中文 英语
知识中心
导航
知识中心

半导体安全

保证数据安全的方法和技术。
受欢迎程度

描述

从汽车到数据中心,人们对芯片安全性的担忧日益加剧,正以各种方式推高电子系统的成本和复杂性,有些是显而易见的,有些则不那么明显。

直到最近,半导体安全更多地被视为一种理论威胁,而不是真正的威胁。政府当然担心对手通过硬件后门(通过第三方IP或全球供应链中的未知因素)控制安全系统,但除了安全启动和验证固件的能力外,芯片行业的其他部门通常很少关注。但随着先进的电子设备被部署在汽车、机器人、无人机、医疗设备以及各种服务器应用中,强大的硬件安全性正在成为一种需求。它不能再被视为一个“拥有就好”的功能,因为IC泄露会影响安全,危及关键数据,并影响副业,直到损害得到评估和威胁得到解决。

许多公司现在都在问的一个大问题是,多大程度的安全才足够。答案并不总是明确的,而且常常是不完整的。充分的安全性是基于端到端的风险评估,当涉及到半导体时,公式既复杂又高度可变。它包括在同一市场上从一个供应商到下一个供应商的波动因素,以及同一供应商从一个芯片到下一个芯片的波动因素。

这种日益增长的担忧在很大程度上可以与数据价值的上升相对应,数据价值的上升往往伴随着汽车、医疗、AR/VR、AI/ML以及内部部署和基于云的数据中心的新的或不断扩大的市场机会。这在成长中是显而易见的大数据和商业分析市场据Allied Market Research的数据,美国的市场规模预计将从2020年的198.8亿美元增长到2030年的6841.2亿美元,年增长率为13.5%。还有更多的数据需要处理摩尔定律由于动力不足,芯片制造商和系统公司正在围绕新架构进行创新,以更低的功耗优化不同用例的性能。这使得确定每个应用程序可接受的安全级别变得更加困难。

“它的变化很大,”史蒂夫汉纳,杰出的工程师英飞凌.“攻击者通常不会花100万美元来换取1000美元的回报。但是也有一些攻击者愿意这样做,尽管他们往往是出于其他目的——政府间谍活动、恐怖主义,甚至是人们对某人进行报复。你不能总是假设没有人会费心去攻击某件事,因为也可能会有间接的攻击。比如说,为什么会有人想黑我家的灯泡?一个答案是,它可以成为他们僵尸网络军队中的一个机器人,然后他们可以把这个僵尸网络军队出租给其他人。然后你就会受到来自一百万个不同点的攻击,从而导致服务器瘫痪。”

许多攻击都是可以预防的,或者至少可以通过重新启动系统来修复。但这些行动是有代价的,包括一些不明显的代价。主动监控芯片以识别异常活动需要电力,这反过来又会缩短手机或智能眼镜等移动设备或起搏器等植入式医疗设备的电池寿命。它还会影响设备的性能,因为它需要额外的电路来确保芯片的安全——基本上相当于防护带,但很少或没有硬数据来证明它的有效性。

在IC中构建安全性也会使设计更加复杂,这反过来可能会增加特定设计所特有的其他漏洞。芯片架构师和设计团队需要了解每一项安全措施对数据移动和捕获的影响,以及eco的影响,以及实现签字所需的其他最后一刻更改。

在过去,这是次要的考虑因素,因为大多数攻击都发生在软件上,可以远程入侵。但随着越来越多的硬件连接到互联网和其他硬件,芯片现在成了人们关注的焦点。与软件不同,如果攻击者获得了对硬件的访问权,系统可能无法重新启动。

汉纳说:“向攻击者建造和出售工具是一种完整的业务。“他们有技术支持、文档和销售代表,还有一整套工具和图形用户界面来发动攻击。通常,这些行动都是在没有引渡条约的地方进行的。”

即使一个设备一开始是安全的,这并不意味着它在整个生命周期内都是安全的。这在基于推测执行和分支预测的漏洞中变得明显,这两种常用的方法在发现之前提高处理器性能崩溃幽灵,预示着.现在,随着复杂的设计进入汽车、医疗和工业应用领域,它们预计将使用长达25年,安全需要良好的架构和足够的灵活性,以应对未来的安全漏洞和更复杂的攻击载体。

“例如,如果你正在制造网络设备,这不仅仅是芯片或软件的问题,”英特尔首席执行官Andreas Kuehlmann说龟岛的逻辑.“他们的盒子将在那里存在几十年。在产品生命周期内维护产品的总成本是多少?这个成本反映了我的成本,我强加给客户的成本,以及发生事故时的成本。汽车行业尤其明白这一点,因为他们把记录视为业务的一部分。他们把风险管理提升到了无人能及的水平。”

