使puf更加安全

由于安全性已经成为大多数系统和硬件的必备条件信任的根源(hrot)已经开始出现在许多芯片中。对于HRoT来说，验证和创建密钥的能力至关重要——理想情况下，从一个不可查看和不可变的可靠来源创建密钥。

at的联合创始人兼CTO Jason Oberg表示:“我们看到信任的硬件根源部署在两种使用模式中——为安全启动系统提供基础，并为SoC的最终用户提供安全的飞地。龟岛的逻辑．“用例包括存储生物特征数据、客户编程的加密/认证密钥和唯一id。”

这些密钥和id就在这里物理上不可克隆的函数(PUFs) excel。但是今天，广泛应用的PUF技术只有一种。新的系统已经准备好用于商业用途，它们利用了新的熵源。甚至还有更多的人处于研究阶段。

新发现的物理现象为利用熵开辟了新的途径。传统的puf依赖于制造熵的变化，而一些新的puf利用量子现象。但是“量子”这个词与PUF联系在一起可能意味着不同的东西，所以理解这些熵源是如何工作的可能会有所帮助。

id和密钥
puf主要用于两个应用。最古老的是作为身份验证的ID来源。更新的应用程序用于生成用于安全通信的密钥。

Crypto Quantique联合创始人兼首席执行官Shahram Mossayebi说:“今天的情况是，该行业使用信任的硬件根来生成一个密钥，他们只是将该密钥用作身份。”

在PUF中同时使用这两种方法是有价值的，但这两种用法虽然相似，但具有不同的特点。特别是，对于身份验证，如果只是询问ID，那么响应中的少量泔水可能是可以接受的。如果它被用作密钥，无论是不对称的还是对称的，它都必须完全正确，因为任何一个比特错误都会导致完全失败。

Oberg说:“好的身份验证是使用一种形式的公钥(非对称)密码学，因此身份验证密钥的唯一性与用于加密的密钥同样重要。”

精度很重要。Crossbar总裁马克•戴维斯(Mark Davis)表示:“如果你使用的加密密钥只有一个比特错误，你就会得到完全的垃圾。”因此，密钥生成应用程序倾向于使用纠错码(ECC)来确保稳定性。

硬件根源信任的重要性
hrot通常被视为稳定安全性的最佳方式。“最好的做法是将任何安全或隐私信息绑定到设备中的HRoT上，”的安全IP架构师Mike Borza说Synopsys对此．“作为一名设计师，你要对委托给你的信息负责。”

不同的系统可能有不同的安全级别。“在我们使用的一些嵌入式应用程序中，简单的分区或能够在信任根子系统中工作的想法就足够了，”at的产品营销总监George Wall指出节奏．

缺乏安全意识甚至可能阻碍系统连接到互联网。Mossayebi说:“我们和一些工业领导人谈过，他们甚至没有把他们的工厂连接到任何东西，因为害怕网络攻击。”

史蒂夫·汉纳，杰出的工程师英飞凌，强调了这对于总体安全，特别是安全域的重要性。“多年来，我们已经认识到，安全不是你以后可以强加的东西。你必须把它设计进去。你希望有一个安全的领域，在那里你可以保存像加密密钥这样需要长期保护的东西，”他说。

这反映了提供最强有力的实际安全的持续愿望。“我们面临的挑战是要建立一种环境，即使是硬件安全人员也会说，‘我相信它，’”at的防伪产品技术总监斯科特·贝斯特(Scott Best)说Rambus．

研究熵
虽然随机性(官方称为熵)显然是PUF应用程序的目标，但它必须是正确的随机性。理想的情况是，给定两个不同的设备具有相同的实例化PUF，它们将以完全不可预测的方式具有不同的输出。

然而，对于一个给定的设备，你不需要熵。理想情况下，您希望同一设备每次都以完全相同的方式读取。考虑到用于PUF的许多现象的微妙性质，往往有与PUF的任何给定读取相关的噪声，因此噪声必须是可移除或可纠正的。最后，我们的目标是在给定设备上获得一致的、可重复的、绝对非随机的响应。

PUF的挑战在于获得尽可能完美的随机性来源。大自然可能会提供一些好的来源，尽管有人说，即使这样，“完美”熵也需要“隐私放大”。

“在自然界中，没有任何来源是完全随机的，”Intrinsic ID的首席执行官兼创始人皮姆·图尔斯说。“事情可能看起来非常随机，但对于加密目的，我们需要随机的平方，你需要非常可靠的随机性。即使你有一个几乎完美的来源，这也不够好。隐私放大随机提取器将一个几乎完美的源变成完美的源。”

