一体化和点安全的工具

安全仍然是一个迫切的关心建筑商可能吸引攻击者的任何系统,但设计师们发现自己面临着一系列令人眼花缭乱的安全选项。

其中一些是点解决方案特定的安全难题。其他人自我标榜为一体化,整个拼图填充。哪种方法是最好的取决于可用的资源和你熟悉安全、以及复杂的攻击和攻击表面的复杂性。

“我们仍然在黑暗时代,试图赶上敌人似乎总是能想出新的和更好的方法进入系统之前我们甚至想过能够检查,”约翰·Hallman说产品经理信任和安全OneSpin解决方案。“我们需要理解这个种族的特征是什么会跳回进一步进入到我们的领域可以更好的攻击者的攻击。”

点工具提供商声称他们做得更好比是可能的在他们的专业的公司做整件事情。与此同时,一体化的供应商提供一举解决完整的安全问题。甚至有一体化的解决方案,许可证和合并点工具,分别是可用的。一些解决方案与具体的硬件平台,其他人是通用的。它真的可以压倒一切的考虑所有的可能性,但至少有一些基本构建块。

“安全始终是一个系统问题,”海伦娜Handschuh说,一个人Rambus安全技术。“你必须考虑你的设备或你的芯片,甚至降低你的IP符合系统的其余部分。所以,当然,你要问更多的问题。有什么新的威胁模型在垂直你想去吗?这将会改变很多东西。但幸运的是你可以有一些基本构建块,总是相同的解决安全方面。和那些可以由同一类型的建筑。那么它的性能和吞吐量的问题。但无论上班与否,基本总是相同的。你需要一些加密,加密算法,和你需要加速性能或带宽将是一个问题。 And you need to have some notion of trusted execution environment.”

安全无处不在
有无数的列表要求声明一个系统或过程是安全的。在从头开始可以花时间几乎为零的公司安全的经验。

“设计师需要问,“我想把安全杠杆做什么?可能需要一个月,”埃里克·伍德说,物联网安全主任在英飞凌单片机产品线。“然后他们做一些算法进口司机工作。“我想用ECC吗?RSA吗?”然后他们找出如何管理他们的钥匙。所以他们大约两个月结束时,也许,他们花50000美元与顾问说,“我应该这样做吗?“大约需要8个月,即使它是基于开源的。”

对于许多工程师,这是一个全新的挑战。“我做了物联网设计我的整个职业生涯,我们知道如何让伟大的智能电表,”马克·汤普森说,破坏产品管理高级副总裁。“我们知道如何造就伟大的医疗设备或传感器——无论我们在做什么。我们不知道任何关于安全。”

董事总经理斯科特·琼斯微指令,安全&软件业务单元马克西姆集成总结了持续性的挑战:“攻击能力是永无止境的,我们是一个恒定的跑步机上保持领先。”

总之,安全措施到位必须满足一系列高层次的目标,见下图。

图1:7个安全的重要方面。来源:微软/ Rambus

安全已成为至关重要的在系统的生命周期的每个阶段,但它可以分解在七个不同的类别:

1. 规划和架构。这就是风险评估和威胁进行识别。一个必须考虑大局,因为资产的兴趣可能不躺在设备设计。例如,如果设备是一个恒温器,那么是的,你需要考虑是否有人会恶意尝试更改设置。但也有人尝试破解只买到网络,使其更容易访问其他资产可能与温度无关。
2. 设计供应链。这个确定是否所有的设计——IP,图书馆等。——“清洁。“最终的系统将只干净的组件。
3. 硬件安全。这包括集成硬件信任的根源(HRoT)和外部(SEs)安全元素。也许一个可信执行环境(t)是必要的,或加密加速器。受保护的区域在内存中也建立了。
4. 软件安全。这涉及到任何没有完成的硬件以及所有相关的堆栈。特别重要的是安全的引导,这是与硬件有关。
5. 制造业供应链。这就是信任(或严格的审查)供应商确认。他们可能是硅晶圆厂、包装房屋、测试设施和board-stuffing房屋。这是特别关注的任何供应商参与安全配置的过程。
6. 制造和供应。这就是个人设备获得他们独特的标识符和钥匙。这些密钥通常是在数据库中注册,除非他们像一个内部生成的机制PUF。
7. 在部署后持续监测和更新。这包括加载(设备首次注册和激活手机回家),攻击监控,无线(OTA)更新提高安全性。

在不同阶段,也有助于打击会话的安全专家公开测试,从而知道如何利用任何弱点。同样值得注意的是我们的重点是在处理器为中心的流动。“安全的FPGA非常不同于安全处理器,”杰夫•泰特的首席执行官Flex Logix。“对于许多原因很容易“黑客”处理器。”

