一台得证明自己是谁、或得验证自己的固件没被改过的联网设备，需要一个它能守住的秘密。一个躺在普通微控制器 flash 里的秘密不是它能守住的，因为任何带个调试器、一个 flash 读取器、或一条把内存导出来的路子的人都能把它捞走，而一个联网产品正是那种攻击者常常能弄到手里的设备。

一个硬件信任根，是那颗把那个秘密放在系统其余部分读不到的地方、又用它做密码运算、好让密钥本身永远不用出来的料。就它买下的东西而言，它是一笔小而便宜的添加，而这几年它已经从高安全产品的一个特性，变成一个联网设备越来越被期待带上的底线，常常因为一个客户或一个平台如今点名要它。法规也在往同一个方向推，因为好几个市场关于联网设备安全的规则，如今都期待一台设备保护自己的凭据、证明自己的身份，这把一个一度可选的料变成一个产品根本得带着才能出货的料。

为什么 flash 里的秘密不是秘密

把密钥放在主 MCU 里的问题，是这颗 MCU 从来就不是为藏它而造的。读保护能被关掉、被绕过、或下点功夫被破掉，一份从退回的机器里拉出来的固件镜像能被翻找密钥，一台攻击者拥有的设备给了他们想要多少就有多少的时间去试。一旦一把密钥出去了，每一台共享它的设备都被攻破，这正是那个把一台被破的单机变成一条被克隆的产品线的失败。同样的暴露也适用于一把为图方便在一批设备间共享的对称密钥，它看着没事，直到一台被打开、那把共享的秘密一下子解开其它每一台，所以一个真正的信任根给每台设备它自己的密钥、而不是一把烧进镜像的公共密钥。

一个安全单元这样回答它：把密钥做成一个连主机、连任何握着板子的人原则上都读不到的东西。密钥对在芯片内部生成，私钥那一半永远不跨过边界；当设备得签一条消息或跑一次密钥交换，它把数据递给安全单元，单元在内部做完运算、只返回结果，于是那个秘密干完了活、却从不出现在一条能被截获的总线上。芯片也造得抗物理攻击，带着屏蔽和传感器，谁要是想撬开它或对它打毛刺，就把秘密擦掉，所以把封装撬开也得不到有用的东西。在那一个保证之上，一整套活变得可能，而中心那个正是联网设备为什么需要一个硬件信任根、而不是一个软件秘密：安全启动，设备在跑之前拿一把它信任的密钥核对它固件的每一级；带认证的更新，只有当一个签名证明了来源，它才接受新固件；以及一个服务器能验证的设备身份，于是一张网能把一台真机和一台仿冒或一次伪装分开。安全单元还从出厂就给每台设备它自己的唯一密钥，以一种厂商从不用明文经手的方式注入，这意味着一台设备被破就停在那一台、而不是扩散。这一切都不是关于加密速度，因为主机 MCU 能更快地做大块加密；它是关于密钥住在哪、谁够得到，而信任根给的答案是没人，连设备自己的处理器都不行。注入也是那个保证的一部分，因为密钥能在芯片厂商的安全场所被注入、在那里被认证，于是设备厂商在自己的产线上从不明文经手那个秘密，一个被攻破的工厂也漏不出它从没见过的东西。那条链，从一把生在硅片里的密钥、到一个远端服务器能核的身份，正是一个信任根所交付的全部，也是为什么一个认真的联网设计，把它当成一个地基、而不是一个最后才拴上去的特性。

它使能的东西，说具体了。一台设备能拒绝跑不是它制造者签的固件，这就把一整类篡改和恶意软件挡在门外。它能持有一份证书，让一个云服务在初次接触时就信任它、而不用一个烧进每一台的共享口令。它还能认证一个配件或一个耗材，于是一台打印机、一台医疗设备、或一个电池组，能把一个原厂件和一个克隆件分开，这既是一份业务保护、也是一份安全保护。

那些低成本的认证 IC

对许多联网产品，对的料是一颗小而便宜的认证芯片，花几分钱和一两个引脚就添上一个信任根，干设计需要的那一件安全活、又不变成它自己的一个安全子系统。ATECC608B 提供低成本的设备身份和密钥，一颗加密认证 IC，存密钥、自己跑签名和密钥协商的 ECC 运算、经 I2C 跟主机说话，这就是为什么它出现在大量需要一个真身份和安全启动支持、又不要一个完整安全单元的成本或复杂度的 IoT 设计里。它跟常见的云上线流程干净地配对，这是它成为默认的一半原因。

