Upgrade to Pro — share decks privately, control downloads, hide ads and more …

デバイス内データの安全な保管を考える

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Kentaro Mitsuyasu Kentaro Mitsuyasu
May 07, 2022
Technology
91
0

 デバイス内データの安全な保管を考える

Avatar for Kentaro Mitsuyasu

Kentaro Mitsuyasu

May 07, 2022

More Decks by Kentaro Mitsuyasu

See All by Kentaro Mitsuyasu
セキュアエレメントによるWireGuardのセキュリティ強化
Avatar for Kentaro Mitsuyasu kmwebnet
0
6.5k
Private key protection hardened WireGuard implementation
Avatar for Kentaro Mitsuyasu kmwebnet
0
520
セキュアエレメントとWireGuard
Avatar for Kentaro Mitsuyasu kmwebnet
0
110
IoTデバイスセキュリティ
Avatar for Kentaro Mitsuyasu kmwebnet
0
67
セキュアなホームゲートウェイを作る
Avatar for Kentaro Mitsuyasu kmwebnet
0
51
セキュアエレメントとIoTデバイスセキュリティ
Avatar for Kentaro Mitsuyasu kmwebnet
0
160
simplecodec schematics
Avatar for Kentaro Mitsuyasu kmwebnet
0
81
rainbowtype secure prototyping suite
Avatar for Kentaro Mitsuyasu kmwebnet
0
32
セキュアエレメントとIOTデバイスセキュリティ2
Avatar for Kentaro Mitsuyasu kmwebnet
0
110

Other Decks in Technology

See All in Technology
Databricks Lakebaseを用いたAIエージェント連携
Avatar for Daiki Akimoto NTTD daiki_akimoto_nttd
0
120
Embeddings : Symfony AI en pratique
Avatar for Grégoire Pineau lyrixx
0
450
Podcast配信で広がったアウトプットの輪~70人と音声発信してきた7年間~/outputconf_01
Avatar for FORTE fortegp05
0
200
QA組織のAI戦略とAIテスト設計システムAITASの実践
Avatar for SansanTech sansantech
PRO
1
310
20260326_AIDD事例紹介_ULSC.pdf
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
0
400
制約を設計する - 非決定性との境界線 / Designing constraints
Avatar for soudai sone soudai
PRO
4
910
Cortex Code君、今日から内製化支援担当ね。
Avatar for あべ coco_se
0
190
第26回FA設備技術勉強会 - Claude/Claude_codeでデータ分析 -
Avatar for コロッケそば happysamurai294
0
350
【Oracle Cloud ウェビナー】データ主権はクラウドで守れるのか?NTTデータ様のOracle Alloyで実現するソブリン対応クラウドの最適解
Avatar for oracle4engineer oracle4engineer
PRO
3
130
Bref でサービスを運用している話
Avatar for Sugar Sato sgash708
0
220
OpenClawでPM業務を自動化
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
2
370
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
Avatar for Cybozu cybozuinsideout
PRO
10
77k

Featured

See All Featured
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.3k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.7k
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
11k
Reality Check: Gamification 10 Years Later
Avatar for Sebastian Deterding codingconduct
0
2.1k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
110
Amusing Abliteration
Avatar for ianozsvald ianozsvald
1
150
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
170
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
180
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
790

Transcript

  1. デバイス内データの 安全な保管を考える 光安 健太郎

  2. Agenda • 自己紹介 • 昨今の話のまとめときっかけ • IoTセキュリティの潮流 • How to

    implement it • 暗号化 • 考察とまとめ

  3. 自己紹介 インフラの出身で、サイバートラストというLinuxと電子認証局のビジネスを している会社で働いています。 自宅でいろいろやってきました。 自宅外向けDNS AD構築(Samba4) Nextcloudサーバー運用 自宅Gluster分散ファイルシステム構築(infiniband) Jupyter notebook

    GPU 機械学習サーバー(nvidia Geforce RTX2070) Volumio Airplayサーバー https://qiita.com/kmitsu76 https://github.com/kmwebnet https://www.slideshare.net/KentaroM itsuyasu1/iot-144602008