其中,除了第一个和第五个安全产品,可以帮助管理。在规划阶段,似乎是没有快捷键或自动化代替全面规划。有已知问题寻找和清单检查,但是每个系统及其部署必须被认为是独一无二的,所以不能掩盖困难的前期工作。

同样,制造商的资格审查,有各种证据和证据要寻找潜在客户。这种潜在可能令人生畏的公司新参与构建一个安全的系统,而有经验的公司可能有内部最佳实践,推动他们的审查过程。

但即使他们有时陷入困境。“安全的模型是,有人想做坏事,“说Alric Althoff,高级硬件安全工程师龟岛的逻辑。“攻击向量通常配置错误和简单的错误。多样性的设计可能会导致问题,我们看到的是,没有人牺牲速度。如果你能得到相同的客户满意度较低的成本,你愿意处理潜在的不相容吗?你会支付一些无形的东西,比如安全?为了安全,你需要与软件,进入审计链和合规标准。”

设计的安全
其余部分涉及开发或购买的硬件,软件,或服务,和三个反映设计时考虑。第一个建立外部来源的出处硬件和软件。这部分还包括审查以同样的方式制造承包商必须合格。知道代码或IP一直忠实地传递都是没有价值的,如果你没有固有的对供应商的信任。

给受信任的供应商,重要的是要确保交付交付之前还没有被篡改。软件(或设计信息软形式——甚至GDSII格式)必须签署,确保其完整性。能够验证签名的收据确认途中并没有什么改变。

签署软件涉及到钥匙,这些钥匙必须在某种程度上,允许其使用管理不让他们到野外。虽然这可能看起来很明显,目不转睛地盯着软件团队专注于得到新代码可能很难花时间所需的基础设施安全签名的代码。

然而,硬件并不是那么简单。没有签名机制。“实际的硅,通常的威胁模型是,邪恶的铸造或供应链的渗透,“说Matjaz Breskvar,除了半的首席执行官。“假设我送GDSII铸造硅回来几个月后。能够运行扫描[测试]将允许我发现许多,但肯定不是全部,后门。硅如果我真的担心,我可以使用成像技术和逆向工程技术和比较一些随机抽样与GDSII asic。”

接下来的两个项目——硬件IP和软件栈——共同努力,建立一个系统,通过设计本质上是安全的。通常被称为一个安全的执行环境(见)或一个安全的飞地,这样一个体系结构提供了关键功能隔离和有限的访问。

图2:一个安全的执行环境的一个例子。来源:Rambus

一个重要的第一个目标是提供一个多阶段的安全引导操作,使攻击者很难用坏替换好的代码。第一阶段将代码从罗并设置基本基础设施验证剩下的代码。ROM代码,这证明了所有其他代码,必须是不可变的,必须证明由硬件——例如,通过签名烧成e-fuses。以上,代码签名可以重新计算并与已知签名确认所有代码是合法的在加载操作系统和任何操作的应用程序。

硬件元素有多个组件。最重要的变成了分区的系统安全和不安全的部分。这是一个困难的问题很小,廉价的系统,买不起高端微控制器内置功能手臂TrustZone。

至少,记忆必须分区的方式提供了一些敏感的代码和数据的隔离。“您可以使用潜艇的例子,你有所有这些门,关闭舱门和个人位置,”伍德说。“如果你碰巧春天泄漏,你不想让它淹没整个地方。“钥匙必须存储在某个地方,除非他们本地生成的使用PUF,它必须是外人无法查看这些键。

这是特别重要的小型系统执行加密的软件。因为这样敏感的计算必须远离窥探的眼睛,他们只需要执行在安全的飞地,在主系统操作系统没有访问它们。

“当执行加密软件,软件只运行TrustZone和从Linux完全隔离,”说,英飞凌的木头。“用于TrustZone硬件隔离内存,所以它不是可以从Linux。此外,一些使用外部RAM芯片时提供动态加密,这样硬件窥探也是不可能的。”

其他关键任务的应用程序不应该检查也可以执行。“我们的许多客户非常有价值的代码添加到设备,”拉里·奥康奈尔说,负责营销的副总裁结论实验室。“代码不能被破坏,不能偷,不能损坏。”

安全元素可以为此提供帮助。他们专门设计的强大的攻击,和他们从未释放键。所有操作涉及键执行内部的,所以唯一的I / O,可以监听将输入密码操作和结果。“公交窥探是一个有效的外部安全威胁元素。篡改检测可以帮助减轻它,”O ' connell说。

