中文 英语

下一个巨大威胁:制造业

第三个系列:额外电路,后门,流氓供应商。最大的安全威胁总是您无法控制的部分。

受欢迎程度

当涉及到安全问题时,“你只和你的合作伙伴一样好”这句商业格言应该成为做生意的核心原则。但对于一个复杂的SoC,你并不总是知道所有的合作伙伴,谁为他们提供了资金,或者更糟的是,他们还与谁合作或为谁工作。

考虑一下这样的场景:一群老练的小偷把一个SoC包的顶部研磨掉,插入探针来映射电流,确定是什么使某些芯片部分打开和关闭,以及所有可能的I/O配置,然后在市场上倾销一个价格过低的组件,以在该SoC中赢得一席之地。这些都是合法的。唯一的问题是这个组件有一个后门,它被放入了一个芯片中,出现在数百万的消费设备或销售点计算机中,甚至可能是战斗机内部的军事应用中。

这听起来像是好莱坞动作电影里的情节,但这种情况和类似的场景让很多人夜不能寐,担心他们什么时候会目睹这样的问题,以及它会产生多大的影响。

芯片开发中有四个主要领域是安全机构和公司特别担心的,在这一点上,所有这些领域的安全和工具都存在漏洞。

设计风险
来自小型和相对较新的供应商的第三方IP的增加引起了全球多个安全机构的关注,特别是在有很多初创公司和价格决定成功的市场。

Mentor Graphics公司系统级工程部门总经理Serge Leef表示,对于每个IP块,在将其纳入设计之前都要进行测试。“但没有人问这个问题,‘它还能做什么?’你必须调整你的工具,看看它是否能做不同的事情。”

这种额外的电路被称为潜伏细胞和木马,多年来一直存在,但在第三方IP激增之前,几乎不可能将其注入供应链。此外,以前的版本需要通过物理网络或软件激活。随着无线连接的普及,这不再是一个问题。更糟糕的是,越来越多的组件一直处于开启状态,并一直监听信号来唤醒芯片的其他部分。

Leef说:“恶意木马可以劫持一辆公共汽车或封锁一个企业的流量。”“但它也可以做更微妙、更难以察觉的事情。”

那些其他的东西才是特别可怕的。美国国防部意识到了这一威胁,在过去一年中发布了多份文件,对关键零部件供应商进行监管,呼吁所有机构对这些供应商进行审查,并确立了禁止供应商签订合同的权利,但没有说明原因。最新的是在这里

亚特兰大首席技术官伯纳德•墨菲(Bernard Murphy)表示:“政府和行业在这个问题上有着非常不同的观点。”“对政府来说,这是一个研究课题。对于工业来说,这是一个真正的威胁。这是很多人的头等大事。”

但即使是获得批准的政府承包商,管理他们获取信息的渠道也是一个棘手的问题,爱德华·j·斯诺登(Edward J. Snowden)泄露的机密文件就是明证。而持续不断的收购,尤其是在知识产权行业,只会让这一切变得更加艰难。

Cliosoft的首席执行官Srinath Anantharaman说:“大多数客户都关心他们为政府工作的秘密项目,只有一定数量的人被允许访问这些项目的数据。”“但它需要设置成其他用户无法访问这些数据。但情况并非总是如此。”

免费的电路
也许更难跟踪的是在SoC带出过程中增加的额外电路的威胁。这部分是由于芯片的复杂性。一块芯片上有数十亿个晶体管、多种电源模式、处理器和内存,我们不可能知道每个应该在那里的组件,也不可能识别出那些不是设计的一部分。

然而,由于晶圆代工厂被赋予了不言而喻的自由,以确保芯片可以以足够的良率生产出来,从而改善芯片制造商和晶圆代工厂的业务前景,这使得情况更加复杂。一款不高产的芯片会影响两家公司的利润,而一款成功的芯片可以为两家公司都带来财富。但是,当一家小型专业铸造厂在芯片中添加电路时会发生什么呢?

Mentor的Leef表示:“对于代工厂的一些操作,总是有一个微妙的界限。“但也有报道称发现了无法解释的硅结构。一种可能是,你得到的芯片在光学上看起来像普通芯片,但执行原始芯片的功能,甚至更多。

生产过剩
另一个风险是,晶圆代工厂生产的芯片不是1万个,而是2万个,剩下的都流入了黑市。这是公然的知识产权盗窃。这不是从芯片中窃取秘密,而是窃取整个芯片——数千或数百万个芯片——以及潜在的市场。

对于英特尔(Intel)等拥有自己晶圆厂的公司,或者台积电(TSMC)、联华电子(UMC)或GlobalFoundries等使用大型晶圆厂的公司,这种威胁并不特别严重。但有很多芯片是由较小的专业代工厂生产的,这些代工厂的制造控制并没有得到很好的监管。

公司不愿公开谈论这一点,但这是我们在本系列采访中采访的芯片制造商中提到最多的担忧之一。

测试
也许安全性和测试之间的联系是人们最不了解的,而且它是找到关于设计的有价值数据的又一个可能的地方——特别是如何以及在哪里保护这些数据。

ARM高级首席设计工程师Greg Yeric表示:“如果你通过扫描单元输入数据,你就能弄清楚内部安全机制。”“当你在测试IP时,你会发现这一点。当IP内容来自多个来源时,安全性更具挑战性。过去,你的所有知识产权都来自一家公司。现在你可以从多个第三方渠道获得信息。”

要查看本系列的第一部分,请单击在这里
查看第二部分,单击在这里



留下回复


(注:此名称将公开显示)

Baidu