芯片可以增强恶意软件免疫力

由于越来越复杂的攻击，越来越多的技术用于安全关键应用，以及几乎无处不在的数据价值不断上升，安全性正在成为一个越来越重要的设计元素。

黑客可以利用系统设计的软肋来解锁汽车、手机和智能锁。他们甚至可以在手机关机时通过一直在线的电路入侵手机。今年早些时候，为许多公司提供身份验证服务的安全公司Okta也遭到了黑客攻击。

关键漏洞网络攻击，被称为Cve - Cve -2022-1654(mitre.org)，并被评为9.9的关键级别，使9万个网站面临完全被黑客控制的风险。更令人担忧的是，这其中的很大一部分可以通过安全软件而完全不被发现。例如，企业安全信息和事件管理(SIEM)，一个永远在线的网络安全分析工具，无法检测到80%的网络攻击技术CardinalOps．

从积极的方面来看，内置的硬件安全性将帮助开发人员加强系统防御。

不要相信任何人
威胁行为者总是假装成别人，尤其是那些有资格访问网络的人。这些网络或系统的任何部分都不应轻易授予任何人访问权限，直到访问请求完全经过身份验证。在身份验证之后，对于一个特定的资产，在请求时应该只授予一次访问权限。此外，身份验证必须提供可信的信息，如帐户密码、帐户凭据和密钥(API、SSH、加密)。

一个被称为“零信任”的相对较新的概念正在被部署，以加强各级的网络安全。美国商务部下属的国家标准与技术研究所(NIST)将零信任(ZT)定义为“一套不断发展的网络安全范式，它将防御从静态的、基于网络的边界转移到关注用户、资产和资源。零信任架构(ZTA)使用零信任原则来规划工业和企业基础设施和工作流程。”

零信任假定仅仅基于资产或用户帐户的物理或网络位置，或者基于资产所有权，不授予资产或用户帐户隐式信任。因此，局域网将不会被区别对待，企业和个人拥有的网络之间也不会有任何区别。身份验证和授权(主体和设备)是在建立到企业资源的会话之前执行的离散功能。

零信任的重点是保护资源(包括资产、服务、工作流、网络帐户等)，而不是网段。网络位置不再被视为资源安全态势的主要组成部分。”

NIST发布了零信任架构(NIST .gov)的指导方针，即NIST 700-800，将于2020年8月发布，以帮助企业防御网络攻击。NIST也在帮助推进国际网络安全方面发挥了重要作用网络安全框架NIST 700-207，作为网络安全的通用语言。

图1:美国国家标准与技术研究院(NIST)在其零信任架构指南中定义了核心零信任逻辑组件。资料来源:国家标准

零信任策略定义了许多用户和应用程序属性，使得冒名顶替者很难伪造他们的身份。这些策略处理用户的身份和凭证(无论是人类形式还是机器语言)，包括设备特权、硬件类型、位置、操作系统和固件版本以及已安装的应用程序。

与传统的静态方法相比，这种动态过程显著提高了网络安全。即使一项资产遭到破坏，损失也有限。

芯片如何增强对恶意软件的免疫力
许多过去由企业软件执行的网络安全防御机制(零信任、安全引导、身份验证、安全密钥管理和侧通道攻击保护)现在都在设备内部的芯片或固件级别自动完成。这不仅提高了系统的整体性能，而且还使它们更加安全。然而，重要的是要记住，实现芯片安全性的方法不止一种。

“每个人都需要基本的安全级别，包括安全启动、安全存储和安全通信。英飞凌．“所有用户和设备在连接到敏感服务器或网络之前都应该进行身份验证。对于高级防护，安全密钥管理、NFC保护、可信平台模块(tpm)，特别是侧通道攻击保护等功能现在可以实现并集成在单独的硅或芯片中。对于不是安全专家的开发人员，最好的方法是聘请安全专业人员进行安全评估。他们将检查系统的安全性，以发现弱点，并评估相对于需求的总体安全级别。然后他们会根据CISA的通用标准等系统颁发安全证书，这样客户就可以知道产品的安全程度。”

对于所有类型的硬件都是如此。该公司营销和架构解决方案高级总监Ralph Grundler表示:“efpga有几种不同的方法来处理零信任问题Flex Logix．“一种方法是混淆，在制造完成之前，设计的机密部分不会编程。其他技术使用eFPGA加密或作为电子水印。使用eFPGA可以动态修改算法或水印密钥。”