对于汽车行业,以及越来越多的医疗行业,数据泄露可能在多种方面造成极高的成本,从客户对品牌的信心,到基于硬件安全性不足而导致伤害的责任。“安全对安全有间接影响,”Kuehlmann说。“安全是一个非常容易理解的过程,但它也会引发一些商业问题。我的负债是多少?召回的成本是什么?它还会影响隐私,尤其是医疗记录。这也会对商业产生直接影响。”

图1:设计阶段的芯片固定。来源:Tortuga Logic
图1:设计阶段的芯片固定。来源:Tortuga Logic

而这仅仅是个开始。这些都是相对容易理解的威胁模型。在芯片安全方面,其他行业领域远没有这么复杂。随着越来越多的设备相互连接,通常在不同的行业领域相互交叉,所有设备的威胁级别都在增加。

安全性设计
降低潜在硬件泄露的风险需要对芯片架构有深刻的理解,包括从数据移动和数据存储的分区和优先级,到各种混淆技术和活动监控。把所有这些都做好是一项复杂的工作,而且往往没有明确的回报。难以破解的芯片可能会阻止攻击者,最好的结果是没有任何异常发生——这可能会让公司质疑为什么要花费必要的精力和金钱来保护设备。

反过来,这往往会灌输一种错误的自信感,并导致糟糕的安全选择。“很多时候,人们使用普通的应用程序处理器来运行加密或安全算法,”at的反篡改安全技术主管斯科特·贝斯特(Scott Best)说Rambus.“所以他们在不安全的处理器上运行安全算法,这是安全故障的标志之一。处理器是优化的,就像任何其他电路。您可以根据功率、性能或安全性对其进行优化,如果认为您可以在不关注它们的情况下意外地获得这三种好处中的任何一种,那就过于乐观了。这些事情都不是偶然发生的。”

一些芯片制造商、各种组织和政府机构开始意识到这一点。微软公司信任与安全产品经理约翰·霍尔曼说:“安全问题通过多种不同的方式渗透到产品设计中。OneSpin,西门子的业务.“这真的越来越成为一个需求驱动的过程,这很好。它正在走向最初的发展阶段。我不会说我们已经完全做到了,也不会说整个系统都是根据系统中将要包含哪些处理器或组件来考虑的。但我们开始至少建立一些威胁载体的表象,以及如何尽早解决感知到的威胁。在最初的保护中有一些尽职调查,这为你在这个阶段取得最大的成功奠定了基础。然后在你进入设计阶段的过程中,你可以继续评估,在你的前端设计中,你正在做某种类型的HDL编码,你可以继续评估。因此,您不仅满足了规定的要求并设置了这些保护措施,而且现在您开始引入一些已知的漏洞。如今在硬件领域有很多报道。这些都是你可以检查和纳入你的验证过程的一部分。”

例如,由多个美国政府机构资助的MITRE发布了一份清单最重要的硬件弱点.在欧洲,欧盟网络安全机构(ENISA)发布了一份威胁景观对于供应链攻击也是如此。

这是一个起点。不太明显的是不同使用模型对安全性的影响。这对于越来越多的设备来说尤其如此,这些设备的一些电路总是开着,这是一种省电技术,可以让智能扬声器或监控系统等设备在需要时唤醒。

公司产品营销总监乔治•沃尔(George Wall)表示:“对于一台永远开机的机器来说,它在执行后台监控任务的同时,会尽可能少地消耗电力。节奏.“但它也容易受到未经授权的代码执行或其他类型的安全攻击。所以重要的是,当它启动时,引导它的代码是好的。要将其视为安全状态,需要哪些身份验证步骤?还有哪些资源需要保护,以防止在始终在线的处理器上运行未经授权的代码或行为不当的第三方代码?这些因素需要在一开始就考虑进去,因为之后很难硬塞进去。”

这些最佳实践在芯片设计中需要标准化,类似于测试设计和可制造性设计的出现。

Hallman说:“标准委员会一直在推动度量标准。“你可以看看你采取的保护措施的数量,你可以衡量的覆盖范围,以及代码段或某些产品的漏洞数量。所以我们至少开始量化我们正在研究的部分。我们还没到那一步。我们仍然需要确定哪些数据最有意义,以及我们测量的东西是否正确?这将会被研究一段时间。但至少当我们试图评估我们真正重视的安全时,我们开始使用更科学的实践。