安全生产过程
一旦设计完成,一个全新的安全机制。IP和软件供应商所使用的证书会给整个系统的证书,签署的系统构建器。成为安全的系统的根是制造和使用。

每个系统单位必须有一个独特的身份,身份是建立在制造业。在这个过程中,提供的单位是一个或多个键。如果系统利用一个PUF键,然后安装键,PUF招生过程建立的关键(和任何辅助数据需要可靠地读到的关键在整个生命系统)。

系统接收键,这个过程必须发生在一个高度安全的和可信的设施,通常使用可信平台模块(及)或一个安全的云连接。系统身份和关键信息必须被安全地存储在系统操作供以后使用。存在的一个集中位置的所有关键信息创建一个诱人的目标,因此,存储的方法必须非常好保护。

这个配置能力各种销售的是服务提供者。它可能继续通过产品的整个生命周期。另外,一些服务可以被转移,这样系统建造者可以控制使用自己的数据中心。

安全操作期间
最后,该系统将运送和运营其生命的其余部分。在首次启动,设备通常需要建立一个连接所谓上岗与云。这一过程确认的身份和关键内容体系,使其持续使用。这就是服务提供供应持续到产品的整个生命周期。

一次操作,监控——也可以识别服务试图攻击。“我们不仅想要健康和诊断指标,但也对设备任何威胁的证据,”O ' connell说。究竟什么是监控和数据是如何分布提出了隐私方面的考虑。从理论上讲,没有技术限制哪些数据可以发送到云中的监控代理。它变成了一个政策,而不是技术。

“从业务策略的角度来看,我们不希望看到(非数据),“Abhijeet美国莱恩说,业务发展副总裁结论实验室,以责任问题。

生活中一个重要的功能操作系统的无线更新。主要虽然这听起来像一个通信挑战,确保安全是至关重要的更新的代码是合法的。“如果你希望能够更新软件,你需要一些检查的真实性新的软件代替当前运行的固件,”妮可说蕨类植物,高级硬件安全工程师在龟岛的逻辑。

代码签名必须证明在系统中更新才会被接受。“什么应该改变,直到有一个与一个新的交付相关证书,”汤姆Katsioulas说trustchain业务主管导师,西门子业务。

如果更新失败以任何方式被安装时,最好有一个故障转移机制,以便设备可以恢复到之前的版本。一些系统甚至可能保留旧版本的居民,这样操作会导致故障转移期间遇到的任何问题,而不需要重新下载和安装前的形象。这样一个故障转移策略将需要更多的存储空间,但是它可以是一个救世主关键任务功能。

图3:一个例子引导失败的情况下的故障转移系统的更新版本。来源:结论实验室

云集成方面,无论是在生产或经营生活,本身可以是混乱,因为没有两朵相同操作。“有一块云供应商离开,那就是如何获得凭证到设备,和他们对客户的建议是跟你的证书提供商,”结论的美国莱恩说。

他人引用类似的问题。“云供应商告诉客户跟他们的硅供应商,反之亦然,”O ' connell说。“这是一种神秘的为我们的客户解决。”

每个云都有自己的协议和api和一个特定的系统可以得到不同的库存单位(sku)设备针对AWS Azure或其他云服务。“我有AWS物联网核心库和Azure核心库,”伍德说。“客户必须编写一些定制代码,说,“这个标题,你被要求提供通过这个云,因此,渠道你管。现在我有一个SKU AWS,我有一个SKU Azure。每个人都想要一个认证完成了自己的小秘密武器。”

最后,结束时系统的使用寿命,是经常被忽视的一步——撤销证书,这样他们就可以不被攻击者试图假装重用合法性与活跃的凭证。

一体化是什么意思?
这似乎是很明显的一个一体化的*提供意味着什么:所有的安全问题的任务,整个生命周期的一个系统,可以从一个公司被收购。然而,这并不是那么简单。各公司声称自己是一体化的,然而元素失踪至少某些类型的系统。

这种一体化提供的好处是它消除了大部分的安全设计团队的负担。小,灵活组织想要集中所有的精力花在创建应用程序,执行系统的主要任务。安全是一个“边缘”的考虑——就像一个操作系统。你需要它,但你不想花费你的时间。

因此,对于小型组织,一个公司处理一切可能意味着更多的能量进入系统的功能和需要更少的时间来研究安全,帮助加快进入市场的系统。“没有,世界上许多安全工程师,”约翰·Hallman说人工智能方面,
体系结构是由互连的功能决定的。这不仅仅是个人处理元素是什么?之间是如何让数据处理元素和很多地方的记忆,在很多这些AI对权力以及延迟和带宽。“有很多好处能够使用一个工具在整个流。但是你也要失去创新的不同的解决方案。”