从纯软件解决方案到两者结合的转变是一个巨大的转变。“网络安全从硅安全开始，”公司反篡改安全技术主管斯科特·贝斯特(Scott Best)说Rambus．如果管理程序是恶意的，那么高级应用程序(例如，移动支付应用程序)就不可能验证管理程序的真实性。所有的层都隐含地依赖于信任，而确保整个系统信任的唯一方法是在芯片级的硬件中锚定安全。如果你信任芯片，那么软件的每一“层”都可以使用可信的公钥基础设施进行加密签名和验证，以确保堆栈中每一层的真实性，从CPU固件一直到管理程序和高级应用程序。没有安全的硅，没有安全的供应链系统提供和跟踪，没有可信的公钥基础设施，就不可能证明系统中的某些重要内容不是恶意替代品。”

为什么安全引导很重要?
即使在实现零信任之前，“安全引导”也需要到位。恶意软件试图通过改变操作系统或引导加载程序代码来篡改操作系统、引导加载程序和引导rom。如果计算机或嵌入式系统被感染，恶意软件将在重启过程中接管，包括网络在内的整个系统将受到威胁。因此，确保引导过程(也就是安全引导)的安全至关重要。安全引导是统一可扩展固件接口(UEFI) 2.3.1规范，定义了操作系统与固件/BIOS之间的接口。Windows和许多其他硬件平台都支持它。

使用安全引导，硬件预配置为可信凭证。例如，嵌入式系统的CPU/所有者首先使用非对称加密生成两个不同的密钥，一个是私有的，一个是公共的。密钥是一串软件代码。私钥只有所有者知道，其他人不知道。任何人都知道公钥。在引导加载程序代码执行之前，将引导加载程序使用公钥生成的签名与私有密钥生成的签名进行比较。这两把钥匙由一个数学公式连接在一起。公钥用于加密，私钥用于解密。

即使威胁行为者试图用恶意软件破坏引导加载程序，威胁行为者也不知道数学公式。当引导加载程序检测到缺少所需的有效签名和密钥时，引导过程将停止。

身份验证中使用的安全密钥管理是必不可少的。一些好的实践包括将密钥分成多个部分，这样完整的密钥就不会只有一个人知道，将密钥使用时间段自动化，并将其设置为自动过期，并避免对密钥进行硬编码。

一种常见的网络攻击策略是侧通道攻击。黑客可以使用不同的方式来电子监听目标设备。通过成功检测设备产生的信号模式，他们可以解码密码并识别认证方法。

“侧通道和故障攻击对黑客来说部署成本很低，他们可能会提取密钥或获得对设备的完全控制，”微软首席技术官贾斯帕·范·沃登伯格(Jasper van Woudenberg)说Riscure在北美。“这两种攻击类型都需要分层保护，理想情况下，从协议到软件再到芯片。硅层面的对策是存在的。对于反制措施所带来的实际阻力，关键在于细节。Naïve的实现实际上可能并不有效，或者可能会产生巨大的开销——或者两者兼而有之。与功能验证一样，必须在设计过程中确定对策的有效性，以及确定应用它们的最小数量以获得最大效果。模拟技术可以帮助设计师准确定位潜在的弱点，以便发现问题并进行修复。”

一旦具有已知的侧通道或抗故障能力的硬件原语可用，系统程序员就可以使用它们来保护固件或应用程序。“例如，一个加密核心可能支持包装密钥，”van Woudenberg说。“软件现在可以安全地处理加密和签名密钥，而无需访问实际密钥。当使用侧通道保护在硅中实现密钥展开时，这样的体系结构可以支持来自不受信任的软件和不受信任的环境(可能存在硬件攻击)的密钥管理。类似地，调试块可以支持通过密码短语解锁，同时通过对该密码短语的冗余验证来防止错误攻击。简而言之，安全性以及达到这种安全性的总成本，不仅取决于各个硬件和软件组件的安全性，还取决于它们如何组合。”

安全性需要广泛的测试
与从头开发SoC相比，授权安全IP具有优势，因为IP已经经过验证，并且具有最小的安全缺陷。

Flex Logix IP销售和营销副总裁Andy Jaros表示:“来自商业、航空航天和国防领域的用户希望使用eFPGA IP保护他们的专有电路。“集成FPGA结构不仅难以探测和逆向工程，当芯片断电时，其内容也会丢失。在安全的环境中编程FPGA也限制了只有那些需要知道的人才能访问专有电路。”

