AN14559 EdgeLock A30 Secure Authenticator
“
Specifikace:
- Secure Authenticator: EdgeLock A30
- Podporuje: IoT platformy, elektronické příslušenství, spotřební materiál
zařízení - Klíčové vlastnosti:
- Generování klíče ECC na čipu
- Certifikace zabezpečení Common Criteria EAL 6+
- Podporuje šifrování AES, ECDSA, ECDH, SHA, HMAC, HKDF
funkčnost - Dodáváno s VDD
- Balení: Řešení připravené k použití s kompletním produktem
podpora
Návod k použití produktu:
1. Přesview EdgeLock A30:
EdgeLock A30 je bezpečný autentizační IC určený pro
různé aplikace včetně platforem IoT, elektronické
příslušenství a spotřebního materiálu. Zajišťuje, že jsou soukromé klíče
chráněn v rámci IC a podporuje kryptografické operace pro
bezpečná komunikace.
2. Klíčové vlastnosti:
- Generování klíčů ECC na čipu pro bezpečnou správu klíčů
- Zabezpečení Common Criteria EAL 6+ certifikováno s AVA_VAN.5
- Podporuje šifrování AES, ECDSA, ECDH, SHA, HMAC a HKDF
funkcí
3. Začínáme:
Chcete-li začít používat EdgeLock A30, přečtěte si dokument AN14238
„Začněte s podporou zabezpečeného ověřování EdgeLock A30
balíček“ pro podrobné pokyny k nastavení.
Často kladené otázky (FAQ):
Otázka: Jaký je hlavní rozdíl mezi EdgeLock A5000 a
EdgeLock A30?
Odpověď: Mezi hlavní rozdíly patří vylepšené kryptografické funkce,
bezpečnostní certifikace a podpora pro širší škálu
kryptografické algoritmy na EdgeLock A30 ve srovnání s
A5000.
Otázka: Jak zajistím bezpečnou komunikaci s EdgeLock A30?
Odpověď: Využijte podporované kryptografické funkce, jako je AES,
ECDSA a HMAC k vytvoření bezpečných kanálů a ověření
komunikační relace.
“`
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Rev. 1.1 – 23. ledna 2025
Poznámka k aplikaci
Informace o dokumentu
Informace
Obsah
Klíčová slova
Zabezpečený autentizátor EdgeLock A30, NX Middleware
Abstraktní
Tento dokument popisuje úvahy pro migraci stávajícího návrhu založeného na EdgeLock A5000 na EdgeLock A30.
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
1 O zabezpečeném autentizátoru EdgeLock A30
EdgeLock A30 je bezpečný ověřovací IC pro platformy internetu věcí, elektronické příslušenství a spotřební zařízení, jako jsou domácí elektronická zařízení, mobilní příslušenství a zdravotnické potřeby.
EdgeLock A30 podporuje generování klíčů ECC na čipu, aby bylo zajištěno, že soukromé klíče nebudou nikdy vystaveny mimo IC. Provádí kryptografické operace pro bezpečnostní kritické komunikační a kontrolní funkce. EdgeLock A30 má certifikaci zabezpečení Common Criteria EAL 6+ s AVA_VAN.5 na úrovni produktu a podporuje generické Crypto API poskytující kryptografické funkce AES, ECDSA, ECDH, SHA, HMAC a HKDF.
· Funkce asymetrické kryptografie podporují 256bitové ECC přes křivky NIST P-256 a brainpool P256r1. · Funkce symetrické kryptografie podporují jak AES-128, tak AES-256. · Vzájemná autentizace založená na PKI založená na protokolu Sigma-I. · Symetrický tříprůchodový protokol Mutual Authentication kompatibilní s NTAG42x a MIFARE DesFire EV2,
DesFire EV3 a DesFire Light. · Zabezpečený kanál pro zasílání zpráv pomocí šifrování/dešifrování relace AES-128 nebo AES-256 a MAC.
Certifikace zabezpečení Common Criteria zajišťuje, že bezpečnostní opatření a ochranné mechanismy IC byly vyhodnoceny proti sofistikovaným scénářům neinvazivních a invazivních útoků. · A30 podporuje kontaktní rozhraní I2C a má dva další GPIO. · A30 podporuje design s nízkou spotřebou a spotřebuje pouze 5 A v režimu Deep-Power-Down, když je externí
VDD je dodáván.
Obrázek 1. Konec podpůrného balíčku EdgeLock A30view
EdgeLock A30 je dodáván jako řešení připravené k použití a zahrnuje kompletní balíček podpory produktů, který zjednodušuje návrh a zkracuje dobu potřebnou k výrobě. Další podrobnosti najdete v AN14238 Začínáme s balíčkem podpory zabezpečeného ověřování EdgeLock A30.
