硬件安全的新方法

半导体工程公司坐下来讨论了广泛的硬件安全问题和可能的解决方案，与Norman Chang，半导体业务部门的首席技术专家有限元分析软件；Helena Handschuh，研究员Rambus迈克·博尔扎(Mike Borza)是Synopsys对此．以下是那次谈话的节选。

(从左至右)诺曼·张，海伦娜·汉舒赫，迈克·博尔扎。图片:Paul Cohen/ESD联盟

SE:几年前，除了政府之外，没有人真正认为硬件是可行的攻击对象。但Mirai、Stuxnet、“预兆”、Meltdown和Spectre的出现改变了这一点。阻止这些袭击的最好方法是什么?

Borza:这是一个有趣的攻击范围，因为它涵盖了很多不同的东西，为了达到这个目的。像幽灵，熔解和伏影这样的微架构攻击必须在硬件的微架构中得到解决。它实际上是关于以一种非常一致的方式执行事情的过程，我们甚至开始看到方渠道通过非常基本的东西，比如缓存的结构和性质。这就产生了一些我们之前没见过的侧通道。但由于这是一个全新的领域，我们可以预期在相当长一段时间内会看到很多这样的袭击。在接下来的几年里，学术研究界将需要完成所有这些任务。要想杜绝这种情况，需要非常仔细的设计，而且要考虑到整个流程的安全性。然后在设计的每个阶段你都需要验证你已经解决了威胁模型中的所有威胁。如果不这样做，解决硬件问题是没有希望的。

Handschuh:侧通道攻击已经存在很长一段时间了，但现在的方法是基于微架构问题。这在某种程度上是新的。它们来自于投机执行之类的东西，你试图通过展望未来并尝试预测你接下来要做的事情来获得性能。因此，也许有一种方法可以让我们考虑在一侧使用一个单独的小型安全处理器，它将处理真正事关安全的安全操作——那些非常敏感的事情——而将需要高性能的系统其余部分留给处理不太敏感的问题。

常:侧通道攻击有多种形式，找到它们的方法也多种多样。您可以查看衬底噪声、电压噪声和热变化。您甚至可以查看每个实例的功率计算，在不同的级别中RTL，从系统级设计一直到布局。这是我们应该能够模拟的主要问题之一，而不是等到签名阶段，当你看到芯片回来时。通过测量，你可以看到安全设计的有效性。

SE:随着时间的推移，你也需要看看这个，对吧，因为可能会有潜伏的木马。其中一些可能几年都不会被唤醒，因此您必须在产品的整个生命周期内监视活动。

Handschuh:硬件木马一直是一个难以处理的问题。很难想出一个“黄金参考”，你可以比较事物，以确保你的硬件中没有这些木马。这是非常复杂的，因为没有办法得到这些好的参考。有一些关于如何处理这个问题的想法，但如果不分析设计本身，几乎把它拆开，以确保里面什么都没有，这是很困难的。目前还没有行之有效的方法。这绝对是一个大而开放的研究课题。

Borza人们提出了一系列有趣的解决方案。这包括对芯片进行逆向工程——本质上是对芯片进行一层一层的完整拆卸，并对这些层进行光学检查，重建晶体管级模型，然后再重建栅极级模型。然后你必须将它与前向生成的东西进行比较，通过合成过程进入后端设计。但当你开始谈论做这些事情时，它会对成本和分析的复杂性产生不可思议的影响，如果你要在实际发布产品之前完成分析，那么它会对上市时间产生不可思议的影响。这是一个非常漫长的过程通过逆向工程从头到尾在一个大的SoC，甚至在一个小型SoC上。芯片逆向工程公司几乎可以做任何事情，但你要花大价钱才能完成一大块芯片，这就是为什么人们用这些公司来研究很小的一部分。如果他们想查看特定的接口、逻辑，甚至I/ o的物理设计等等，以查看是否违反专利，这与从头开始重建一个大型SoC是完全不同的任务。这只是一种方法。其他一些方法是基于监控，寻找功率分析的变化，以表明某个部件没有被设计成活动，这表明那里有一些你不知道的东西。这是人们正在采用的一种方法，它使用了很多从侧信道分析到检测技术的技术。

常当前位置我只想提一下我去年听到的一个关于Windows系统中病毒的故事。经过15或20年，它终于进入了核电站控制系统。这是一个长期恶意攻击的例子。

SE:有时候这些甚至不是故意的攻击，对吗?有时，它在设计上的弱点会在几年后显现出来，并为破坏创造了机会。这就是分支预测和推测执行所发生的情况，它们在实现时看起来是很好的想法。我们如何解决这类问题?

Borza：功率、性能和面积是每个集成电路公司的信条。最小化逻辑正是合成器的优化阶段所做的。唯一的方法就是教育设计人员，让他们把安全性作为一流的设计参数。

Handschuh:安全设计是完全正确的。你需要从第一天开始，从零开始构建它，并在设计时牢记它。否则，你永远无法摆脱所有这些问题。但我们可以采取另一种方法，那就是从小处开始。所以，是的，高性能很好。这是每个人都想达到的目标。但在安全方面，我们需要从非常小的、有固定边界的、我们可以控制的碎片开始建立。然后我们可以查看和分析里面的所有东西，这样我们就知道系统的那部分是安全的。然后你引入系统的更多部分，并试图保护它周围的部分。如果你试图从一开始就确保整个设计的安全，这是一个巨大的设计，这是很难做到的。 But you can start with small layers that build on top of each other, starting with something that you have reasonable confidence in and that you maybe even can formally verify, and then continue building from there.

