中文 英语

你的SoC有多安全?

受欢迎程度

俄罗斯联邦警卫局(Russian Federal Guard Service)决定恢复使用打字机(这种机器会留下独特的机械指纹),这很好地表明,在一个由电子产品和普遍连接主导的世界里,安全问题已经变得多么严重。

但不太明显的是,在复杂芯片内部、芯片和电路板之间以及物联网芯片之间,SoC级别的威胁正在不断增长。过去,安全问题几乎完全由操作系统和网络管理员来处理。不了。第三方IP中未知的数量、子系统之间的交互以及安全与不安全设备之间的网络已经打开了一个充满威胁和潜在威胁的潘多拉盒子。

从好的方面来看,安全风险为工具供应商提供了巨大的新机会。从不利的方面来看,它可能会对芯片设计、集成、性能甚至功耗产生影响。

人身威胁
涉及到soc时,有两个不同的安全威胁领域。一种是功能性攻击——一种中断芯片的正常功能以获取数据或简单地关闭芯片的攻击。第二种是物理上的,这可能包括磨掉封装,将芯片放在电子显微镜下,并在不同的部分插入探针,以确定哪里有可以中断的模式。

根据恩智浦首席安全技术专家Mathias Wagner的说法,物理部分涉及三种不同的方法。其一是逆向工程。在分解成一层后,黑客会在芯片上拍摄每个结构的照片,然后重建这些图像。

他说:“一旦你在设计中找到一个你想要敲击的点,你就可以用针和探针进去。”“你也可以使用类似激光指示器的设备扫描电视显示器上的芯片,找到弱点。因此,如果你知道芯片应该执行的指令,而你执行了不同的指令,你可以确定pin号是否正确或哈希值是否正确。如果答案跳过了,你可能会发现自己进入了代码中不应该出现的部分。”

第二种方法是在芯片启动时接入嵌入式代码或其他级别的软件。例如,这使得黑客可以将时钟从内部时钟改为外部时钟,并将执行速度降低到他们选择的任何速度。第三种方法是跟踪功耗或辐射,并将其与芯片的工作相关联,然后运行对照组测试来确定发生了什么。

瓦格纳说:“真正的挑战是,当芯片处于恶劣的环境中时,它没有机会与母舰对话,说它受到了攻击。”“多核让它变得更加复杂。”

多状态、模式和能量岛也是如此。随着更多第三方和重复使用的IP,通常会有更多的电压,更多的内存,以及更复杂的整体。

亚特兰大市首席技术官伯纳德•墨菲(Bernard Murphy)表示:“曾经的特殊担忧,正在演变成许多非常重要的主题。”“其中一种是被动攻击,你可以通过电源供应或电磁排放来分析发生了什么。如果你做电磁监测,你可以看到事情发生时的波动,也就是数据进出的地方。第二个领域涉及密码学。一次破解256位可能需要时间,但你可以一次破解20位。”

还有一种全新的特洛伊木马正在被创造出来,以唤醒并控制电路。虽然软件木马是恶意软件中众所周知的问题,但硬件木马却鲜为人知。实际上,他们已经将安全威胁从软件黑客转移到了电气工程师身上,后者知道如何切断芯片电源或传输安全密钥。

墨菲说:“这与通常从互联网上下载的软件木马不同。”“硬件木马被预先加载到设计中。这为EDA提供了发现这些木马的新机会,因为在正常测试中不应该激活木马。但是要拥有一个安全的系统,你真的需要专注于从架构到打包的最终项目的设计,甚至超越这一点。这对离岸外包和成本优化具有重大影响。”

功能的威胁
在这一点上,复杂SoC中潜在安全漏洞的数量基本上是未知的。威胁不是来自单个部件,比如购买的IP或子系统。更多的是关于SoC是如何组合在一起的,哪里会出现意想不到的弱点,以及增加了多少安全性来阻止黑客。这通常属于安全的功能类别,这为验证团队增加了另一件需要担心的事情。

Mentor Graphics董事长兼首席执行官Wally Rhines表示:“我们一直在使用验证来证明设计符合预期。“更困难的问题是证明它没有做它打算做的事情。这是EDA的问题,它涵盖了从硬件到嵌入式软件到IP的整个食物链。”

