解决安全相关的硬件缺陷设计vulnerability-free IPs和芯片是至关重要的。
一个弱点是什么?我们为什么要关心呢?这些问题可能在任何领域或相关上下文你可能想到的,远远超出工程或电子产品。虽然在某些情况下一级的答案可能是显而易见的,在很多人他们不是。一般来说,缺点是不好的事情,会导致故障,伤害,和其他不受欢迎的情况。在许多情况下,他们可以减轻或消除。像往常一样,有挑战。首先,我们需要识别的弱点。值得庆幸的是,许多弱点往往是已知的和良好的文档记录。大多数人经常练习体育知道弱核心肌肉损伤的概率增加,例如。 Secondly, we need to decide whether it is worth dealing with them. Nobody likes injuries, no doubt. However, if you are an amateur like me, who likes randomly kicking the ball more than doing plank exercises, you may decide to take your chances. On the other hand, if you are a professional, I am sure your training and support team would not let you get away with that.
在硬件安全的背景下,弱点是一种错误,在适当的条件下,可能导致产生漏洞。ASIC的弱点可以期间推出的任何阶段和FPGA硬件开发过程,包括pre-silicon RTL编码等阶段,集成第三方知识产权(3点),合成,place-and-route,比特流生成。类似于功能缺陷,一个弱点可能潜伏。通常,一个硬件的故障导致故障只有在特定的工作负载。尽管错误,系统可能总是按预期工作,和一点点运气。如果您正在开发一个演示或大学最后一年的项目,它可能是可以依靠运气。致命的关键目标是消除所有错误。如果硬件组件进入一辆车,智能手机,云存储或计算基础设施,或智能冰箱,事情是不同的。汽车司机或手机用户不花几个月的努力工作或购买昂贵设备试图找到他们购买昂贵的产品故障的情况下使用。然而,坏运气是一个更现实的假设。 Hardware developers know it and use advanced verification processes to detect and eliminate issues as soon as possible. Unfortunately, when it comes to security weaknesses, the issues and consequences get even worse. Professional hackers, security researchers, and other very smart and creative people continuously try to find ways to breach security protections. In some cases, they may even use expensive equipment to achieve their goals. They love weaknesses and are experts in leveraging them. Ultimately, one or more weaknesses may cause a脆弱性这是被攻击者利用违反系统安全策略。
主教法冠推出了常见的漏洞和风险敞口(CVE)1999年公开目录列表使用标准化的描述已知的网络安全漏洞。如今,CVE漏洞是事实上的行业标准标识符。为了更好地支持早期发现频繁的已知漏洞的根本原因,斜接常见的弱点枚举(CWE),一个由社区开发的软件和硬件的弱点列表类型。与弱点,弱点没有关联到一个特定的系统或产品。以来,已覆盖软件弱点列表的第一个版本在2006年。由于角色的增加硬件安全性攻击的安全问题,在2020年增加了支持硬件的弱点。在写这篇文章的时候,列表包含87硬件的条目总共有1248。
CWE条目被组织在一个树状结构,并不是所有的条目都是实际的弱点。弱点,共同特点是分成类别条目,例如。值得注意的是,一个弱点可能属于多个类别。此外,弱点可能在不同级别的抽象描述。类类型的弱点非常抽象,通常独立于特定的编码语言,而基类型的弱点更具体。CWE条目从一个图标开始。把你的鼠标放在它显示相关提示,这解释了条目类型。所有硬件相关条目可以选择使用视图类型条目1194年。
消费电子连接我们的金融机构和支付系统。毫升/航空和汽车电子控制制动和转向安全性至关重要的功能。通信、数据中心,甚至廉价物联网设备可能过程高度敏感,私人数据。安全需求和保证流程必须所有这些应用程序的一个组成部分的硬件开发生命周期。
CWE提供了一个共同的语言和目标IP列表并集成电路(IC)开发人员,和电子设计自动化(EDA)工具厂商。OneSpin提供认证集成电路完整性保证解决方案覆盖功能正确性、安全性和信任和安全。在这个整体看来,OneSpin安全保证目标一致源于CWE与强大的技术和验证方法。较低的很多弱点能被探测到的努力通过RTL模型的自动化分析。利用高容量正式引擎和其他技术,OneSpin也可以详尽证明缺乏某些弱点,仿真和基于模拟的开发技术不能实现。自动检查分析有限状态机(FSMs)可以使检测问题拒绝服务(DoS)攻击通过死锁(cwe - 1254)。许多安全流问题(cwe - 1196),包括修改或泄漏的安全资产未经授权的代理(违反数据机密性和完整性),也通过自动发现,详尽分析信息流的路径。没有非法特性(cwe - 1242),包括隐藏的处理器指令和剩下的调试后门,可以证明使用OneSpin GapFreeVerification解决方案。一个完整的列表,请联系OneSpin产品经理的信任和安全约翰Hallman。
我邀请你去看一看的信任和安全术语表,下载白皮书信任半导体ip和ICs的保证和安全验证,加入LinkedIn组ISO / SAE 21434汽车网络安全。当然,不要错过下一个6分钟的安全博客!
|
|
|
|
|
|
|
|
留下一个回复