Что: Инженерная сторона Zero-Trust защиты парка контроллеров: единая идентичность, цепочка доверия, профили аппаратной защиты, протокол начальной регистрации устройства. Проблема. Парк контроллеров на разной аппаратной базе (ARM с TrustZone, MIPS без TEE, x86) должен соответствовать жёстким регуляторным требованиям к защите КИИ. Нельзя замыкать архитектуру на одного аппаратного вендора, при этом нельзя отказываться от аппаратных средств защиты там, где они есть. Архитектура: CAL (Cryptographic Abstraction Layer) — единый API над тремя профилями HSM: TEE, внешний Hardware Security Element, Soft-HSM. Реализации различаются, контракт один. HW-UID как platform-neutral primary identity (вместо vendor-specific Chip ID): /proc/device-tree/serial-number для ARM/MIPS, TPM EK / DMI UUID для x86, SHA256(MAC ‖ machine_id) для устройств без аппаратного UID. Цепочка доверия: Secure Boot → dm-verity → IMA — три независимых уровня. Bootstrap-протокол announce → challenge → init_config для взаимной PKI-аутентификации устройства и серверов управления, с ротацией сертификатов. Trusted Applications в OP-TEE и Trusty TEE через единый CAL. Результат. Единая архитектура для нескольких аппаратных платформ. Vendor-lock устранён. Компонентная сборка golden-образа возможна под любой профиль HSM. Архитектурные решения зафиксированы как ADR.