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 2 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
2 Přechod z EdgeLock EdgeLock A5000 na EdgeLock A30
Tento dokument popisuje úvahy pro migraci stávajícího návrhu založeného na EdgeLock A5000 na řešení EdgeLock A30. Je uspořádán do následujících sekcí: · Sekce 2.1 Aspekty hardwarové integrace · Sekce 2.2 Aspekty rozhraní I2C a komunikačního protokolu · Sekce 2.3 Aspekty autentizační aplikace · Sekce 2.4 Aspekty middlewaru
Obrázek 2 ukazuje srovnání na vysoké úrovni mezi EdgeLock A5000 a EdgeLock A30
Autentizační aplikace
ECC krypto schémata Podporované eliptické křivky Symetrický krypto algoritmus Režimy AES
Odvození funkčního klíče MAC Hash (KDF) Vzájemná autentizace Relace zabezpečeného kanálu aplikace
Podpora aplikací
Sdělení
ECDSA ECDH/ECDHE1 NIST Brainpool
AES (128, 192, 256)
CBC, ECB, CTR CCM, GCM HMAC, CMAC GMAC SHA HKDF (RFC5869) Asymetrické vzájemné ověřování Symetrické vzájemné ověřování Hostitel zabezpečeného kanálu -SE Počet současně ověřených relací Cloudová konektivita založená na klíči ECC (TLS 1.2, 1.3.
T=1 přes I2C protokol
Adresa I2C TRNG Rozhraní volné uživatelské paměti DRBG k MCU/MPU GPIO Supply Voltage Dosah
Úsporné režimy
Teplotní rozsah Balení
I2C cíl
vstup, výstup, upozornění na úspěšnou autentizaci
Vypnutí (se zachováním stavu) Deep-Power-Down (bez zachování stavu) ENA Pin (HW reset a povolení hlubokého vypnutí
A5000 P256/P384
X P256/P384
–
X
XXXX SHA 256/384 X autentizace pomocí EC-klíče relace AESKey (SCP03 pomocí AES128) Platforma SCP03
2
X
T=1` přes I2C podle Global Platform nebo NXP UM11225
Definováno během výroby (výchozí: 0x48)
NIST SP800 -90B, AIS31 NIST SP800 -90A, AIS20
8 kB
X (až 1 Mbit/s)
–
1.62 V až 3.6 V 460 A (aktivováno přes T=1 přes I2C )[2] <5 A (aktivováno přes pin ENA)
X
-40 až +105 °C HX2QFN20
A30 P256 nebo P256r1
X P256 P256r1
AES(128 a 256)
XXX SHA 256/384 X Sigma-I Ověření založené na AES (AES128/256) [1] Zabezpečené zasílání zpráv EV2 [1] 1
X
T=1` přes I2C podle Global Platform
Uživatelsky konfigurovatelná adresa I2C (výchozí: 0x20)
NIST SP800 -90B, AIS31 NIST SP800 -90A, AIS20
16 kB
X (až 1 Mbit/s)
2 GPIO
1.0 až 2.0 V –
max. 5 A (aktivováno přes T=1` přes I2C)
–
-40 až +105 °C WLCSP16 nebo HVQFN20
HW vlastnosti
Obrázek 2. Porovnání na vysoké úrovni mezi EdgeLock A5000 a EdgeLock A30
2.1 Úvahy o hardwarové integraci
Zabezpečený autentizátor EdgeLock A30 je určen pro bateriově napájené aplikace a pro MCU/MPU s napájecím obj.tage 1.8 V. Proto z hardwarového hlediska není EdgeLock A30 ani pin-to-pin ani není kompatibilní s EdgeLock A5000. To znamená, že v případě migrace ze stávajícího hardwarového návrhu EdgeLock A5000 na EdgeLock A30 je vyžadován nový návrh PCB. Následující tabulky porovnávají typy týkající se HW návrhu.
Tabulka 1. Porovnání balíčků Balíček
A5000 HX2QFN20
A30 WLCSP16 nebo HVQFN20
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 3 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Tabulka 2. Porovnání kolíků Funkce kolíků Napájení I2C Power On Reset, Deep Power Down GPIO
A5000 VCC, GND SDA, SCL ENA, VIN, VOUT –
A30 VCC, GND
SDA, SCL -[1] [2] GPIO1, GPIO2[3] [1] EdgeLock A30 podporuje spuštění resetu při zapnutí přes T=1` přes protokol I2C. [2] EdgeLock A30 umožňuje Deep Power Down přes T=1` přes protokol I2C. [3] EdgeLock A30 má dva konfigurovatelné GPIO. GPIO lze nakonfigurovat jako vstup, výstup a upozornění na úspěšné ověření.
Tabulka 3.Supply Voltage srovnání Power Supply Voltage
A5000 1.62 V až 3.6 V
A30 1 V až 2 V [1] [1] Posouvače úrovně jsou nutné v případě, že jsou desky MCU/MPU určeny pro napájecí obj.tage 3.3 V/5 V.
