Secure Element 기반 Chain of Trust 구현으로 OTA 무결성 및 Anti-Rollback 보장

Context

OTA(Over-the-Air) 업데이트 과정에서 서버 침해 또는 네트워크 패킷 변조를 통한 악성 펌웨어 주입 위험 존재. 일반 Flash 메모리에 저장된 검증 키는 물리적 덤프나 권한 상승 공격에 취약하여 하드웨어 수준의 신뢰 기반(Root of Trust) 확보가 필수적인 상황.

Technical Solution

• HSM(Hardware Security Module) 기반 빌드 서버에서 ECDSA 프라이빗 키로 펌웨어 SHA-256 해시를 서명하여 무결성 검증 체계 구축
• 펌웨어 검증 키를 일반 Flash가 아닌 Tamper-resistant 특성의 Secure Element(SE) 내부에 격리 저장하여 키 유출 경로 원천 차단
• Bootloader가 펌웨어 해시와 서명을 SE에 전달하여 내부적으로 ECDSA 검증을 수행하는 하드웨어 가속 구조 설계
• SE 내부의 Monotonic Counter를 활용하여 서명이 유효한 구버전 펌웨어의 재설치를 방지하는 Anti-Rollback 메커니즘 적용
• Staging Area를 통한 2단계 업데이트 전략으로 검증 실패 시 기존 펌웨어로 복구하는 Safe Fallback 구조 구현