529
微信公众号 | 嵌入式专栏
FreeRTOS 目前的用户群体已经非常大了,但在认证这一块,FreeRTOS 其实相对来说不算多。最近,FreeRTOS 获得了 SESIP 3 级认证,可以说又给FreeRTOS增色添彩了。
关于 SESIP 认证
SESIP:Security Evaluation Standard for IoT Platforms,物联网平台安全评估标准。
目前最新版是V1.2版:https://globalplatform.org/specs-library/SESIP-Methodology/
SESIP™ 认证有五个安全级别,范围从 1 到 5。随着安全级别的提高,安全水平也会增加测试的复杂性和难度系数。
SESIP3 是 IoT 平台(部分)的重要安全级别。它提供的安全级别是要求评估员进行全面的源代码分析、漏洞分析。SESIP3 是白盒(透明)测试,而不是像SESIP2在没有开发人员帮助的情况下执行的黑盒测试。
SESIP2 vs SESIP3 评估范围和深度:SESIP2:涉及更有限的安全评估,侧重于评估目标 (TOE) 安全功能。SESIP3:需要更全面、更深入的安全分析,包括 TOE 的完整功能规范、实施细节和指导文档。
攻击抗性:SESIP2:评估对 Basic 攻击潜力的抵抗力。SESIP3:评估对 Enhanced-Basic 攻击潜力的抵抗力,这是一种更高级别的复杂程度。
开发环境控件:SESIP2:对 TOE 的开发环境要求最低。SESIP3:要求为安全开发环境提供更强大的控制和证据。
配置管理:SESIP2:对配置管理有基本要求。SESIP3:需要更广泛的配置管理实践,包括自动化,以确保 TOE 的完整性。
总之,SESIP3 提供了更严格、更全面、更高级别的安全保证,使其适用于安全性要求更高的 IoT 和嵌入式产品。
FreeRTOS 获得 SESIP 3 级认证
FreeRTOS获得 SESIP 3 级证书认证的组件包含:FreeRTOS Kernel V10.6.1、FreeRTOS+TCP V3.1.0、corePKCS V3.5.0、OTA Updates V3.4.0、Mbed TLS等。
FreeRTOS 认证的范围:正常情况下,与 FreeRTOS 捆绑的所有内容都有 SESIP 认证。尤其对于 IoT 重要的设备,当应用程序用于通信的软件和硬件堆栈而变得更加复杂时建立安全网络。这里简单来说一下获得 SESIP 的优势或好处。
如果我们自己应用程序基于(已经认证的)FreeRTOS组件进行认证,则认证通过的概率更高(如下图):
(FreeRTOS 内核获得认证)
反之,如果基于没有认证的组件基础上,我们进行认证的话,通过的概率很低。比如其中一个组件(FreeRTOS内核)修改了,或者没有认证的情况下(如下图):(修改FreeRTOS 内核,未获得认证)
最后,你认为像 FreeRTOS这种RTOS以及组件,有必要认证吗?
