<div class="gmail_quote">---------- Forwarded message ----------<br>From: "Randy Bush" <<a href="mailto:randy@psg.com">randy@psg.com</a>><br>Date: 8 Sep 2015 2:29 pm<br>Subject: Re: Cryptech HSM enquiry<br>To: "Thotheolh Tay" <<a href="mailto:twzgerald@gmail.com">twzgerald@gmail.com</a>><br>Cc: <br><br type="attribution">> I noticed that the Novena board was used as the HSM. That means the use of<br>
> ARM and probably Xilinx were used.<br>
><br>
> 1.) May I know how the secret keys are stored ?<br>
><br>
> 2.) I would like to know if inter-bus communications are encrypted and<br>
> signed as well ?<br>
><br>
> 3.) Tamper resistance keystorage can be provided by smartcards or SIM cards<br>
> in your Alpha board model. A JavaCard enabled smartcard may accept certain<br>
> smartcard protocols to process the secret key instead of using a<br>
> power-backed memory chip that is not tamper resistance.<br>
><br>
> The weakness of the Alpha board design in regards to tamper is it needs to<br>
> protect the entire board instead of just a chip and a huge net might be<br>
> less effective and efficient than a protected chip. Thus, the use of<br>
> smartcard(s) in such a place for the master key would be advantageous.<br>
><br>
> The master key can unwrap a subordinate key and pass it to the FPGA or ARM<br>
> chip which you now only need to wrap the two chips and RTC in tamper<br>
> shields and pot. The inter-bus can be left exposed as long as chips are<br>
> using end-to-encryption and signing of bus messages.<br>
><br>
> The exposed physical and logical interfaces must logically be protected at<br>
> least via Diffie-Hellman sessions and even better with the HSM's Root Cert.<br>
><br>
> Things like equipping an attached display and keyboard or scroll wheel must<br>
> also be secured via the display unit having it's own crypto chip and same<br>
> for the scroll wheel and keyboard to ensure end-to-end security.<br>
><br>
> The problem left is secure and trusted bootloading. Not trusting the ARM<br>
> TrustZone or FPGA to do the trusted boot is a wise choice to prevent<br>
> certain backdoors. This is by far the hardest problem which would take<br>
> sometime to solve without really needing to trustvthe secure boot baked<br>
> into chips due to backdoor concerns.<br>
<br>
could you please repost this to <a href="mailto:tech@cryptech.is">tech@cryptech.is</a>?  thanks.<br>
<br>
randy<br>
</div>