Atmel ATECC508A CryptoAuthentication設(shè)備：安全與性能的完美結(jié)合

在當(dāng)今數(shù)字化時代，數(shù)據(jù)安全和設(shè)備認(rèn)證變得至關(guān)重要。Atmel的ATECC508A CryptoAuthentication設(shè)備為物聯(lián)網(wǎng)、嵌入式系統(tǒng)等領(lǐng)域提供了強大的安全保障。本文將詳細(xì)介紹ATECC508A的特性、應(yīng)用、電氣特性以及兼容性等方面，幫助電子工程師更好地了解和應(yīng)用這款設(shè)備。

文件下載：ATECC508A-MAHDA-T.pdf

一、ATECC508A概述

ATECC508A是Atmel CryptoAuthentication?系列的一員，具備高度安全的基于硬件的密鑰存儲功能。它擁有靈活的命令集，可應(yīng)用于多種場景，如網(wǎng)絡(luò)/IoT節(jié)點保護、防偽、固件或媒體保護、安全數(shù)據(jù)存儲以及用戶密碼驗證等。

1.1 應(yīng)用場景

• 網(wǎng)絡(luò)/IoT節(jié)點保護：認(rèn)證節(jié)點ID，確保消息的完整性，并支持密鑰協(xié)商以創(chuàng)建用于消息加密的會話密鑰。
• 防偽：驗證可移動、可替換或消耗性客戶端的真實性，如系統(tǒng)配件、電子子卡或其他備件，也可用于驗證軟件/固件模塊或存儲元件。
• 保護固件或媒體：在啟動時驗證閃存中存儲的代碼，防止未經(jīng)授權(quán)的修改，對下載的程序文件進行加密廣播，或?qū)Υa鏡像進行唯一加密，使其僅可在單個系統(tǒng)上使用。
• 存儲安全數(shù)據(jù)：存儲供標(biāo)準(zhǔn)微處理器中的加密加速器使用的密鑰，可通過加密/認(rèn)證的讀寫操作實現(xiàn)可編程保護。
• 檢查用戶密碼：驗證用戶輸入的密碼，同時不泄露預(yù)期值，將易記密碼映射到隨機數(shù)，并與遠(yuǎn)程系統(tǒng)安全交換密碼值。

1.2 設(shè)備特性

• 密鑰存儲：包含一個EEPROM陣列，可存儲多達(dá)16個密鑰、證書、雜項讀寫、只讀或秘密數(shù)據(jù)、消耗日志和安全配置。對內(nèi)存各部分的訪問可通過多種方式進行限制，并可鎖定配置以防止更改。
• 安全防護：具備多種防御機制，防止對設(shè)備本身的物理攻擊或?qū)υO(shè)備與系統(tǒng)之間傳輸數(shù)據(jù)的邏輯攻擊。對密鑰使用或生成方式的硬件限制進一步抵御特定類型的攻擊。
• 接口靈活：通過標(biāo)準(zhǔn)I2C接口以高達(dá)1Mb/s的速度訪問設(shè)備，該接口與標(biāo)準(zhǔn)串行EEPROM（I2C）接口規(guī)范兼容。還支持單線路接口（SWI），可減少系統(tǒng)處理器所需的GPIO數(shù)量和/或連接器上的引腳數(shù)量。多個ATECC508A設(shè)備可共享同一總線，節(jié)省處理器GPIO的使用。
• 唯一序列號：每個ATECC508A都帶有一個保證唯一的72位序列號，主機系統(tǒng)或遠(yuǎn)程服務(wù)器可通過驗證序列號的簽名來證明其真實性。
• 隨機數(shù)生成：可生成高質(zhì)量的FIPS隨機數(shù)，并用于設(shè)備的加密協(xié)議中，確保重放攻擊始終失敗。
• 易于集成：寬電源電壓范圍（2.0V至5.5V）和超低睡眠電流（<150nA），多種封裝選項可供選擇。

二、加密操作

ATECC508A基于橢圓曲線密碼學(xué)和ECDSA簽名協(xié)議，實現(xiàn)了完整的非對稱（公鑰/私鑰）密鑰加密簽名解決方案。

2.1 硬件加速

該設(shè)備為NIST標(biāo)準(zhǔn)P256素曲線提供硬件加速，支持從高質(zhì)量私鑰生成到ECDSA簽名生成、ECDH密鑰協(xié)商和ECDSA公鑰簽名驗證的完整密鑰生命周期。硬件加速器執(zhí)行非對稱加密操作的速度比標(biāo)準(zhǔn)微處理器上運行的軟件快10到1000倍，且避免了標(biāo)準(zhǔn)微處理器常見的密鑰暴露風(fēng)險。

2.2 密鑰存儲與驗證

設(shè)備可安全存儲多個私鑰及其關(guān)聯(lián)的公鑰和證書。簽名驗證命令可使用任何存儲的或外部的ECC公鑰。存儲在設(shè)備內(nèi)的公鑰可配置為通過證書鏈進行驗證，以加快后續(xù)設(shè)備認(rèn)證。

