安全风险加剧

半导体工程公司坐下来与Marc Canel讨论了连接设备的安全问题手臂；的密码学研究部门的总裁兼首席科学家Paul Kocher说Rambus；Michael Poitner，全球细分市场经理NXP；Felix Baum，嵌入式软件部门的管理程序产品经理导师图形；和首席技术官伯纳德•墨菲(Bernard Murphy)Atrenta．以下是那次谈话的节选。

SE:培训在安全方面的作用有多大?

墨菲:有一个关于交通灯支持加密的故事，但它没有启用，或者它们有相同的密钥。智能电表也是如此。他们支持加密，但没有启用。这是一个成本问题。如果你不得不训练工程师去处理所有这些复杂的问题，这会增加你的成本。

SE:我们通常通过标准来处理这个问题，但这些标准通常只在非常狭窄的市场中发布。随着时间的推移，新的产品可能会与这些市场相连。我们该怎么处理呢?

Kocher当前位置在航空发展的早期，航空公司聚集在一起，要求政府管理安全。人们正在死亡，这让公众远离飞机，所以即使航空公司做得很好，这些问题也让每个人都看起来很糟糕。有可能有一天，我们最终会看到连接设备受到高度监管。我害怕这种情况，但我不认为有其他长期解决方案，因为营销信息与技术现实完全不相关。现在人们在不安全的东西上宣称安全。

鲍姆我希望我们不会落得同样的下场。我以前在军事/航空部门工作。希望会发生的一件事是，会有一两次危机，不会大到引起政府的注意，但业界会有足够的关注，让人们去关注邻近的市场。所以他们可能会关注移动支付和娱乐，然后说，‘这些人有自己的标准。也许我们可以调整这一标准，将其应用到我们的行业，并支持它。

Canel服务提供商面临的一个大问题是，他们将推动对技术的要求。这就是认证。这将是他们必须管理责任的要求。服务提供者需要能够为他们的业务操作提供保险。他们需要了解自己的责任。在逐个行业的基础上，我们将看到认证的出现。会有一些基于需要认证的产品的标准。对于服务提供商来说，要赚钱，他们需要了解他们业务的成本和风险。因此，他们需要认证。

Kocher有两个版本的认证和责任。有些公司会打勾，他们会寻找最便宜的方式把产品送出去。他们想要尽可能少的侵入性和最不全面的评估。还有一些遭到黑客攻击的公司希望了解自己的风险并减轻风险。如果你得到的是结果背后没有实质内容的复选框，那是没有用的。如果你能让那些控制风险的公司承担责任和承担风险，这将是革命性的。

Canel:是后者。照顾数千万客户的主要服务提供商将无法仅凭复选框要求就能满足需求。

Poitner我们在这些认证项目方面有很多经验。有很多这样的人。但即使在支付行业，也有几家大型零售连锁店应该遵守这一规定。他们的服务提供商系统有漏洞，所以他们的数据泄露了。在一些国家的智能电网领域，标准是严格执行的。但有很多行业，甚至有网关的国家，都没有严格执行。

鲍姆:现在有一些认证是流程驱动的。你可以纯粹从过程的角度展示需求和测试，以及它是如何进行的。在安全方面则截然不同。当你发布你的设备时，你运行认证，连接设备，运行软件，启动它，验证它将完成所有的文书工作，然后你就完成了。这对安全不起作用。

Kocher:或者你已经完成了，你没有修复错误，因为这意味着违反了你的认证。

鲍姆在航空航天领域，一旦你造出了什么东西并发射出去，就不可能再去改变它。改变一切将是一场噩梦。你不能只重新测试一块。

SE:供应商之间在讨论安全问题吗?还是只有犯罪分子在讨论?

墨菲很多人会去发帖子和参加会议。

Kocher:不仅仅是会议。而是他们背后的电子邮件和对话。对话正在发生。

Poitner:许多服务提供商越来越多地参与到安全体系结构中。

SE:那么谁是赢家呢?是好人还是坏人?

Kocher:从这个行业创造的价值来看，攻击是相对稳定的。只是创造的价值在增加，而攻击的价值也在增加。

墨菲有了安全保障，你总是会领先，也会落后。但是如何实现更自动地处理威胁演变的安全机制呢?

