下一个宝藏:安全漏洞

真实的和潜在的安全威胁正开始重塑半导体行业。

这些威胁正在吸引风险资本家重新进入这个行业，他们正在争夺下一个巨大的机会。它们正在模糊软件和硬件之间的界限，因为威胁在设备的各个层面及其与外部世界的无数(有时是永久的)连接上变得越来越复杂。他们正在把最优秀、最聪明的年轻毕业生吸引到这个日益老龄化的行业，刷新全球的专业知识储备。

虽然无法确定商业机会带来的好处是否大于数据丢失和资金直接被盗带来的坏处，但许多市场、地区和技术领域都在发生重大变化。

区域性威胁，全球性威胁
安全通常被视为一种全球性威胁，在许多方面确实如此。但一些地区对威胁的反应比其他地区更快。

这在信用卡业务中尤其明显。欧洲和亚洲对信用卡欺诈的适应速度比美国快得多，增加了EMV芯片(Europay、万事达和visa创建的安全芯片标准的首字母缩写)，而美国则依赖于编码到磁条中的数据。其结果是信用卡诈骗向美国转移，美国目前占全球信用卡诈骗的一半以上。

这几乎肯定会在未来几年发生变化。恩智浦支付部门主管布林塔·科ether表示，到明年年底，美国使用的所有卡中约有30%至40%将包含安全芯片，到2017年，这一数字将升至85%。但她指出，这也增加了盗贼的风险，以及所使用的技术的复杂性。

“不再只有一扇门，”她说。“全面复制威胁更加困难，使用逆向工程、激光攻击或光攻击(用于操纵芯片以获取信号)更难获得访问权限。我们在这里做的是积分安全。”

但这只是将要发生变化的一部分。EMV芯片只是未来交易可能需要的多种身份识别形式之一。Koether说，单靠生物识别技术是不够的，EMV芯片加上指纹传感器再加上一个识别码就更难破解了——如果这还不够，还可以随机生成一个识别码并发送到智能手机上。

“我们担心的是整体的消费者体验，”她指出。“英国围绕芯片和别针展开了一场声势浩大的宣传活动，并建立了强烈的意识，这使得它取得了成功。美国是一个更大、更多样化的市场，这增加了复杂性，但随着入侵数量的增加，EMV芯片市场在过去6个月里加速增长。”

全球机遇
随着小偷变得越来越老练，特别是当越来越多的东西连接在一起时，威胁级别也在上升。这已经不仅仅是恶意软件感染电脑的问题了。现在的目标是获取秘密和金钱，互联互通创造了许多以前不存在的门，并不是所有的门都是安全的。

从技术方面来看，这带来了从代码和IP验证到安全供应链管理等一系列商业机会。Jasper Design Automation(现在是Cadence的一部分)专注于使用形式化验证作为向量来找出设计中存在异常或潜在漏洞的位置。

“如果一种机制假设ROM中的安全固件是唯一可以访问安全信息的机制，你如何破解它?你从ROM中截取输出，”Jasper的工程副总裁Lawrence Loh说。“这很明显。但如果竞争环境不公平呢?还有其他方法访问ROM吗?硬件必须能够确保唯一的通道是安全的。”

这是现有技术的新应用。与此同时，亚特兰大已经开始使用其IP探测软件并开始检查IP安全性。但安全性也激发了风险投资家十多年来首次对新的芯片初创企业的兴趣。一家新成立的公司ChaoLogix专注于嵌入式IP安全，使用差分功率分析和故障分析来限制攻击。

ChaoLogix负责业务发展的高级副总裁乔德里•亚纳玛达拉(Chowdary Yanamadala)表示:“目前的技术水平是通过添加噪音来混淆设备内部发生的事情。”“这些是安全的标准单元库，具有添加到现有EDA流程中的敏感块。1和0之间没有微分所以没有东西漏到外面。我们没有增加噪音。我们正在减去它——将芯片活动与电源分离。”

第二家初创公司叫做Intrinsic-ID，它的理念是，每个设备都有独特的属性，这些属性可以用来保护设备，也可以用来入侵设备。该公司专注于存储和管理加密密钥，包括绑定硬件和软件以防止克隆。

Intrinsic-ID首席执行官Pim Tuyls表示:“我们的目标是半导体公司，或者比半导体公司高一两个级别。”“我们所做的就是提取数据，并将其转化为安全应用程序。它对环境变化、电压变化很敏感，还可以进行纠错。这适用于fpga、智能卡、USB令牌或机顶盒应用程序。我们与整个价值链合作。”

把事情搞混
也许更有趣的是硬件和软件之间界限的模糊。

Cryptography Research(2011年被Rambus收购)总裁兼首席科学家保罗·科克(Paul Kocher)说:“例如，如果你看看ARM的TrustZone，你会认为一开始一切都是正确的。“但在软件领域，有很多不同的人在编写代码。这取决于他们在代码中放入了什么样的缓存依赖关系，所以有很多不同。我们所做的是从我们的核心得到钥匙。所以我们可以发送随机值并创建一个函数作为响应。没有显示这些数据，但它允许您确保授权设备具有它应该具有的密钥。这是一种受控调试模式，由制造芯片的公司制定政策。”

Kocher指出，ASIC团队不可能预测到信号将被授权或管理的所有不同方式。事实上，有时它只会在芯片关闭时打开，所以它不能在消息中重播。

然而，安全问题需要在各个层面上加以解决，这也是Synopsys在今年早些时候收购Coverity的原因。该公司填补了所有类型软件的漏洞。这是硬件和软件之间一个有趣的交叉点——从嵌入式代码、固件和rtos一直到从互联网下载的应用程序的完整软件堆栈——与IP、半导体架构一直到完整的系统设计混合在一起。在创建复杂的系统时，安全需要跨越多个学科，所有这些方面的相互作用汇集了硬件、软件和白帽黑客方面的最佳人才。

它还指出了硬件工程经理们经常抱怨的一个问题，即如何与谷歌和Facebook等公司竞争最优秀、最聪明的工程毕业生。答案可能是使用安全作为粘合剂的学科合并。虽然现在判断这将有多有效还为时过早，但现实是，大多数黑客组织比半导体工程团队年轻得多，将这些学科混合起来只会对双方都有帮助。

由于威胁会从一个地区转移到另一个地区，这也会使情况发生变化，从所有市场汲取专业知识。安全是一个横向问题，需要在一系列具有区域差异的垂直市场中相互交织。随着黑客变得越来越老练，解决这些问题的机会几乎是无限的，更不用说利用协同效应和缩小这些不同市场之间的差距了。