2.1.1 Schéma zapojení aplikace s podporou depp power down
Tato kapitola porovnává aplikační schémata s podporou hlubokého vypnutí mezi EdgeLock A5000 a EdgeLock A30.
2.1.1.1 Schéma zapojení aplikace A5000
Obrázek 3. Schéma zapojení aplikace EdgeLock A5000 s podporou hlubokého vypnutí
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 4 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Sekvence resetování A5000 HW: · Nastavte pin ENA na úroveň logické nuly · Počkejte 2 ms · Nastavte pin ENA na logickou vysokou úroveň A5000 Režim hlubokého vypnutí: · Logická nulová úroveň ENA .. Deep Power Down povoleno · Vysoká úroveň logiky ENA .. Deep Power Down zakázáno
2.1.1.2 Schéma zapojení aplikace A30
Vcc 1 až 0 V
Hostitelská část
Hostitel
SCL SDA
Pullupy sběrnice I2C[1]
100 nF / 50 V
VCC
SCL SDA
A30
GND
GPIO1 GPIO2
Část A30
Obrázek 4. Schéma zapojení aplikace EdgeLock A30 s podporou hlubokého vypnutí
Power-On-Reset: · Doporučuje se, aby hostitelský řadič mohl provést Power-On-Reset ovládáním VCC. · A30 je možné napájet přes MCU/MPU GPIO. GPIO je schopno dodat proud až 15 mA.
A30 spouští reset přes T=1` přes protokol I2C: · Proprietární požadavek/odpověď na reset čipu NXP S-Blocks SE
A30 umožňuje Deep Power Down přes T=1` přes I2C protokol: · Proprietární NXP S-Block Deep Power Down požadavek/odpověď
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 5 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
2.2 I2C rozhraní a úvahy o komunikačním protokolu
Tabulka 4 podrobně porovnává rozdíly cílového rozhraní I2C mezi EdgeLock A5000 a EdgeLock A30.
Tabulka 4. Porovnání cílového rozhraní I2C
I2C cíl
A5000
Konfigurovatelná adresa I2C
Definováno během výroby
Výchozí adresa I2C
0x48
Rychlost komunikace
až 1 Mbit/s
A30 Uživatelsky konfigurovatelné [1] 0x20 až 1 Mbit/s
[1] Konfigurováno pomocí příkazu SetConfiguration.Tabulka 5 uvádí rozdíly s ohledem na podporovaný protokol vrstvy datového spoje.
Tabulka 5. Porovnání komunikačního protokolu
A5000
Protokol datové vrstvy
T=1` přes I2C podle NXP UM11225 [1] a T=1` přes I2C podle Global Platform [2]
Proprietární S-bloky NXP
Resetování čipu
A30 T=1` přes I2C podle Global Platform
Resetování čipu a hluboké vypnutí
2.3 Aspekty autentizační aplikace
2.3.1 Konec ověřování EdgeLock A30view
A30 podporuje dva protokoly pro vytvoření zabezpečeného kanálu zpráv:
· Asymetrická vzájemná autentizace založená na PKI Je založena na 256bitovém ECC Sigma-I (NIST P-256 nebo brainpoolP256r1). Generuje klíče relace AES-128 nebo 256 pro výměnu zpráv vzájemného ověřování Sigma-I. Generuje klíče relace AES-128 nebo 256 používané pro zabezpečený kanál zpráv EV2.
· Symetrická vzájemná autentizace založená na AES Stejný protokol jako v produktech MIFARE DESFire EV2. Na základě AES-128 nebo AES-256. Generuje klíče relace AES-128 nebo 256 pro zabezpečený kanál zpráv EV2.
· Obě metody vzájemné autentizace iniciují MIFARE DESFire a NTAG42x kompatibilní EV2 bezpečný kanál pro zasílání zpráv (autentizovaná relace). Šifrování/dešifrování relace AES-128 nebo AES-256 a klíče MAC. Přístupová práva k následným příkazům a files uděleno po úspěšné vzájemné autentizaci v závislosti na konfiguraci. A30 podporuje jeden otevřený zabezpečený kanál pro zasílání zpráv (autentizovaná relace) najednou.
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 6 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
2.3.2 Krypto algoritmy a protokoly
Od bodu aplikace view před migrací z EdgeLock A5000 na EdgeLock A30 je třeba vzít v úvahu následující rozdíly:
· EdgeLock A30 podporuje téměř stejné kryptografické algoritmy a schémata jako A5000. · EdgeLock A30 podporuje různé protokoly ověřování a bezpečného zasílání zpráv.
EdgeLock A30 nepodporuje více než jednu relaci aplikace jako A5000. EdgeLock A30 uděluje přístupová práva k následným příkazům a files po úspěšném symetrickém popř
asymetrické vzájemné ověřování. · EdgeLock A30 podporuje různé zásady pro objekty. · EdgeLock A30 nepodporuje zabezpečenou atestaci a registr konfigurace platformy (PCR) jako A5000.
