Chiplet安全风险被低估

半导体生态系统满是chiplets的承诺,但有更少关注chiplets或异构系统的安全,他们将被整合。

分解soc为chiplets显著改变了景观网络安全威胁。与单一的多功能芯片,这通常是使用相同的制造过程技术,chiplets可以任何地方,在任何开发流程节点。事实上,在发展中异构chiplets的关键原因,并不是每一个函数受益于最新的工艺技术,并不是所有人可以挤到一个死。但这也会引发威胁程度,行业正在努力应对安全问题在一个可重复的和具有成本效益的方式。

”这些都是建立在某种程度上,他们可以以逆向工程或re-manufactured,一些恶意的功能添加到chiplet因为它是一个小得多的死亡,”斯科特说最好,高级主管、硅安全产品Rambus。“这不是一个20 x 20毫米死去了500亿个晶体管。一百万个晶体管,它一个非常特定的功能。有世界各地的国家资助的演员可以克隆功能,把它放到一个兼容的过程节点,并向其添加一个恶意的功能。现在风险是他们不知何故,恶意组件插入到供应链,并无意中集成。这有点吓人,尤其是其do-ability。我不知道很多人完全理解是多么容易克隆小芯片内置的后缘技术节点。后缘开始意味着随着时间的推移,越来越多的事情。甚至22纳米,这曾经是最先进的,是我们现在背后三、四代。他们变得非常开胃的目标,特别是如果想出芯片给敌方获得更大的市场。”

一个关键的挑战是建立一个供应链与健壮的可追溯性。“假设一个客户是担心是否安全是内置芯片,”托尼说Mastroianni,先进的包装解决方案总监西门子数字行业软件。“很多die-to-die接口有安全可言。但也有其他注意事项可追溯性,这是一个不同的问题。我们要确保整个设计过程你不妥协,并且需要覆盖从RTL设计制造交付部分。这是一个完全不同的野兽。”

集成多个chiplets到异构包打开车门安全漏洞和潜在的风险,恶意修改或攻击个人chiplets在设计、装配或测试。”也,因为chiplets通常是由不同的供应商设计和制造的,有可能一个恶意的演员可以妥协的一个供应商和使用整个chiplet-based系统妥协,“Mastroianni说。

这些担忧始于出类拔萃,但chiplets提高到一个全新的水平。“安全问题仍然存在,但随着chiplets更难阻止,“Guillaume Boillet说,产品管理高级主管Arteris IP。“现在,需要协调跨谁做chiplet因为对策需要chiplets和软件的工作。与chiplets,除此之外,还有一个更大的攻击,表面的这两类问题的出现。首先是硬件木马。在异构系统chiplets可能来自不同的公司,这个想法,一些企业将逆向工程的一些芯片组成chiplet,代之以一个恶意——这听起来像科幻小说。但这种威胁存在,尤其是当它涉及到物联网,所有这些事情可能是可实现的,就像一个大系统”。

第二个问题是更大范围的攻击表面,部分原因是chiplets之间的连接更容易跟踪。创建一个中间人攻击的可能性。

这取决于chiplets供应链的复杂性。像英特尔这样的公司,AMD和Marvell开发自己的chiplets最小化供应链的威胁。但公司组装和集成商业发达chiplets将难度要大得多。

“Chiplet认证不是这样一个问题,如果你是一个单一的公司,“米克·波斯纳说,产品线高级集团董事,高性能计算IP解决方案Synopsys对此。“你分解SoC,你自己的两边,你熟悉供应链,所以潜在的恶意chiplet进入你的供应链可能很低。您已经创建了一个包,你的死和一些第三方死,他们需要相互通信。其中一个必须带头说,“我是经理,你是子,请声明你是一个真实的chiplet。“今天,没有标准。是UCIe规范中提到的是在未来得到解决。”

这是一个不同的故事与chiplet市场。“目前,因为没有真正的混合和匹配的死,这真的不是一个问题,“波斯纳说。“但它很快会的。缓解恶意进入您的供应链的死去,你必须有某种形式的身份验证,而现在,你经过身份验证的系统,如果有人想做一个硬砍,他们已经分开包,是获得之间的联系这两个死吗?什么样的加密或保护在这些链接放在的地方?”