为了保持尽可能高的重复性，稳定的信号源往往必须伴随着各种纠错技术。这可能会增加读取PUF所需的毫秒时间。

熵的量子?
当涉及到随机性的良好来源时，在这个过程中调用量子力学是很诱人的。事实上，这个术语本身就会引起不确定性和决定论的缺乏。在量子计算机的背景下，当它们能够破解使用传统方法保护的通信时，这听起来就更加重要了。

但是绝大多数puf利用制造变化，而不是量子现象来计算熵。虽然这些可能不是真正意义上的随机，但非常微小的物理差异会被放大，而足够多的这种差异可以提供足够大的熵场。这样做的好处是每次读取PUF时都可以得到一致的响应，假设噪声得到了适当的处理

也就是说，即使量子也不是完美的。量子效应可能不可能精确预测，但它们是有概率的。虽然所有的量子结果都是可能的，但它们并非都是等概率的。

量子论点的本质是，由于元素植根于量子力学，计算机算法无法计算给定设备的PUF输出可能是多少。这样钥匙就不会被破解了。

但如果没有工厂分析，算法也无法确定给定设备中制造变化的准确组合。量子并不具备优势。事实上，这可能会使在设备中获得可重复的响应变得更加困难。

要理解如何将量子源驯服为可重复性，了解PUF登记的概念会有所帮助。

注册是一个制造步骤，有三件事可以发生。首先，可能需要执行一些物理步骤来激活熵源，比如形成步骤。其次，可能需要对单个设备的PUF进行表征，以确定哪些位是可靠的或改善熵。为了建立存储在PUF中的所谓的“辅助数据”，这在今天很常见，这有助于消除噪声。

注册时发生的第三件事是密钥可以存储在云的某个地方的数据库中，以便将来当设备进行身份验证时，它的合法性可以得到证明。

真正的量子熵源可以通过在注册时重新读取PUF来处理。然后可以对检测到的响应进行“强化”或“冻结”，以便在未来的所有读取中始终读取正确的数字。通过这种方法，量子现象在设备的生命周期中只使用一次。唯一的例外是，有可能在量子PUF的整个生命周期内“刷新”或“更新”它，这在利用制造变化时是不可能的。

熵源的例子
虽然目前有一种占主导地位的PUF机制，但在研究和商业化过程中也有几种。看看其中的一些可以提供熵从何而来的例子。

内在ID使用SRAM上电状态作为熵的来源。我们的想法是，每一位都可以变成1或0，并且，给定一个足够大的数组，你会得到相当好的熵。驱动这种熵的机制是制造变异，因为这是一场决定双稳位元的哪一边先稳定下来的比赛，而细微的变异会影响哪一边赢得这场比赛。

这与蝴蝶电路类似，蝴蝶电路是目前fpga上可用的一种新方法。它是由逻辑而不是存储单元创建的，但它也是双稳态的，制造的变化驱动熵。

图1:在FPGA中实现的蝶形电路。来源:内在ID

穿隧电流
Crypto Quantique的新进入者利用隧道电流。隧穿是一种量子现象，广泛应用于存储器，包括闪存和MRAM。这个想法是，如果绝缘层足够薄，就有可能有一些电子穿过屏障，产生小电流。

图2:两个晶体管与薄栅极氧化物并联，可用于隧道。差分方法使用电流差作为输出，这也有助于防止DPA侧通道攻击。来源:Crypto Quantique

电流对隧穿势垒的厚度呈指数级的敏感，因此势垒厚度的微小差异将被放大成电流的巨大差异。如果有大量这样的隧道路径，这就变成了熵的来源。

这可能会令人困惑，因为隧穿是一种量子现象。但是隧道本身并不是熵的来源;这是读取机制。势垒厚度驱动熵，而熵是由制造变异驱动的——即使使用量子技术来读取它。

Crypto Quantique公司声称，隧道技术的使用使得该设备即使是量子计算机也无法破解，因为这是一种量子效应。然而，目前还没有任何技术上的理由可以证明，将恰好使用“量子”一词的两种事物联系在一起。

这是使用电流来确定值的几种方法之一。在这个和其他几个，电流读取差分对。这使得黑客更难使用差分功率分析(DPA)，他们试图了解供电电流的微小变化是否与PUF读数中的1和0相关。通过这样做，每个大电流都匹配一个小电流，抹掉了差异，使DPA非常困难，如果不是不可能的话。

