ARM TrustZone
¿Qué es ARM TrustZone?
ARM TrustZoneExtension de seguridad hardware en CPUs ARM que parte el SoC en Mundo Seguro y Mundo Normal, ofreciendo un TEE para claves, DRM y datos biometricos.
ARM TrustZone es una arquitectura de seguridad de sistema introducida en ARMv6 (TrustZone-A para Cortex-A y TrustZone-M para Cortex-M). El SoC se divide en dos mundos -Seguro y No Seguro- senalizados por el bit NS; CPU, controlador de memoria, fabrica de buses y perifericos son conscientes de esa particion. El Mundo Seguro ejecuta un pequeno OS de confianza (OP-TEE, Qualcomm QSEE, Samsung TEEgris, Trustonic Kinibi) que expone Trusted Applications mediante llamadas SMC (API TEE de GlobalPlatform). TrustZone aloja el Android Keystore, flujos equivalentes a Secure Enclave en iOS, Widevine L1 DRM, comparadores de huella, fTPM y criptografia de pagos moviles. Ataques recientes como CLKSCREW o degradaciones en TA de fabricantes muestran que el codigo del Mundo Seguro tambien requiere auditoria rigurosa.
● Ejemplos
- 01
Las credenciales ligadas al Keystore de Android se sellan dentro de TrustZone.
- 02
La decodificacion Widevine L1 se ejecuta en una Trusted Application de TrustZone.
● Preguntas frecuentes
¿Qué es ARM TrustZone?
Extension de seguridad hardware en CPUs ARM que parte el SoC en Mundo Seguro y Mundo Normal, ofreciendo un TEE para claves, DRM y datos biometricos. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa ARM TrustZone?
Extension de seguridad hardware en CPUs ARM que parte el SoC en Mundo Seguro y Mundo Normal, ofreciendo un TEE para claves, DRM y datos biometricos.
¿Cómo funciona ARM TrustZone?
ARM TrustZone es una arquitectura de seguridad de sistema introducida en ARMv6 (TrustZone-A para Cortex-A y TrustZone-M para Cortex-M). El SoC se divide en dos mundos -Seguro y No Seguro- senalizados por el bit NS; CPU, controlador de memoria, fabrica de buses y perifericos son conscientes de esa particion. El Mundo Seguro ejecuta un pequeno OS de confianza (OP-TEE, Qualcomm QSEE, Samsung TEEgris, Trustonic Kinibi) que expone Trusted Applications mediante llamadas SMC (API TEE de GlobalPlatform). TrustZone aloja el Android Keystore, flujos equivalentes a Secure Enclave en iOS, Widevine L1 DRM, comparadores de huella, fTPM y criptografia de pagos moviles. Ataques recientes como CLKSCREW o degradaciones en TA de fabricantes muestran que el codigo del Mundo Seguro tambien requiere auditoria rigurosa.
¿Cómo defenderse de ARM TrustZone?
Las defensas contra ARM TrustZone combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ARM TrustZone?
Nombres alternativos comunes: TrustZone, TEE ARM.
● Términos relacionados
- cloud-security№ 1177
Entorno de Ejecución Confiable (TEE)
Contexto de ejecución seguro y aislado dentro del procesador donde el código y los datos están protegidos en confidencialidad e integridad, incluso frente al SO y al hipervisor.
- cryptography№ 546
Intel SGX
Intel Software Guard Extensions, conjunto de instrucciones de CPU que crea enclaves de memoria cifrada para proteger codigo y datos frente a un SO o hipervisor comprometido.
- cryptography№ 044
AMD SEV / SEV-SNP
Tecnologia AMD EPYC que cifra y protege la integridad de la memoria de cada maquina virtual, aislando a los huespedes de un hipervisor malicioso o comprometido.
- cryptography№ 679
Microsoft Pluton
Procesador de seguridad disenado por Microsoft e integrado en el die de la CPU que implementa TPM 2.0 firmware, aislamiento de claves y atestacion de identidad para Windows 11.
- cryptography№ 460
Atestacion hardware
Protocolo criptografico por el que un dispositivo demuestra su identidad y mediciones de software a un verificador remoto con una clave anclada en hardware resistente.
- cryptography№ 981
Arranque seguro (Secure Boot)
Funcion UEFI que verifica la firma criptografica de cada componente del arranque, rechazando ejecutar bootloaders, kernels o drivers que no esten firmados por una autoridad confiable.