Cómo establecer una base de hardware segura para el cumplimiento de la CRA a largo plazo

La Ley de Ciberresiliencia (CRA) de la Unión Europea (UE) ha hecho que la ciberseguridad pase de ser una idea de última hora a una preocupación arquitectónica fundamental para los productos que contienen elementos digitales. Con la plena aplicación de la normativa a partir de 2027, los promotores deben ser conscientes de sus responsabilidades en virtud de esta legislación. A continuación, pueden seleccionar el hardware de procesamiento adecuado para cumplir estas responsabilidades a lo largo del ciclo de vida de un producto integrado. El hardware adecuado permitirá una arquitectura segura por diseño que admita la gestión continua de vulnerabilidades, por ejemplo, mediante actualizaciones por aire (OTA).

Este artículo ofrece una breve visión general de los requisitos de la CRA y explora la tecnología de enclave seguro como base para aislar los datos sensibles y gestionar una raíz de confianza (RoT) de hardware para garantizar la integridad del dispositivo. A continuación, presenta las unidades de microcontroladores (MCU) y los procesadores de aplicaciones de NXP Semiconductors que pueden servir de base para una solución alineada con CRA y demuestra una aplicación práctica.

Las obligaciones en materia de ciberseguridad están cambiando

En virtud de la CRA, el fabricante asume toda la responsabilidad legal de garantizar el cumplimiento. En resumen, la CRA exige que los fabricantes:

• Protejan los dispositivos contra la manipulación y garanticen la integridad del software desde el primer arranque
• Proporcionen un periodo de soporte de al menos cinco años, o la vida útil prevista del producto si es más corta, con una gestión continua de las vulnerabilidades y actualizaciones periódicas de la seguridad.
• Conserven la disponibilidad de las actualizaciones y la documentación técnica actualizada durante 10 años, o durante un periodo de asistencia más largo.
• Proporcionen una fecha especificada de fin de soporte para los productos en el momento de su lanzamiento al mercado
• Informen las vulnerabilidades de seguridad explotadas activamente al Equipo nacional de respuesta a incidentes de seguridad informática (CSIRT) y a la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en un plazo de 24 horas, con un informe detallado en un plazo de 72 horas y un informe final en un plazo de 14 días.
• Proporcionan certificación de terceros para productos especializados bajo las designaciones "Importante" (Clase I y II) y "Crítico" de la CRA.
• Firman una declaración formal de conformidad (DdC) que permita a los fabricantes utilizar la marca Conformité Européenne (CE) para acceder al mercado de la UE.

En el centro de las prácticas obligatorias de la CRA se encuentra el compromiso de garantizar y mantener la integridad de los dispositivos, empezando por establecer una base de hardware segura para cada producto. Aunque la CRA no define un marco específico, la tecnología de enclave seguro proporciona a los diseñadores una forma fiable de gestionar este compromiso obligatorio.

Cómo la tecnología de enclave seguro soporta la autenticación del firmware

Normalmente contenido dentro de un sistema en chip (SoC) más grande, un enclave seguro (figura 1) es un subsistema de hardware seguro que genera, almacena y gestiona activos de verificación de software (como claves de cifrado) y proporciona un RoT de hardware para el sistema. Al aislar estos recursos del resto del dispositivo, los desarrolladores pueden protegerse contra el acceso no autorizado. A continuación, todo el sistema puede protegerse contra software no autorizado mediante un proceso de arranque seguro.

Figura 1: Un enclave seguro establece un RoT de hardware contra el que cada etapa del proceso de arranque puede ser verificada como auténtica, asegurando la integridad del sistema. (Fuente de la imagen: Brandon Lewis)

El arranque comienza dentro del enclave seguro, donde el RoT valida las firmas en cada etapa del arranque del firmware seguro, verificando que el subsistema seguro no ha sido comprometido. Si hay un desajuste, el proceso de arranque se detiene, ya que el RoT no puede validar la integridad de la secuencia de arranque. Esta es la primera etapa en la protección del sistema principal contra la manipulación.

