Cumplir con los requisitos de la Ley de Resiliencia Cibernética con la raíz de confianza basado en hardware

Muchos dispositivos integrados de la actualidad tienen vulnerabilidades conocidas o credenciales por defecto que los fabricantes a menudo no solucionan rápidamente. La Ley Europea de Ciberresiliencia (CRA) busca mejorar la seguridad de los productos con componentes digitales. La regulación aborda ahora estos problemas imponiendo requisitos obligatorios de ciberseguridad a lo largo de todo el ciclo de vida del producto, desde el diseño y desarrollo hasta el mantenimiento postventa.

Una forma común de cumplir estos requisitos, especialmente los dispositivos integrados e IoT, es aprovechar la Raíz de la Confianza (RoT) basada en hardware. Un RoT basado en hardware es una fuente confiable dentro de cualquier sistema criptográfico que proporciona funciones clave de seguridad como arranque seguro, almacenamiento seguro, operaciones criptográficas y autenticación de dispositivos.

En el contexto de las medidas de seguridad de software, cuando un atacante obtiene privilegios a nivel de núcleo (Ring 0) o de hipervisor (Ring -1), puede acceder a la memoria y eludir protecciones. Sin embargo, el RoT basado en el hardware opera dentro de un límite criptográfico separado, a menudo en un coprocesador diferente o en un entorno de ejecución aislado.

Por lo tanto, aprovechando las características de RoT basado en hardware, los fabricantes pueden atender los requisitos fundamentales de la CRA. Estos incluyen sólidos mecanismos de identidad y autenticación, actualizaciones seguras y gestión de vulnerabilidades, así como la eliminación de datos del sistema. En el siguiente paso, exploraremos la implementación técnica de los requisitos de la CRA a través de la RoT.

Figura 1: Chip de autenticación STSAFA110DFSPL02 de STMicroelectronics y elemento seguro IoT con servicio de verificación de firma mediante arranque seguro y actualización de firmware. (Fuente de la imagen: STMicroelectronics)

Implementación técnica

1. Integridad del sistema mediante arranque seguro y medido

Una de las funciones más críticas de un RoT basado en hardware es establecer un proceso de arranque confiable. Esto significa que el RoT contiene código inmutable que se ejecuta primero cuando el dispositivo se enciende y su función es verificar la autenticidad e integridad de la siguiente etapa del software (cargador de arranque, sistema operativo, etc.) antes de ceder el control.

Esto crea una cadena de confianza desde el hardware hacia arriba. La etapa anterior comprueba criptográficamente cada componente en la secuencia de arranque. En la práctica, el RoT verificará la firma digital del cargador de arranque usando una clave pública integrada, permitiendo que solo se ejecute un firmware autorizado por el fabricante.

En implementaciones más avanzadas, un RoT también puede realizar un arranque medido que registra el hash criptográfico de cada etapa de software para su atestación remota. Esto significa que un sistema externo puede solicitar pruebas exactas de qué versiones de firmware arrancaron en el dispositivo. La CRA no exige dicha certificación, pero complementa la intención de la normativa de permitir que usuarios y organizaciones evalúen la seguridad del producto.

2. Identidad fuerte y autenticación

Un RoT basado en hardware proporciona a cada dispositivo una identidad fuerte en forma de una clave criptográfica única o certificado inyectado en la fabricación. Esta identidad sirve como base para autenticar la legitimidad del dispositivo. Por ejemplo, el chip RoT basado en hardware de Cisco almacena un certificado de Identificador Único de Dispositivo Seguro (SUDI) y una clave privada, que están protegidos por hardware y no están destinados a ser exportados desde el hardware seguro.

Para los dispositivos IoT con recursos limitados donde un Módulo de Plataforma de Confianza (TPM) completo es poco práctico, el estándar TCG DICE (Device Identifier Composition Engine) proporciona un mecanismo ligero de RoT basado en hardware. Une la identidad tanto a los estados de silicio como al software.

Figura 2: Interfaz LPC del Módulo de Plataforma Confiable (TPM) AT97SC3204-U2A1A-20 de Microchip Technology con un acelerador criptográfico capaz de calcular una firma RSA de 2048 bits en 200 ms. (Fuente de la imagen: Microchip Technology)

En el momento de la fabricación, un Secreto Único de Dispositivo (UDS), un valor de 256 bits, se almacena en fusibles o se deriva de un PUF (función física no clonable) y se hace accesible solo para la capa de arranque inmutable.

Para reforzar aún más este modelo, se adopta una implementación basada en PUF para asegurar que las claves raíz nunca se almacenen en memoria no volátil, reduciendo la exposición a ataques físicos de extracción. Estos mecanismos soportan requisitos antisuplantación, autenticación segura y confidencialidad bajo la CRA.

3. Actualizaciones seguras y gestión de vulnerabilidades

El RoT basado en hardware es más que la seguridad inicial del arranque. También sigue siendo fundamental durante el funcionamiento del dispositivo, especialmente para actualizaciones de software. La CRA pone gran énfasis en la gestión de vulnerabilidades y la corrección de parches, exigiendo a los fabricantes que proporcionen mecanismos para distribuir actualizaciones de forma segura y corregir fallos conocidos sin demora. Un RoT permite actualizaciones de firmware autenticadas y seguras verificando la firma digital en los paquetes de actualización.

Por ejemplo, Microchip señala que diseñar productos compatibles con CRA incluye implementar procesos de arranque seguros y garantizar la integridad del firmware, y posteriormente realizar actualizaciones seguras para protegerse frente a amenazas emergentes. El RoT también puede imponer protección anti-rollback para que un atacante no pueda cargar un firmware antiguo una vez que la actualización lo haya solucionado.

Conclusión

La implementación de la Raíz de confianza (Root of Trust) basada en hardware proporciona los cimientos para cumplir con los factores clave que describen la Ley de Resiliencia Cibernética. La RoT permite arranque seguro, identidad única del dispositivo, instalación de actualizaciones autenticadas, protección de claves criptográficas y una plataforma para el mantenimiento de seguridad a largo plazo. En conjunto, estas capacidades apoyan firmemente los requisitos esenciales de ciberseguridad definidos por la CRA.