处理芯片中的安全漏洞

半导体工程公司坐下来讨论跨多个细分市场的安全风险与海伦娜Handschuh，安全技术研究员Rambus；Mike Borza，解决方案组的首席安全技术专家Synopsys对此；史蒂夫卡尔森，航天和国防解决方案的主管节奏；Alric Althoff，高级硬件安全工程师龟岛的逻辑；以及国家安全研发中心Galois的首席科学家Joe Kiniry。以下是在虚拟硬件安全峰会上进行的现场讨论的摘录。

SE:现在最大的变化之一是，设备的使用寿命应该比过去长得多。德国汽车制造商要求芯片能够正常工作18年。问题是，他们也需要保持最新的更新。我们怎么做呢?出问题的时候谁负责?那我们怎么找到根本原因呢?

Handschuh每个供应商都要分担一点责任。他们需要尽可能确定自己提供的是什么。然后，就试图与客户坐在一起而言，这更多的是一种合并的责任，特别是当他们组装一个新的安全系统时，要弄清楚实际的威胁模型是什么，以及哪个IP的哪个部分将带来什么。然后他们就能知道整个系统是否安全。但总有东西会在某个地方坏掉。你必须追踪到底是什么导致了故障。这是一个同时涉及几件事的问题，因为每一件事都对它有贡献，还是它们相互破坏?然后用这个模型求出新的解。

卡尔森在汽车行业，你有功能安全标准，比如ISO 26262但是没有保障就没有安全。如果你能黑进别人的刹车系统，那你的车就不安全。该标准为流程提供了良好的可追溯性，但在预防方面并没有做很多工作。这是很好的指指点点，但是如何补救呢?海伦娜给出了一个很好的礼貌的回答——所有的工程师都在一起工作——但这实际上是关于谁来支付成本的问题。律师也会参与进来。会有赔偿，保证，诸如此类的事情。

Borza这将是关键之一。传统上，很多问题都是通过回答关于赔偿的问题来回答的，这不可避免地会导致法院。将会有一段时间，事情就会这样解决，因为传统上人们可以在保修期后很快发货并离开。现在你要面对的情况是你的长寿命产品不断受到威胁。随着时间的推移，你会看到道路上车辆之间的自动化合作越来越多，这意味着你需要随时应对新的威胁。你得消除那些威胁。你不能把整个驾驶人群置于危险之中，因为某些人的芯片在某些车辆中被黑客入侵，没有人会为此负责。这是北美人的传统回答。你希望看到一些更积极主动的东西，一些说人们实际上会为此承担责任的东西。但这也意味着需要有一个持续的维护活动，最终由车主负责。 They either pay for it upfront in the cost of the vehicle, or they pay for it as a part of the ongoing maintenance of the vehicle.

Kiniry:像特斯拉这样的更先进的供应商在汽车更新方面有很多值得学习的地方。特斯拉实际上有密码学家，他们正在做一个合理的更新方案。对于我们在国防部的客户来说，该领域的更新不是主流。更像是，‘别碰它。“直到最近几年，他们才开始探索在产品生命周期内进行更新的想法。这催生了一个全新的工作领域，围绕着这些系统的可组合性和推理，在多年的时间框架内进行更新，而不是20年的时间框架。值得注意的是，他们经常评估现有的机制，以提供认证等更新，特别是当他们来自物联网等领域时，他们可能会发现底层更新机制从一开始就完全不安全，而你只是在一开始就打开了一个巨大的后门进入你的系统。我最关心的是确保这些底层更新机制实际上是正确和安全的。

Althoff:把这些联系起来，我们似乎在谈论一个“市场力量与立法”的问题。在美国，没人想这么做支付安全费用，但每个人都想从中受益。硬币的一面是制定标准也必须负责建立执行-这些标准确实必须得到执行。似乎这真的必须来自上面，制定标准的人也需要一些计划来执行这些标准。

Handschuh:一旦我们开始讨论责任、赔偿、标准和执行，就意味着我们将讨论认证。必须有人承担起成为汽车安全和安全认证实验室的任务。保险起见，你已经有了。安全性可能不太明显。它存在于其他细分市场，但不一定是汽车市场。银行业和许多其他部门都有这种情况。但是，汽车行业肯定会受益于让专业人士查看所有的实现和所有放在一起的东西，以确保所有的部分都适合在一起，然后在你的发布上贴上某种邮票。

Borza:认证让您开始，但它不提供持续的增值标记，以确保继续是安全的。这就是我们真正在谈论的，当我们谈论拥有长寿产品时，需要在不断变化的威胁环境中生存和发挥作用。监管是实现这一目标的途径之一。责任是另一种获得它的方式，但你仍然必须面对公司来来去去的事实。根据行业的不同，公司的生命周期可能比产品的生命周期短。这就是我们运作的一个事实。所以这仍然需要处理。

