测试芯片安全性

供应链和制造流程正变得越来越多样化，这使得验证复杂芯片的安全性变得更加困难。更糟糕的是，要证明这样做的时间和费用是具有挑战性的，而且对所涉及的理想指标和流程几乎没有一致意见。

不过，随着芯片架构从一个供应商开发的单个芯片演变为多个供应商的芯片包中的芯片集合，这一点尤其重要。在设计流早期识别安全风险的能力可以在流的后端节省时间、精力和金钱。从理论上讲，这应该与任何其他测试或调试过程相同。但是硬件质量、可靠性和安全性在测试方面有着非常不同的记录。

“在过去的50年里，我们一直在进行质量测试，”佛罗里达大学电气与计算机工程系(ECE)主任马克·特拉尼普尔(Mark Tehranipoor)说。“过去25年来，我们一直在进行可靠性测试。现在我们谈论的是安全性测试。”

安全性方面的一个关键挑战是明确您正在测试什么。虽然芯片可能已经按照详细的规格制造，但它的安全性必须通过聪明和坚定的攻击者的心态来评估，而不是通过可预测的指标。

“你必须考虑对手的情报，”德黑兰普尔说。“我们可以对缺陷进行建模，但对意图进行建模是极其困难的。这就是安全性变得难以测试的地方。”

无论在设计阶段应用了多少最佳实践，现实世界经常会出现难以预料的安全挑战。“一旦你在现场，所有的赌注都结束了，”Adam Cron说，他是著名的建筑师Synopsys对此．“你是世界上任何黑客的心血来潮，他们的最佳实践是什么，新事物是什么。”

Tehranipoor和Cron是最近一篇研究这些问题的论文的两位作者。量化保证:从ip到平台这篇论文针对安全的不同方面列出了20多个不同的指标，这表明了挑战的复杂性。Cron说:“一般来说，安全性评估仍处于起步阶段。”“所有公司都刚刚起步，尤其是从安全衡量的角度来看。”

在这些指标上达成共识并不容易。Tehranipoor说:“在过去的几年里，(硬件安全)社区一直在讨论开发度量标准，但我们还没有达到这个目标，而且短期内也不会达到。”“为什么?因为当我们为一些攻击找到一个好的度量标准时，新的攻击又来了，我们又落后了。”

就指标达成一致
几乎任何安全指标都可能被正确的攻击变得无关紧要。一个经过高度安全认证的假想设备可能会被一个高度聪明的对手攻破，他碰巧发现了其他人没有发现的东西。特拉尼普尔说:“如果我们都没有从这个攻击者的角度来看待它，我们认为这是一个非常好的、安全的设备，但是这个人出现了，他以我们都没有注意到的某种方式看待它，那么突然之间，攻击就很容易了。”

首席技术官兼创始人Olivier Thomas表示，任何IC安全性测试都必须考虑三类攻击——非侵入性、半侵入性和完全侵入性。但对后者的测试往往不够。“测试前两个类通常做得很好，因为这不需要太多的设备、资源和时间。但当涉及到完全侵入性的类别时，如果进行评估，就真的与海盗或有组织的团伙的能力相去甚远。”

此外，任何芯片都有广泛的攻击方式，这是一个根本性的挑战。他说:“我必须考虑这个芯片是否会通过密码、软件、固件、JTAG泄露信息，或者它能通过电源、电磁、定时、光学或激光给我信息。”“有很多方法，但没有一个单一的指标可以衡量所有的方法，因为激光与功率有本质上的不同，功率与EM有本质上的不同。那么我们会有多少不同的指标呢?”

不过，Cron表示，消费者产品和高安全性解决方案的评级系统确实有推动作用。这类似于消费电器的UL清单，可能带有日期戳，以表明芯片的安全性如何更新。“你会知道，在检查的时候，你达到了一定的水平，不会有无限的水平，”他说。“但如果你买了同样的产品，而且它已经在货架上放了两年，你就必须问自己，‘它还好吗?’”

一系列的方法
与此同时，有几种方法可以了解芯片的安全性。其中一个涉及联合解释库(JIL)评分。“JIL评分告诉你最初找出攻击(识别)有多“昂贵”，以及随后进行攻击(利用)有多“昂贵”Riscure．“这种方法最初是为了表达智能卡(银行卡、公共交通卡、SIM卡)的安全性而开发的，最近在mcu和soc领域获得了更广泛的关注。”

Cron指出，NIST有认证加密或加密IP的标准，而Synopsys的RTL Architect可以查看差分功率分析。“但仍然没有衡量标准本身，”他说。“这些工具为你提供了应该关注的领域。但不管你看不看，或者在你看的时候，你是否也发现了黑客要看的东西，谁能说呢?”

斯科特·贝斯特，安全产品高级总监Rambus他说，虽然每个芯片制造商都怀着最好的意图来处理这个问题，但他们做的事情都不一样。他说:“整个行业的商业实践没有统一的标准。”“在美国国防部，有一些早期阶段的微电子量化保证(MQA)指导方针，例如作为该计划的一部分斜坡程序。”

根据Texplained的Thomas的说法，目前使用的评估方法范围广泛，包括研究人员在会议和在线上发表的分析，oem和集成商要求的独立分析，寻求比供应商提供的更多信息，以及只关注某些类型的攻击的通用标准安全评估，“因此不是完全详尽的”。

