好的方法如何帮助限制漏洞。
要创造一个完全安全的芯片或系统几乎是不可能的,但可以做很多事情来提高对这种安全性的信心。
在过去,安全性是事后才考虑的,与体系结构无关,在设计周期的后期才添加。但是,随着芯片越来越多地用于安全和关键任务系统,以及数据的价值不断上升,在安全方法和安全开发生命周期方面需要付出更多的努力。
的创始人兼首席技术官杰森·奥伯格(Jason Oberg)表示:“从非常战术的角度来看,我们与不同领域的客户打交道Cycuity(原Tortuga Logic)。“有些公司有很好的流程,有些公司没有。有些人只是说,“我这样做是为了安全”,并有一个计划。非常有策略地把你的安全需求写下来。在与客户交谈时,我们经常询问他们的安全要求,花大量时间与他们交谈,结果他们说,‘我的芯片应该是安全的’,或者‘我不想让我的信任根变得脆弱’。’这个说法非常模糊。”
Oberg说,更好的方法包括识别设计资产。“设计资产写下来了吗?这方面的安全目标是什么?有些组织有,有些没有。只要把这些写下来,并有一个简单的检查方法,作为设计验证过程的一部分,就会让你领先很多。更好的方法是建立这个过程,因为你可以给它增加更多的复杂性,包括自动化。你可以开始输入标准等等。与此同时,很多时候,组织受到来自客户和市场的压力,要求建立一个安全的产品,他们真的不知道该做什么。他们在寻找解决方案。但在他们建立起某种结构之前,很难采取解决方案。”
定义安全开发生命周期是一个很好的起点。但这也必须扩展到终端消费者。
“安全领域存在真正的危险,因为它很复杂,而且很难理解,就像可持续发展领域所谓的‘洗绿’一样,”特朗普的解决方案和生态系统高级集团总监弗兰克·施迈斯特(Frank Schirrmeister)说节奏.“这是‘安全清洗’,虽然可能有政府规定,但这完全是商业世界的客户。半导体公司和系统供应商必须为他们的终端客户服务,对他们来说,这就像卖保险一样。你真的不知道你需要安全,直到你遇到真正的问题。这时他们会说,‘如果我有保险就好了。但如何实施确实是一个复杂的问题,很难从技术的角度来理解。我担心这可能类似于洗衣机上的清洁能源“能源之星”贴纸,这可能只是意味着,“是的,我已经记录了流程。”“这就是为什么我认为安全清洗存在危险的原因,最终消费者会产生一种‘这东西是安全的’的感觉,而没有真正了解下面是什么,谁确认的,以及清洗过程是怎样的。”这就是为什么标准化至关重要。但它也需要透明。”
尽管如此,保险只是一种改变谁将支付,何时以及如何支付的方式的方法,Mike Borza指出,他是安全IP团队的研究员和科学家Synopsys对此.“买不到保险的人都有糟糕的索赔记录。所以如果你卖的是有保险的东西,每次攻击成功你都要赔钱,这要么让你破产要么迫使你升级。说到底,这就是保险的作用。它只是推迟了你真正开始为你销售的产品负责的时间。监管也是这样,因为有效的监管需要对不遵守监管的人进行惩罚。如果惩罚没有被纳入——我们已经看到了大量这类立法倡议,其中没有纳入惩罚——那么它就完全没有效力。如果你因为你的东西不够安全而支付罚款,现在你有办法引起别人的注意并迫使他们采取行动。”
Borza说,这也需要对资产价值的理解。“把你的资产按对你最重要的顺序排列。一旦你开始这样做,那么你就走上了一条像样的道路,了解自己的安全是什么,哪里是脆弱的,哪里不是。”
验证采用类似的方法。Optima Design首席执行官Jamil Mazzawi指出:“从要求开始,然后是流程。随后,每个需求都有一个相应的验证任务,这取决于目标应用程序。
应用程序域决定了写入的内容。“在航空航天/国防领域有一套。在汽车行业,还有另一个问题。在医学方面,又是一个,”Cadence的Schirrmeister说。
另一个需要考虑的问题是,如果芯片或包含芯片的系统不能被物理访问,那么会有很多无关紧要的侧通道。博尔扎说:“在这种情况下,时间是很重要的,但你并不关心手机就在你面前。”
IP整合挑战
在具有多个IP块的系统中,用户在尝试集成第三方IP(包括软件和硬件)以及从安全性角度理解该IP的位置时遇到困难是很常见的。
“这方面的透明度可以追溯到写下你的需求,而不是让它们分散在500页的文档中,将它们都分组在一起,以便对客户或试图决定是否购买你的解决方案的人来说,你提供的安全功能是什么是非常清楚的,”华为的高级安全分析师妮可·弗恩(Nicole Fern)说Riscure.“好的供应商会有这种能力。优秀的供应商还会告诉您局限性在哪里,因为每个声称提供某种安全保证的解决方案都有弱点。到了一定程度,它就无法保护你了,因为每个解决方案最终都可能被破坏。”
也就是说,当看到所有可能集成到产品中的不同IP的广阔前景时,工程团队如何决定集成哪一个?Fern说:“当然要找那些对优势透明的供应商,但也要知道IP在什么情况下不能再提供这些保证。”
