Zaawansowana Integracja Bezpieczeństwa Sprzętowego (HSM / TPM / TEE)
OP-TEE, TPM 2.0 i Secure Provisioning na STM32MP1. Od Trusted Applications po PKCS#11 i bezpieczną produkcję.
O kursie
Pojęcia HSM, TPM i TEE są często mylone lub używane zamiennie — co prowadzi do błędnych decyzji architektonicznych. To szkolenie precyzyjnie definiuje rolę każdej technologii w kontekście platformy STM32MP1:
| Technologia | Rola w STM32MP1 |
|---|---|
| TEE (OP-TEE) | Zaufane środowisko wykonawcze na głównym CPU (TrustZone). Wysoka wydajność operacji kryptograficznych |
| TPM 2.0 | Zewnętrzny układ — niezmienna kotwica zaufania. Attesacja, ochrona kluczy o niskiej częstotliwości użycia |
| HSM (STM32HSM) | Narzędzie produkcyjne do bezpiecznego transferu sekretów do fabryki (SSP) |
Szkolenie pokazuje, jak łączyć te technologie w model hybrydowy: TPM chroni tożsamość urządzenia i stan bootowania, OP-TEE przejmuje zadania wymagające wydajności (TLS, szyfrowanie), a HSM zabezpiecza proces produkcji.
🎯 Cel Projektowy: “Hardware-Backed Security”
Podczas kursu budujemy kompletne rozwiązanie łączące wszystkie trzy filary. Uczestnicy:
✓ Napiszą własną Trusted Application (TA) kontrolującą zasób sprzętowy niedostępny dla Linuxa
✓ Wykorzystają akcelerator CRYP do szyfrowania AES-GCM z poziomu OP-TEE
✓ Zintegrują zewnętrzny TPM 2.0 przez SPI i skonfigurują stos TCG w Linuxie
✓ Wygenerują klucz SSH w TPM (PKCS#11) — klucz prywatny nigdy nie opuszcza układu
✓ Skonfigurują dm-crypt z kluczem zapieczętowanym w TPM — automatyczne odblokowanie przy starcie
✓ Zapiszą sekrety do RPMB — bezpieczny magazyn odporny na Replay Attack
📅 Program szkolenia
DZIEŃ 1: The TEE – OP-TEE i Trusted Applications
TrustZone na STM32MP1: Jak wykorzystać “bezpieczny świat” do ochrony kluczy i wykonywania wrażliwych operacji.
Moduł 1.1: Architektura Bezpieczeństwa STM32MP1
- Porównanie STM32MP15 vs STM32MP13: rdzenie, Crypto IP, certyfikacja
- Izolacja pamięci (TZC-400) i peryferiów (ETZPC)
- Ograniczenia SYSRAM i mechanizm stronicowania
Moduł 1.2: OP-TEE na STM32MP1
- Architektura: OP-TEE Core + Trusted Applications
- Pseudo-TA vs User TA — różnice i zastosowania
- Optymalizacja rozmiaru TA w kontekście ograniczeń pamięci
- Lab: Kompilacja OP-TEE i analiza logów startowych
Moduł 1.3: Tworzenie Trusted Applications
- Struktura TA i obowiązkowe Entry Points
- API GlobalPlatform i biblioteka
libutee - Lab: “Secure GPIO” — TA kontroluje peryferium niedostępne dla Linuxa
Moduł 1.4: Akceleracja Sprzętowa z OP-TEE
- Integracja peryferiów kryptograficznych z OP-TEE
- Klucze w rejestrach CRYP — izolacja od przestrzeni Linuxa
- Lab: Szyfrowanie w TA z użyciem akceleracji sprzętowej
Moduł 1.5: Secure Storage i RPMB
- Problem trwałego przechowywania sekretów chronionych przed Linuxem
- RPMB (Replay Protected Memory Block) — mechanizm i ochrona przed Replay Attack
- Alternatywy: REE FS — kompromisy bezpieczeństwa
- Lab: Zapis i odczyt sekretów przez RPMB
DZIEŃ 2: The TPM & Production – Zewnętrzna Kotwica i Bezpieczna Produkcja
TPM 2.0 jako certyfikowana pamięć kluczy. PKCS#11 dla aplikacji. Secure Provisioning dla fabryki.