Kocher我们有数学结构。20世纪70年代开发的三重DES(数据加密标准)密码在今天仍然很强大。密码学中的基础数学，如果我们能与之相匹配的数学实力，应该能够持续50到100年。

墨菲需要考虑的一件事是，你是否可以考虑假设某些地方会失败或攻击会成功的方法。我们认为安全性是一种原子性的东西——如何使一块硬件尽可能安全。你必须考虑整个系统。如果系统的一部分出现故障，如何防止整个系统出现故障?你能把故障控制在系统的一个子部分吗?这是我们需要思考的问题，也是看待不断演变的威胁的一种方式。您可能不知道是什么导致了失败，但是您应该能够控制它。

Canel:当你有了正确的数学系统——正确的加密引擎——那么你就知道，如果你有了一个良好的整体系统架构，你就为健壮的东西奠定了基础。但是，您必须拥有良好的加密引擎，并为数据、端点和服务器提供保护机制。

Kocher有许多遏制方案正在开始出现。NXP芯片就是一个很好的例子。你的处理器中发生的事情是独立于另一个芯片的，所以即使处理器发生故障，它也会解耦。我们在芯片中构建的CryptoManager核心作为一个单独的安全边界。ARM处理器中的信任区是遏制策略的另一个例子。在成本和复杂性之间，有不同的权衡，你有多少隔间，它们如何彼此分开，以及你的内存效率是什么，但肯定这是一种处理问题的一些子集的方法——尽管肯定不是全部。

Poitner:你提到了密码学和背后的数学。如果这真的很强大，那么攻击就不会针对数学，因为这已经被证明了。但他们可能会攻击其他东西，比如密钥的存储位置。通常不是密码学失败。是其他的东西。

鲍姆你的加密引擎有多好，你的SoC有多健壮，或者底层架构有多好，这都不重要。对于物联网，我们谈论的是消费市场，无论你的SoC有多好，如果你不启用安全性，那就无关紧要。如果你把车钥匙放在车顶上然后走开，钥匙很有可能会被偷。

SE:安全就像所有电子产品一样，是分而治之的方法。问题是这些碎片必须一起工作。在合作方面有什么进展吗?

Canel这就是苹果如此成功的原因，也是服务提供商喜欢与苹果合作的原因。这是一个封闭的生态系统，有一个定义良好的安全模型，他们知道他们在处理什么。这是一个巨大的生态系统，而且是一个富裕的生态系统。在其他行业中，我们面临的是碎片化问题。我们需要找到那些能够授权安全的主要服务提供商。

Kocher但即使你看看谷歌和Android，它们也一直在努力更新安全补丁。如果谷歌有问题，我们要怎么解决?这可能在短期内有利于苹果，但从长远来看，整个行业都将围绕这个问题寻找解决方案。

Poitner:服务提供商被夹在中间。

鲍姆:从软件的角度来看，我们看到的是人们不只是获取RTOS并使用它。他们想要这个，想要那个。我们必须启用它，我们建立管理程序，因为我们想要分离。所以如果你在开车，你的孩子在后座玩愤怒的小鸟，他下载了一个补丁，把它弄坏了，你不想让它影响到仪表盘。一两家公司有能力解决这个问题。你可以打破它，但伤害是最小的。

Canel电子产品供应链的一个问题是，责任在原始设备制造商，而不是供应商。所有设备都有下载应用程序的能力，但OEM不会对设备中下载的应用程序承担责任。当你试图提供高价值的服务时，你如何管理所有这些?

墨菲:这就是参数的作用所在。如果你能定义一个东西有多安全，并给出一组数字，这不是很好吗?人们对如何定义安全度量很感兴趣。

Kocher:除了经济问题，弹性方法的另一个问题是，最可怕的威胁涉及那些资源有限的人，他们雇佣了一个大学生之类的人来寻找漏洞。如果攻击展开得非常缓慢，你可以处理它。如果它发生得很快，你必须以更强的防御来应对。我们需要把重点放在更可靠和更持久的防御上。我们已经有了数学上的防御。将其转化为可以承受一定程度威胁的东西，这是我们实现目标的一部分。关闭一个运行不佳但不会损坏硬件的应用程序——这是您以后可以通过风险管理来处理的事情。