一颗更老更简单的料覆盖最朴素的那种情况。ATSHA204A-SSHDA-T 做低成本的设备身份认证，用对称密钥的挑战应答、而不是完整的公钥套件，这就够以最低成本证明一台设备或一个配件是真的，在一个小封装里、配一个简单的单线或 I2C 接口。它适合那个只是认证的活，那里更新料更丰富的密钥处理，比这个设计需要的多。

配件和耗材认证是它自己的一类，而一颗料就是正经为它造的。DS28E30X+T 适合配件和耗材的安全认证，一颗基于 ECC、带一个强身份和一段防篡改历史的料，让一个主机在信任或启用之前，核一个墨盒、一根线、或一个替换模块是不是一个被批准的。它是很多让克隆和不安全的件进不了一个倚赖它耗材的系统的那种安静认证背后的芯片。

在需要的是受保护的存储、而不是身份的地方，料又变了。ATAES132A 提供带加密的安全存储，把硬件 AES 和一块存储配在一起，于是一台设备能在一颗和主 MCU 分开的料里，把数据加密、做访问控制地保存，这适合存敏感的配置、校准、或使用数据，哪怕主机被攻破，它也该存活、也该保密。它把一个安全单元和一块安全存储之间的界线弄模糊了，当要保护的资产是数据多过一把签名密钥时就选它。一个记录防篡改测量的记录仪、或一个存一份许可或一个权益的料，都很合它，因为那里的价值，在于让存着的字节既保密、又诚实地对着一个攻击者也许已经够到的主机。

当保证得更高时

在低成本档之上坐着那些认证过的安全单元，给那些威胁要的比一颗认证芯片能许诺的更多的产品。

那些高等级的安全单元，以及怎么备它们

一个高等级的安全单元，是一颗设计、又被独立认证来抵抗严肃的、有资金的攻击的芯片，那种带着一份 Common Criteria 评估、和撑着它的加固设计的料。SE050 是一颗高等级的安全单元，带一大套密码功能、认证过的防护、和一个支付、身份、或工业控制产品要的凭据存储，这就是为什么它出现在一颗朴素认证 IC 过不了应用被要求的那条安全线的地方。它花得更多、对集成要的也更多，凡是一次攻破贵到值得这两样的地方就还回来。它还支持一个安全栈期待的标准接口和小程序，于是它嵌进一个已立起来的信任架构、而不是逼出一个定制的，当产品既要对一个审计员、也要对一个客户负责时这就算数。

有些团队想要那份安全、又不想自己搭那个集成，而那些即插即用的料回答这个。OPTIGA Trust M 提供即插即用的设备安全，一颗预先注入好一份证书、配一个主机库出厂的安全单元，于是一个设计不用变成安全工程师就能添一个信任根，拿一点灵活换一条让一台带凭据的设备快速跑起来的路。它适合一个需要那份保证和那份证书、却想让安全那部分是一个买来的块、而不是一个自己设计的系统的团队。代价是对确切配置少了点掌控，一个铁了心要自己拥有安全栈的团队会拒绝，但对许多产品，那是一个乐意付、好更早出一台带凭据设备的价。

这些料共享一个得围着它规划的特点：它们通常是独家来源的。一个安全单元或一颗认证芯片，很少像一颗逻辑料那样有第二来源，因为它的安全、它的注入、和它的主机软件都是那个厂商专有的，所以一个把一颗建进去的设计，就为一颗后期难换的料背上了一个单一供货点。

这让供货问题成了设计自己的一块、而不是一件事后的事，而认证芯片这种独家料怎么备货，意味着把它当成它本来就是的那种长交期、单厂商的料对待：盯着它的生命周期、对着一次短缺握着缓冲库存、并确认它背后的注入和证书服务会和产品一样长寿。一颗变得买不到的安全料，没法就用一颗相近的换掉，因为密钥和信任都是围着那一颗确切的芯片搭的。

贯穿它们全部的选择，从一颗几分钱的认证器、到一颗认证过的安全单元，由一个攻击者能赚到多少、和产品被要求到什么程度来定，而那颗料的供货，从一开始就和它的安全一起被掂量。把这两样都弄对，是一台能为它一生证明自己的设备、和一台安全到它那颗唯一无可替代的芯片缺货那天为止的设备之间的分别。