Srovnání z krypto algoritmů a autentizačního protokolu bod view mezi EdgeLock A5000 a EdgeLock A30 lze nalézt na obrázku 5.
Obrázek 5. Porovnání kryptografických algoritmů a autentizačního protokolu mezi EdgeLock A5000 a EdgeLock A30
2.3.3 Zabezpečení předmětů
Zvažují se následující rozdíly mezi EdgeLock A5000 a EdgeLock A30:
Tabulka 6. Porovnání klíče a certifikačního objektu mezi EdgeLock A5000 a EdgeLock A30
A5000
A30
Celková dostupná volná uživatelská paměť
8 kB
16 kB
Zamykání klíče (symetrické a asymetrické)
Uzamčení na základě zásad.
Smazání trvalých klíčů není podporováno.
Zásady aktualizace klíče definují, zda je možné aktualizovat hodnotu klíče.
Úložiště klíčů AES Key Storage EC
Počet klíčů není pevně daný. Spotřebovává uživatelskou paměť.
Počet klíčů není pevně daný. Spotřebovává uživatelskou paměť.
Až pět trvalých zadání klíče AES. Nespotřebovává uživatelskou paměť.
Až pět trvalých záznamů klíče EC[1]. Spotřebovává uživatelskou paměť.
Zpracování části veřejného klíče EC na páru klíčů Uloženo po vygenerování klíče uvnitř klíče Hodnota veřejného klíče je vrácena, ale
generace.
objekt.
není uloženo uvnitř klíčového objektu A30 (to
optimalizovat spotřebu paměti).
úložiště veřejného klíče EC
Uloženo v paměti jako veřejný klíč a jako Uloženo pouze jako součást certifikátu X509
součástí certifikátu X509.
(FileType.StandardData).
Mazání files není podporováno.
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 7 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Tabulka 6. Porovnání klíče a certifikačního objektu mezi EdgeLock A5000 a EdgeLock A30 …pokračování
A5000
A30
Úložiště certifikátů Sigma-I
Není podporováno, protože A5000 nepodporuje asymetrický ověřovací protokol Sigma-I.
Vyhrazené úložiště certifikátů pro certifikáty Sigma-I.
[1] A30 podporuje až pět trvalých klíčů EC pro různé kryptografické operace vč. Vzájemná autentizace SIGMA-I.Tabulka 7. Údaje files
Celková dostupná volná uživatelská paměť Ukládání nezpracovaných dat Monotónní počítadlo
File zamykání File Přístupová práva
A5000 8 kB binární File délka 1 bajtů
Zamykání založené na zásadách Zásady s právy na vytváření objektů
A30
16 kB
FileType.StandardData
délka 4 bajty FileTyp.Počítadlo
Mazání files není podporováno.
Přístupová práva: FileAR.Read,File AR.Write, FileAR.ReadWrite FileAR. Přeměna
2.3.4 Příkazy
EdgeLock A30 podporuje různé ověřovací příkazy (APDU) jako EdgeLock A5000. Poznámka: Rozhraní API NX MW sss (Secure Sub System), OpenSSL, PKSC11# a knihovny Mbed TLS abstrahují vrstvu APDU. Obrázek 6 poskytuje stručný přehledview příkazů EdgeLock A30 APDU.
Obrázek 6. Konec příkazu EdgeLock A30 APDUview
2.4 Aspekty middlewaru
Tato kapitola poskytuje krátké srovnání mezi EdgeLock A5000 Plug & Trust Middleware a EdgeLock A30 Plug & Trust Middleware a odhadované úsilí o migraci middlewaru.
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 8 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
2.4.1 EdgeLock A5000 Plug & Trust Middleware Obrázek 7 ukazuje zjednodušené znázornění komponent EdgeLock A5000 Plug & Trust Middleware:
Obrázek 7. Blokové schéma Plug & Trust Middleware
· EdgeLock Plug & Trust Middleware je distribuován prostřednictvím různých balíčků: Full Multiplatform Plug & Trust middleware balíček (www.nxp.com/A5000). Plug & Trust Mini Package (GitHub) je podmnožinou middlewaru Plug & Trust pro Linux. Plug & Trust Nano Package (GitHub) je minimalistická verze middlewaru Plug & Trust optimalizovaná pro omezená zařízení. Poskytuje také integraci s OS Zephyr a exampsoubor ověřování Qi 1.3.
