确定在嵌入式设计中增强隐私的要求

随着联网设备变得越来越普遍，它们正在加剧隐私风险。幸运的是，现在有许多现成的芯片和服务可用于帮助设计抵御入侵并防止未经授权访问私人数据。关键在于确定需要缓解的特定威胁。

广义地说，隐私需要在未经信息所有者授权的情况下保持指定信息不可访问。隐私涉及安全；如果不保证信息的安全，信息就不能保密。但它们不是一回事。信息安全还涉及防止恶意更改或破坏。从这个意义上说，信息可以在不保密的情况下保持安全。

将信息保密的原因有很多，其中最主要的原因之一是世界各地的许多政府法规和要求，以维护与个人相关的信息的隐私，称为个人身份信息 (PII)。构成 PII 的大部分内容是显而易见的——诸如一个人的姓名、地址、帐号、位置、健康状况、图像和活动等都是大多数人认为值得隐私的 PII。

但其他类型的可能需要保密的信息显然不那么私密，因为这些信息本身并不能识别个人身份。然而，与第二条信息配对后，第一条信息可能会变得可识别，因此需要隐私。例如，连接的恒温器的温度设置可能看起来不需要隐私保护。某处恒温器设置为 55 度。所以呢？然而，将该设置与有关恒温器当前位置的信息配对，它突然变得个人化了。知道某个特定房屋的恒温器设置为 55 度的人可能会让他们推断出业主正在度假并且房屋相对安全，不会被盗窃。

在电子设备中，可能需要保持安全的信息或数据是大量的。静态数据，即内存或存储中的数据，以及通过网络或沿着电线和电路传输的运动数据，都需要保护。如果该保护涉及加密，它通常会这样做，那么加密密钥也必须受到保护。除了存在或移动的个人数据和密钥之外，设计人员可能需要确保系统软件和固件不会被篡改，以免“坏人”改变系统行为，使其泄露本应保密的信息。

还有大量且不断增长的方式可以损害电子数据的安全性。远程攻击者可以窃听网络通信。“中间人”可以拦截传输中的消息并伪装成预期的接收者，在合法方之间传递消息以隐藏中断。远程攻击者还可以发送触发系统弱点的消息，在配置或无线更新期间插入恶意软件，或利用其他代码漏洞。

如果攻击者可以物理访问，甚至只是接近系统，那么额外的攻击途径就会打开，包括侵入式和非侵入式。对信号总线的探测可以揭示私人信息，因为它流经系统。监控电源线或 EMI 辐射可以提供允许恢复加密密钥的信息。通过物理访问也可以更改甚至替换代码存储设备的内容，剥离封装以暴露裸片以进行探测和分析也是可能的。

对数据安全性的物理访问攻击也可能在部署设备之后发生。例如，不良行为者可以在制造和组装过程中复制加密密钥，甚至克隆整个系统。然后，设备的克隆可以在系统中运行，就好像它属于那里一样，通过“内部”活动绕过几乎所有形式的安全措施。一旦设备退役并被丢弃，有人可以在闲暇时获取它并提取信息。

没有一种方法可以提供针对可能的无数类型攻击的安全性，并且实施所有可能的安全方法可能非常昂贵。此外，攻击机会和风险因应用程序而异。因此，开发人员必须仔细选择他们将实施的方法。开始的地方是在开始详细设计之前，通过创建威胁模型。该模型不仅应考虑设备本身，还应考虑与其相连的系统。它还应该检查设备正常操作设置的环境，以及整个生命周期。

在开发威胁模型时，开发人员应该采取几个步骤：

确定他们需要保护的资产（数据）。出于隐私考虑，这将包括任何存在或通过设备移动的 PII。如果使用，它还必须包括加密密钥，并且可能需要包括系统固件、身份代码、消息元数据等。

识别这些资产可能遭受的攻击类型，估计它们的可能性，并评估成功攻击的影响。确保包括设备的整个生命周期，包括制造、部署和处置。这将有助于确定哪些威胁严重到需要缓解。

根据设计时间、性能和物料清单确定所需的对策及其实施成本。

由此开发的威胁模型将有助于指导保护数据隐私所需的硬件和软件设计属性。幸运的是，半导体行业一直在开发大量设备和服务，以应对大多数威胁，并为开发人员确定应用正确对策提供支持。