RISC-V芯片有多安全?

当Meltdown和Spectre漏洞在2018年首次被发现时，它们预示着整个行业对处理器安全的看法发生了转变。正如IBM X-Force威胁情报指数在第二年所指出的那样，“2018年迎来了硬件安全挑战的新时代，迫使企业和安全社区重新思考他们处理硬件安全的方式。”

RISC-V从过去的经验教训和开源社区的广泛贡献中受益，在这个新时代成长起来。

对于大多数攻击，威胁行为者并不关心他们可能针对的是哪个处理器。“如果有人在做鱼叉式网络钓鱼，它依赖于你点击一个URL，”鲁珀特·贝恩斯说，Codasip的首席营销官。“无论你使用的是英特尔处理器还是Arm M2，这都不重要。如果你点击了那个链接，你就很容易受到攻击。很多攻击都是这样的。”

但对于更复杂的攻击来说，处理器架构的细节可能会产生重大影响。贝恩斯说:“当你接触到侧通道攻击、幽灵党和熔断之类的东西时，架构和实现真的真的开始重要了。”

这就是RISC-V可以带来一些独特优势的地方。

开放带来安全
RISC-V的开放架构允许它在持续的基础上被仔细检查。贝恩斯提到了2017年普林斯顿大学的研究以RISC-V规范中的几个漏洞为例。虽然有些人认为这些发现是RISC-V弱点的标志，但大多数人不同意。“我们从来没能为英特尔或Arm做过这项研究，”他说。“他们可能也有同样的漏洞，但因为它是专有的，我们无法查看。如果这是真的，那么RISC-V现在更安全了，因为有人确实看过它，而且它已经被修复了。”

OpenHW集团总裁兼首席执行官里克·奥康纳(Rick O 'Connor)表示，RISC-V在应对癌症最初发作时同样有用边信道攻击．“围绕这项工作的原始研究论文是使用RISC-V架构发表的，只是因为它是唯一开放的架构，”他说。“所以你可以拿到它，把它放在起重机上，拆除它，找出漏洞在哪里，开发算法来证明你的论点，然后攻击它。”

奥康纳说，这种开放性最终会让RISC-V更加安全。他说:“这似乎违反直觉，但建立一个安全平台的最好方法是让整个设计公开，并在公共领域接受审查。”“没有后门或隐藏渠道，整个社区都可以努力保护它。”

更重要的是，RISC-V提供了一个独特的机会，从一开始就通过设计做到这一点。Crypto Quantique首席执行官Shahram Mossayebi说:“我们有这块干净的画布。“我们可以把事情做好，把事情做好，以一种更适合生态系统演变的方式。”

以默默无闻结束安全
Peter Laackmann，互联安全系统(CSS)部门的杰出工程师英飞凌他说，这一切都归结于Kerckhoffs的原则，即即使攻击者知道系统的所有工作原理，系统也应该保持安全。

拉克曼说:“通过默默无闻来保障安全的时代已经结束。”“我们正在努力实现透明的安全，我们会解释事物是如何工作的，而不是隐藏它们。”

Cycuity安全应用工程师安德斯·诺德斯特龙(Anders Nordstrom)指出AES就是一个很好的例子。“即使你确切地知道AES的工作原理，你也无法逆向工程，从加密数据中获得密钥。这才是解决安全问题的正确方式。”“试图隐藏一些东西，直到有人发现它。如果架构和安全特性是已知的，并且即使在已知的情况下也能被设计成安全的，那么你就有了更强大的防御。”

尽管如此，Laackmann说，重要的是要记住，仅仅因为某些东西是开源的，它就不一定经过了检查。尽职调查仍然至关重要。“有许多软件包是开源的，每个人都认为有人看过里面的内容。但后来，事实证明，20年来没有人这样做，然后安全就失效了。所以即使你使用开源，你也必须检查它。”

为此，诺德斯特龙说，验证是关键，特别是在开源生态系统中。“仅仅因为它是开源的RISC-V，并不意味着它已经准备好使用了，”他说。“你必须意识到你得到的是什么。如果你从Arm购买，你会得到一个黑匣子，但你有一定的信心，它已经经过了大量的验证。”

开源的风险
商业账户拥有更长的业绩记录，而这种业绩记录会带来先天的好处。贝恩斯说:“英特尔和Arm有更多的经验，他们已经积累了更多的技术、解决方案和架构，而RISC-V社区还没有建立、标准化或推广。”

更新的开源解决方案也会带来其他挑战。尼科尔·弗恩，高级安全分析师Riscure他指出，在设计中包含第三方IP总是需要投入精力和预算进行集成和测试。但她说，在使用开源硬件时，付出的努力要大得多，“特别是与封闭源代码版本相比缺乏成熟度的开源IP。例如，Arm核心已经成功地集成到soc中，并且已经粘接多年。RISC-V实现达到相同水平还需要一段时间。”

