At Rambus, we create cutting-edge semiconductor and IP products, spanning memory and interfaces to security, smart sensors and lighting.
Rambus RT-63x 信任根 IP 是完全可编程、符合 FIPS 140-3 标准的硬件安全核心,带有可选的量子安全核心,根据设计可用于数据中心、人工智能/机器学习以及通用半导体应用。它们通过最先进的防篡改和安全技术防御范围广泛的一系列硬件和软件攻击。
随着边缘人工智能和其他需要保护的应用不断演变,设备和系统架构设计师也日益面临一系列安全威胁,包括来自量子计算机的威胁。在各个应用中,一个共同点是需要基于硬件信任根的安全实现。
RT-63x 信任根系列采用自定义 32 位 RISC-V 孤岛式和分层安全协处理器,以及专用安全内存。RT-630 包含多个高性能加密加速器,例如 AES、HMAC、SHA2/3、RSA、ECC 和符合 NIST 标准的随机位生成器。RT-631 添加了 OSCAA SM2/3/4 国密加速器。RT-632 在 RT-630 基础上构建,添加了 ChaCha20 和 Poly1305 加密加速器。RT-634 采用 RT-630 的稳健功能集,并提供带有 CRYSTALS-Kyber 和 CRYSTALS-Dilithium 的量子安全引擎,以及 XMSS 和 LMS 有状态哈希加速,以便防御量子计算机攻击。
RT-63x 产品满足身份管理、(Caliptra) 证明和安全启动等用例,非常适合需要 FIPS 140-3 验证并且安全性十分重要的数据中心和人工智能/机器学习应用。
联系人
产品简介
Security CertificationsRT-600 信任根系列:深植于硬件的新一代安全防护
最新一代的 Rambus RT-600 信任根 IP 提供了许多新功能,旨在支持客户当前和未来的安全需要。这些功能包括量子安全密码学、Caliptra 测量信任根 (RoTM) 模拟、嵌入式物理不可克隆函数 (PUF),以及许多架构改进,例如更大的内存空间和 64 位寻址支持。
信任根工作原理
信任根是用于集成到半导体设备的独立硬件安全协处理器设计,提供用户应用的安全执行、篡改检测和防护以及密钥和安全资产的安全存储和处理。信任根为芯片生产商提供了实现安全性的孤岛式方法;虽然与主处理器位于相同的硅基上,但安全处理核心在物理上是分开的。分层安全方法强制访问加密模块、内存范围、I/O 引脚和其他资源,并确保关键密钥仅可通过硬件获得,而无法通过软件访问。Rambus 信任根支持所有常见主处理器架构,包括 ARM、RISC-V、x86 等。
Rambus 信任根提供真正的多信任根功能,支持多租户部署。每个单独的安全应用都可以分配其自己的唯一密钥,这意味着权限和访问级别彼此独立进行设置。安全应用彼此隔绝,确保实现最佳安全性方法。原始设备制造商可以为在安全处理器中运行的每一个进程确定访问级别和权限。
专用 FPGA 配置
RT-630 在 FPGA 配置中可用,专门处理可编程逻辑的综合。此配置设计为以最优方式(实现最大利用率和最大频率)映射到 FPGA 结构并连接到板载或外部 CPU。此外,该设计还使用额外的 OTP 模拟模型进行了扩展,克服特定 FPGA 系列中缺乏(或限制)真非易失一次性可编程内存的问题。此模块允许以安全方式将安全资产存储在外部闪存中。
安全应用
RT-63x 硬件信任根产品中包含了一系列用于加快开发的标准安全应用(“容器”),包括安全启动、身份管理、HSM 引用等。其中还包含了容器开发工具包 (CSDK),以允许为特定用例开发自定义容器。
Rambus 可以选择向其被许可人提供专用 FIPS 140-3 支持包,以提供 FIPS 140-3 相关的认证文档、FIPS 测试脚本和专用 FIPS 支持。