ReRAM细胞
另一种current-reading方法使用电阻随机存取存储器(ReRAM)细胞作为熵的来源，至少有三个这样的细胞。ReRAMs的工作原理是在薄电介质上施加电压以产生灯丝，将高阻路径变成低阻路径。形成灯丝的过程可以用来计算熵。

Crossbar的一种方法是观察一对细胞之间的纤维起始。当试图编程两个电池在一起，一个电池将开始在另一个之前进行。这个差异是输出的基础(使得这个方法是抗dpa的)。

图3:一个ReRAM单元，说明了编程后提供传导的灯丝。灯丝的起始与熵有关。来源:横梁

产生灯丝的机制是通过晶格中原子的相互作用产生的，这使得它成为一种可能的量子现象。

Crossbar首席技术官Sung-Hyun Jo表示:“ReRAM的开关行为本质上是随机的，因为它更像是量子力学的东西。“我们正在形成一种原子导电灯丝来开关设备。这涉及原子运动，一种量子或随机行为。”就其本身而言，这将使该机制变得非常不可重复。

这是通过在注册期间读取PUF以获得读数，然后将结果硬编程到ReRAM中来处理的。现在内存以非易失性方式存储代码。

Jo说:“ReRAM的优点是，与所有其他存储技术相比，它的开关电阻差异很大。”

因此，Davis说:“错误率非常低，足以让你直接把它作为一个键使用。”

使用这种方法使攻击者无法通过任何方式获取ReRAM内容变得至关重要。虽然攻击看起来像是通过网络远程进行的，但Hanna强调说:“这可能是一次本地攻击，攻击者拥有设备的物理所有权。他们试图破门而入，从中拿走一些东西，比如你的钥匙。”

Crossbar表示，他们曾试图让人拆掉一个骰子，确定哪个细胞处于哪种状态，但到目前为止，还没有人成功。戴维斯说:“我们把这个设备交给一个被拆除的房子，让他们试着分辨甚至是加固过的1和0，但他们做不到。”

另一个研究项目[1]使用了一个ReRAM单元的3D堆栈，使用读取电流和泄漏电流作为熵的来源。如果电池都处于高电阻状态，则读取电流很小，但将该电流与3D分层阵列提供的许多泄漏路径结合起来，就可以获得所需的熵。这些电流是制造变化的函数。

第三种ReRAM方法来自同一个团队[2]的另一个项目，它利用了不同的ReRAM现象。事实证明，如果您对ReRAM单元进行软编程，那么该状态将无法保持。当新生的灯丝消散时，它会放松回到原来的状态。这样做所花费的时间是随机的。

因此，当一个细胞翻转时，研究小组轻轻地启动一个计时器，直到细胞翻转回来为止。被测量的时间成为熵的来源。这很可能是一种量子效应，因为它也与灯丝的产生有关。这就需要在注册期间冻结该值。

OTP细胞
而另一个研究项目[3]发现了一个有趣的现象一次性可编程(OTP)细胞。OTP细胞通常有两种状态之一:打开或短路(反融合)。但该团队发现了另一种状态，他们称之为“电介质熔断器”或“Dfuse”。如果他们使用一组特定的条件进行编程，电介质就会在其上形成一层离子(而不是垂直穿过它)。这阻碍了栅极在电介质上的作用。

他们发现在编程条件中有一个边界，在一边，他们会得到一个反引信，在另一边，他们会得到一个引信。这是一个高度敏感的边界，他们用它作为熵的来源。他们将这一来源归因于制造上的差异。

混乱
最后，还有另一种完全不同的商业化方法。它利用了混乱，没有更好的术语来表示熵。就像打了类固醇的环形振荡器。

环形振荡器是可能的PUF的一个原始例子，但它们还没有商业化。使用它作为基准示例，信号在环上运行，以制造变化为该设备规定的任何速度引起振荡。值得注意的是，给定一个足够长的环，信号的状态稳定为数字1和0。

Verilock的这种新方法构建的网络不是用逆变器，而是用异或门连接，看起来很杂乱。当启动时，电路振荡或变化如此之快，以至于大多数门保持在线性状态，永远没有机会完全饱和到1或0。这种混乱的行为可以无限地持续下去，永远不会建立一个长期稳定的状态。

图4:一个无序进化的网络，永远不会稳定下来。延迟线决定何时对输出进行采样。ABN代表自治布尔网络。来源:Verilock。由Noeloikeau Charlot等人创建，改编自“作为物理不可克隆函数的混合布尔网络”中的图1。