其他人也同意。“这混合供应商生态系统还不存在,即。一个生态系统,供应商提供一些标准函数,可以在很多系统中,重用和集成组件的主要供应商是购买来自一个潜在竞争力的供应商包括到他们的包,“Synopsys对此科学家迈克Borza说。“你可以想象系统控制器芯片和tpn和各种各样的东西是好东西的例子以这种方式将被整合,因为他们有明确的功能和协议。”

供应链问题
chiplets供应商越多,就越难获得一切。

“你会有更多的供应商参与,”史蒂夫·卡尔森说,总监/架构师,航空航天和国防的解决方案节奏。“你有多个chiplets,所以你可能有一个新的插入器供应商,以及新的包装和测试人沿着供应链。甚至在此之前,与IP块进入chiplets,潜在的渎职或错误。此外,互操作性的芯片有问题关于他们的安全协议,安全使用的是什么模型。这些事情并不总是传达清楚,所以当你连接两个安全chiplets在一起,可能是做芯片的方式撤销。”

图1:为什么芯片公司正在采用chiplets。来源:节奏

为互联尤其如此。

“你有接触那些他们之间互联更容易利用,”卡尔森说。“随着这些高层考虑,有传统的问题,也与木马。你可以生产那些规范关于材料和插入器上的互连,生产过剩,假药,逆向工程,侧通道和回收的东西。”

系统级的安全
方法来改善chiplet安全差异很大,但首先需要关注整个系统的安全。

“系统级的安全审查已经成为不可分割的一部分的任何产品开发周期与客户数据有任何互动,“Rajesh Velegalati说,高级安全分析师Riscure。“认证实体通用标准和EMVCo也发挥了至关重要的作用在确保这些产品符合安全标准。”

然而,如果这些安全审查在后者阶段进行设计的周期,“即使漏洞被发现,解决他们本身可能成为一个问题,“Velegalati说。“如果漏洞被发现在硬件或不变的ROM代码(产品上执行的第一段代码驱动),修补在应对困难,可能是完全不可能的。在这种情况下,产品可能与漏洞发布,制造商只能补丁在下一次迭代的产品。下一次迭代将取决于产品生命周期,可至少几年。”

更复杂的情况是,每个客户都有不同的担忧安全与信任,并有不同的方法来解决这些问题。

“国防部的顾客都是关于安全,比我们更了解安全,包括加密和解密,等等,”说杰夫•泰特的首席执行官Flex Logix。“当一个FPGA嵌入式芯片内部,客户可以把很多在FPGA的安全。商业客户的最大的担忧是包的人可以窥探看看数据的方案。但国防部担心人甚至使用传感器来检测的东西发生在包里面。那些人很关心安全,但他们不需要我们提供解决方案。与商业客户,人们使用嵌入式FPGA首先从安全角度,因为他们可以重新编程的东西。如果他们有一个加密算法,它被打破,他们可以重新编程加密算法的嵌入式FPGA。他们不能如果是天生的。”

芯片之间的安全通信的概念,研究了与anti-snooping措施,未经授权的内存访问和其他方法。

“这些问题一直在工作,您正在处理的,“节奏的卡尔森说。“安全在过去一直是一个一次性的项目/计划的努力。现在我们需要标准化这些事情,是非常困难的,因为与美国国防部-是否这是一个民用系统的时候被剥削,他们喜欢分类数据,使它的秘密。横切CWE的号召力是我们可以工作。这是一个抽象的观点的弱点是什么,和他们可以讨论一些常见的缓解技术水平。希望将帮助推动人们都认同的事情更快地朝着标准化向量的威胁是什么,最重要的预防。”

前进,Riscure Velegalati说,解决这个问题最好的方法是在产品的设计阶段中包含安全审查本身。“换句话说,发现和修复漏洞pre-silicon,所以在芯片是捏造的,希望他们不会有任何的漏洞。这可能需要一个文化变迁的方式执行开发周期本身。”

有几个商业工具可用来检测漏洞在软件使用静态和动态分析技术。

“部署的安全代理可以帮助确保系统提出的完整性,操作和破坏事件的检测和恢复,“西门子Mastroianni说。”此外,确保源代码的完整性和可追溯性的chiplet组件在整个供应链将成为一个新的和现有产品的关键要求。通过确保每个chiplet的来源和完整性验证和追溯到源头,它变得更容易识别和应对可能出现的任何安全或信任问题。”

chiplet安全水平
chiplet安全的另一种方法是分层的方法。

首席执行官Pim Tuyls内在ID,指出三层chiplet安全。“一个是你说,我们要确保每一部分可以被识别,”并使用一个物理unclonable函数(PUF)作为标识符。该方案的优点是它是轻量级的。其次,你说,‘我们需要一点。也就是说,我们需要chiplets可以安全地相互通信,并可以相互验证。你可以用对称加密。这里,你落实在每个chiplet PUF与对称加密。的优点是,所有这些chiplets可以创建自己的钥匙,并且可以运行一个密钥交换协议。你不必每chiplet程序。第三,你说,‘我们想要最高的安全级别,和最复杂的。这可能是艰难的公钥基础设施(PKI)体系。 PKI can be classical PKI as we know it with RSA or ECC, or it could be post compromised PKI. From that point, it means that you’re going to make your system way more complex. Chiplets will have a PUF, will have asymmetric and symmetric functionality, and will be able to do secure key sharing between the different chiplets, as well as create different sets of symmetric keys. Based on that, then we’ll be able to securely communicate. That is the most advanced system, but also the most expensive system.”