En cada etapa de arranque posterior, el enclave seguro verifica entonces las firmas utilizando claves públicas ancladas en el RoT del hardware. La verificación garantiza que solo se ejecute el código auténtico y firmado por el fabricante. De este modo, si la verificación falla en cualquier fase, el sistema principal abortará el arranque o funcionará con una funcionalidad limitada, aislando así las amenazas potenciales.

Dado que el cumplimiento de la CRA a largo plazo también requiere actualizaciones periódicas a lo largo del ciclo de vida de un producto, el arranque seguro es esencial para verificar que cada parche es auténtico. Esto es especialmente cierto en el caso de las actualizaciones OTA, en las que las instalaciones suelen ser automáticas. Un enclave seguro proporciona un elemento fundamental en la cadena de confianza del arranque seguro. Así, los desarrolladores se benefician de los sofisticados componentes de hardware que contienen este subsistema.

Una MCU de alto rendimiento que admite la seguridad por diseño

A la hora de crear productos alineados con la CRA, las MCU de la serie MCX N (figura 2) de NXP proporcionan un subsistema dedicado y seguro junto a una arquitectura dual Arm® Cortex®-M33 con una unidad de procesamiento neuronal (NPU) integrada para el procesamiento de IA en el borde. El funcionamiento de bajo consumo de hasta 57 microamperios por megahercio (µA/MHz) permite una larga vida útil en diseños alimentados por batería, con modos adicionales de apagado que reducen el consumo de corriente a tan solo 2 µA.

El subsistema seguro NXP EdgeLock funciona como un enclave seguro. Además de los módulos de detección de fallos y manipulaciones para evitar los exploits de hardware, el subsistema EdgeLock cuenta con varias medidas para mantener la integridad del software, entre ellas:

• Un autentificador de depuración para evitar accesos no autorizados
• Criptografía de clave pública (PKC), con módulos AES-256 y ECC-256 para el cifrado, SHA-512 para el hash criptográfico y un módulo PRINCE para el cifrado por bloques de baja latencia.
• Una función física no clonable (PUF) basada en SRAM para generar un identificador único de dispositivo y derivar claves para soportar un RoT de hardware inmutable

Figura 2: Además del subsistema seguro EdgeLock alineado con CRA, las MCU NXP MCX N94x presentan una amplia gama de interfaces para adaptarse a aplicaciones muy diversas. (Fuente de la imagen: NXP)

Para una protección adicional, las MCU MCX N94x incorporan Arm TrustZone para entornos de ejecución seguros y un reloj en tiempo real (RTC) con pines antimanipulación para proteger los mecanismos de seguridad basados en el tiempo. También están presentes controladores seguros de acceso directo a memoria (DMA), una unidad de protección de memoria (MPU) y una memoria RAM con código de corrección de errores (ECC) para evitar los exploits de memoria. Las MCU MCX N94x ofrecen dos variantes que permiten a los desarrolladores escalar los requisitos de memoria para una aplicación determinada: el MCXN946VDFT integra 1 megabyte (Mbyte) de flash y 352 kilobytes (Kbytes) de SRAM en un encapsulado VFBGA de 184 pines, mientras que el MCXN947VDFT tiene 2 Mbytes de flash y 512 Kbytes de SRAM en un encapsulado HDQFP de 172 pines.

Además de las funciones de seguridad y memoria, las MCU MCX N94x ofrecen E/S digitales y analógicas, interfaces hombre-máquina (HMI) y subsistemas de control de motores. Combinadas con un rango de temperatura de funcionamiento de -40 °C a +125 °C, estas características permiten una gran variedad de diseños de productos conformes con CRA, incluidos equipos de automatización industrial, electrodomésticos inteligentes, herramientas eléctricas y dispositivos médicos.

A la hora de desarrollar aplicaciones con las MCU MCX N94x, la placa de evaluación FRDM-MCXN947 (figura 3) constituye un punto de partida eficaz. Cuenta con amplias opciones de conectividad, incluidos puertos Ethernet y USB Type-C y cabezales de expansión, lo que permite un rápido desarrollo de aplicaciones con herramientas conocidas. NXP también proporciona recursos como su Expansion Board Hub y Application Code Hub para ayudar a los equipos a seleccionar hardware compatible y programar con MCUXpresso.

