RU EN
contact_supportСвязаться с нами

Безопасность embedded-устройств в 2025: Hardware Root of Trust, secure boot и криптография в IoT

  • Главная
  • Блог
  • Безопасность embedded-устройств в 2025: Hardware Root of Trust, secure boot и криптография в IoT
Безопасность embedded-устройств в 2025: Hardware Root of Trust, secure boot и криптография в IoT

Ещё несколько лет назад безопасность embedded-устройств воспринималась как «дополнительная опция». В 2025 году это обязательное требование, без которого невозможно вывести продукт на рынок — особенно в промышленном IoT, медицине, энергетике и умной инфраструктуре.

Современные атаки направлены не только на облака, но и непосредственно на устройство: прошивку, цепочку обновлений, производственные ключи. Поэтому акцент смещается от чисто программных решений к hardware-led security, где доверие начинается с кремния.

Почему ПО-защиты больше недостаточно

Классические уязвимости embedded-систем:

  • подмена прошивки;

  • клонирование устройств;

  • извлечение ключей из Flash;

  • атаки через OTA-обновления.

Если ключи хранятся в памяти MCU, а загрузчик не защищён, любая криптография теряет смысл. Именно здесь появляется концепция Hardware Root of Trust.

Hardware Root of Trust: доверие начинается с железа

Hardware Root of Trust (HRoT) — это минимальный доверенный компонент системы, который:

  • хранит криптографические ключи,

  • проверяет целостность загрузки,

  • обеспечивает уникальную идентичность устройства.

HRoT может быть реализован:

  • внутри MCU (secure enclave, TrustZone-M);

  • во внешнем защищённом чипе;

  • в специализированном HSM.

Ключевая идея: секреты никогда не покидают защищённое аппаратное окружение.

Secure Boot: фундамент защищённой системы

Secure boot — это цепочка доверия:

  1. аппаратный загрузчик (ROM);

  2. проверка подписи bootloader;

  3. проверка подписи прошивки;

  4. запуск только доверенного кода.

В 2025 году secure boot — не «галочка», а:

  • обязательное требование для сертификации;

  • защита от модифицированных прошивок;

  • основа безопасного OTA.

Важно: secure boot должен быть неотключаемым после запуска серийного производства.

TPM, ATECC, HSM: что выбрать?

TPM (Trusted Platform Module)

  • аппаратное хранилище ключей;

  • поддержка PKI;

  • часто используется в промышленности.

ATECC (Microchip)

  • компактные secure elements;

  • идеально подходят для IoT;

  • простая интеграция с MCU.

HSM (Hardware Security Module)

  • используется в шлюзах и серверной части;

  • управление ключами и сертификатами;

  • защита цепочки поставок.

К списку статей