解决方案到位吗?
一个悬而未决的问题是是否chiplet安全解决方案将需要时。

“我们有100%的信心,解决方案将提供他们所需的时间,“说Rambus最好。“即使我只是看看我们的防伪的经验,我们仍然有客户问我们出现防伪解决方案。因此,防止技术这是已知的。不利的一面是,这一切是免费的。它使生产更贵5美元10美分芯片大多数商业供应商将不情愿地同意。别人会谈判,直到只有5美分的成本,或者不到一分钱。的多少我可以保护这不到一分钱,因为我现在在微薄利润?一个最终处理的人负责采购和生产。安全架构师早已被这个对话。你可以建立一个非常安全的产品,一个非常安全的供应链。我们完全知道怎么做。 We have this technology, we know how to deploy it, we know how to deploy it cost-effectively. What’s difficult is just the normal decisions about whether we really solve for all of the security problems first, or is ‘perfect’ the enemy of ‘good’ here? Can we just pursue good and see if that’s sufficient and tested?’”

其他人指出类似的经历。“安全不做免费,直到你被咬,你可能不想花钱,”卡尔森说。“这就像保险。系统公司首当其冲的责任。在手机和汽车,以及区域公众关于黑客,他们必须做些什么。他们已经伤害经济与安全相关的问题。在产品领域还没有受伤,他们真的不是竭尽所能。他们不是什么也不做,但他们做不到。另一个问题是,你可以花1亿美元在安全和仍然被攻击的原因。没有一个单一的、保证解决这个问题。 Hackers are really inventive and coming up with new and crazy ways every day.”

此外,chiplets可以逆向工程。如何检测是否chiplet被篡改了吗?Boillet说Arteris解决方案确实存在,至少从一些供应商。“我们与他们合作与我们共同的客户,帮助他们实现这些系统,特别是在soc,确保chiplets正确识别,”他说。“在不同角度的攻击,他们都有一个想法去解决它,但是他们有自己的挑战。最需要,例如,两个chiplets真正的设计。所以当你考虑这些中间人攻击,之间的连接两个chiplets可以探索,有一种方法可以解决这个问题只发送加密消息。但是每次你谈论加密,它需要加密的一侧,解密另一方面,和需要相同的IP。这是很复杂的,但它可以解决如果内部芯片解集,两个chiplets来自相同的供应商。然而,如果我们开始谈论一个生态系统的现成的配件,我们需要标准化方面远远超出我们所拥有的一切电气兼容性。 What is apparent beyond all the discussion we have with customers while doing chip disintegration is that it’s the mechanical aspect of it. The mechanical and physical aspect are not really addressed yet.”

新标准
在标准方面,有CDX工作组(OCP覆盖安全、UCIe内,还有一个工作组致力于chiplet安全,但它仍然是非常早期在这两种情况下。Synopsys对此Borza说UCIe围绕作为PCIe CXL总的来说。”这是方程的一个重要组成部分,意味着他们可以海岸上的所做的工作在CXL和IDE。”

也在chiplet领域安全标准方法是安全协议数据模型(SPDM)做跨chiplets chiplets的相互认证。

“一旦SPDM运行,有协议可以使用现在的事实,你必须经过身份验证的连接建立一个加密链接地址的其他方面,因为集成部分由chiplets坐chip-on-board之间,一个完全集成的SoC在一种单模拉的解决方案中,“Borza解释道。“他们更脆弱的SoC物理探测攻击,但他们比chip-on-board那么脆弱。但这漏洞仍然存在,因为它是更容易探测chiplet-to-chiplet链接比探测芯片本身。这不是简单的,但它是更容易。我看到这个震动的方式是我们实际上能够受益于一些其他工作的完成,我们不会免费得到它。是昂贵的高带宽链接运行在低延迟完全加密的,但它是可能的。与CXL我们现在这样做,我们就能与chiplets沿着这条道路。”