Figura 3: La placa de evaluación FRDM-MCXN947 permite la creación rápida de prototipos de sistemas compatibles con CRA. (Fuente de la imagen: NXP)

NXP EdgeLock para aplicaciones Linux integradas

NXP también incluye un enclave seguro EdgeLock en sus procesadores de aplicaciones de bajo consumo de la serie i.MX 93 (figura 4). Ofrecen una gama similar de periféricos de alto rendimiento a los MCU MCX N94x, al tiempo que combinan un único núcleo Cortex-M33 con dos núcleos de aplicación Arm Cortex-A55 compatibles con Linux.

Figura 4: Los procesadores de aplicaciones i.MX 93 combinan EdgeLock con un núcleo Cortex-M33 y dos Cortex-A55 para proporcionar una base segura para los sistemas Linux integrados. (Fuente de la imagen: NXP Semiconductors)

Al igual que las MCU MCX N94x, el enclave seguro EdgeLock de los procesadores de aplicaciones i.MX 93 incluye módulos de detección de manipulaciones y criptográficos. Sin embargo, un reloj seguro dedicado (incluido para evitar los exploits basados en el tiempo) y el almacenamiento de claves eFuse también sirven al RoT del hardware. Una vez más, la memoria del sistema más amplia está protegida por ECC RAM y una MPU dentro del subsistema de tiempo real. Tanto el núcleo Cortex-A como el Cortex-M incorporan Arm TrustZone para la partición segura del software, apoyado además por un controlador de dominio de recursos de confianza (TRDC).

Además de producir dispositivos i.MX 93 para rangos de temperatura comerciales, de automoción e industriales, NXP también ofrece opciones de computación escalables para una amplia gama de aplicaciones. Por ejemplo, el MIMX9351DVVXMAB cuenta con un único núcleo Cortex-A55 que funciona hasta a 1.7 gigahercios (GHz) y una NPU para admitir aplicaciones de IA de alto rendimiento en los bordes, como los concentradores domésticos inteligentes. Por el contrario, el MIMX9302DVXDAB ofrece dos núcleos Cortex-A55 que funcionan a 900 MHz y omite la NPU opcional, lo que lo convierte en una solución informática de uso general adecuada para quioscos de información digital y sistemas de seguridad multicámara. Existen otras permutaciones de estos recursos.

Para acelerar el desarrollo con los procesadores de aplicaciones i.MX 93, la tarjeta de evaluación MCIMX93-QSB (figura 5) incorpora varios conectores físicos para la programación, la conexión en red y la ampliación del sistema. Estos incluyen puertos Ethernet y USB Type-C, cabezales de expansión y una ranura M.2 Key-E. La placa está respaldada por el software i.MX y las herramientas de desarrollo.

Figura 5: La placa de evaluación MCIMX93-QSB y el software de apoyo aceleran el desarrollo de aplicaciones i.MX 93. (Fuente de la imagen: NXP Semiconductors)

Para reforzar aún más la seguridad de los dispositivos de acuerdo con los compromisos del periodo de soporte de la CRA, el servicio en la nube EdgeLock 2GO de NXP ofrece a los desarrolladores actualizaciones OTA seguras, firma de código y gestión de certificados y claves durante todo el ciclo de vida de un dispositivo. Al integrarse de forma nativa en los dispositivos protegidos por EdgeLock, completa los cimientos de una estrategia de seguridad integral que respalda el cumplimiento de la CRA a largo plazo.

Conclusión

El CRA de la UE dará forma al desarrollo de productos digitales durante años, pero los desarrolladores necesitan entenderlo ahora para cumplir el plazo. Al diseñar productos alineados con CRA, dispositivos como las MCU MCX N94x y los procesadores de aplicaciones i.MX 93 de NXP, proporcionan una sólida base de seguridad de hardware mediante el enclave seguro EdgeLock y medidas de seguridad de hardware adicionales. Con EdgeLock 2GO, los equipos de desarrollo pueden reforzar aún más su compromiso con el cumplimiento de la CRA a largo plazo y los productos seguros por diseño en este panorama normativo en constante evolución.