还有一种风险是有意引入威胁。“因为任何人都可以发布开源的RISC-V实现，坏人就有更多的机会发布带有已知漏洞或硬件木马的设计，”Fern说。“对于有多个贡献者的开源项目，不受信任的实体有机会尝试将易受攻击的补丁或更新推送到其他值得信赖的开源项目中。”

提高安全性和可靠性
尽管如此，随着竞争的加剧，整个欧洲的安全性将稳步提高RISC-V生态系统．贝恩斯表示，他预计在未来12到18个月内，汽车应用所需的安全级别将变得非常重要。他指出:“不是每个人都愿意为认证付费，不是每个人都想要法律保障，但每个公司都应该有能力提供ISO 26262安全和ISO 21434安全。”

事实上，如果您正在进行供应商选择，则值得确保该公司能够在该级别上交付产品，而不管这是否是您实际需要的东西。贝恩斯说:“我想知道，作为一个组织，你们有这些能力，有这种理解，因为这让我对你们做所有工程的方式有信心。”

编目资产和进行威胁建模以评估需要保护的内容也是至关重要的。诺德斯特龙说:“一旦你明白了系统中什么是重要的，你就需要开始编写安全需求。”“这些安全要求表明，‘这是我的资产，这就是信息安全的方式。’”

诺德斯特龙说，硬件安全所需要的与验证的其他方面所需要的非常相似。“你需要一个计划，你需要确保你遵循这个计划。然后，你知道你可以要求什么，你知道你有你觉得需要的安全。”

这对任何系统都适用，开源与否。诺德斯特龙说:“如果你从别人那里买了处理器或系统，问他们，‘好吧，给我看看你是怎么验证没有硬件安全漏洞的。’”

构建生态系统
更广泛地说，支持开放标准并朝着全面提高质量的方向努力符合每个公司自身的利益。Baines说:“坏的质量会毒害每个人，所以如果我们能帮助每个人净化井，这是好事，这有助于RISC-V生态系统。”“这意味着有更多的软件开发人员，意味着有更多的库，意味着有更多的人在使用它，这是一个良性循环。”

为此，Baines表示，更多的公司支持像OpenHW集团和RISC-V国际这样的组织是很重要的。他说:“RISC-V确实让我担心的一件事是潜在的碎片化。”“人们采用RISC-V架构并开发RISC-V核心，然后添加自己的专有内容，这实际上意味着它不再是一个可互操作的标准。”

想想移动解决方案，它们只有通过共同关注标准和互操作性才能成功。贝恩斯说:“你可以在苹果手机上安装诺基亚基站、爱立信基站或三星基站——诺基亚、爱立信和三星都在激烈竞争，但它们都将与同一款苹果手机兼容。”“我希望RISC-V也能朝这个方向发展。”

RISC-V安全的未来
仅仅修补安全是不足以让RISC-V成功的。但是，如果RISC-V要用于更主流的应用程序，安全性将是一个必要条件。

OpenHW的O 'Connor说:“如果你能相信我的东西，但你不能相信你的东西，我们将无法部署所有这些智能和智能物联网边缘连接设备，这些设备具有我们谈论的AI和ML的所有好处。”“一旦有了这种更好的安全等级，那么作为一个集体，我们就会对我们试图服务的社区造成伤害。”

Riscure的Fern表示，好消息是RISC-V的开放性有可能极大地提高安全性。她说:“有很多机会可以从头开始创建具有安全属性的实现，例如增加对错误注入攻击的容错性，并以比其他闭源商业选项更灵活的方式集成来自研究社区的新思想和技术。”

部分挑战在于如何让各种规模的公司接受这一理念。“在每个公司内部，都有一些人认为开源硬件作为一个概念已经准备好了，现在是时候开始弄清楚工作流程将如何运作，以及在公共领域合作开源项目意味着什么，”O 'Connor说，“但与此同时，也有同样强大的——甚至可能更强大的——队伍或阵营认为这完全是一派胡说。”

奥康纳说，应对这种情况的最佳方式是让作品自己说话。“实现和存在证明对于持怀疑态度的硬件工程类型大有帮助，”他说。“从根本上说，这个行业的基础是证明你的设计可行，然后将其投入生产。作为硬件工程师，我们接受的训练是，在我们同意之前要有存在证明。”

这不可避免地需要时间。“Acorn，然后是Arm，甚至x86，这些都不是一夜之间发生的，”奥康纳说。“相对而言，RISC-V架构的推出，以及与这些设备相关的数量，实际上发展得相当快。这不是一个一两个季度的问题。年了。”

尽管如此，贝恩斯表示，对于任何考虑RISC-V但不确定生态系统是否准备就绪的公司来说，总是有理由推迟。他说:“如果你有一个将受益于RISC-V的工程项目，你应该现在就开始考虑。”“或者你可以等上两三年，然后发现你的竞争对手在这段时间里已经推出了两代项目。这对你有什么影响呢?”

相关的
RISC-V推向主流
开源处理器核心开始出现在异构的soc和包中。
半导体工程RISC-V知识中心