到达点的力量解决方案:因为提供者专门集中于一块安全的照片,他们可能有一个“更好的”。说:“这是我们的面包和黄油Admir Abdurahmanovic,副总裁战略和合作伙伴和PrimeKey创始人之一。“我们非常、非常热衷于从不搞砸了,在标准实施后不为人知的地方像科威特彻底。”

挑战在于确保所有组件都已就绪,然后连接成一个顺利运行的保障体系。硬件IP将其互联有据可查,软件将使其api可用,但是,因为没有标准在低水平,没有在需要学习每一件,这样就可以将正确地放在一起。“一个系统集成商集成另一个公司的最佳工具,“Hallman说。”,积分器将承担这个角色的公共接口之间的不同的功能。”

但一体化和点工具之间的区别也不干净。破坏认为自己是一个一体化的供应商,但他们选择了PrimeKey密码学技术。换句话说,有些一体化的产品特性也可用的技术工具。

另一个需要注意的是,绑定到一个特定的一些产品一体化平台。结论实验室的解决方案是专注,至少就目前而言,在Arm处理器上TrustZone,高端核心。通过收购英飞凌的柏树,一个完整的安全套件与PSoC 64设备。提供的目的是一样的,任何一体化套件,方便设计师。但是,在这些情况下,功能不能实现任何硬件或SoC。

图4:一个安全的执行环境提供针对特定设备的家庭。来源:手臂/英飞凌

验证安全
无论一个组装点解决方案或从事一个一体化的解决方案,由此产生的设计仍然必须验证,确保安全是按预期工作。

形式验证这里是找到牵引,因为它可以跨系统跟踪一个潜在的弱点,甚至系统的系统。这是特别有价值的对安全性要求苛刻的应用,如汽车。

“我们正请求的请求我们走向自主汽车,“OneSpin的Hallman说。”有很多担忧能进入ICs, ICs可以验证什么,以及它可以得到证实。有很多检查需要。”

验证长期以来在mil /航空中,发挥了重要作用,但通常用于。改变处理定期更新算法和软件。

”有一个真正的机会后连续验证集成电路已经部署,系统中“Hallman说。“他们开始使用虚拟化的数字双的想法从你的系统。后你发现一些漏洞,你测试它在这个领域,使动态更新。你能重新编程吗?你可以改变几乎在硅和看到的东西很快并验证这一变化将做什么?这一概念也在迎头赶上。我们需要某种类型的连续系统的生命周期中验证计划。”

这是至关重要的,因为并不是每一个漏洞可以确定建筑阶段。蕨类植物给了一个错误的一个例子连接TrustZone外围。“如果你无意中地面安全,这意味着所有的事务都来自一个安全的来源,然后你本质上提升权限的所有总线事务,”她说。Pre-silicon验证访问所有的芯片设计的内部节点,所以正式和模拟/仿真解决方案可以使用。

开放可能会使这个验证更容易。“我们看到很多强调提高透明度,”弗恩说。“有几个项目,一个由谷歌OpenTitan试图使一个完全透明,开源硬件根的信任。我们的想法是,这个设计有更多的眼睛,更好的验证将会和我们会更安全。”

设计中的设计安全安全也有一些相似之处车辆和其他系统生命损失的可能性。“安全与安全跟踪问题,来自不同的来源,但他们都有相同的对车辆的影响,”库尔特·舒勒说,负责营销的副总裁Arteris IP。

总之,安全环境不够成熟容易,现成的答案。“安全可能意味着很多东西,对于不同的人有不同的“Flex Logix的泰特说。

每个设备的安全设计必须从头计划好了。“我看不出一个解决方案能够覆盖所有可能的威胁模型,设备,用例,和成本点,”弗恩说。”,我认为这可能是生态系统为何如此支离破碎。”

会有最佳点工具的一些需求。全面的解决方案也可以解决许多或所有的需求。和一些一体化解决方案可能利用其他知名点的工具套件的关键方面。说:“他们都有自己的地方Neeraj Paliwal说,安全的副总裁和总经理Rambus。“如果一个点工具的路线,然后寻求咨询公司的服务很好,因为很多时候我们正在设计芯片我们不一定有一个军队的安全专家工资。”

没有一个正确的答案,提供定期改变,设计师必须重新审视安全景观为每个新设计。

相关的
芯片安全经济学的根本变化
更多和更高的价值数据,薄芯片和客户群迫使迟来的变化改变半导体安全。
是什么让一个芯片防篡改?
确定攻击和防止他们仍然是困难的,但是我们已经取得了一定的进展。
与持久的黑客在Flash级别
保护不仅仅包括处理器的代码。
硬件攻击面扩大
电缆困扰幽灵,崩溃,预示着潜在威胁蔓延超越单一设备;AI增加了新的不确定性。