· Podporované platformy MCU/MPU po vybalení: MCU: MIMXRT1170-EVK, MIMXRT1060-EVK, FRDM-64F a LPC55S69-EVK MPU: Raspberry Pi a MCIMX8M-EVK
· Nástroj pro zřizování příkazového řádku: ssscli
2.4.2 EdgeLock A30 Plug & Trust Middleware
Obrázek 8 poskytuje stručný přehledview komponent EdgeLock A30 NX Middleware:
Předintegrace
na hlavní
OS a MCU/MPU
Linux®, FreeRTOSTM, Bare-Metal
Vývojová prostředí: Linux, Windows®
Use Case Based Example Kód
ARM® mbedTM
TLS
OpenSSL
PKCS #11
Hmota
Qi 1.3 Auth. Demo
TLS1.3 Cloud Demo
API
Obrázek 8. Blokové schéma NX Middleware
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 9 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
· NX Middleware je distribuován přes GitHub. · Nevyžaduje se žádný vyhrazený balíček Mini a Nano, protože ten je již součástí vydání NX Middleware. · Podporované platformy MCU/MPU ihned po vybalení:
MCU: FRDM-64F a LPC55S69-EVK MPU: Raspberry Pi · Nástroj pro správu příkazového řádku: nxclitool
Poznámka: V současné době lze z GitHubu stáhnout pouze platformu Linux. Verze platforem Windows, FRDM-K64F a LPC55S69-EVK MCU jsou v současné době poskytovány jako balíček .zip a lze je stáhnout z www.nxp.com/A30. Tyto platformy budou přidány do GitHubu v následujících vydáních a poté nahradí balíček zip.
2.4.3 Migrace z EdgeLock A5000 Plug & Trust Middleware a EdgeLock A30 NX Middleware
Obrázek 9 ukazuje architekturu middlewaru EdgeLock A30 NX na vysoké úrovni a poskytuje přesahview odhadovaného úsilí o migraci aplikací. NapřampPři použití jedné z vyšších vrstev, jako jsou zásuvné moduly, je úsilí o migraci aplikací minimální. Opak je pravdou, když aplikace používá nízkoúrovňovou vrstvu zabezpečeného autentizátora APDU. Následující dvě podkapitoly popisují migrační úsilí na platformách MCU (bare metal, freeRTOS, …) a na vestavěných platformách Linux.
Exampsoubory, případy použití a nástroje
Správce relace
SSS API
Zásuvné moduly
(OpenSSL Engine, OpenSSL Provider, PKSC11)
Hostitel
Krypto
(mbed TLS, OpenSSL)
VCOM
NX APDU
Správce přístupu
T=1` nad I2C
A30 Secure Authenticator
Migrační úsilí Velmi nízké Nízké Střední až Vysoké
Obrázek 9. Architektura NX Middleware – odhadované úsilí o migraci
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 10 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
· Session Manager API pro otevření relace. Podporovány jsou následující relace: Asymetrická vzájemná autentizace založená na PKI (Sigma-I-Verifier nebo Sigma-I-Prover) Symetrická vzájemná autentizace založená na AES Poznámka: Obě metody vzájemné autentizace zahajují zabezpečený kanál pro zasílání zpráv kompatibilní s MIFARE DESFire EV2 (ověřená relace).
· SSS API Poskytuje abstrakční API pro EdgeLock A30, OpenSSL a mbedTLS hostitelské krypto. SSS API podporují běžné krypto operace.
· NX APDU Implementuje autentizační příkazy EdgeLock A30 (APDU)
· Access Manager Správa přístupu z více procesů Linuxu k EdgeLock A30. Klientské procesy se připojují přes protokol JRCPv1 k Access Manageru.
T=1` přes komunikační protokol I2C podle Global Platform.
2.4.3.1 Middleware na platformách MCU (holý kov, freeRTOS, …)
NX Middleware poskytuje dvě různé vrstvy kryptografických API pro přístup k zabezpečenému autentizátoru EdgeLock A30, jak je znázorněno na obrázku 10. Kromě toho různé klíče a file řízení je třeba vzít v úvahu.
Obrázek 10. Vrstvy kryptografického API NX Middleware
Rozhraní sss_API jsou nezávislá na hardwaru zabezpečeného autentizátoru a ve srovnání s vrstvou APDU API snižují úsilí o přenos. Více podrobností naleznete v tabulce 8.
Tabulka 8. Migrace middlewaru na platformách MCU
API
EdgeLock A5000
Plug & Trust Middleware
Příkazy rozhraní API Se05x_ (APDU) specifické pro Secure Authenticator
Middleware EdgeLock A30 NX
nx_ API
Rozhraní API pro podsystém zabezpečení sss_ API
sss_ API
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
V závislosti na případu použití je úsilí o přenos střední až vysoké.
Námaha při přenášení je minimální. SSS API jsou funkční API pro abstrahování přístupu k různým typům kryptografických podsystémů.
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 11 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
2.4.3.2 Migrace na vestavěné platformy Linux
Na vestavěných platformách Linux poskytuje NX Middleware kromě rozhraní sss_API a APDU API engine OpenSSL, poskytovatele OpenSSL a zásuvný modul PKSC#11. Migrační úsilí pro vrstvu sss_API a APDU je podobné jako u MCU. Zásuvné moduly vyžadují především výměnu odpovídajících linuxových knihoven a minimální úpravy na aplikační úrovni. Kromě toho rozdílný klíč a file řízení je třeba vzít v úvahu.
