Secure Home gateway with Raspberry pi and ESP32

1. セキュアな
ホームゲートウェイを作る
光安 健太郎

2. 自己紹介
インフラの出身で、サイバートラストというLinuxと電子認証局のビジネスを
している会社で働いています。
自宅でいろいろやってきました。
自宅外向けDNS
AD構築(Samba4)
Nextcloudサーバー運用
自宅Gluster分散ファイルシステム構築（infiniband）
Jupyter notebook GPU 機械学習サーバー（nvidia Geforce RTX2070）
Volumio Airplayサーバー
https://qiita.com/kmitsu76
https://github.com/kmwebnet
https://www.slideshare.net/KentaroM
itsuyasu1/iot-144602008

3. How to implement it
■以前に購入した
セキュアエレメント ATECC608Aを使用
Digi-keyにて発注
25個買うと割引！
SOIC⇒DIP変換のほうが高い！
索引 数量 品番 メーカー品番 商品概要 単価 金額
1 25A880AR-ND LCQT-SOIC8-8
SOCKET ADAPTER SOIC
TO 8DIP 279.28¥6,982
2 25
ATECC608A-
SSHDA-TCT-ND
ATECC608A-
SSHDA-T
IC AUTHENTICATION
CHIP 8SOIC 85.08¥2,127
小計 ¥9,109

4. アジェンダ
• IoTデバイスのデザイン
• サーバー側の実装
• プロビジョニング
• 証明書更新（キーローリング）
• OTA

5. IoTデバイスのデザイン
■ホームIoTゲートウェイの作成
機能：
• BME280による気温、湿度、気圧の測定
• 赤外線LEDによるリモートコントロール
• ボタンによるプッシュ動作送信
• MQTTメッセージによるLED点灯
• Wifiプロビジョニングモード
• OTA機能搭載
• デバイス証明書ローリング対応
仕様：
• USB5V電源で動作
• MQTTSにてMosquittoへ接続

6. ネットワーク全体図
VPSサーバー＋
ドメイン取得
ngrok1.7を使い
MQTTS、HTTPS
トンネリング

7. ハードウェア実装
■Kicad5.1.2にて設計、elecrowへ発注
ATECC608A以外はほとんど秋月電子

8. 動作フローチャート
MQTT
イベントハンドラ
GPIOボタン
イベントハンドラ
Wifi接続
Wifiプロビジョニング開始
ATECC608AへWifi SSID,Pass書き込み
サーバー接続、
MQTTイベントハンドラ起動
再起動リモコン（RMT）BME280初期化
GPIOボタン
が押された
自分のシリアル宛
のメッセージ
サブスクライブ
タスクフラグを確認
BME280 測定しパブリッシュ、
ウェイト
ボタン押下をパブリッシュ LED点灯、消灯
エアコン操作
（RMTタスク生成）
OTAフラグ
キーローリングフラグ
証明書受領フラグ
I2Cバス初期化
ATECC608A初期化
ATECC608AからWifi
SSID,Pass読み取り
GPIO初期化
GPIOボタンが押されているか
MQTT停止→公開鍵生成→
MQTT再開とパブリッシュ
MQTT停止→ATECC608A
証明書更新→MQTT再開
MQTT接続終了→OTAサーバーへ
https接続、ファームダウンロード+
インストール
再起動
キーローリング
証明書受領
OTA
# Espressif ESP32 Partition Table
# Name Type SubType Offset Size
nvs data nvs 0x9000 0x4000
otadata data ota 0xd000 0x2000
phy_init data phy 0xf000 0x1000
factory 0 00x10000 1M
ota_0 0ota_0 0x110000 1M
ota_1 0ota_1 0x210000 1M

9. サーバー側の実装
Pythonで署名、
証明書作成
OTAファーム
ウェア置き場
デバイス公開鍵
受領

10. 温度測定
以下2ついずれかのモジュールの搭載に対応。
1分ごとに計測データをMQTTにて送信

11. 赤外線リモコン
ダイキンエアコンの赤外線リモコンを解析、
ESP-IDFのRMT関数で実装。

12. プロビジョニング
シリアルコンソールを経由してpem(base64)の
公開鍵と証明書を交換。
-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQasdaghadJKNIWfEtPt61Y6O8NoQVhkrQhrracCRmGgb
kinXThlKUkdB0i7uUakzcSIdonsgpdzagdPNIDW8SkGUmGz8jcDSJM2PsouJ9tA==
-----END PUBLIC KEY-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

13. 証明書更新（キーローリング）
①
②
③
ATECC608A
スロット内
秘密鍵
3つのスロットから順番に
公開鍵を取り出し、署名
して証明書を作成して
書き戻す

14. 考察とまとめ
BOM以外でかかった費用：
Conoha VPS 512MBプラン 630円/月
バリュードメインキャンペーン 108円/年
■基盤作成がスムーズに行えることで試作が簡単にできる環境が整ってきた。
■ngrokは便利。