Certified Secure Element (SE)

Hva er Certified Secure Element (SE)?

En Certified Secure Element (SE) er en liten, manipulasjonsresistent brikke som lagrer hemmeligheter som private nøkler og utfører kryptografi inne i et låst rom. Sertifisert betyr at brikken har bestått sikkerhetstesting fra en tredjepart. Tenk på det som et hvelv med egen hjerne og en svært streng vakt.

Hvordan Certified Secure Element (SE) fungerer

Kort historie. Du vil signere en kryptotransaksjon fra telefonen eller en maskinvarebasert lommebok. Hovedenheten ber brikken om å signere, men Certified Secure Element (SE) beholder den private nøkkelen inne i seg og returnerer bare en signatur hvis kontrollene godkjennes.

1. Start: Vertsenheten sender en signeringsforespørsel pluss transaksjonsdata til SE.
2. Verifiser: SE sjekker en PIN eller policy, og kan bekrefte på en skjerm eller knapp.
3. Utled: Nøkler blir utledet og holdt internt, ofte via logikk lik BIP32, og forlater aldri brikken.
4. Signer: SE beregner signaturen internt ved hjelp av maskinvarekryptomotorer av høy kvalitet og beskyttelse mot sidekanalangrep.
5. Returner: Bare signaturen sendes tilbake til vertsenheten. Den private nøkkelen forblir låst i hvelvet, ja, det er så enkelt.

Hvis noe virker mistenkelig, nekter SE. Gjentatte feil kan utløse forsinkelser eller utestengelse.

Hvorfor Certified Secure Element (SE) er viktig

Dette gjelder fordi nøkler er penger. Skadelig programvare elsker nøkler. En Certified Secure Element (SE) reduserer sannsynligheten for at de lekker.

• Fordel: Sterkere beskyttelse for private nøkler, selv om telefonen eller laptopen blir infisert.
• Perspektiv: Kryptolommebøker bruker SE for å underbygge tillit gjennom testing og revisjoner.
• Relevans: Du vil finne SE i maskinvarebaserte lommebøker, telefoner med kontaktløs betaling og til og med pass som bekrefter identiteten din.

Nøkkeltrekk ved Certified Secure Element (SE)

Hva som gjør det spesielt:

• Sertifisering: Uavhengige laboratorier tester mot navngitte trusler og publiserer rapporter eller oppføringer.
• Isolasjon: Hemmeligheter og kryptografi kjører inne i brikken, ikke i systemets minne.
• Motstand: Beskytter mot fysisk sondering, feilinnsprøytning og sidekanalangrep.
• Entropi: Maskinvarebaserte tilfeldighetsgeneratorer gir nøklene sterk tilfeldig grunnlag.
• Attestasjon: Noen SE kan bevise at de er ekte og kjører godkjent firmware.
• Begrensninger: Forsøk med PIN og innførte forsinkelser gjør brute force-forsøk vanskeligere.

Varianter

Forskjellige varianter du kan møte:

• eSE: En innebygd SE loddet inne i telefoner og bærbare enheter for betalinger og nøkler.
• UICC: SE i SIM-kortformat brukt av operatører, også for eSIM.
• MicroSD: SE pakket som et minnekort for spesialiserte enheter.
• TPM: Et Trusted Platform Module for PCer, samme idé men laget for oppstart og diskk­nøkler.
• TEE: Et Trusted Execution Environment inne i hovedbrikken, nyttig men ikke samme isolasjon som en separat SE.
• EMVCo: Sikkerhetsvurderinger for betaling, se EMVCo security.
• YubiKey: Nøkler med design basert på SE for 2FA og PGP.

Eksempel

Du trykker bekreft på en maskinvarebasert lommebok og Certified Secure Element (SE) signerer transaksjonen inne i brikken, og sender bare signaturen til laptopen din for å sende videre.

Fakta

Den samme klassen med sikre brikker i kort som brukes for kontaktløs betaling sitter også i mange maskinvarelommebøker, og e-passet ditt har sannsynligvis en også, Rolex møter Reddit-tråder.

Oppsummering

Kort versjon: en Certified Secure Element (SE) er et låst hvelv for nøkler som beviser at det er testet, slik at du kan trykke send med mindre bekymring.