04/10/2025
Aj vzhľadom pre narastajúce kybernetické riziká spojené s rôznými IoT zariadeniami (spravidla čínskeho pôvodu) by sme touto chceli odprezentovať krátky náhľad ako MSB Technology pristupuje k tejto problematike a akým spôsobom bude zariadenie MSB Master G1 pracovať s kľúčovými informáciami, telemetriou, ukladaním / šifrovaním / overovaním / vzdialeným prístupom a podpisovaním prostredníctvom integrovaného hardware secure elementu Microchip ATECC608A.
-----------------------------------------------------------------------
MSB Master × ATECC608A
VEREJNÝ BEZPEČNOSTNÝ PREHĽAD A DATASHEET
Tento príspevok vysvetľuje, ako MSB Master využíva bezpečnostný čip ATECC608A na identitu zariadenia, správu kľúčov a ochranu dát pri telemetrii a vzdialenom ovládaní. Je určený pre verejnosť a odborníkov. Zámerne neobsahuje proprietárne vstupy ani presné recepty na odvodenie kľúčov; presné salted hodnoty/nonce, interné koreňové materiály a továrenské postupy zostávajú dôverné.
—
KONFIGURÁCIA PLATFORMY (VYSOKÁ ÚROVEŇ)
• I²C adresa: pevná po uzamknutí konfigurácie.
• Watchdog čipu: dlhý režim; firmvér okolo každého príkazu uspáva/prebúdza secure element pre spoľahlivé vykonanie aj pri zaťažení VM.
• Zmeny po uzamknutí: zakázané pre I²C adresu a ďalšie uzamknuté polia.
• Ochrana I/O linky: nepoužíva sa (v našom modeli hrozieb nemá prínos).
• Funkcie na čipe: zapnuté AES a on-chip derivácie tam, kde to dáva zmysel.
• Stratégia kľúčov: ECDH Out (Elliptic Curve Diffie–Hellman) na dohodu tajomstva; HKDF (HMAC-based Key Derivation Function) v dôveryhodnom FW/službách; DeriveKey na tvorbu uzamknutých AES kľúčov priamo v čipe.
—
2) KONFIGURÁCIA SLOTOV A POLITIKY (VEREJNÝ POHĽAD)
SLOT 0 — ECC identita zariadenia
• Hardvérovo generovaný ECC privátny kľúč (unikát pre zariadenie).
• Využitie: ECDH Out; digitálne podpisy na autentizáciu.
• Politika: generovaný raz; po uzamknutí sa neprepisuje; privátny kľúč nikdy neopúšťa čip.
SLOT 1 — Názov výrobcu
• Identifikátor výrobcu (MSB Technology, s.r.o.).
• Politika: zapísané pri provisioningu; následne trvalo uzamknuté.
SLOT 2 — Oprávnenie na zápis (WriteKey)
• Tajomstvo na autorizáciu Encrypted Write do slotov, ktoré zostávajú updatovateľné počas životného cyklu.
• Garancia: deterministicky reprodukovateľné MSB z chránených interných materiálov; nikdy sa neukladá v čitateľnej podobe.
SLOT 3 — Unikátny AES kľúč zariadenia (HIGH – dáta v pokoji)
• Per-zariadenie AES-128 pre citlivé lokálne dáta (konfigurácia, používateľské tajomstvá) vo flash/EEPROM.
• Garancia: deterministicky reprodukovateľné MSB; updatovateľné cez Encrypted Write; nikdy nie v čitateľnej podobe.
SLOT 4 — Flotilové tajomstvo (rodič pre on-chip odvodenia)
• Flotilové 32-bajtové tajomstvo ako rodič pre on-chip derivácie.
• Garancia: interné vstupy spoločnosti; uložené ako tajné; updatovateľné cez Encrypted Write.
SLOT 5 — Per-zariadenie odvodený AES (MID)
• Per-zariadenie AES-128 vytvorený v čipe z flotilového rodiča a zariadením viazaného diverzifikátora.
• Využitie: stredná úroveň citlivosti (transport/sessions); obalovanie nízko-citlivých payloadov; základ pre per-zariadenie IV/MAC derivácie.