Tabulka 9. Migrace middlewaru na vestavěné platformy Linux
Zásuvné moduly
EdgeLock A5000
EdgeLock A30
Plug & Trust Middleware NX Middleware
Příkazy rozhraní API Se05x_ (APDU) specifické pro Secure Authenticator
nx_ API
Rozhraní API pro podsystém zabezpečení sss_ API
sss_ API
Modul OpenSSL Poskytovatel OpenSSL PKCS#11 Access Manager[1]
Plug & Trust OpenSSL engine
Plug & Trust Poskytovatel OpenSSL
Plug & Trust PKCS #11 plug-in
Plug & Trust Access Manager
Modul NX OpenSSL NX Poskytovatel OpenSSL NX PKCS #11 plug-in NX Access Manager
Portování úsilí
V závislosti na případu použití je úsilí o přenos střední až vysoké.
Námaha při přenášení je minimální. SSS API jsou funkční API pro abstrahování přístupu k různým typům kryptografických podsystémů.
Minimální úsilí, jak je abstrahováno enginem OpenSSL.
Minimální úsilí abstrahované poskytovatelem OpenSSL.
Minimální úsilí, jak abstrahuje plugin PKCS #11.
Minimální úsilí abstrahované Access Managerem.
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 12 / 17
Polovodiče NXP
3 Historie revizí
Tabulka 10. Historie revizí
Číslo revize
Datum
AN14559 v.1.1
23. ledna 2025
AN14559 v.1.0
21. ledna 2025
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Popis Správná tabulka 7 Původní verze
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 13 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Právní informace
Definice
Koncept — Stav konceptu na dokumentu označuje, že obsah je stále pod interní revizíview a podléhá formálnímu schválení, které může vést k úpravám nebo doplnění. NXP Semiconductors neposkytuje žádná prohlášení ani záruky ohledně přesnosti nebo úplnosti informací obsažených v pracovní verzi dokumentu a nenese žádnou odpovědnost za důsledky použití takových informací.
Vyloučení odpovědnosti
Omezená záruka a odpovědnost — Informace v tomto dokumentu jsou považovány za přesné a spolehlivé. Společnost NXP Semiconductors však neposkytuje žádná prohlášení ani záruky, vyjádřené nebo předpokládané, pokud jde o přesnost nebo úplnost takových informací, a nenese žádnou odpovědnost za důsledky použití takových informací. NXP Semiconductors nenese žádnou odpovědnost za obsah tohoto dokumentu, pokud je poskytnut informačním zdrojem mimo NXP Semiconductors. Společnost NXP Semiconductors v žádném případě nenese odpovědnost za jakékoli nepřímé, náhodné, trestné, zvláštní nebo následné škody (včetně – bez omezení ušlého zisku, ušlých úspor, přerušení provozu, nákladů souvisejících s odstraněním nebo výměnou jakýchkoli produktů nebo nákladů na přepracování), ať už tyto škody nejsou založeny na protiprávním jednání (včetně nedbalosti), záruce, porušení smlouvy nebo jiné právní teorii. Bez ohledu na jakékoli škody, které by mohly zákazníkovi z jakéhokoli důvodu vzniknout, bude souhrnná a kumulativní odpovědnost společnosti NXP Semiconductors vůči zákazníkovi za produkty popsané v tomto dokumentu omezena v souladu s podmínkami komerčního prodeje NXP Semiconductors.
Právo na změny — NXP Semiconductors si vyhrazuje právo kdykoli a bez upozornění provádět změny informací zveřejněných v tomto dokumentu, včetně, bez omezení, specifikací a popisů produktů. Tento dokument nahrazuje a nahrazuje všechny informace poskytnuté před jeho zveřejněním.
Vhodnost pro použití — Produkty NXP Semiconductors nejsou navrženy, autorizovány nebo zaručeny tak, aby byly vhodné pro použití v systémech nebo zařízeních pro podporu života, život kritických nebo kritických systémech nebo zařízeních, ani v aplikacích, kde lze důvodně očekávat selhání nebo nesprávnou funkci produktu NXP Semiconductors. způsobit zranění, smrt nebo vážné poškození majetku nebo životního prostředí. Společnost NXP Semiconductors a její dodavatelé nepřijímají žádnou odpovědnost za zahrnutí a/nebo použití produktů NXP Semiconductors v takovém zařízení nebo aplikacích, a proto je takové zahrnutí a/nebo použití na vlastní riziko zákazníka.