图2:安全芯片架构。资料来源:美国国防部高级研究计划局
图2:安全芯片架构。资料来源:美国国防部高级研究计划局

Heterogeneneous挑战
随着芯片制造商越来越倾向于定制化和异构化,这一切都变得更加困难。随着设备扩展变得越来越昂贵,并且随着每个新节点的增加,功率、性能和面积/成本效益继续缩小,架构师已经开始将更多的组件打包在一起。这就带来了一系列涉及安全的全新挑战。并不是所有的组件都是天生安全的,而且并不总是清楚哪些组件在设计时考虑了安全性,因为许多定制加速器和IP块都是作为黑盒开发和/或销售的。

“如果你想要移动加载的数据,你想要处理这些数据,你想要数据是安全的,你想要它显然是通过正确的内存管理来处理的,诸如此类的事情,”Peter Greenhalgh说,at技术副总裁手臂.“你设计的任何硬件都依赖于下面的多个其他层。如此庞大的硬件增加了你构建加速数据的工具的难度。这有点像建造更大的城堡来操纵这些数据。所以你已经有了CPU, GPU,计算加速器,你需要让它们更大,性能更高,更灵活。如果你要尝试构造许多不同的更小的IP或更小的组件,以最有效的方式操作数据,这可能在学术环境中可行。但是当您进入消费者环境或商业环境时,您会意识到您需要Linux、虚拟化、安全性、调试、性能管理等。突然间,所有这些定制的加速器——它们非常出色,因为它们可以无缝地处理数据——趋向于不断增长。但你最好建造三到四个不同的城堡,足够灵活,能够应对我未来想要的所有不同方式。”

杰森·贝瑟瑞姆,产品线经理Xilinx的成本优化投资组合,指出了类似的担忧。他说:“当你将大量信号数据输入设备,然后再从设备中取出时,客户要求更多的多层次安全。”“我们必须能够加密输入的数据和输出的数据。我们可能会重新编程您的设备,并确保它来自一个经过认证的来源。最后,我们需要通过加密和IP盗窃保护来保护设备内部的IP,以及DPA(差分功率分析)阻力之类的东西。我们高端设备中存在的所有安全功能都需要在低成本的FPGA中提供。”

这里最大的挑战是在不牺牲安全性的情况下构建优化的灵活性,并在不消耗太多电量的情况下足够快地完成。Rambus的Best说:“你需要硬件保证软件运行正常。”“如果那样的话信任的根源是在一个有时开启的系统中,因为它是一个移动系统,当有东西需要注意时,它就会被唤醒,然后就会产生安全问题。对手总能弄清楚是什么唤醒了系统。如果系统需要唤醒并安全运行,这与你的手机所做的类似。它需要把自己转移到一个安全的执行地点。你必须找到从低功耗内存中保存下来的安全状态信息。它只是安静地闲置在那里,所以可以快速加载,现在你可以拥有一个安全的环境,而不需要经过整整一分钟的安全引导。”

人工智能系统增加了一个完全不同的复杂程度,因为它们的行为方式都不一样。事实上,这就是重点。这些设备应该对自己进行优化,以适应它们被设计用来处理的任何任务。这使得发现它们行为中的异常更加困难,而且当它们确实发生时,要对问题进行逆向工程,以真正弄清楚异常是由于不寻常的数据集或训练数据缺陷,还是对恶意代码做出了响应,这是极其困难的。

“你可以在人工智能中嵌入人们意想不到的行为,但这可以由发明它的人触发,”微软的安全IP架构师迈克·博尔扎(Mike Borza)说Synopsys对此.“你在训练数据中引入了这一点,这意味着你在调整神经元之间的连通性和权重——这些神经元如何对环境中的事物做出反应。很难理解训练数据会做什么。这一直是挑战之一。我们现在正在寻找方法来增强它的可观察性和可控性,并让这些设备提供关于它们如何做出决定的反馈,这样当它们开始表现不佳时,你就可以诊断它们。在这种情况下,很容易嵌入一些行为,这些行为可以由正确的输入集、正确的输入序列或正确的图像集合触发,并产生对手想要的行为,这对人工智能本身来说是不受欢迎的行为。”

向前和向后扩展安全性
更大的挑战可能是硬件设计的寿命。安全需要是端到端的,无论是在物理上的供应链,设计到制造链,还是在特定芯片或系统的整个预期生命周期内的现场。对于在世界不同地区生产的部件,通常由不同的公司生产,其中一些部件是黑盒的,这很难做到。如果期望芯片按照规格工作10年或20年,这将变得更加困难。

找到埃德·斯珀林的整篇文章“为什么保护芯片如此困难和昂贵”


多媒体

安全使用eFPGAs

多媒体

创建保持安全的物联网设备

多媒体

fpga和soc的安全性

多媒体

使用信息流分析保护ic

多媒体

寻找硬件木马

多媒体

人工智能安全漏洞

多媒体

熔解,幽灵和预示

多媒体

复杂性对安全性的影响

多媒体

HW安全

Baidu