常对于大公司来说，他们的产品很可能已经很好地设计了安全性。但是有数十亿的物联网设备，我们不知道这些设备的安全性是如何设计的。物联网设备无处不在，当它们连接到网络时，这可能是破坏系统的薄弱环节。如果我们看看电子设计服务，包括硬件设计，我们没有一个万无一失的生态系统。我们刚刚开始提供安全解决方案。我们需要与客户和像Synopsys、Cadence和Rambus这样的公司合作，提供一个完整的生态系统解决方案。安全性就像我们需要处理的任何其他功能一样。

SE:边缘应该是这个巨大的新空间，但我们不知道它会是什么样子，甚至不知道如何定义它。在这种情况下，我们如何预先建立安全性?

Borza:从一开始就将一些小的安全元素整合到设备中是一个好主意，这些安全元素用于确保软件(系统最终从软件中获取所有的个性或行为)尽可能安全，并且可以更新。这么说很好，但是物联网世界上有500亿台设备，其中450亿台是最小的，最便宜的产品。这些芯片的设计师会告诉你，‘这对成本非常敏感’，因为如果他们的售价低于2美元，如果他们再加10美分的东西来确保安全，他们就会被挤出市场。人们会去其他地方买不安全的东西，只要便宜10美分。所以我们需要设计一个强大的网络来抵御即将发生的各种攻击，因为期望500亿台最小、最便宜、最容易被攻击的设备中的450亿台能够安全制造是不合理的。这就是我们前进方向的残酷现实。

Handschuh:是的，我们需要现实一点，因为并不是每个设备都有完美的安全解决方案。有两个角度。一种是从系统的小块开始构建，这些小块足够安全，可以提供帮助。另一个角度是添加一些软件来帮助您检测异常活动，比如入侵检测。在汽车行业，现在尝试增加这一点是很常见的。你必须做到这两件事——如果可以的话，尽可能地建立安全性，但也要有一些可用的东西，可以检测任何看起来奇怪的、不应该存在的东西。您想要尝试分析系统的正常行为，然后如果检测到不同的情况，您需要决定如何做是安全的，因为不是每个系统都允许您关闭。你试着预先建立安全性，但你也需要能够在现场检测正在发生的事情，并尝试正确地做出反应。

常:我完全同意，我们不能指望数十亿的物联网设计师能够设计出非常安全的设计。因此，这个新趋势是更多地使用芯片监控，比如监视CPU和内存的进出流量。这是一个新的领域，但我们需要开发解决方案，我们不指望设计师能拿出完美的设计。它从一个不同的角度来看待一个系统来解决这个问题。

SE:所以你在这里改变了安全模式，意识到一些坏人最终会进入。现在，您希望能够关闭系统，安全地重新启动，并尽可能快地恢复运行，但在其他系统可以接管的关键情况下，可能会有一些冗余。但你也有数据和算法的更新，你并不总是知道它们随着时间的推移会如何表现?如何调整安全性?

常:如果你有一个辅助驾驶员看路的系统，ADAS在更新过程中需要有一个容错系统。如果ADAS系统在你开车时停电时关闭，那将是一场灾难。因此，您需要对关键任务系统进行容错，并且在关键任务设计中需要考虑安全攻击。

Handschuh我会从不同的角度看问题。我将尝试以这样一种方式分层构建系统，即每一层只具有某些特权。用户级别越高，实际拥有的权限就越少。所以硬件会保存所有的秘密，所有的敏感信息，所有你不想让其他人看到的数据，然后你构建的软件层都有不同的权限来做事情。即使你使用软件，你也不知道会发生什么，因为它可能没有得到正确的检查，如果你正确地构建了系统，它也只能造成这么大的伤害。它将能够公开某些东西，也许只是那层软件有权看到的东西。如果构建正确，您可以在某种意义上自行构建，但它不能进入存放和管理敏感数据的底层。也许你有权利操纵事情，但你不能把它们拿出来暴露出来。

Borza:你开始看到人工智能被应用在防御方面，在网络层面，并观察设备与周围其他设备交互的行为。这是一个非常有前途的领域，因为它允许你建立自适应行为来检测各种恶意软件和将在系统中翻转的东西。这给了我们一些希望，我们有适应性的防御策略，可以检查系统之间的行为，并采取一种更高层次的观点来理解行为是什么，相对于它应该是什么。

有关的故事
创建硬件安全路线图
随着威胁级别的上升，政府和私人组织正在制定半导体行业的蓝图。
谁该为安全漏洞负责?
第2部分:我们如何处理安全威胁，以及当它扩展到更广泛的网络时会发生什么?
硬件供应链能否保持安全?
越来越多的威胁引起了人们的关注，但真的有可能将恶意代码植入芯片吗?
复杂性对安全性的影响
组件之间的交互如何影响AI推理模型。
安全知识中心
头条新闻、白皮书、视频、涉及安全问题的技术文件。