Moduł 2.1: Integracja TPM 2.0 ze STM32MP1
- Interfejsy komunikacji: SPI vs I2C — wydajność i zastosowania
- Konfiguracja Device Tree i jądra Linux
- Lab: Podłączenie modułu TPM i weryfikacja działania
Moduł 2.2: Stos TCG w Linuxie
- Warstwy stosu: Kernel Driver → Resource Manager → TSS (SAPI/ESAPI/FAPI)
- Narzędzia
tpm2-tools— podstawowe operacje - Lab: Odczyt PCR, tworzenie klucza w TPM
Moduł 2.3: PKCS#11 i Integracja z Aplikacjami
- Problem: aplikacje (SSH, OpenVPN) nie znają API TSS
- Rozwiązanie:
tpm2-pkcs11jako warstwa abstrakcji - Lab: Token SSH z kluczem przechowywanym w TPM
Moduł 2.4: TPM vs OP-TEE — Kiedy Co Wybrać?
- Porównanie: przechowywanie kluczy, wydajność, certyfikacja
- Model hybrydowy — TPM dla tożsamości, OP-TEE dla wydajności
- Lab: dm-crypt z kluczem zapieczętowanym w TPM
Moduł 2.5: Secure Secret Provisioning (SSP)
- Problem: jak wgrać klucze w niezaufanej fabryce?
- STM32HSM-V2 i proces Secure Firmware Install (SFI)
- Przejście w stan “Secured Closed” — nieodwracalne zamknięcie JTAG
- Demonstracja: Symulacja procesu SSP
Moduł 2.6: Q&A i Podsumowanie
- Architektura docelowa: TPM + OP-TEE + SSP
- Zgodność z normami: IEC 62443, RODO, Cyber Resilience Act
- Konsultacje własnych projektów
💰 Cennik
FULL INTEGRATION (2 Dni)
Intensywne szkolenie obejmujące wszystkie trzy filary: OP-TEE, TPM 2.0 i Secure Provisioning.
| Zakres | Cały program (Dzień 1 + Dzień 2) |
| Efekt | Działająca TA + integracja TPM + wiedza o SSP |
| Cena | 3 800 PLN netto / os. |
| Min. grupa | 5 osób |
Opcja rozszerzona: Dla zespołów wymagających głębszego zanurzenia w OP-TEE (więcej labów z TA) lub TPM (Measured Boot, Remote Attestation) — możliwość rozszerzenia do 3 dni. Zapytaj o ofertę.
🏆 Dlaczego warto?
| Korzyść | Opis |
|---|---|
| Jasne rozróżnienie | HSM vs TPM vs TEE — koniec z myleniem pojęć i błędnymi decyzjami architektonicznymi |
| Model hybrydowy | Pokazujemy, jak łączyć technologie, nie jak wybierać jedną kosztem drugiej |
| Specyfika STM32MP1 | ETZPC, TZC-400, CRYP, RPMB — nie ogólne rozważania o TrustZone |
| Produkcja | SSP i STM32HSM — wiedza niezbędna do przejścia od prototypu do masowej produkcji |
🛠️ Wymagania
Sprzęt (zapewniony):
- Płytka STM32MP157C-DK2 (z eMMC dla RPMB)
- Moduł X-LINUX-TPM (STPM4RasPI) na SPI
- Karta microSD, kabel USB Type-C
Oprogramowanie:
- Ubuntu 20.04/22.04 LTS
- OpenSTLinux SDK z OP-TEE
tpm2-tools,tpm2-tss,tpm2-pkcs11
Wiedza uczestnika:
- Podstawy Secure Boot i Chain of Trust (lub ukończenie kursu “Secure Boot & Chain of Trust”)
- Podstawy Linux (shell, kompilacja)
- Mile widziane: Znajomość C (dla labów z TA)
🎁 Sprzęt po warsztatach zostaje u uczestników!
Chcesz zarezerwować termin dla swojego zespołu? Skontaktuj się, aby ustalić szczegóły. Zbuduj urządzenie, któremu można zaufać — sprzętowo.
Zainteresowany szkoleniem?
Skontaktuj się, aby omówić szczegóły, dostosować program do potrzeb Twojego zespołu lub umówić termin.
Kontakt ← Wszystkie szkolenia