Крошечный USB-накопитель SBC оснащен двумя криптографическими чипами

Флэш-память F-Secure с USB-флешкой «USB armory Mk II» с открытой спецификацией SBC работает под управлением Linux на NXP i.MX6 ULZ с двумя крипто-чипами, 16 ГБ eMMC, двумя портами USB Type-C и Bluetooth 5.0.

С тех пор как в 2014 году Inverse Path выпустила ориентированную на безопасность USB-флешку USB Armory , мы не видели ничего подобного до этой недели, когда на Crowd Supply была выпущена успешная версия второго поколения.
Оружейная база Mk II SBC стоимостью $ 149 теперь предлагается охранной компанией F-Secure Foundry, которая приобрела Inverse Path в 2017 году.


USB арсенал Mk II, спереди и сзади

(нажмите на картинку, чтобы увеличить)

USB-накопитель Mk II доступен в бесплатном корпусе до 1 ноября, поставки должны быть произведены до 30 декабря. Также имеется карта microSD за 30 долларов с предустановленным Debian и дочерняя плата отладки за 35 долларов, которая выделяет UART, SPI, I2C, и GPIO.

Как и прежде, устройство может работать как автономный SBC или как периферийное устройство безопасности для подключенного компьютера.
Приложения включают в себя зашифрованное хранилище, брандмауэр, VPN, OpenSSH, биткойн-кошелек, ручное тестирование и многое другое (см. Диаграмму ниже).


USB арсенал Mk II в корпусе (слева) и подключен к шнурку и USB-ключу

(нажмите на картинку, чтобы увеличить)

USB Armor Mk II развивается от 800-МГц процессора NXP i.MX53 на базе Cortex-A8, который уже считался устаревшим SoC в 2014 году, до 900 МГц NXP, Cortex-A7 i.MX6 ULZ .
Эта более дешевая новая версия i.MX6 UL удаляет сенсорный 24-битный параллельный RGB, двойной CAN и параллельный интерфейс камеры, а также двойной контроллер Ethernet 10/100.

Как и прежде, SBC обеспечивает 512 МБ оперативной памяти и слот для карт памяти microSD.
На странице продукта F-Secure упоминается опция 1 ГБ памяти DDR3, но она недоступна в Crowd Supply.

SBC размером 66 x 19 x 8 мм почти такого же размера, что и оригинал, но в него можно втиснуть 16 ГБ eMMC, который можно сделать загрузочным вместо microSD с помощью аппаратного переключателя.
Он также добавляет Bluetooth 5.0 с BLE и BT Mesh и вторым портом USB.
Один из портов USB Type-C - это UFP (Upstream Facing Port), который подключается к компьютеру для подачи питания и обмена данными.
Вторым является порт приемника, который может выступать в качестве хоста или устройства.

Благодаря такой конструкции SBC может «выступать в качестве брандмауэра USB без необходимости в дополнительном оборудовании, и его можно расширить с помощью периферийных устройств USB», - говорит F-Secure.
Кроме того, режим устройства USB-накопителя «упрощает такие сценарии, как управляемое фаззинг USB с одной стороны и интерактивная консоль / управление с другой».


USB armory Mk II Debug Board (слева) и потенциальные приложения

(нажмите на картинку, чтобы увеличить)

Функции подключения включают эмуляцию устройства USB на обоих портах и ​​соединения TCP / IP через эмуляцию CDC Ethernet.
Плата также поддерживает последовательную связь через USB или UART, а также эмуляцию флэш-накопителя через «гаджет большой памяти», говорит F-Secure.

Ранее функции безопасности были в основном ограничены тем, что было доступно в NXP SoC, но теперь есть два новых сопроцессора криптографии и аутентификации.
Защищенные элементы Microchip ATECC608A и NXP AT71CH обеспечивают аппаратное ускорение для криптографии с эллиптической кривой, а также аппаратное хранение ключей.
Обе микросхемы обмениваются данными через I2C и предоставляют высоконадежные монотонные счетчики для внешней проверки атак на понижение версии прошивки и откат.
Чип ATECC608A имеет симметричное шифрование AES-128-GCM.

USB armory Mk II также обеспечивает функции безопасности, полученные из SoC i.MX6 ULZ, включая Arm TrustZone и драйвер Data Co-Processor (DCP) для шифрования и хеширования через интерфейс Crypto API.
SoC также интегрирует версию v4 High Assurance Boot (HABv4), а также Secure энергонезависимое хранилище (SNVS) на основе случайного 256-битного ключа OTPMK для конкретного устройства.

Другие функции безопасности включают генератор случайных чисел (TRNG), включенный через ядро ​​Linux.
Кроме того, в новую флэш-память eMMC добавлена ​​функция Replay Protected Memory Blocks (RPMB), что обеспечивает защищенный от повторов аутентифицированный доступ к разделам разделов флэш-памяти с использованием общего секрета.

Новое радио Bluetooth - модуль u-blox ANNA-B112 - также может повысить безопасность, «улучшая свои приложения безопасности с точки зрения аутентификации, изоляции и ограничения доверия хоста», - говорит F-Secure.
Вы можете заменить встроенное ПО по умолчанию, загруженное в сканер Nordic nRF52832 на базе Cortex-M4 модуля ANNA-B112, с помощью опции «OpenCPU», чтобы снабдить его скандинавским SDK, сеткой Wirepas, ARM Mbed или «произвольной прошивкой пользователя».

Опциональная плата отладки подключается к разъему USB Type-C через режим отладки.
Надстройка размером 57 x 22 x 12 мм отключает UART, SPI, I2C и GPIO для отладки без использования зонда.
UART и GPIO доступны через USB, а SPI и I2C доступны через сквозные отверстия.

USB armory Mk II поставляется со стандартным литьевым корпусом, который обеспечивает доступ к USB-портам, слоту microSD и переключателю выбора загрузки.
Есть также выемка, которая позволяет прикрепить ремешок.

F-Secure предоставляет предварительно скомпилированные образы для Debian 9 Stretch и Arch Linux, а также готовит к выпуску дополнительную поддержку для Android, Ubuntu и FreeBSD.
Схемы и другие открытые аппаратные файлы размещены на веб-сайте F-Secure.

Дополнительная информация

Запас USB Mk II доступен на Crowd Supply до 1 ноября, начиная с 149 долларов США, а поставки должны быть произведены до 30 декабря. Более подробную информацию можно найти на страницах F-Secure Foundry Crowd Supply и на страницах продуктов .