不过,很明显,客户越来越担心这种风险。
“客户向我们介绍了安全的概念,”Jasper Design Automation的营销副总裁奥兹·莱维亚(Oz Levia)说。“他们描述的问题是,芯片上有一个安全区域,可以安全地存放读写密钥或加密密钥。如果它们被破坏,就会导致泄密。但是仍然需要一些方法来更新数据和读写。他们想要验证数据只被预定的来源写入和读取。挑战在于,即使在错误的描述下,也要确保数据保持完整。你也不希望安全系统因为他们重置时钟或用高压短路而归零。”

对于EDA来说,这在系统设计和验证方面都带来了许多机会。“我们从客户那里得到的信息是,他们需要更高程度的信心,”莱维亚说。“几乎每个SoC制造商都需要存储、修改和读取一些数据集。那些在边界上的人总能找到一种方法来操纵数据。所以光看信任区是不够的。你需要扩展到芯片的边界。”

这个问题也不仅仅局限于设计的数字部分。SoC的任何部分都无法幸免。Synopsys混合信号PHY IP高级产品经理Manmeet Walla表示,用于安全(高带宽数字内容保护)的HDMI标准在2010年被破解,主密钥被公布在互联网上。必须制定一种新的标准来取代它。

“问题涉及数字版权管理,因为它从机顶盒转移到电视,”Walla说。“如果密钥被黑了,你可以免费看电影。解决这个问题的唯一方法就是为它设计一个软件狗。”

系统级安全
但是,建造额外的硬件、添加噪声来伪装信号、创建电路以保持功率恒定或防止篡改以关闭芯片远不是一件容易的事。它既花钱又增加了设计的利润,因为额外的利润已经在性能和功率上受到了影响。结果是,更多的人早在初始架构时就开始考虑这个问题。

很难说安全的潮流究竟是什么时候发生变化的。20世纪90年代中期,随着互联网的普及,从实物盗窃(如现金或文件)到通过软件和网络的虚拟世界的转变发生了,在过去的18到24个月里,它已经转移到芯片级硬件,可以解锁存储在软件中的数据。芯片行业才刚刚开始意识到这个问题的严重性。

当然,其中一些仍然可以通过软件来控制。芯片上的系统有自己的嵌入式软件。

“我们才刚刚开始真正思考这个问题,”Cadence研究员克里斯·罗文(Chris Rowen)说。“随着复杂性的扩大,没有人拥有所有的模块。那么,系统架构师是否了解所有的子系统,是否有一种好的机制来查看这些子系统?有一件事发生了改变,那就是我们开始把真正的操作系统放在芯片上。对于这些操作系统,你可以做出一个关键的区分,即这里有一些软件的部分是可信的,而其他任务在用户模式下运行。这是一种限制问题的方法。您还可以使用中央防火墙,以便只允许部分数据通过。通过虚拟化,您可以创建一个任务可以访问全套服务的假象,尽管它并没有。它仍然需要通过一个接口。”

其中一些还可以通过芯片的互连结构进行控制,无论是在SoC内部还是通过与外部世界的接口。“最重要的是,安全对越来越多的人更重要,”Sonics的CTO Drew Wingard说。“你希望做更冒险的事情来完成付款。内容所有者相信他们可以展示内容,尽管与旧录像带不同,数字拷贝是完美的拷贝。即使是特斯拉也会定期对仪表盘进行软件更新。所有这些高度关联的东西都更容易受到攻击。”

结论
认识到存在安全问题,并且现在涉及到硬件,这是一个很好的起点。每年大约有100篇关于攻击和嵌入式安全的学术和技术论文提交。问题是,开发一款芯片和软件需要数年时间,这意味着芯片制造商起步落后。

最重要的是,假冒组件可以通过内置的“后门”或嵌入的恶意软件潜入分解的供应链,这种情况已经发生过。但安全一直是一种越级游戏。真正的挑战是哪里是实施它的最佳地点。

“未来的方向是通过设计实现安全,而不是通过模糊实现安全,”恩智浦的瓦格纳说。“再把东西藏起来,希望没人发现是不够的。人们才刚刚开始意识到这一点,并开始意识到更广阔的前景。”



留下回复


(注:此名称将公开显示)

Baidu