在IP和/或SoC实施过程中，制定全面的验证程序以确保提供并验证MITRE最新的常见弱点枚举(CWE)漏洞信息是非常重要的。此外，验证程序应符合最新的安全标准。

“安全有很多基本要求，”微软公司工程副总裁米切尔·米利纳尔(Mitchell Mlinar)说龟岛的逻辑．“它始于系统的架构。在构建架构时——甚至在构建硬件或软件之前——您必须考虑涉及到安全性或安全资产的所有用例。这本身就很困难。然后，当您开始构建系统时，这些用例将扩展并演变为硬件和软件中的特定测试。构建工具包中应该包含许多模块，例如硬件安全引导和密钥管理，以及软件身份验证和访问控制。但比区块本身更重要的是它们如何与系统的其他部分交互。”

这可能会很棘手。Mlinar说:“人们必须考虑可能的利用场景，并确保这些潜在的漏洞不会发生。”“安全是一个连续体，所有组成部分在某种程度上是相互依赖的。例如，您可以从硬件的角度构建一个完全安全的芯片——而且您应该这样做。因此，通过全面的安全验证过程来确保IP和SoC的实现是安全的是很重要的。这不仅意味着确保黑客无法访问关键设计资产的硬件设计，还意味着构建硅布局以防止可能提取硬件(甚至软件)加密密钥的侧通道攻击。但是您需要在该芯片上执行合法的操作，例如更改引导代码或访问安全资产，这意味着它上面的层也需要是安全的。如果由于糟糕的身份验证或弱访问控制而允许硬件访问某些应用程序，则很容易破坏整个信任链。”

图2:全面的安全验证过程对于确保安全IP和/或SoC的实施能够实现最大的安全性非常重要。来源:Tortuga Logic

即使一切都做对了，安全也很少是永久的。“2012年生产的产品在没有维护的情况下不太可能在2022年是安全的，而在2022年生产并被认为是安全的产品在2032年可能就不安全了。手臂．安全开发生命周期(SDL)的一个重要目标是确定对可预见的安全威胁的适当响应，以便在整个预期的生命周期内保护产品。这包括了解威胁的可能性和潜在影响，以便将产品定位在风险曲线的正确部分。减轻安全风险可以采取多种形式——技术、补偿控制或商业措施。由经验丰富的第三方或独立测试实验室进行渗透测试和评估是确保产品安全抵御最新攻击技术的两种最佳方法，因此可以提高产品的耐用性。”

认证也可能成为市场上的竞争优势。奈特说:“认证可以让供应商向他们的客户展示这种‘隐形’的工作。”“网络保险也可能值得考虑，因为它可以在技术最佳实践的同时提供业务层面的缓解。此外，保险公司越来越多地寻找已部署产品符合最佳实践安全标准的证据。”

安全的软件和固件更新
如何安全地更新固件是设计安全系统的一个重要考虑因素。为了支持这项工作，可信计算组(TCG)最近发布了TCG嵌入式系统软件和固件安全更新指南．参照旧版本的NIST基本输入/输出系统(BIOS)保护指南，TCG指南提供了安全更新软件和固件的详细指南。

TCG是由AMD、思科、戴尔、谷歌、惠普、华为、IBM、英飞凌、英特尔、瞻博、联想、微软和丰田等领先成员支持的非营利组织。TPM (Trusted Platform Module)是基于标准的可信平台模块，TPM (Trusted Platform Module)技术已广泛应用于企业系统、存储系统、网络、嵌入式系统和移动设备的安全防护。TPM 2.0库规范现在是国际标准化组织/国际电工委员会(ISO/IEC)的标准。

在安全问题上，没有什么是永恒的。但是实现零信任、安全软件更新和半导体安全将使开发人员在设备的整个生命周期内有更好的机会抵御黑客。

进一步阅读:
保安技术文件
芯片替换引发安全担忧
在多个细分市场中，许多未知因素将持续数十年。
从头开始将安全性构建到ic中
无点击和区块链攻击表明黑客越来越复杂，需要更早地关注潜在的安全风险和解决方案。
使用ReRAM puf隐藏安全密钥
如何结合两种不同的技术来创建一个独特而廉价的安全解决方案。
验证侧通道安全预硅
复杂性和新的应用程序正在将安全性进一步推向设计流程的左侧。