芯片后门:评估威胁

2018年，彭博商业周刊做出爆炸性的声明当前位置中国间谍在包括美国国防部在内的一些知名客户使用的主板上植入了后门。所有这些客户都发表了措辞强硬的否认。

大多数关于硬件后门的报道都是在这样的交易所结束的。关于具体细节，有指控也有反指控。但是，随着硬件越来越多地用于安全关键型和任务关键型应用程序，随着攻击面从软件扩展到底层硬件及其全球供应链，后门的威胁比过去更加受到重视。

勘测景观
那么这个问题有多严重呢?约翰·霍尔曼，信任和安全部门的产品经理西门子EDA他说，硬件后门没有被定期公开讨论，但这并不意味着它们不存在。

“硬件社区比软件社区守口如瓶得多，所以在一个开放的论坛上，真的没有记录在案的案例表明有人恶意植入了一个可以被利用的后门。这是我们的路线，也是我们今天在硬件领域所处的位置。”“不过，根据研究界所做的工作，这是很有可能的。”

一个例子是A2:模拟恶意硬件[PDF]， 2016年密歇根大学研究人员的一篇论文，描述了一种特别隐秘的硬件攻击，仅利用一个门。该报告的作者之一马修·希克斯(Matthew Hicks)现在是弗吉尼亚理工大学的副教授。他说，硬件社区不愿意讨论这些问题是可以理解的，因为这样的缺陷既无法修补，又很强大。

“你可以拥有完美的软件，”希克斯说。“但如果硬件是脆弱的，那么软件现在也存在漏洞。”

在某种程度上，后门和设计缺陷之间的区别归结于语义。总有一个问题是，这是一个后门，一个漏洞，还是一个设计选择。因此，主要漏洞就像幽灵与熔毁，可以以不同的方式来理解，因为它们利用了推测性执行和分支预测，直到最近，这些都被认为是提高性能的好技术。

“有人可能会说，这些都是过去某个时候设计选择的不可预见的后果，”马腾·布朗(Maarten Bron)说Riscure．“其他人可能会坚持认为，这些实际上是后门。”

不安全感的浪潮
像“幽灵”和“熔解”这样的漏洞只是硬件不安全逻辑发展的第一波，设计阶段是最终目标。

“设计阶段非常类似于软件，”希克斯说。“在IP块或某种硬件描述代码中插入硬件木马比在代工级别要容易得多。这就是我认为你会看到下一波攻击的地方。这最终会导致不可信的代工问题，在那里更难插入隐形和可控的木马。”

随着商业广告的出现，这一点尤其令人担忧chiplet市场，因为追踪异构设计中使用的所有小芯片的起源将更加困难。此外，当设计中的一层越来越安全时，攻击者在逻辑上就会进入下一层。

希克斯说:“如果你想打败一个安全系统，你就会触及这个安全系统所基于的基本原理，而你违反了其中一个基本原理。”

这个过程很自然地从软件到硬件，甚至到数字硬件的模拟方面，这是希克斯实验室中一些令人不安的实验的主题。“在我的实验室里，针对不同的系统，我们有不同的硬件木马，因为不同的系统有自己的模拟足迹，”希克斯说。“我们利用模拟指纹的可变性来创建一组不同的事件来触发这个木马。所以我可以说，'我认为我的系统上有一个硬件木马。你能引爆并验证吗?“当你试图在你的系统中验证它时，因为你的系统在模拟领域是不同的，即使你有它，它也不会触发你系统上的木马。这是一种前所未有的隐形技术。”

这种程度的隐形可以使硬件威胁对黑客特别有吸引力。“这些都是你在软件中看不到的东西，”他说。“从攻击者的角度来看，将硬件木马传播出去是非常有价值的。”

利用调试模式
不过，目前大多数后门可能要简单得多。芯片的工作模式可以自己引入后门。“有一种制造模式，一切都是开放的，而有一种生产模式，一切都是封闭的，”他说Cycuity联合创始人兼首席技术官杰森·奥伯格“有时这可以通过软件配置，有时可以通过吹引信配置，等等。如果一个对手，不管是不是一个民族国家，知道了这种能力，他们可以重新启用这种能力，就可以引入后门。”

斯科特·贝斯特，反篡改安全技术主管Rambus，指着克里斯托弗·塔尔诺夫斯基的2010示范智能卡安全芯片故障进入不安全状态就是这类攻击的一个例子，通过将芯片从安全任务模式转换到不安全模式，绕过芯片的安全机制。他说:“一旦进入这种状态，一些本应保密的数据(例如关键材料)就可能被对手恢复。”

还有薯条chiplets随着复杂性的不断增加，贝斯特说，这些问题只会变得更具挑战性。他说:“芯片越复杂，在没有大量不同调试模式的情况下，就越难让一切正常工作。”“至于小纸片，一个system-in-package这依赖于来自不同供应商的多个芯片的异构集成，在很大程度上，将具有最不安全的芯片的整体安全性。”

