在之前我们讲解基于Tricore的安全启动流程,但是是不是这种流程就是安全可靠的呢?不确定,因此对启动流程基于信息安全的TARA分析基和于功能安全的HARA分析必不可少。
首先我们来看看什么叫做TARA分析。
在ISO\SAE 21434 中对于TARA描述为threat analysis and risk assessment,即威胁分析和风险评估。这个使用模块化的方法,用于评估信息安全的风险程度,大致可以按以下步骤总结:运行环境描述 -> 风险资产定义及影响分级 -> 危险场景定义 -> 攻击路径分析 -> 攻击可行性分析 -> 风险等级定义 -> 预防机制。
按照上述步骤,要对安全启动进行分析。首先就要确定安全启动的运行环境:在当前多核MCU架构下,HSM充当一个安全岛,运行时相对独立,此外由于HSM自身特性,其BootRom可以作为安全启动的信任根。除了上述环境,我们还要对整个安全启动的流程进一步梳理,分析每一个启动步骤的信息安全风险(这里不考虑OTA/离线升级等情况)。
安全启动具体可以分为以下几个步骤:
对于每个步骤,我们风险资产定义:
很明显,在安全启动中,有几个最为重要的风险资产:启动安全启动的标志位、待认证程序的签名、完成安全启动后应用程序的首地址。
那么在TARA分析