卡尔森:说到软硬兼施——认证和法律行动就是软硬兼施。胡萝卜的一面是一个商业机会。我想对微软的Galen Hunt和微软Azure领域的努力表示感谢。他们正在做一些非常有趣的事情，关于谁将拥有更新过程，谁将负责。他们基于Azure建立了一个很好的生命周期安全系统，在产品的生命周期中加入了一些专为安全而设计的技术和更新。他们有一个非常合理的商业模型，公司可以注册他们的产品，在整个生命周期内进行监控和更新，并对发现的安全缺陷进行实时分析。这真是个有趣的想法。我们必须看看他们和其他进入市场的各方能以多快的速度增长。胡萝卜部分是如果人们开始在安全上赚钱。这就是事情发展迅速的时候。 The stick part only gets you so far. We see that in the aerospace industry, where they have security certification. But I ran into a program recently, three years after the chip was completed, where they were still in security certification for that particular device. That’s not going to work very well in the commercial world. There isn’t really a best practice there that translates well to the larger market.

SE:当你开始一个补丁接一个补丁地分层时，它会变得更不安全吗?它是否因为不是每个人都在同一个级别上而变得更不安全?

卡尔森:这就是你认识到系统安全始于硬件层的地方。如果你的地基本来就不稳定，你可以不断地修补它，但你会遇到纸牌屋效应。这也是微软一直在谈论它的另一个原因。我对他们的整体观点印象深刻。他们从硬件基础开始。他们确保有一个好的坚实的硬件——就像Rambus提供的那样信任的根源所有这些基本特征都在里面。还有一组扩展的东西你可以放到硬件中来帮助支持系统级的安全。

Althoff:这听起来像是一个跟踪技术之间兼容性的好机会。因此，如果你在所有这些层中都有可追溯性，你就有能力跟踪哪些东西彼此之间交互良好——本质上，哪些东西容易出错。我们开始围绕每一层发展智慧，现在我们需要了解它们之间的联系。

卡尔森:你们正在努力研究的CWE (Common Weakness Enumeration)是这个过程的一个很好的开始。

Handschuh:你还有其他的成分。在每一层，您都可以尝试确保您的设计在某种程度上尽可能安全。目前，我们总是从信任的硬件根开始。然后，一个用于更新机制的安全软件环境会有所帮助。我们开始看到新的东西出现，并且变得更加普遍，比如允许您在硬件的编码级别进行验证的工具。现在，在开始发布之前，您就可以使用工具来确保通过设计维护特定的硬件安全属性。你可以开始应用像Galois和Tortuga Logic正在研究的东西。您还可以开始应用正式的安全模型，将以某种形式证明的硬件安全属性，然后根据它进行开发。所以这是一个全新的层，在生产之前，在合成之前，在所有这些之前。这很新，也很酷。

Kiniry:我们在解释和演示这些技术时遇到的困难是，有一个词叫“层”。他说，你最终只能与某方面的专家交谈，但他们彼此之间沟通不好。系统安全跨越了所有这些层面。所以，当你交谈的人不知道“co”是什么意思时，谈论像共同设计、共同工程、共同验证之类的事情是一场持续的斗争。这是我们在构建这些工具、展示它们以及让市场相信它们对安全保证是有用的和适用的方面所面临的最大困难之一。

Borza:尽管软硬件协同设计已经出现新利体育在线完整版了20多年，但在许多地方，它仍然是一个相对新颖的事物。软件团队几乎从不与硬件团队对话。而且他们两个人说话的时候总是相互矛盾。然后，对于那些不一定是安全专家，但必须提供安全环境的团队来说，在这种安全复杂性的基础上再增加一层，最后就会出现这种指责。

卡尔森尽管如此，还是有希望的。对于更多的SoC设计和系统公司来说，它们实际上控制着整个堆栈——库开发、SoC、固件、操作系统以及该环境中的一些应用程序——我们看到了模拟等技术的使用。在软件开发中向左移动。一旦你完成了这些，你就得到了系统的虚拟模型。它实际上不是一个模型，而是一个系统的表示，您可以在其中同时执行硬件和软件。它主要用于功能验证目的，但是您可以将该功能重新用于一些早期的安全分析。您可以查看本质上具有逻辑性的攻击的不同表面，并将它们转到物理分析领域，并查看电源、热和时间类型问题的某些侧通道攻击效果。

Althoff:这似乎是教育真正发挥作用的另一个领域，因为特定于应用程序的架构渗透到主流设备中，然后渗透到正在构建或学习如何构建高性能系统的学生的课程中。与此同时，他们也越来越熟悉特定于硬件的问题。这是一个通过教育来消除我们已经陷入的分层和划分的心态的机会。

-Susan Rambo对本文也有贡献。

相关文章
硬件安全更好，但攻击面正在增长
芯片安全经济学的根本性变化
是什么让芯片防篡改?
安全知识中心
理解puf
硬件攻击面扩大
确定芯片中真正需要保护的内容
我们YouTube频道的安全