UNiDが実現するセキュリティライフサイクル管理

ライフサイクルとは、あるオブジェクトの寿命までの状態を定義するものです。デバイスのセキュリティライフサイクルにおける各セキュリティ状態は、その状態におけるセキュリティプロパティを定義します。セキュリティ状態は以下に依存します。

・ソフトウェアのバージョン
・データ測定、ハードウェア構成、デバッグポートの状態などからなるランタイムの状態
・製品のライフサイクルの段階（例：開発、デプロイ、メーカーへの返却、EOLなど）

UNiDでは、上の図に示すセキュリティ・ライフサイクルを、各状態と遷移の最小セットを捉えることを目的として定義しています。UNiDのセキュリティ・ライフサイクルは、Platform Root of Trust（PRoT）のセキュリティ・ライフサイクルのセキュリティ要件に抵触、妥協することはありません。

UNiDの分散型ID技術は、PRoTセキュリティ・ライフサイクルのプロビジョニング・プロセスを改善します。UNiD EDGEが導入されたデバイスでは、プロビジョニングの段階で、従来のマニュアルでのキーインジェクションや証明書管理を必要としません。代わりに、UNiDはプロビジョニング・ロックダウン・フェーズ中に以下のことを処理します。

・ハードウェアセキュア領域での鍵ペア生成
・DPKIネットワークへの署名用公開鍵登録
・デバイス管理システムとのE2Eセキュアチャネル
・デバイス管理システムへのデバイス・インスタンス登録

保護された状態に移行した後、PRoTのライフサイクル管理が開始されます。PRoTおよびNon-PRoTのデバッグプロセスは複雑です。別のブログでご紹介したいと思います。

UNiD EDGEはGitHubで公開しています。深く知りたい方はぜひ遊びに来てください。

注：このブログは10月18日公開のブログ「UNiD Security Lifecycle」の日本語版となります。