解决集成电路前后出现的安全威胁

半导体工程坐下来讨论不同的方法与沃伦的安全,研究科学家应用研究实验室的情报和安全马里兰大学;副总裁兼总经理Neeraj Paliwal说Rambus安全;路易斯•Ancajas物联网安全软件解决方案的营销总监在微米;Doug Suerich产品专员同龄群体。以下是摘录的谈话。这段对话的第一部分在这里。第二部分是在这里。

SE:有很多块在一个SoC,也并不是所有的都是静态的。定期更新算法和软件,这些设备和在人工智能系统应该适应随着时间的推移。在这种情况下如何保持安全呢?

Ancajas:这是今天在汽车的一个重大问题。与更新,你把数据或数据移动,并在汽车方面的挑战是这是一个巨大的生态系统。有所有这些不同的传感器以及CAN总线和大量的通信。汽车公司走向的是一个中央网关在车里,网关是无线连接。背后有很多的安全,并希望一个好的安全边界,防止分散的数据。但这是一个完美的解决方案,这是一个汽车工业面临的挑战是非常认真。

Suerich:这可能是一种优势而不是劣势。很难建立一次,希望它是完美的,绝对安全,而且我从没见过像这样的一个系统。如果你建立的能力,修复并添加更改,你还可以得到不好的问题,但是解决方案还可以添加和快速部署。补丁动态的能力,会让你在某些问题,但从长远来看你更好。现在晶圆厂的一个挑战是他们古老的系统还没有修补了很长时间,所以如果一个病毒就可以关闭整个工厂,因为他们没有持续的更新和改变的能力。

SE:当NXP开发芯片信用卡,他们就可以通过让人们跟随这些芯片供应链。不过,这并不总是可能的,特别是随着越来越多的从不同的公司添加到IP的设计。这对安全产生什么影响?

Paliwal:确保供应链始于减少问题的周长,然后回到基础。如果我们想出一个解决方案太复杂的安全,这将是无用的。对我们来说,基本的解决方案是首先提供可信的身份在根,在芯片级别,限制周长与孤立的处理器,然后确保密钥和资产,我们需要安全的在一个小的表面积。我们不能控制供应链和什么,但我们可以控制芯片构建的面具。如果我们能安全地提供后端,或程序员级别,那么当它进入供应链信任的方式我们可以评估其独特的身份使用云管理服务。这可能是一个好的开始在确保硅从制造业通过其生命周期。它并不完美,但它是一个好的开始。

野蛮人制造业:可能包括分手,最后一层是由不同,更多的信任区域,更仔细地控制。我看过很多这种制造业方面的兴趣。它不是完美的,因为它背后还有人类。但这是一个开始。

Paliwal:这就像建立信任在一个完全不可信。这就是为什么我们需要开始与身份。

SE:其他行业安全问题与他们的供应链,。是谁这样做对吗?

Suerich:嗯,有两个地方他们做得相当好。如果你看看信用卡行业,他们仍有问题,但是他们所做的是建立在弹性。他们知道他们会看到欺诈,他们建造的能力迅速发现和应对它。他们知道什么都不会是完美的。的第二个领域是世界云服务器方面做得很好,用一个类似的概念。他们自己设置非常分布式集群,所以如果一个区被撞倒了,整个操作弹性。他们很敏捷,极快的响应时间问题。没有完美的砖墙。这些家伙预先假设会发生问题,和他们建立了系统处理这些问题而不是严格阻止他们。

Ancajas:有三分之一的地方他们也这样做。手机制造商像苹果公司控制他们的供应链。他们开发自己的软件,做自己的制造业——他们控制一切。

SE:我们当然看到更多的垂直整合系统公司开发自己的芯片和算法。这有帮助吗?

Paliwal:它可能帮助如果你只使用该公司的产品,但会有多个供应商在任何行业。所以回来后,基础知识。我们讨论的是数以万亿计的连接设备。有些人称之为物联网设备。不太可能会有一个前20或25供应商oem超过一半的设备,因此,供应链将是相当分散。我们可能会有一个,两个或三个微架构。这就是为什么它是如此重要的开始与安全,而不是马后炮。在OEM层面,将很难获得这样的市场份额。

野蛮人:Facebook和亚马逊都有大型硬件团队现在。这些公司都非常重要的安全的应用程序。他们负担不起这些多样化、低成本的供应链。他们必须确定哪些是安全的核心部分的产品是什么
部分他们可以忍受,因为到恶意软件是很难管理整个供应链。所以他们必须找出他们需要带来内部和他们没有。

SE:芯片公司得到这个吗?他们真的理解安全吗?实际上,典型的设计师理解如何设计安全么?

Paliwal启动:如果我有2亿美元,将成为下一个独角兽的人工智能芯片公司异构体系结构,芯片不会是我最大的担心。这将是我的框架和软件以及我对TensorFlow优化它。安全是底部的列表,我想建立内部。但这并不意味着他们不能回到顶级供应商知道如何做到这一点。他们有选择。

Suerich:但是他们没有关心的经济激励。如果有14个主要问题,安全是27号。

SE:谁解决这个问题?手表在修复它的人谁?分层如何监督链必须确保这些东西有用吗?

Suerich:我们需要一些政府行动来显式地指定一些规则和责任。除非我们有一些明确的企业责任我们不会有很好的安全性。我们的基础设施的律师和保险公司将迫使他们关心和那些额外的步骤。没有外界影响不会有必要的动机。

Paliwal:或者是公司提供的产品必须大到足以感到责任从一个品牌的观点。这同样适用。我们确实看到,资金充裕的公司越来越多的投资安全。这些包括20或30强企业。但大多数都是连接到设备运行的两个或三个账户,他们以核心为设计开始。的挑战是,在监管和教育可以帮助极大。

野蛮人:我不会把很多的信心,政府会出手相救,这与规定。它将更多来自于市场,甚至基于安全公司差异化的产品。你会看到公司放在安全的设备,这样你就可以相信你的数据,这将是他们的区别。和竞争优势将举起所有船只。

Suerich:我不同意。我来自一个滑铁卢,安大略省,黑莓的家。多年来,他们宣传自己是最安全的解决方案,一切都是加密的。然后它烧毁了市场相当明亮的东西。一般消费者不会购买安全。更复杂的买家,也许吧。

SE:最后一个问题。你感觉更安全或更少比一年前你是安全的吗?

Ancajas:更不安全,因为我们有更多的威胁。我们所驾驶的车更自动化和自主控制的设备。因为电子产品更复杂,风险更高,我们拥有了更高层的依赖。使用加密技术和技术也在不断发展的基础,但增长速度超过安全的必要性。这不是这里发生了什么。

野蛮人:从我个人的角度来看,学习我学习以我目前的角色,我更比以往任何时候都吓坏了。组织如麻省理工学院整理文件和数据库的30名硬件木马我不知道存在。所以机会正越来越近,攻击的动机越来越高。我们需要非常担心我们去哪里和做些事情,因为威胁不递减。

Paliwal:这是与我们有多少连接设备直接成比例。安全和隐私但有一个很大的区别,有时我们会把两者结合起来。安全可能是更容易如果想尽早解决。当然,我仍然觉得不安全。但是隐私是一个更难的问题。

Ancajas:我们一开始来填补一个洞,现在我们发现10,20个甚至100个洞。所以我现在不觉得更安全,不幸的是我没有看到一个解决方案。