Aplikace — Zde popsané aplikace pro kterýkoli z těchto produktů slouží pouze pro ilustrativní účely. NXP Semiconductors neposkytuje žádné prohlášení ani záruku, že takové aplikace budou vhodné pro specifikované použití bez dalšího testování nebo úprav. Zákazníci jsou odpovědní za návrh a provoz svých aplikací a produktů využívajících produkty NXP Semiconductors a společnost NXP Semiconductors nepřijímá žádnou odpovědnost za jakoukoli pomoc s aplikacemi nebo návrhem zákaznických produktů. Je výhradní odpovědností zákazníka určit, zda je produkt NXP Semiconductors vhodný a vhodný pro zákazníkovy aplikace a plánované produkty, jakož i pro plánovanou aplikaci a použití zákazníkem (zákazníků) jako třetí strana. Zákazníci by měli poskytnout vhodné konstrukční a provozní záruky, aby minimalizovali rizika spojená s jejich aplikacemi a produkty. NXP Semiconductors nepřijímá žádnou odpovědnost související s jakýmkoli selháním, poškozením, náklady nebo problémem, který je založen na jakékoli slabosti nebo selhání v aplikacích nebo produktech zákazníka nebo v aplikaci nebo použití zákazníkem (zákazníky třetí strany) zákazníka. Zákazník je odpovědný za provedení všech nezbytných testů pro aplikace a produkty zákazníka používající produkty NXP Semiconductors, aby se vyhnul selhání aplikací a produktů nebo aplikace nebo použití zákazníkem (zákazníky třetí strany) zákazníka. NXP nepřijímá v tomto ohledu žádnou odpovědnost.
Podmínky komerčního prodeje — Produkty NXP Semiconductors se prodávají v souladu se všeobecnými podmínkami komerčního prodeje, jak jsou zveřejněny na https://www.nxp.com/profile/podmínkách, není-li v platné písemné individuální smlouvě dohodnuto jinak. V případě uzavření individuální smlouvy platí pouze podmínky příslušné smlouvy. Společnost NXP Semiconductors tímto výslovně nesouhlasí s uplatňováním všeobecných obchodních podmínek zákazníka s ohledem na nákup produktů NXP Semiconductors zákazníkem.
Kontrola vývozu — Tento dokument, stejně jako položky zde popsané, mohou podléhat předpisům o kontrole vývozu. Vývoz může vyžadovat předchozí povolení od příslušných orgánů.
Vhodnost pro použití v produktech nekvalifikovaných pro automobilový průmysl — Pokud tento dokument výslovně neuvádí, že tento konkrétní produkt NXP Semiconductors je kvalifikovaný pro automobilový průmysl, není tento produkt vhodný pro použití v automobilech. Není kvalifikován ani testován v souladu s automobilovým testováním nebo aplikačními požadavky. Společnost NXP Semiconductors nenese žádnou odpovědnost za zahrnutí a/nebo použití jiných než automobilových kvalifikovaných produktů v automobilovém vybavení nebo aplikacích. V případě, že zákazník použije produkt pro návrh a použití v automobilových aplikacích podle automobilových specifikací a norem, zákazník (a) použije produkt bez záruky NXP Semiconductors na produkt pro takové automobilové aplikace, použití a specifikace a ( b) kdykoli zákazník použije produkt pro automobilové aplikace nad rámec specifikací NXP Semiconductors, takové použití bude výhradně na vlastní riziko zákazníka a (c) zákazník plně odškodní společnost NXP Semiconductors za jakoukoli odpovědnost, škody nebo neúspěšné nároky na produkt vyplývající z návrhu a použití zákazníka. produkt pro automobilové aplikace nad rámec standardní záruky NXP Semiconductors a specifikace produktu NXP Semiconductors.
Publikace HTML — Jako laskavost poskytujeme verzi HTML tohoto dokumentu, je-li k dispozici. Definitivní informace jsou obsaženy v příslušném dokumentu ve formátu PDF. Pokud existuje nesrovnalost mezi dokumentem HTML a dokumentem PDF, má prioritu dokument PDF.
Překlady — Neanglická (přeložená) verze dokumentu, včetně právních informací v tomto dokumentu, je pouze orientační. V případě jakéhokoli rozporu mezi přeloženou a anglickou verzí má přednost anglická verze.
Zabezpečení — Zákazník chápe, že všechny produkty NXP mohou být předmětem neidentifikovaných zranitelností nebo mohou podporovat zavedené bezpečnostní standardy nebo specifikace se známými omezeními. Zákazník je odpovědný za návrh a provoz svých aplikací a produktů během jejich životního cyklu, aby se snížil účinek těchto zranitelností na aplikace a produkty zákazníka. Odpovědnost zákazníka se vztahuje také na další otevřené a/nebo proprietární technologie podporované produkty NXP pro použití v zákaznických aplikacích. NXP nenese žádnou odpovědnost za jakoukoli zranitelnost. Zákazník by měl pravidelně kontrolovat aktualizace zabezpečení z NXP a patřičně je sledovat. Zákazník si vybere produkty s bezpečnostními prvky, které nejlépe vyhovují pravidlům, předpisům a standardům zamýšlené aplikace a bude činit konečná rozhodnutí o designu týkající se svých produktů a je výhradně odpovědný za shodu se všemi právními, regulačními a bezpečnostními požadavky týkajícími se jeho produktů, bez ohledu na jakékoli informace nebo podporu, kterou může NXP poskytnout. NXP má tým PSIRT (Product Security Incident Response Team) (dostupný na PSIRT@nxp.com), který řídí vyšetřování, hlášení a uvolňování řešení bezpečnostních zranitelností produktů NXP.