• Garancia: jedinečný na zariadenie; vytvorený cez DeriveKey; bez raw zápisov.
SLOT 6 — Flotilovo odvodený AES (LOW / obfuskácia)
• Flotilový AES-128 vytvorený v čipe z rovnakého rodiča a flotilového diverzifikátora.
• Využitie: nízka kritickosť, ľahké maskovanie/obfuskácia, jednoduché integritné kontroly.
• Garancia: rovnaký naprieč flotilou (pri rovnakých vstupoch); vytvorený cez DeriveKey; bez raw zápisov.
SLOT 7 — Rezervované DATA (ne-tajné, integrita zápisu)
• Ne-tajné metadáta/flagy, ktoré nesmú byť pri provisioningu/servise pozmenené.
• Politika: Encrypted Write; voľné čítanie.
SLOT 8 — Device DATA (ne-tajné, 416 B)
• Štruktúrovaný multiblokový profil (model, MAC, parametre servera, verzie, atribúty, konfigurácie portov/GPIO/I²C atď.).
• Politika: Encrypted Write; voľné čítanie.
SLOT 9 — MSB ROOT public (kotva dôvery)
• Koreňový verejný kľúč na validáciu child kľúčov a podpisov servera.
• Politika: zapísaný pri provisioningu; nikdy sa neprepisuje; po factory-provisioningu uzamknutý; čítanie verejné.
SLOTY 10–14 — Child public kľúče (OTA / Telemetria / budúce roly)
• Prevádzkové verejné kľúče (napr. podpis OTA, autentizácia telemetrie).
• Politika: zápis cez public-key cestu; okamžité Verify/Validate voči ROOT (Slot 9); firmvér používa iba kľúče s príznakom VALID; rotácia prepisom + Validate.
SLOT 15 — Boot pečať / väzba na zariadenie
• Štartovacia kryptografická pečať viažuca identitu a stav kľúčov zariadenia.
• Politika: zapisuje sa pred uzamknutím zón; pri štarte sa overí; pri nesúlade zariadenie prejde do bezpečného režimu (napr. vypne telemetriu/OTA, zakáže prístup k citlivým dátam, znemožní vzdialené RPC, štart v SAFE-BOOT / RECOVERY režime).
—
3) BEZPEČNOSTNÁ ARCHITEKTÚRA (VEREJNÉ)
• Hardvérová identita: každé zariadenie má GENEROVANÝ ECC privátny kľúč cez interné vysokokvalitné on-chip RNG, ktorý nikdy neopustí čip (tz. PRIVATE verzia kľúča nieje známa ani MSB Technology, s.r.o. - archivujeme len PUBLIC verziu kľúča pre každé zariadenie),
• Vzájomná autentickosť: zariadenia podpisujú telemetriu/požiadavky; servery overujú. Servery sa preukazujú podpísanými, pripnutými identitami, ktoré zariadenie verifikuje.
• Dohoda kľúča: ECDH (Elliptic Curve Diffie–Hellman); kľúče pre konkrétne účely vznikajú cez HKDF (mimo čipu) alebo DeriveKey (na čipe).
• Oddelenie účelov: HIGH (Slot 3), MID (Slot 5), LOW (Slot 6) – nezávislé domény odvodenia, žiadne miešanie účelov.
• Tvorba kľúčov na čipe: Sloty 5 a 6 vznikajú vo vnútri secure elementu z rodiča v Slote 4; žiadne zápisy tajomstiev v čitateľnej forme.
• Reťaz dôvery z verejných kľúčov: ROOT (Slot 9) validuje prevádzkové kľúče (Sloty 10–14); firmvér explicitne odmieta nevalidované kľúče.
• Integrita bootu: pečať v Slote 15 sa kontroluje pri štarte a bráni povoleniu citlivých funkcií pri nesúlade.
• Podpora doprednej bezpečnosti: protokoly môžu používať ephemerálne (krátkodobé, podpísané) serverové kľúče bez zmeny konfigurácie čipu.
—
4) PREVÁDZKOVÉ GARANCIE (VEREJNÉ)
• Žiadne predvolené/zdieľané heslá.
