Help us understand the problem. What is going on with this article?

ESP32のセキュアなプロトタイピング環境を作成した(概要編)

はじめに

独学しているIoTセキュリティについて、集大成の意味合いを込めて現在理想と考えるセキュアなプロトタイピング環境を構築しました。
デバイス、サーバー、クライアントアプリの要素技術の勉強を含めて備忘録として分散して記していきます。

なぜESP32、きっかけ

Wifi,Bluetoothを使える安価なチップというのが大きい。
数多くの作例、Arduinoのサポートによる多くのコード資産、情報量の多さ、メーカードキュメントのわかりやすさ、M5StackなどをはじめとするESP32関連キットの人気もあり、趣味と実用を兼ねて選択した。
多くの個人事例がある中で、ESP32を使ったセキュアな通信を検証してGithubにアップしていくと、世界各国から、製品として採用を検討しており、ネットワークセキュリティについて取り組んでいる開発者から相談を受けることがしばしばあった。

そういう開発者がセキュリティについてゼロから考えて実装していくのは本当にやりたいことから時間を削ることになり、理想的ではないなと思うようになった。
また、デバイスが安全に通信できると適用できる現場がもっと増やせて、デバイスを使った省力化や、ひいては世の中にもっと役に立つ場面が増えるのではないか、そういう思いに支えられながら取り組んだ。

コンセプト

開発者(自分ももちろん)が「やってみよう」と思うプロトタイピングをセキュアにすぐ行えて、トライアンドエラーのファームウェアの更新もしやすいこと。

目指したゴール

プロトタイプ段階から開発クライアント、サーバー、およびデバイス全体を保護
ESP32プラットフォームに対応し、以下の機能を有効にする

 デバイスの起動制御
 セキュアブート、フラッシュ暗号化
 ハードウェアルートオブトラストによるTLS通信暗号化
 OTA機能
 Wifi接続管理

Arduino, ESP-IDFに対応し、ファームウェアをTLS通信で安全に更新可能
AWSおよびAzureへの安全なデバイス接続をサポート

プロジェクト名を決めてみようということで、以下の通りとした。

image.png

アーキテクチャの検討

デバイスにOTAを提供するためには、デバイスが決まったサーバーへアクセスし、OTAの要求をもとにファームウェアをダウンロードする仕掛けを考えた。
ファームウェアにはセキュアブートのコード署名を行ってデバイスに配信するので、サーバー上で署名することも考えたが、秘密鍵の所在がサーバー上というのはまずいだろうと考え、開発者PCで署名を行ってサーバーへ転送、それをデバイスがダウンロードする3階層構造で構築した。
デバイス側を rainbowtype bootloader
サーバーをrainbowtype server
PCアプリをrainbowtype clientと名付けた。
image.png

要求環境

rainbowtype bootloaderは、ESP32(ESP32-WROOM-32,もしくはESP32-WROVER)に対応、
最近流通が始まったECO V3にも対応とし、セキュリティのエラッタを回避できるようにした。
ハードウェアルートオブトラストによるTLS通信暗号化についてはATECC608Aを利用する。

rainbowtype server はインターネット上で固定グローバルIPを持つサーバーで、Dockerで構成して
展開しやすくした。

rainbowtype clientはWindows10対応のアプリケーションで、証明書、秘密鍵の生成、署名、デバイス状態設定を行う。
image.png

各要素の説明

■rainbowtype serverの設定
rainbowtype clientでルート証明書、中間証明書、サーバー証明書を作成して、用意したサーバー上へ転送、Dockerインスタンスとして起動させる。
無料で取得できるGCE(Google Compute Engine)上でも作成することができた。
image.png

■プロビジョニング
1つ1つのESP32にrainbowtype bootloaderを組み込むためにATECC608Aの秘密鍵でデバイス証明書を作成して書き戻し、rainbowtype clientと信頼関係を作る。これをプロビジョニングという。
image.png

■デバイス管理

rainbowtype client から、デバイスの制御を行う。
rainbowtype serverへの疎通がないと起動しないモード、起動を禁止するモードなどが選択できる。
OTAのファームウェアも送り込めるようにする。
image.png

■デバイス側機能
rainbowtype bootloaderは、rainbowtype serverへ通信し、
アクションとステータスを更新する。
アクションでは OTA指示、デバイス証明書の更新指示などができる。
ステータスでは、
1, オフライン起動モード(rainbowtype serverと通信がなくても起動を許可)
2, オンライン起動モード(rainbowtype serverと通信できれば起動を許可)
3, OTA必須モード(rainbowtype serverと通信し、毎度ファームウェアをダウンロードさせる)
4, ブート禁止モード(起動を許可しない)
以上の制御を行う。

また、Wifi設定はアプリケーション領域に平文で書く必要はなく、rainbowtype bootloader が一時的にアクセスポイントモードになりwifi設定画面を提供する機能を実装。
SSIDとパスワードはATECC608Aに暗号化して保存される。
image.png

■PC側クライアントアプリ

1,証明書管理
2,デバイス証明書管理
(OTA,デバイス証明書ローリング)
3,rainbowtype bootloaderの展開
(セキュアブート、フラッシュ暗号化も実施)
ESP32 ECO3から採用された、RSA鍵による強化されたコード署名に対応。
image.png

■クラウド接続
作成したルート証明書、中間証明書をAWS IoT Core, Azure IoT Hubに登録することで、それぞれにスムーズにデバイス接続することが可能。

■アプリケーションテンプレートも作成中。
Arduinoで専用のMbedtlsのライブラリを用意し、わずかなコードでサーバー接続と、保存されたWifi 設定情報を利用可能。
アプリケーション作成のためのWEBテンプレートも準備。
image.png

次回以降、それぞれの実装を整理していく。

kmitsu76
このサイトにおける掲載内容はあくまで私自身の見解であり、私の所属団体・企業における立場、戦略、意見を代表するものではありません。掲載内容は執筆時点の情報をもとにしており、必ずしも最新情報であるとは限りません。 できる限り正確を期すように心がけていますが、間違いがある可能性もあります。 その際はご指摘いただけると幸いです。 記載内容は自己責任のもとで実施ください。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away