2.3 隨機私鑰生成

支持在設(shè)備內(nèi)部生成隨機私鑰，確保私鑰永遠(yuǎn)不會在設(shè)備外部被知曉。生成密鑰時會返回對應(yīng)的公鑰，也可在稍后計算。

2.4 挑戰(zhàn) - 響應(yīng)協(xié)議

支持標(biāo)準(zhǔn)的基于哈希的挑戰(zhàn) - 響應(yīng)協(xié)議，簡化編程。系統(tǒng)向設(shè)備發(fā)送挑戰(zhàn)，設(shè)備將挑戰(zhàn)與密鑰結(jié)合后返回響應(yīng)。設(shè)備使用SHA - 256加密哈希算法，防止總線觀察者推導(dǎo)密鑰值，同時接收方可以通過執(zhí)行相同的計算驗證響應(yīng)的正確性。

2.5 靈活命令集

由于ATECC508A的靈活命令集，基本操作集（如ECDSA簽名、ECDH密鑰協(xié)商和SHA - 256挑戰(zhàn) - 響應(yīng)）可以通過多種方式擴展。CheckMac命令允許設(shè)備在主機系統(tǒng)中安全存儲密鑰，并隱藏正確的響應(yīng)值，只向系統(tǒng)返回是或否的答案。

三、電氣特性

3.1 絕對最大額定值

• 工作溫度范圍：-40°C至85°C
• 存儲溫度范圍：-65°C至150°C
• 最大工作電壓：6.0V
• 直流輸出電流：5mA
• 任何引腳的電壓范圍：-0.5V至（VCC + 0.5V）

3.2 可靠性

3.3 AC參數(shù)

3.3.1 單線路接口

適用于TA = -40°C至+85°C，VCC = +2.0V至+5.5V，CL = 100pF的條件。包括啟動脈沖持續(xù)時間、零傳輸高脈沖、零傳輸?shù)兔}沖、位時間、轉(zhuǎn)向延遲和IO超時等參數(shù)。

3.3.2 I2C接口

適用于推薦的工作范圍TA = -40°C至+85°C，VCC = +2.0V至+5.5V，CL = 1 TTL門和100pF的條件。包括SCK時鐘頻率、SCK高時間、SCK低時間、啟動設(shè)置時間、啟動保持時間、停止設(shè)置時間、數(shù)據(jù)輸入設(shè)置時間、數(shù)據(jù)輸入保持時間、輸入上升時間、輸入下降時間、時鐘低到數(shù)據(jù)輸出有效時間、數(shù)據(jù)輸出保持時間、SMBus超時延遲和總線空閑時間等參數(shù)。

3.4 DC參數(shù)

包括環(huán)境工作溫度、電源電壓、有源電源電流、空閑電源電流、睡眠電流、輸出低電壓、輸出低電流和熱阻等參數(shù)。輸入電壓閾值在睡眠或空閑模式下取決于VCC電平，在活動模式下取決于EEPROM配置區(qū)中ChipMode字節(jié)內(nèi)的TTLenable位狀態(tài)。

四、兼容性

4.1 Atmel ATSHA204

ATECC508A與ATSHA204和ATSHA204A設(shè)備完全兼容。如果配置正確，可在當(dāng)前使用ATSHA204或ATSHA204A的所有情況下使用。由于配置區(qū)更大，在對ATSHA204或ATSHA204A進行個性化設(shè)置時，設(shè)備的個性化程序必須更新。

4.2 Atmel ATECC108

ATECC508A設(shè)計為與ATECC108和ATECC108A設(shè)備完全兼容。如果配置正確，可在當(dāng)前使用ATECC108的所有情況下使用。在許多情況下，ATECC508A也可直接用于ATECC108應(yīng)用而無需更改。與ATECC108相比，ATECC108A具有一些新特性，如入侵檢測能力、新的SHA命令、X.509證書驗證能力、可編程看門狗定時器長度、可編程功率降低、共享隨機數(shù)和密鑰配置驗證以及更大的Slot 8等。

五、訂購信息

ATECC508A提供多種封裝選項，包括8引腳SOIC、8焊盤UDFN和3引腳CONTACT，每種封裝都有不同的接口類型（單線路或I2C）和訂購代碼，可根據(jù)具體需求選擇。

六、總結(jié)

Atmel ATECC508A CryptoAuthentication設(shè)備以其強大的安全特性、靈活的接口和廣泛的應(yīng)用場景，為電子工程師提供了一個可靠的安全解決方案。無論是在物聯(lián)網(wǎng)節(jié)點保護、防偽還是固件安全等方面，ATECC508A都能發(fā)揮重要作用。在實際設(shè)計中，工程師可以根據(jù)具體需求選擇合適的封裝和接口類型，充分利用其特性來提高系統(tǒng)的安全性和可靠性。

你在使用ATECC508A的過程中遇到過哪些問題？或者你對它的哪些特性最感興趣呢？歡迎在評論區(qū)分享你的經(jīng)驗和想法。