• Unikátna identita zariadenia ukotvená v hardvéri.
• Podporované rotácie kľúčov (update rodiča alebo prepínanie validovaných child kľúčov).
• Autentizované aktualizácie: OTA podpisy sa verifikujú validovanými verejnými kľúčmi.
• Disciplína nonce: AEAD režimy (napr. AES-GCM/CCM) používajú neopakujúce sa nonce pre daný kľúč.
• Auditovateľnosť: validácie kľúčov a kontroly pečate pri štarte sú explicitné a logované kroky.
—
5) SÚKROMIE A OCHRANA DÁT
• Minimalizácia dát: prenáša sa iba nevyhnutná telemetria; lokálne citlivé dáta sú šifrované primeranou úrovňou (HIGH/MID/LOW).
• Prístup a prenositeľnosť: per-zariadenie identita a deterministické odvodenia uľahčujú autentizovaný export dát a kontrolovaný prístup tretích strán.
• Pripravenosť na incidenty: hierarchia kľúčov a validačný reťazec umožnia cielené rotácie a odvolania bez výmeny zariadení.
—
6) POROVNANIE S TRHOM
Bežné vzory (gatewaye meničov, továrenské dongle, cloudové mosty):
• Tajomstvá vo firmvéri chránené prevažne cez TLS alebo !vôbec!; obmedzená odolnosť voči extrakcii firmvéru.
• Továrenské dongle alebo claim tokeny na registráciu; slabé, ak nie sú ukotvené v hardvéri.
• Čisto cloudová dôvera – identita zariadenia je de facto cloudový účet, nie kľúč v kremíku.
• Jednoúrovňové kľúče opakovane použité na viac účelov, vyššie riziko medzi-protokolových chýb.
• Vysoká náchylnosť k MITM / DDOS útokom
Výhody MSB Master:
• Identita ukotvená v kremíku (Slot 0): privátne kľúče nikdy neexistujú vo firmvéri ani v databázach.
• On-chip tvorba kľúčov (Sloty 5/6): flotilové a per-zariadenie AES kľúče sa nikdy nepíšu v čitateľnej podobe.
• Viacúrovňové kľúče: HIGH (lokálne tajomstvá), MID (per-zariadenie transport/sessions), LOW (obfuskácia) s doménovou separáciou.
• Vynucený reťazec dôvery: ROOT → CHILD s Verify/Validate; firmvér používa iba VALID kľúče; jednoduché a bezpečné rotácie.
• Atestácia pri štarte: pečať viaže identitu a stav pred povolením telemetrie/OTA.
• Dopredná bezpečnosť: ephemerálne serverové kľúče pre relácie – nad rámec prístupu „iba TLS“.
• Bez donglov a spoločných hesiel: identita je vlastnosťou zariadenia, nie príslušenstva.
• ROOT PINNING + TLS/SSL PINNING
—
7) VHODNÉ SEGMENTY NASADENIA
• Domácnosti/SMB: silná identita, podpísané aktualizácie, šifrované lokálne úložisko.
• Firmy a samosprávy (nekritická infraštruktúra): auditovateľná správa kľúčov, revokácie/rotácie, voliteľná dopredná bezpečnosť.
• Mimo záber: regulovaná kritická infraštruktúra vyžadujúca certifikované redundantné architektúry alebo špeciálne bezpečnostné posudky.
—
ZHRNUTIE
MSB Master + ATECC608A prináša hardvérom ukotvenú, viacúrovňovú kľúčovú architektúru so striktne vynucovaným reťazcom dôvery a tvorbou kľúčov na čipe. V porovnaní s bežnými prístupmi znižuje riziko expozície kľúčov, zjednodušuje bezpečné rotácie a umožňuje moderné protokolové vlastnosti (napr. dopredná bezpečnosť) — bez zverejňovania proprietárnych receptov.
Poznámka: Tento prehľad je vhodný na verejné šírenie. Popisuje, čo platforma MSB Master G1 garantuje, pričom interné vstupy odvodení a koreňové materiály zostávajú dôverné.