但这并没有减少对这种标准化的需求。“这里有两个广泛的关键业务驱动力，”at的首席技术官杰森·奥伯格(Jason Oberg)说Cycuity．“一个显然是标准化。很明显，如果你能勾选一个框，有人就更有可能购买。如果你在一个特定的市场上销售，如果你必须这样做，这就是标准化可以帮助推动的。另一个因素实际上是由客户需求驱动的，‘我想要一个安全的产品。“或者他们真的经历过这样的危机。如果你考虑在预先定义安全需求时定义系统流程，那么这些安全需求的一部分实际上是由标准驱动的。”

将离开
这就是为什么在设计早期越来越多地关注安全性，并且尽可能早地测试总是更好的，就像芯片设计过程的任何其他部分一样。它提高了效率，降低了成本。

Tehranipoor说:“早点发现安全问题，你的花费就会少10倍。”“去了。如果你能在布局层面上做到，就不要在硅后阶段做。如果你可以在栅极层做，那就不要在布局层做。如果你能在RTL级别做到，就不要在登机口级别做到。”

在硅前执行安全验证可以更快地修复可能出现的任何问题，并且越来越多地成为流程的预期部分。Riscure的Bron表示:“在某种程度上，模拟驱动的前硅安全认证过程将成为安全芯片制造商的筹码。”“换句话说，我认为这将成为那些不这么做的公司的竞争劣势。”

朗林,有限元分析软件首席产品经理指出，测试实际上还有其他好处。“在模拟中，你不会遇到后硅芯片时代所面临的嘈杂环境，”他说。“你生活在一个数字世界，一个虚拟世界，所以你可以通过模拟清楚地看到泄漏路径在哪里，这在硅中可能不那么清楚。”

然而，从安全的角度来看，设计和实现是完全不同的两件事，记住这一点至关重要。“一个加密算法可以在纸上(设计)是安全的，但它的实现可能会导致边信道泄漏使整个产品不安全，”Bron说。“我喜欢前硅安全概念的原因是，它允许开发人员在设计中设计安全性，在设计中设计漏洞，并看到这种安全性如何延续到设计的实现中。”

预测复杂环境
对于安全专家来说，复杂性一直是一个巨大的挑战，如果一个芯片被包含在非同一家公司开发的多个组件的异构设计中，那么保护它就变得更加困难。这使得测试变得更加重要，而如何进行测试会产生很大的影响。

理想情况下，芯片应该在最坏的情况下进行测试，所有的对抗措施都是禁用的——“没有冗余，没有安全措施等等，所以芯片在最坏的安全条件下运行，我们看到的是纯硬件安全特性，”华为互联安全系统(CSS)部门的杰出工程师彼得·拉克曼(Peter Laackmann)说英飞凌．“这意味着如果你把芯片带到另一个环境中，情况应该不会变得更糟。”

然而，复杂的环境也会以其他方式引入漏洞。例如，考虑一个加密钱包，尽管存在安全芯片，但仍然被攻破，因为该安全芯片恰好由标准微控制器控制。拉克曼说:“由于标准微控制器上的电气故障，硬件钱包被成功攻破，尽管它们内部装有根据通用标准认证的安全芯片，根本没有受到任何损害。”

Synopsys的产品营销总监罗伯特·鲁伊斯(Robert Ruiz)表示，使用PCIe或USB端口来测试缺陷也可能会引入漏洞。他说:“这种技术本身就为黑客打开了芯片，如果不是整个系统，因为你基本上是给黑客提供了通过标准插件端口进入系统的入口……所以这些新技术，他们提高了设计和制造的效率，但他们实际上可能打开了一扇门。”

正在进行验证
测试芯片，无论是单独测试还是作为包装的一部分，都是必不可少的。“晶片应该首先进行隔离测试，芯片制造商正在这样做，”Bron说。“通用标准等评估方法很好地解决了所有组件的‘一起’测试，我们看到芯片制造商很好地理解这些评估过程，能够在芯片设计/封装设计中从中受益。”

与此同时，在硅之前所做的一切都消除了事后验证的需要。拉克曼说:“你不可能在不计算所需功能和安全性的情况下就造出一辆汽车，然后再进行测试。”“所以对硬件、软件和组合进行测试总是强制性的。但你可以节省一些时间，如果你提前进行硅前测试，你的结果就会更可靠。”

测试工程样品或最终的商业样品可以带来巨大的好处，即使解决一些潜在的问题为时已晚。“通过这种方式发现的一些安全漏洞仍然可以(部分)在固件中得到缓解，”Bron说。“其他人不能，而这些通常是让下一代芯片更安全的学习机会。”

日益增长的安全需求
客户对安全的兴趣呈上升趋势，从智能卡到汽车应用，他们对安全的担忧越来越大。“优先级是基于应用程序的，”Ansys的Lin说。“当然，对于拥有秘密数据和机密数据的应用程序，安全优先级高于其他指标。”

在未来，有可能对特定应用程序或用户最重要的特定安全问题进行测试。“你会说，‘我的申请是这个，’Tehranipoor说。“这个工具会自动智能地说，‘好的，我知道了——我要选择x、y和z，我要为你优化它——并且我会根据优化结果给你一份报告。”

这种专一性对于安全性至关重要，而安全性不能被确定为一个简单的、通用的度量标准。“我们会实现这个目标的，”他说。“我们还没到那一步。但我们会成功的。”

相关的
半导体安全知识中心
商用芯片安全隐患扩大
从多个供应商菜单中选择组件对于降低成本和上市时间有着巨大的希望，但这并不像听起来那么简单。
芯片后门:评估威胁
正在采取措施尽量减少问题，但这些措施需要数年时间才能实施。
为什么保护芯片如此困难和昂贵
威胁正在增长和扩大，但什么被认为是足够的，可能因应用程序或用户而有很大差异。即便如此，这可能还不够。