Microchip Technology Inc.
安全产品部 产品营销经理 Xavier Bignalet
2021年发布的Qi® 1.3标准在确保提高充电器对消费者的安全性方面发挥了很大作用。
新技术的出现受到了反对意见的阻碍,Qi感应式充电技术颇费时日才被广泛接受。因此,虽然Qi早在2010年就已发布,但又过了五年才占据主导地位。自那时起,无线充电联盟(WPC)对Qi进行了重大改进,但直到2021年初,联盟才增加了一项协议,从而使支持Qi的设备制造商能够验证充电器的身份及其对Qi规范的遵守情况。这项功能可以剔除那些可能损害甚至损毁其充电产品的充电器,因此无疑是Qi 1.3中最重要的新特性。
具体来说,Qi 1.3规范要求充电器制造商必须在无线充电器中嵌入称为“产品单元证书”的公钥基础架构(PKI),以使其能够对智能手机进行身份验证。该关键功能通过嵌入式方式实现,因为它采用最稳健但最基础的方法来提供身份验证,即构成库的安全元件,这些元件与单片机相邻,用于单独存储关键信息,与器件的主处理器隔离(图1)。此功能会极大提高绕过安全机制的难度,并且可以使用自己专用的独立处理能力和存储器,无需任何共享资源。
图1. Qi® 1.3标准要求必须进行安全配置
安全元件并非新鲜事物,它已在物联网、信用卡、支付系统和加密货币交易等领域广泛应用。例如,自2009年以来,现在广泛用于智能支付的近场通信(NFC)一直依赖于安全元件,从2019年起,几乎所有智能手机都集成了安全元件,因此,将这项技术添加到无线充电中并不算为时过早。
工作原理
身份验证过程比较复杂,但此过程是在后台进行的,不需要人为干预且用时不到一秒。手机是接收器,它位于充电器(在规范中被称为发射器)上。Qi 1.3规定必须进行单向身份验证,这意味着发射器必须以加密方式向手机证明其可信且被识别为WPC生态系统的安全成员(图2)。
图2. 通过CryptoAuthLib进行单向身份验证
如果没有经过身份验证,手机可以完全拒绝充电,更典型的情况是将接受的充电功率限制在5W而不是15W,从而导致充电缓慢。由于大多数智能手机同时运行多个应用程序,造成的结果是用户体验不佳,进而会对充电器制造商的声誉产生负面影响。
要实现高效、安全的身份验证,还必须采用安全的生产流程,并结合采用可形成安全存储子系统(SSS)(通常称为安全密钥存储器件或安全元件)的过程。Qi 1.3使用从充电器到手机的单向身份验证,在此期间,充电器必须以加密方式向手机证明其可信。如果身份验证失败,手机有两个选择:它可以将充电功率从最大15W降低到5W,或者拒绝充电器。
如果更深入地研究该过程,手机将要求充电器提供证书和签名,以验证其为具有私钥的WPC认证产品,并签署由手机发出的质询,证明其已获知机密信息且不曾泄露。Qi 1.3标准要求私钥必须由经过认证的SSS存储和保护。椭圆曲线数字签名算法和私钥都必须在同一物理安全边界内,以确保可信的身份验证。
SSS必须根据联合解析库(JIL)漏洞评分系统证明其保护加密密钥的稳健性,该系统于2000年代中期首次推出,用于提高智能卡的效率和安全性,现已成为其他许多需要安全功能的应用的稳健基准。它侧重于评估安全元件的存储强度,以确定其达到的特定JIL级别,JIL从五个方面对性能进行评级:
• 破解算法所需的时长
• 攻击者必须具备的技能水平
• 要实现成功的攻击需要对评估对象(TOE)的了解程度(在此种情况下,TOE是指充电器)
• 获得TOE样片所需的难度,以及需要的样片数
• 一次成功攻击所需的设备类型
在充电器可供销售之前,需要采取其他步骤来保护充电器在生产时所具备的信任级别,目的是消除对私钥的暴露。要构建可信链,所有私钥都必须位于生产场地的硬件安全模块(HSM)中或充电器的SSS内。然后,必须确定这些私钥的产生、存储和构成可信链的方式。这是通过WPC所谓的密钥仪式实现的。完成后,现已通过加密方式建立了可信链,同时不会暴露给外部合约制造商或第三方。结果是,WPC、手机和充电器三者之间相互信任,这意味着WPC可以信任手机,反之亦然。
认证生态系统
由于可信链需要各方的参与,因此认证过程对参与其中的各方来说都是十分艰巨的任务,从单片机制造商到充电器本身的制造商,均是如此。为了解决这一问题,Microchip是率先将这一过程的所有要素结合起来的公司之一,旨在帮助设计人员开发产品,同时无需承担必须依赖多个来源的艰巨任务。Microchip采取的方法是通过可信平台提供公司安全元件的初始配置,以加快产品的上市时间。
Microchip是一家获得WPC许可的制造证书颁发机构,可提供预配置的安全存储子系统解决方案,以降低复杂性并缩短开发时间。此外,通过由WPC根证书颁发机构来处理整个密钥仪式,技术门槛也得到降低。作为完整的认证参考设计,可信平台包括应用MCU、Qi 1.3软件协议栈、具有支持加密库的安全存储子系统,以及面向汽车和消费类应用的配置服务。
可信平台包含一系列预先配置或完全可定制的安全元件。通过利用公司安装在Microchip工厂内的硬件安全模块(HSM),可在每个安全元件的边界内生成凭证。这些器件还配备了硬件和软件开发工具,使原型设计变得轻而易举,而且支持快速跟踪开发。
总结
对于像充电器这样看似简单的设备来说,这一切似乎有点夸张,但市场上充斥着数百种不同的充电器,在Qi 1.3之前,从来没有一种有效的方法可以验证它们是优质产品还是劣质产品,后者不仅可能损坏目标设备(智能手机),还可能引发更糟糕的结果。例如,如果充电器安装在车辆中,不当操作不仅会影响智能手机,还会影响车辆本身的某些部分。这种安全级别由来已久,但它将惠及所有相关方,尤其是消费者。