在这种情况下，一种设备与另一种设备的区别在于制造差异。然而，面临的挑战是，在这样一个疯狂演变的系统中，你如何读取一个状态?他们发现，如果他们在阅读前等待一定的时间，他们可以得到一致的结果。

启动条件对电路状态如何演变至关重要。这些条件可以作为挑战，相关的读取器提供响应。如果有一个足够大的领域，这就会产生大量的挑战/响应对。

第一个可用的强PUF?
Verilock的方法引发了“弱”与“强”puf的讨论。弱puf只有一种或几种反应。到目前为止，所有的商用puf都是弱puf。

强puf有大量的响应，这些响应与特定的输入条件相关。

到目前为止，还没有成功的强大puf的原因是机器学习算法已经确定了预测挑战反应的模式。所以它们没有进入生产环境，因为毫无疑问，攻击者会试图利用这个弱点。

这是一个不可避免的事实的例子，无论你在保护一个系统方面做了什么努力，肯定会有人试图绕过它。“一旦你修好了什么东西，其他人就会想出一些巧妙的东西，然后(尝试一下)，”巴黎大学的研究员加金德•帕内萨(Gajinder Panesar)表示西门子EDA．

Verilock的方法具有强大PUF的特征。Verilock的总裁兼首席执行官吉姆•诺瑟普表示:“在注册期间，只需几秒钟，你就可以剥离出100万个挑战/回应对。

那么，问题是，它的反应是否也表现出某种模式。Verilock说，到目前为止，它的混沌方法已经阻止了学习一个回应词的几个比特。Verilock联合创始人丹•戈蒂耶(Dan Gauthier)表示:“我们已经对我们的PUF进行了机器学习攻击，我们能得到的比特数与完美熵的差值非常接近。”

Verilock的首席科学家Andrew Pomerance说:“大多数机器学习攻击会说，‘好吧，我要读取100万、10亿——不管一个PUF有多少响应位——然后尝试预测对未见挑战的响应位。“但我们已经开发了一个框架，使我们能够考虑一个更复杂的对手，有人会购买1000或10000个设备，并使用从其他部分了解到的数据来试图破解目标设备。”

Verilock计划向社区发布其“攻击”，以允许其他人尝试破解PUF。如果PUF能抵抗这些攻击，这可能是第一个可用的强PUF。

图5:不同PUF技术的总结，它们的熵源，无论是由过程变化还是量子驱动，以及PUF的类型。资料来源:Bryon Moyer/Semiconductor Engineering

puf正在兴起
puf花了几十年时间才取得商业成功。随着新型puf的出现，人们可能很容易认为，也需要几十年的时间来证明它们的价值。然而，事实可能并非如此。

首先，这种延迟在很大程度上是因为早期需求不足。考虑到任何连接到互联网的设备都需要安全性，现在的需求要强劲得多。

除此之外，还有安全领域众所周知的怀疑。新想法要经过长时间的严格审查，才能让每个人都同意这些想法像听起来那样好。需要多少审查取决于安全设备的目的。例如，新的加密算法面临着非同寻常的审查。

然而，在puf的情况下，如果您试图做的只是生成一个ID或一个键，那么您试图说服社区的大部分事情是您已经获得了一个很好的熵源。NIST有一系列测试来证实这一点。例如，Crossbar表示它已经通过了这些测试。

其他特性也很重要，尤其是电路尺寸(以及成本和功率)。由于这些新设备面临着严峻的市场考验，其中一些很可能会成功。但这可能不需要几十年的时间。

- Ed Sperling对本文也有贡献。

参考文献
[1]”一种具有8层堆叠垂直ReRAM和0.014%误码率的抗机器学习3D PUF，用于物联网安全应用杨等，中国科学院微电子研究所浙江实验室，工业和信息化部第五电子研究所，复旦大学，IEDM 2020
[2]”一种基于氧化物的随机短期记忆时间的嵌入式应用PUF杨等，中国科学院微电子研究所浙江实验室，工业和信息化部第五电子研究所，复旦大学，IEDM 2020
[3]”一种新的一次性可编程存储器互补结构及其物理不可克隆功能(PUF)和一次性密码的应用王等人，国立交通大学，国立中央大学，UMC, IEDM 2020

相关的
PUF知识中心
All-In-One Vs. Point Tools For Security
安全是一个复杂的问题，没有什么是永恒的。
理解puf
是什么推动了物理上不可克隆功能的复兴，以及为什么这项技术如此令人困惑。
为什么保护芯片如此困难和昂贵
威胁正在增长和扩大，但什么被认为是足够的，可能因应用程序或用户而有很大差异。即便如此，这可能还不够。