  4. 昨今の話のまとめときっかけ IoTベンチャーでのいたましい事故 物を作るところから、自宅で趣味からセキュリティを検討しておこう。 そんな難しい話じゃないですよ。クライアント認証 はしてません。デバイス側のリソースが厳しいため、 サーバ証明書のフィンガープリントをハードコード してました(証明書チェーンは見ない)。サーバ証 明書はAWS ACMなんですけど、よりによって1年っ ていう短い設定かつ、自動更新(つづく)

  5. IoTセキュリティの潮流 デバイス側は悪意のあるものに渡った時に秘密鍵を守れない。 それを守る方法として Hardware Root-of-Trustという仕組みで 秘密鍵を守ることが望ましい。 参考資料: IoT開発におけるセキュリティ設計の手引き 独立行政法人情報処理推進機構 https://www.ipa.go.jp/security/iot/iotguide.html

    対応している仕組み: Arm Trustzoneとしてチップ内部に融合 セキュアエレメントとしての専用チップ

  6. How to implement it ▪セキュアエレメント ATECC608購入 Digi-keyにて発注 25個買うと割引! SOIC⇒DIP変換のほうが高い! 索引

    数量 品番 メーカー品番 商品概要 単価 金額 1 25A880AR-ND LCQT-SOIC8-8 SOCKET ADAPTER SOIC TO 8DIP 279.28¥6,982 2 25 ATECC608A- SSHDA-TCT-ND ATECC608A- SSHDA-T IC AUTHENTICATION CHIP 8SOIC 85.08¥2,127 小計 ¥9,109

  7. How to implement it ▪実装 BOMリスト: ESP32-DevKitC 1個 ATECC608 1個

    SOIC⇒DIP変換 1個 GY-BME280 1個 I2Cは100kHzで I2C0をピン21,22(ATECC608) I2C1をピン18,19(GY-BME280)へ接続 ▪開発環境 VSCode+platformio ESP-IDF 3.30

  8. 暗号化 ▪IoTデバイス内に重要情報を持たせる場合、どうしたらいいか。 そもそも持たせない(TLS通信でサーバーから取得) 持たせるしかない場合(ネットワーク接続のためのWIFI SSIDのパスワードなど) 暗号化を検討

  9. 暗号化 ▪暗号の基本:暗号化したいデータを暗号化(Encrypt)して、復号するための 鍵を入手する。その鍵を使ってのみ復号できる。 Encrypt Decrypt Plain Text Cipher Text Plain

    Text

  10. 暗号化 ▪今回、AES-GCMという暗号を使用する。 AESは共通鍵暗号で、ブロック暗号といわれるデータを128ビットのブロックで 暗号化するアルゴリズム。

  11. 暗号化 ▪今回、AES-GCMという暗号を使用する。 GCMはブロック暗号の暗号利用モードの一つ。1ブロック128ビット(16バイト) より大きいデータを暗号化する際にどういう風にブロックを関連させるかを決定

  12. 暗号化 ▪暗号利用モードの選択は結構重要。ECBというモードではブロック間の関連を 考慮せず暗号化するため、データのパターンが露呈する。 よってECBモード以外を使用。 https://ja.wikipedia.org/wiki/%E6%9A%97%E5%8F%B7%E5%88%A9%E7%94%A8%E3%83%A2%E3%83%BC%E3%83%89 元画像 ECBモード ECBモード以外

  13. IoTデバイス 暗号化 ▪デバイス内に、暗号化されたデータと鍵を置く。 鍵が簡単に見れてはまずいので、隠す必要がある。 Cipher Text ノムラテック カギの収納BOX NEW キーストック

    ハンディ

  14. 暗号化 ▪ATECC608の持つAES-GCM機能を使用する。 •AES-128: encrypt/decrypt, galois field multiply for GCM

  15. 考察とまとめ 想定される攻撃: セキュアエレメントを基盤からはがしてのI2Cコマンド実行。 これを防ぐには、物理的な侵入検知の仕掛けを組み合わせて分解されたら 共通鍵を消す仕掛けを入れておく等、考えられる。 サンプルコードは下記にて公開: https://github.com/kmwebnet/ECC608-AES-GCM-test 日本のスタートアップIoTを安全に!