 Historia e rishikimit ………………………………………………..
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 15 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Shifrat
Fig. 1. Fig. 2.
Fig. 3.
Fig. 4.
Paketa mbështetëse EdgeLock A30 ka përfunduarview …….. 2 Krahasimi i nivelit të lartë midis EdgeLock A5000 dhe EdgeLock A30 ……………………………….. 3 Diagrami i qarkut të aplikimit EdgeLock A5000 me mbështetje të thellë të ndërprerjes …………4 Diagrami i qarkut të aplikimit EdgeLock A30 me mbështetje për ulje të thellë ……………………. 5
Fig. 5.
Fig. 6. Fig. 7. Fig. 8. Fig. 9. Fig.
Fig. 10.
Krahasimi i algoritmeve të kriptos dhe protokollit të vërtetimit ndërmjet EdgeLock A5000 dhe EdgeLock A30 …………………………….. 7 EdgeLock A30 APDU komanda mbiview …….. 8 Diagrami bllokues i Plug & Trust Middleware ………… 9 Diagrami i bllokut NX Middleware ……………………….. 9 Arkitektura NX Middleware – përpjekja e vlerësuar e migrimit …………………………………………… 10 shtresa NX Middleware kripto API ………………..11
AN14559
Shënim aplikimi
Të gjitha informacionet e dhëna në këtë dokument janë subjekt i mohimeve ligjore.
Rev. 1.1 - 23 janar 2025
© 2025 NXP BV Të gjitha të drejtat e rezervuara.
Komentet e dokumentit 16 / 17
NXP gjysmëpërçuesit
AN14559
Udhëzues migrimi nga EdgeLock A5000 në EdgeLock A30
Përmbajtja
1
2
2.1 2.1.1
2.1.1.1 2.1.1.2 2.2
2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 2.4.2 2.4.3
2.4.3.1
2.4.3.2 3
Rreth vërtetuesit të sigurt të EdgeLock A30 …………………………………………………. 2 Duke migruar nga EdgeLock EdgeLock A5000 në EdgeLock A30 ……………………………….3 Konsiderata të integrimit të harduerit …………….. 3 Diagrami i qarkut të aplikimit me mbështetje për ndërprerjen e depp ………………………………………….. 4 A5000 aplikacioni…….. 4 A30……. diagrami ………………………..5 Konsiderata të ndërfaqes I2C dhe protokollit të komunikimit ………………………………………………….6 Konsideratat e aplikimit të vërtetimit ………. 6 EdgeLock A30 Autentifikimi përfundoiview ………….6 Algoritme dhe protokolle kripto…………………… 7 Objekte të sigurta ………………………………………………7 Komanda ………………………………………………8 konsiderata të softuerit të mesëm …………………………….. 8. EdgeLock A5000 Plug & Trust Middleware ……….. 9 Migrimi nga EdgeLock A30 Plug & Trust Middleware dhe EdgeLock A9 NX Middleware ……………………………………………….5000 Middleware në platformat MCU (metal i zhveshur, freeRTOS, …………………………………………… platformat e integruara Linux ………….30 Historia e rishikimeve ……………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………….10
Ju lutemi, kini parasysh se njoftime të rëndësishme në lidhje me këtë dokument dhe produktin(ët) e përshkruar këtu, janë përfshirë në seksionin "Informacion ligjor".
© 2025 NXP BV
Të gjitha të drejtat e rezervuara.
Për më shumë informacion, ju lutemi vizitoni: https://www.nxp.com
Reagimet e dokumentit
Data e publikimit: 23 janar 2025 Identifikuesi i dokumentit: AN14559
Dokumentet / Burimet
 |
NXP AN14559 EdgeLock A30 Secure Authenticator [pdfManuali i Përdoruesit A30, AN14559 EdgeLock A30 Secure Authenticator, AN14559, EdgeLock A30 Secure Authenticator, Secure Authenticator, Authenticator |
