Confianza de Hardware

Ejecución Confiable

Las claves criptográficas viven dentro del Trusted Firmware-M Secure Processing Environment del secure silicon — nunca en el bus CPU. Un Key Management Unit hardware dedicado aloja claves de sesión y por-contacto. Un acelerador criptográfico hardware ejecuta AES-GCM y SHA en silicio dedicado. En Android, el enforcement StrongBox es por defecto.

TF-M Secure Processing EnvironmentKey Management Unit hardwareAcelerador criptográfico hardwareEnforcement StrongBox (Android)

Custodia de claves en el Secure World

Toda la criptografía se ejecuta dentro de un Trusted Firmware-M Secure Processing Environment — una partición aislada por hardware modelada sobre Arm TrustZone-M. Los pares de claves nunca cruzan la frontera hacia el mundo aplicativo. Ni siquiera el acceso físico al debug puede leer la flash segura. El camino del micrófono MEMS está vinculado en boot: los descriptores se vuelven inmutables, ningún software cargado posteriormente puede re-rutear el audio.

  • Los pares de claves permanecen en la partición segura
  • Camino de audio boot-locked — sin re-routeo por software
  • El acceso al debug no puede leer la flash segura

Key Management Unit hardware

El Key Management Unit es un almacén de claves hardware dedicado dentro del secure silicon. Pre-shared keys, claves de sesión y claves por-contacto viven en ranuras protegidas. El acelerador criptográfico las extrae directamente en sus registros internos — la CPU nunca ve material de clave en plaintext en el bus. Combinado con zeroización de memoria volátil a dos pasadas, los ataques RAM-dump contra sesiones activas son ineficaces.

  • Las claves en plaintext nunca alcanzan el bus CPU
  • Ranuras por-contacto auto-zeroizadas al revocar
  • La memoria con material de clave es limpiada antes de liberación

acelerador criptográfico hardware: ML-KEM + AEAD en hardware

El acelerador acelerador criptográfico hardware ejecuta las primitivas criptográficas pesadas en hardware. Generación de claves ML-KEM-1024 <10ms, cifrado AES-256-GCM >100 Mbps. Adecuado para voz en tiempo real sin comprometer la latencia.

  • Generación de claves/encapsulación/desencapsulación ML-KEM-1024 aceleradas
  • AES-256-GCM a máxima velocidad
  • Tiempo constante para resistencia a ataques de canal lateral

Solicitar informe de auditoría de hardware

Solicitar informe de auditoría de hardwareDocumento de arquitectura de seguridad
ANTI-DEEPFAKE SIEMPRE ACTIVO · LLAMADAS CIFRADAS Y NO CIFRADAS · CERO DATOS TRANSMITIDOS · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 PATENTES SOLICITADAS
ANTI-DEEPFAKE SIEMPRE ACTIVO · LLAMADAS CIFRADAS Y NO CIFRADAS · CERO DATOS TRANSMITIDOS · SOVEREIGN OPERATIONS · POST-QUANTUM ML-KEM-1024 · 3 PATENTES SOLICITADAS