歐盟PP0117 Protection Profile 應對SoC與MCU安全功能整合與發展趨勢

隨著行動裝置的使用日益普及，針對智慧型手機和平板電腦的惡意軟體也越來越猖獗。特別是銀行木馬，專門用來竊取使用者的銀行憑證與財務資訊。

當前積體電路產業的主要趨勢，是將多種離散解決方案整合進單一晶片中，也就是系統單晶片（SoC）與微控制器（MCU），其中也包含安全功能的整合。例如安全元件（Secure Element）、硬體安全模組（HSM）以及UICC等，都可以被整合進SoC架構中。這樣的整合主要目的是降低系統成本、提升效能、並增加產品附加價值。

整合於SoC中的安全功能，其安全等級必須與傳統的離散元件相同。為了有效因應這類整合解決方案的安全需求，並為產業提供一致且可評估的安全性要求，遂制定了PP-0117：系統單晶片中的安全子系統（3S in SoC）保護要件。

資安統計指出，全球每天約有2,200起網路攻擊事件，平均每39秒就發生一次。在美國，一起資料外洩的平均成本高達944萬美元，全球網路犯罪在2023年估計造成高達8兆美元的損失。

根據ENISA發布的《2022資安威脅報告》，受攻擊最嚴重的領域為公共行政部門與金融產業：這些部門面臨的不僅是技術損失，還包括潛在的負面輿論與公眾信任危機。

從下圖可以清楚看出，與其他產業相比，公共行政部門與金融產業因系統損壞或無法使用、資料檔案損毀，或資料外洩等情況，受到的影響更為嚴重。

安全元件（Secure Element） 是用於數位支付（信用卡、行動支付）以及身份認證／生物辨識（例如護照與身分證）的關鍵技術。因其攸關敏感資料之保護，政府機關與信用卡組織（如2EMVCo）皆規定此類裝置須通過Common Criteria EAL 5+認證，且符合PP0084 -安全IC平台保護要件（含強化套件） (3Eurosmart, 2014) 。至今已有超過250件產品基於此保護要件通過認證。

然而，將安全元件整合進SoC後，除了原有挑戰外，還新增了多項潛在威脅與技術挑戰，例如：預防產品在開機過程中遭惡意干擾，導致系統進入不安全狀態。

保護SoC架構中的外部記憶體（揮發性與非揮發性）所儲存的資料與程式碼，避免被非法存取、竄改，導致機密性與完整性被破壞。防止外部記憶體中所儲存資料與程式碼內容被複製（Cloning），或外部非揮發性／揮發性記憶體本體遭到實體替換。

防止重播攻擊（Replay Attack）操作，例如在安全元件與外部記憶體之間重複傳送寫入、抹除或讀取回應等指令，進而影響外部記憶體中資料的即時性與正確性。

防止未經授權的內容回滾（Rollback）。亦即防止攻擊者在外部記憶體的內容被安全元件更新後，試圖讀取原始內容、進行備份，並於後續將舊資料寫回外部記憶體，以取代最新的安全內容。

對於採用Secure Memory（安全記憶體）的SoC系統架構，必須保護安全記憶體與安全元件之間的介面，避免遭受攻擊者在晶片內部匯流排（interconnection bus）上攔截或阻斷通訊（例如中間人攻擊，Man-in-the-Middle Attack）。否則攻擊者可能在安全服務尚未執行或完成之前，竊取讀取或寫入至安全外部記憶體中的使用者資料與程式碼資料。

目前市場上已有整合安全功能的SoC，但其安全性評估多為混用PP0084或針對個別需求延伸，缺乏一致性的標準與完整的整合保護架構。制定PP0117的挑戰之一，即是明確定義這類整合架構中安全功能的使用與保護機制。

Eurosmart接下這項挑戰，並於其ITSC架構下成立技術工作小組。成員涵蓋半導體廠商、軟體公司、ITSEF（資訊技術安全評估機構）、認證機構與顧問等。儘管國家級認證機構非Eurosmart成員，但仍被邀請參與小組。