Accellera创造了一个知识产权安全保障工作组专门解决这个问题。“它说,‘这是你从我们这里购买的IP。它有一些安全属性。这些都是我们为减轻这些担忧所做的事情。在我们的解决方案中,有一些事情没有得到缓解,要么是因为它不适合用例,要么是因为在系统层面上更好地缓解它,’”Borza指出。“集成商——IP的客户——有责任完成集成,并管理他们所关心的安全风险。这又回到了一个概念,即不同的垂直领域有不同的关注点。”
此外,Schirrmeister认为,供应商在这个市场上已经做好了一定程度的准备。“我们必须从正确的流程开始,顺便说一句,安全也是一样的。我们在公司之间的合法做法是,我们必须冷藏人员:你已经做了这个,所以你暂时不允许再做这个。这在一个非常重要的层面上适用于实施准备。”
对策设计方法
随着威胁载体的增加,必须采用安全方法来捕捉潜在的攻击。
“虽然用户可能了解侧通道攻击及其来源,但一旦发现弱点,他们就可以提供安全ECOs,”ibm电子、半导体和光学业务部门的研究员兼CTO Norman Chang说有限元分析软件.“然而,对于故障注入来说,与侧通道攻击相比,它要棘手得多。基于电磁故障注入,基于激光故障注入,或者光学故障注入——在他们的头脑中,他们不知道如何防止故障注入,因为如果你不把故障注入做得足够大,芯片肯定会故障。他们使用了适量的错误注入,这可能会导致安全输出有所不同。”
但在安全环境中,不存在故障安全措施,因此故障安全措施是正确的方法。Synopsys的Borza说:“有趣的是,当你开始将安全性和安全性结合起来时,故障安全响应不一定是故障安全响应,因为你有关键的系统。”“如果你认为汽车是一种简单的用例,你不会希望自动制动系统仅仅因为存在安全故障而关闭。你实际上需要它继续作为一个制动系统。”
Optima Design的马扎维认为,我们可以从安全领域借鉴很多东西,并将其应用于安全领域。“为了安全起见,我们希望系统一直在运行。它知道什么时候有问题,并试图解决它。这里我们只想简单地停止操作,然后做点什么。在安全方面,我们能做的是增加检测故障发生并纠正它的能力,我们还能在安全方面检测不好的事情不会破坏这个平台。有很多方法可以用于检测安全方面的攻击或失败。有一些安全机制可以应用于安全,然后被验证为足够好。”
Borza指出,安全与正式意义上的安全之间的最大区别是,安全涉及的是某物的意外故障,而故障是单故障的检测和纠正,有时是双故障的纠正行动。“但在安全场景中,通常会在同一芯片的大片区域注入故障,这些故障与时间同时或密切相关。这是一个很大的不同,系统需要如何处理这种情况,以及理解错误所在的思考过程。”
Cycuity的Oberg表示:“问题的答案是预先定义。“‘这就是我要保护的资产。下面是一些人可以接触到它的条件。这就是他们试图通过威胁模型过程获得的东西。您可以定义该需求,然后可以构建整个故障模拟和验证计划来适应它。没有一个放之四海而皆准的方法——例如,‘这是你需要覆盖的故障的百分比。“这也许可以定义,但这真的取决于攻击者想要做什么,他们会把注意力集中在哪里。你可以据此建立你的整个故障验证计划。对于次要渠道等也是如此,因为无论你服务于哪个市场,衡量标准都将根据市场和人们拥有的渠道而有所不同。”
安全是一个快速变化的领域,这使得情况变得复杂。Schirrmeister说:“黑客实际上知道定义的空间和他们应该关注的地方,因为我们告诉他们已经覆盖了什么。”“所以,关于我们没有覆盖的领域的整个概念——在安全和功能验证的情况下是你没有考虑到的——在安全方面更糟糕,因为你告诉黑客,当我们保护这一点的时候,这里的其他空间对你来说是一个机会。”
什么才算够好?
尽管在安全方面完美不是一个现实的目标,但是有一些非常可靠的指导方针可以达到高度的自信。但归根结底,对于特定的设计或应用程序来说,什么样的安全性足够好。
Oberg说:“如果你已经系统地经历了写下需求的过程,并且你有证据来支持验证所有的需求,如果你可以使用CWE(常见弱点枚举)这样的覆盖来透明地传达你所做的事情,那么你已经做得足够了。”“将会有一些你已经标记为‘超出范围’的要求,但由于有人利用它们,它们可能会突然成为范围内的要求。你永远不会完全安全,但如果你是系统的,你可以签字。你可以说,'这是我在开始时指定的。以下是理由。你甚至可以与客户分享,然后进行验证。然后你说,‘我都做过了。这是我的证据。’你可能还是会被黑客攻击,但至少这足以说明这一点。”
与此同时,还有从攻击中恢复的能力。博尔扎补充说:“这包括一种报告问题的方法,然后解决问题,最后能够分发解决方案。”
Riscure的Fern说,与此同时,这在很大程度上取决于威胁模型。“足够好取决于攻击者需要消耗多少能量,以及有多大的攻击潜力。如果您能够保护您的设备,甚至不值得攻击者继续攻击,那么这就足够了。如果他们不得不去别的地方,攻击一个更容易攻击的目标,那就足够了。”
特别是在汽车领域,这是一个巨大的挑战,因为芯片的安全关键方面和较长的预期寿命。汽车集成电路测试解决方案经理Lee Harrison表示,一些用户现在要求供应商展望未来6到10年,并在设计时具有足够的灵活性,以进行更新西门子数字工业软件.“在你的灵活性和解决方案的有效性之间需要权衡,”他说。
|
|
|
|
|
|
|
|
留下回复