NXP B.V. — NXP B.V. není provozní společností a nedistribuuje ani neprodává produkty.
ochranné známky
Upozornění: Všechny uvedené značky, názvy produktů, názvy služeb a ochranné známky jsou majetkem příslušných vlastníků.
NXP — slovo a logo jsou ochranné známky společnosti NXP BV
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 14 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Tabulky
Tab. 1. Tab. 2. Tab. 3. Tab. 4. Tab. 5. Tab. 6.
Porovnání balení …………………………………..3 Pin porovnání …………………………………………. 4 Supply VoltagPorovnání ………………………….4 Porovnání cílového rozhraní I2C ………………………… 6 Porovnání komunikačního protokolu ……………. 6 Porovnání klíče a certifikačního objektu mezi EdgeLock A5000 a EdgeLock A30 ………………………………………………………………….. 7
Tab. 7. Tab. 8. Tab. 9.
Tab. 10.
Data files ………………………………………………………….. 8 Migrace middlewaru na platformy MCU …….. 11 Migrace middlewaru na vestavěné platformy Linux ………………………………………………………….12 Historie revizí ………………………………………..13
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 15 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Figurky
Obr. 1. Obr.
Obr. 3
Obr. 4
Balíček podpory EdgeLock A30 skončilview …….. 2 Porovnání na vysoké úrovni mezi EdgeLock A5000 a EdgeLock A30 ………………………….. 3 Schéma aplikačního obvodu EdgeLock A5000 s podporou hlubokého vypnutí …………4 Schéma zapojení aplikace EdgeLock A30 s podporou hlubokého vypnutí ……………………. 5
Obr. 5
obr. 6. obr. 7. obr. 8. obr. 9.
Obr. 10
Porovnání kryptografických algoritmů a autentizačního protokolu mezi EdgeLock A5000 a EdgeLock A30 ………………………….. 7 EdgeLock A30 APDU příkaz přesview …….. 8 Blokové schéma Plug & Trust Middleware ………… 9 Blokové schéma NX Middleware …………………….. 9 Architektura NX Middleware – odhadované úsilí o migraci ………………………………………… 10 Vrstvy krypto API NX Middleware ………………..11
AN14559
Poznámka k aplikaci
Veškeré informace uvedené v tomto dokumentu podléhají právnímu vyloučení.
Rev. 1.1 – 23. ledna 2025
© 2025 NXP BV Všechna práva vyhrazena.
Zpětná vazba k dokumentu 16 / 17
Polovodiče NXP
AN14559
Průvodce migrací z EdgeLock A5000 na EdgeLock A30
Obsah
1
2
2.1
2.1.1.1 2.1.1.2 2.2
2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 2.4.2 2.4.3
2.4.3.1
2.4.3.2
O zabezpečeném autentizátoru EdgeLock A30 …………………………………………………. 2 Přechod z EdgeLock EdgeLock A5000 na EdgeLock A30 …………………………….3 Úvahy o hardwarové integraci …………….. 3 Schéma aplikačního obvodu s podporou depp power down ………………………………………………….. 4 Schéma aplikačního obvodu A5000 ………………….4 Schéma aplikačního obvodu A30 …………………………..5 Zvažování protokolu I2C…………………………………………………………… rozhraní protokolu I6C……………………. Aspekty autentizační aplikace ………. 6 Ověřování EdgeLock A30 skončiloview ………….6 Krypto algoritmy a protokoly ………………………… 7 Zabezpečené objekty …………………………………………………7 Příkazy …………………………………………………8 Aspekty middlewaru ………………………….. 8 EdgeLock A5000 Plug & Trust Middleware ……..9 EdgeLock A30 Plug & Trust Middleware ……….. 9 Edge A5000 Migrace z Edge30 Middleware NX Middleware ……………………………………………….10 Middleware na platformách MCU (holý kov, freeRTOS, …) …………………………………………..11 Migrace na vestavěné platformy Linux ……….12 Historie revizí ………………………………………………13 Právní informace …………………………………….14
Uvědomte si prosím, že důležitá upozornění týkající se tohoto dokumentu a zde popsaných produktů byla zahrnuta v části „Právní informace“.
© 2025 NXP BV
Všechna práva vyhrazena.
Pro více informací prosím navštivte: https://www.nxp.com
Zpětná vazba dokumentu
Datum vydání: 23. ledna 2025 Identifikátor dokumentu: AN14559
Dokumenty / zdroje
 |
NXP AN14559 EdgeLock A30 Secure Authenticator [pdfUživatelská příručka A30, AN14559 EdgeLock A30 Secure Authenticator, AN14559, EdgeLock A30 Secure Authenticator, Secure Authenticator, Authenticator |