确保供应链安全
像这样的担忧导致了最近通过的2022年CHIPS法案将半导体制造业引进国内。不过，希克斯说，即使法案通过了，也需要一段时间才能改变现状。他说:“从拨款到我们真正开始生产芯片，至少还需要5年的时间。”“因此，在可预见的未来，我们将处于弱势，或面临不受信任的代工问题。”

更重要的是，把制造业留在美国并不是看起来的灵丹妙药。“有间谍，也有利用人们的方法，”希克斯说。“我们过去遇到过所有这些问题——目前，演员是由中国赞助的——所以假设这不适用于国内代工是不现实的，”希克斯说。

无论芯片是在哪里制造的，第三方IP也可能带来挑战。Oberg表示:“在半导体生态系统中，他们从第三方那里获得IP许可，并将其集成到其中，而就目前的情况而言，该IP的安全性并没有太多的透明度。”他指出，Accellera的电子设计集成安全注释(SA-EDI)标准[PDF]旨在通过使IP供应商能够将其IP的安全性传达给芯片集成商来解决这一问题。

审计和分析
常见弱点枚举框架在2020年增加了对硬件漏洞的支持，帮助制造商预测其中一些威胁。几个连续波现在解决上面讨论的攻击者改变芯片工作模式的问题。

奥伯格说:“你只能尽力而为，如果对手真的非常非常厉害，他们知道设计，知道正在验证哪些弱点，他们就可以尝试绕过这些弱点。”“但这是一种非常有条理、可衡量的方法，可以对抗这种情况。”

各种比较方法也有助于对抗这些威胁。“在仿冒领域，我们会比较同一批次的芯片，确保它们的功能在一定程度上存在差异，”Hallman说。“我们可以在逻辑层面上做到这一点，并观察芯片的行为。他们的行为相同吗?或者在这些类型的比较中，我们是否能够检测到一些异常?”

尽管如此，Hallman表示，要对当今soc的复杂性进行这种分析是具有挑战性的。“但你真的需要分析整个SoC吗?还是只需要分析一部分?”这就是我认为你可以从顶层开始分解这个问题的地方，将芯片中的那些功能向下推，并隔离。这对我有什么威胁?我可以在这些较低的层次上应用什么分析方法?”

这还意味着要引入验证分析的机制。“有审计追踪是件好事。拥有支持审计结果的数据文档更好，”Hallman说。“然后，能够访问这些数据，不是为了侵犯这些数据的知识产权，而是为了能够让最终用户相信，用这些数据生产出来的产品确实是他们所期待的。就电子产品而言，这是一个还没有实现的过程。但我相信这是这个行业的发展方向。”

努力实现零信任
这类问题的终极目标是能够提供正式的证明。他说:“如果我想知道一个特定的寄存器是不可访问的，我可以运行一个逻辑上证明没有访问-没有物理方法或逻辑方法来中断该寄存器操作-这就是我相信我们的许多客户正在寻找的信心。”

Hallman是2021年的论文[PDF]国防工业协会(NDIA)关于将零信任原则应用于硬件。“不过，现在要在硬件上实现这种彻底性，工作量太大了，”他说。“我们确实需要把核查工作重点放在威胁所在的地方。”

图1:微电子威胁格局:来源:NDIA

在此期间，这意味着明确优先事项，关注最脆弱的方面。“必须在系统层面上进行某种类型的过滤，包括我的关键组件是什么，我需要担心的威胁是什么，我需要采取哪些措施来缓解这些特定的威胁?”至少在这一点上，我们还不能做那种彻底的零信任类型的模型，但至少有了如何在集成电路构建中实现的愿景，从RTL到模具制造，甚至到封装，”Hallman说。

越来越多的人意识到
最终，Hicks说，看到整个行业最终开始关注这些问题，这是令人鼓舞的。当他第一次进入就业市场并分享他在芯片安全方面的工作时，制造商根本不感兴趣。“我基本上被笑出了房间，说，‘为什么有人会这么做?’现在，这些大公司实际上正在认真对待这个问题，并有兴趣与我的实验室和全国各地的其他实验室合作解决这些问题。”

在过去几年中，人们的认识和行动都发生了重大转变。“2016年，政府真的开始对此感到恐慌，”他说。“他们开始意识到威胁是真实存在的，而且这种意识还在继续增强。这就是为什么我们现在看到了这种转向本土的趋势。关注硬件安全的群体正在迅速增长。”

Oberg表示，半导体公司历来关注的都是安全以外的事情——下一代芯片、上市时间、收入——但这种情况正在迅速改变。他说:“如果你不把安全作为整个过程的头等大事，那么你很快就会构建东西，而且你会一直受到攻击——而且很难从中恢复。”“以后很难解决这些问题。”

相关的
商用芯片安全隐患扩大
从多个供应商菜单中选择组件对于降低成本和上市时间有着巨大的希望，但这并不像听起来那么简单。
芯片替换引发安全担忧
在多个细分市场中，许多未知因素将持续数十年。
在芯片、中间体和包内系统级别上保护异构集成(佛罗里达大学)
验证侧通道安全预硅
复杂性和新的应用程序正在将安全性进一步推向设计流程的左侧。
寻找硬件木马
为什么定位硬件中的安全威胁如此困难。