在当下以及量子计算时代保护数据和设备
量子计算在行业、政府和学术界受到极大热捧,必将在不太遥远的将来成为现实。一旦足够大的量子计算机出现,用于密钥交换和数字签名的传统不对称加密方法将被打破。全世界已经启动了许多计划,开发和部署新的抗量子加密算法,称为后量子密码学 (PQC)。
解决方案产品
卓越的安全性
- 硬件信任根
- 自定义 RISC-V 安全处理器
- 多层安全模型保护核心中的所有组件
- 符合 FIPS 140-3 验证标准的 NIST CAVP 和 CMVP
- 通过 FIPS 140-2 验证标准认证的 NIST CAVP 和 CMVP
- 安全的核心中处理和行业领先的防篡改
- OSCCA 批准的国密 SM2、SM3、SM4 算法支持
- 支持 DICE 和 X.509 的 Caliptra 测量信任根
- TRNG 和 PUF 熵源
- 量子安全引擎 (QSE)
- 生命周期安全管理
- 使用 Rambus CryptoManager 根服务器 (CMRS) 进行安全配置
增强了灵活性
- 第三方应用在可信边界内安全运行,每个应用都有其自己的分配的安全权限
- 完整开发环境允许原始设备制造商和用户轻松开发安全应用(“容器”);提供了标准用例应用容器
- 支持在制造过程中或在现场安全配置密钥和固件
- 在单个安全核心中支持多个信任根实例
安全模型
- 分层权限
- 安全密钥管理策略
- 硬件实施的隔离/访问控制/防护
- 错误管理策略
加密加速器
RT-630:包括 AES(所有模式)、HMAC、SHA-2/3(所有模式)、高达 4096 或 8192 位的 RSA、高达 521 位的 ECC、NIST SP 800-90a/b/c 随机位生成器、LMS 和 XMSS 基于哈希的签名方案以及 SHAKE XOF
RT-631:按照 RT-630 + 国密算法 OSCAA SM2/3/4
RT-632:按照 RT-630 + 使用 ChaCha20/Poly1305 的物联网加密
RT-634:按照 RT-630 + 使用 CRYSTALS-Kyber 和 CRYSTALS-Dilithium 的量子安全引擎
安全模块
- 防止卡顿和超频的金丝雀逻辑
- 安全密钥派生和密钥传输
- 生命周期管理
- 安全测试和调试
- 功能管理
完整文档
- 集成指南
- 参考手册
- 编程指南
RTL 和 FW 包
- 用于综合与模拟的 Verilog RTL
- 标准 EDA 工具流脚本和支持文件
- 验证测试台和测试向量
- 启动加载器和安全 RTOS 以及安全监控器固件
- 用于访问 RT-63x 功能的 HLOS API
SW SDK 包
- SDK 包括开发环境、带有 RISC-V 的调试功能的完整模拟以及 QEMU 上的加密核心
- 带有多个示例和参考代码的一步安装模拟,可帮助客户快速开始其安全应用开发
FIPS 140-3 支持包(可选)
- FIPS 140-3 测试脚本
- FIPS 140-3 相关认证文档
- FIPS 140-3 支持
安全应用
| 安全应用 | 说明 |
|---|---|
| Linux 安全启动 | 在信任根协处理器的保护下,实现 Linux 操作系统的安全启动 |
| Linux 安全 FOTA | 为 Linux 操作系统实现安全的远程固件升级 (FOTA) |
| 安全启动 | 使用信任根协处理器辅助 ASIC 和 FPGA 的安全启动进程 |
| 安全数据存储 | 使用信任根协处理器保护用户凭证或生物特征识别模板 |
| Open SSL 固化 | 通过信任根安全协处理器固化 OpenSSL 加密操作 |
| 参考 HSM | 实现支持 AES、HMAC、SHA256、ECDSA、X.509 证书和安全存储的基本 HSM |
| 唯一 ID 生成器 | 创建信任根 ID 并将其存储在信任根 NVM(非易失内存)中 |