此外，也與關注、引用或實際採用此保護要件（Protection Profile；PP）的相關利害關係人建立了聯繫與資訊共享機制：A.其他技術工作小組：如JHAS與ISCI-WG1、B.參考此PP的組織：如FIDO、GlobalPlatform、GSMA、C. ENISA：為配合CSA-EUCC（歐盟雲端安全認證規範），此架構一旦相關法案實施，將成為本保護要件（PP）所對應的認證機制。

成果

PP0117系統單晶片中的安全子系統（3S in SoC）保護要件所涵蓋內容如下：TOE（Target of Evaluation；評估目標） 為「一個作為 SoC 功能區塊的安全子系統（Secure Sub-System；3S），內含處理單元、安全元件、I/O埠與記憶體，能獨立於其他SoC元件，藉由實體與／或邏輯隔離機制，提供一組定義明確的安全功能。TOE可依賴外部記憶體儲存資料與程式碼。」

TOE 可實作為硬體巨集（Hard Macro）、可程式化巨集（PL Macro）等形式。此外，TOE與外部記憶體在不同生命週期階段的互動，也納入考量。團隊致力於制定一套儘可能通用的生命週期模型，並凸顯此架構中新出現的設計面向。很明顯地，新的生命週期需要進一步詳述與說明。

在與ISCI-WG1工作小組合作下，制定了補充性指導文件《生命週期模型（LCM）相關評鑑面向》，更進一步說明了在生命週期不同階段中，應完成並評估的各項要求。

本保護要件（Protection Profile）採用模組化架構設計，包含一組針對任一SoC中安全子系統（Secure Sub-System）所需的基本要求套件，並輔以數個可選套件，以因應特定產業在此架構下所衍生的進階需求：

外部記憶體套件（External Memory packages，包含被動與安全類型、揮發性與非揮發性記憶體）— 涉及儲存在外部記憶體中的資料與程式碼之安全性限制。

載入器套件（Loader Package）— 涉及從外部記憶體載入TOE軟體或複合軟體時的功能限制。
加密套件（Crypto Package）— 用於整合TOE所支援的各種密碼演算法的框架。為因應保護要件通用化的需求，此套件不同於PP0084，不定義特定的實作演算法，而是就已被認可的密碼演算法之使用提供一般性指引。

複合軟體隔離套件（Composite Software Isolation Package）— 提供隔離機制，以便區隔由不同開發者提供的多個軟體套件。

安全問題定義（Security Problem Definition；SPD），涵蓋需保護的資產、威脅、政策與前提假設，是在與JHAS團隊合作的基礎上制定的。

在安全目標（Security Objectives）章節中，針對TOE採用新形式（hardmacro／PL macro）定義了專屬目標。

安全功能需求（Security Functional Requirements；SFRs）的基本套件包含了PP0084的SFRs，但為了使 TOE成為信任根（Root of Trust），額外加入了對唯一識別的要求。

將安全子系統整合進非安全SoC，須將TOE定義為透過實體和／或邏輯隔離機制，與SoC中其他元件隔離地提供其安全服務。

為實現經認證子系統於非安全系統中的整合，開發者需採用新的實作方式，並由ITSEF進行評估──開發者需說明整合應在何種條件下進行，而ITSEF則須驗證整合過程是否遵循該指引，且未有任何安全性上的損害。

安全保證需求（Security Assurance Requirements；SARs）中加入了針對整合流程的專屬修訂項，以供ITSEF驗證整合流程已正確定義並執行，且未影響安全性。本保護要件的評估由SGS執行，並由BSI監督。

PP0117是針對整合型系統資安認證的一大進展。它提供一個統一、彈性的架構，彌補傳統離散元件認證與現代整合解決方案之間的落差，確保在高度互聯的世界中敏感資料獲得強而有力的保護。

華邦電子（Winbond） 提供符合Secure External Memory套件的W75F Secure Memory，支援PP0117 認證，藉由通過EAL 5+的安全快閃記憶體產品，實現SoC架構下可信賴的外部記憶體解決方案。更多資訊請參見，請造訪華邦安全快閃記憶體網頁或直接與華邦聯繫。詳情下載最新硬體資安安全白皮書。