意想不到的安全漏洞

安全正成为一个最大的挑战在半导体设计各种各样的市场,安全漏洞的数量增长行业的数量级,从来没有处理这些类型的设计约束。

而安全一直是多年来的话题在手机和数据中心,商业和工业设备被连接到互联网的第一次。这提供了益处,比如远程管理功能和警告潜在的失败。但这也会增加数据盗窃或远程篡改的风险。

考虑一个商业冰箱,例如,这可能是用于存储医疗样品或移植器官。在这个市场没有安全标准,没有最佳实践指南,很少意识到为什么会有人想要侵入其中的一个系统。

“医用冰箱你有一个出版商的数据可用于机器服务,临床研究人员储存在冰箱里,卫生部,法律辩护,”菲尔说强,Zymbit的首席执行官。“让这个工作你现有的设备和添加设备。所以有多种技术学科进入分散的市场。你添加一个硬件模块和根的信任,这可能是硅和指纹的冰箱。信任是一个产品的安全。但是如果你不知道如何使用安全没关系。做这项工作你需要身份验证、机密性、完整性和不可抵赖性的条件。”

强说,如今最大的问题通常是误解和混乱的结果。即使在市场有标准,这些标准通常是不够的。

“在这些市场很多低成本的硬件,”他说。“所以你今天不得不假设基础的安全级别为零。但如果你把安全,你必须预计,将有四到五年的生命。”

分层安全
即使在市场用于应对安全威胁,增加对第三方的依赖知识产权和芯片市场的崩溃意味着有子组件,如嵌入式软件在采购或额外的电路组件。这是发达的一些国家从未出现在账单的材料,和许多人从来没有预计的审查主要IP模块或子系统。

“开源IP是最简单的地方把后门,陷阱门和木马,”谢尔盖Leef说,系统级工程部门的总经理导师图形。“对于任何尺寸的块,这些不能被发现。如果你从同一来源得到验证的IP,它不会显示角病例。也有设计错误,人类无法找到,还有恶意的错误不能被抓。”

确保所有的电路需要许多公司的合作,多个行业领域,更不用说更大的参与标准组。到目前为止,只有边际在这些方面进展。哪里有标准,他们经常与其他标准发生冲突,这是一个日益严重的问题在不同的市场一起捣碎,还是他们落后技术进步在这些市场。在这种情况下,已经取得了进展,这主要是由于个别公司的努力工作在他们自己的生态系统或在高度监管的行业,如航空航天和国防。

增加安全成本钱。它还会影响功率和性能,特别是安全是主动而不是被动。做错了,它可能无助于阻止黑客的攻击。

“一种方法是解决安全的系统级没有触摸设备,“徐邹说,Zingbox的首席执行官。“在我们看来,这是大规模物联网安全的唯一途径。大多数有意建立物联网设备,执行特定的任务,并且很少有人工交互。但与笔记本电脑和智能手机,通用设备、物联网设备不与杀毒软件保护。”

邹说,使防火墙单一的防线。“如果你看看MEDJACK(医疗器械劫持),后门进医院工作网络。病人的记录值得信用卡的7倍之多。卫生保健中总是前三名黑客攻击的目标。今天的医疗设备电子连接。破解的机器和窃取信息比黑客信用卡容易得多。”

“病人记录价值7倍以上的信用卡。”

他说,关键是要了解物联网,如果有偏差,使用数学模型发送警报。这类似于的各种警报,多年来一直在公司网络内部。关键是要确定非凡的行为而不是减缓网络流量。

端到端安全
难以理解的是巨大的安全问题。大多数工程师用于思考块的块。甚至SoC建筑师倾向于认为一系列块连接在一起的和最有效的方式利用权力和记忆。但物联网/埃克斯波特学院安全芯片远远超出,从最初的设计到制造芯片,将使用在一些大的系统,无论是汽车或家庭网关设备。

“我们通常认为安全信任的根,“寻Wu说,首席技术官迈威尔公司。“但是我们需要考虑从一个根的信任和信任链。”

吴表示,任何需要基于策略的安全解决方案,保证它是安全的,一个重要的考虑,因为连续安全链接可以是一个挑战保持如果组件驱动。这样的一个方法是使用钥匙。但即使键可以是一个安全风险,如果他们没有适当的管理。

“我们问的问题是如何把这些设备的一个关键内部还确保没有一个复制的关键,”过渡的戈埃尔说,高级副总裁兼总经理业务线安全监视和控制NXP。“我们的生产线已经零手册里面没有人类的联系。你需要保护和设计一个安全的设备,和部分,包括如何管理关键。”

高尔,在ISQED表示最近的物联网峰会表示,芯片制造商可以在各种各样的安全设计,但它仍然可能不是有效的。面临的挑战是使它容易使用,这样人们会利用它。他说,令牌要求人们输入数字每次他们做网上银行过于繁琐的对于大多数用户来说,即使他们是有效的。

这些令牌通常使用随机数生成器根据种子数。但即使种子可以砍,这意味着任何数字生成的种子可以预期。

说:“有三个问题要解决,理查德•模具策略副总裁其树加密系统。“第一,只是拥有数以百万计的随机数并不能解决问题。如果一个应用程序运行在云,你不确定是安全的。第二个问题是如何得到这些数字到应用程序中。第三是硅今天将噪声从无线和其他沟通,允许您提取随机性。”

“只是拥有数以百万计的随机数并不能解决问题。”

一个解决方案是去掉噪声完全通过使用光学来源。洛斯阿拉莫斯国家实验室,例如,开发了一种光学模块是许可私人企业减少这些波动。”,这种方法需要对设备的物理访问,并且没有合理的方法,”雷蒙德·纽厄尔说,在洛斯阿拉莫斯的物理学部门研发的科学家。

另一个安全方案的公钥加密方案,由拉尔夫·Merkle前施乐帕洛阿尔托研究中心的计算机科学家。保罗•Kocher密码学研究部门的主席Rambus指出,所有公钥方案都是基于Merkle的研究,但是,美国政府现在是探索量子密码学的下一波的高度安全的数据通信。

嵌入式软件
当所有这些计划最终发挥作用是未知的。硬件是刚才被认为是违反的媒介。到目前为止,大部分的高调安全故障涉及的软件。虽然大多数的重点是应用程序和操作系统,嵌入式软件可能更脆弱,因为有经验有限和违反的是定制的一个特别的设计。

“大部分人使用的软件是软件,是由别人,”说,主席和联合首席执行官Synopsys对此。“我们需要签署软件的质量和安全。”

当然还有越来越多的人意识到在嵌入式软件开发人员,安全可能会受到损害。但是如何解决这个问题并不是那么明确。

“需要有一种文化的转变,”格伦·克拉克说,大师研发副总裁节奏。“软件不够好出门了。”

克拉克说,下一个大挑战是确定软件中的漏洞在哪里。“这是刚刚开始开放。重要的是能够文档所做的(发展)从可追溯性的角度来看。如果你有废纸和波形,您可以测试任何时候。”

结论
安全是刚刚开始蔓延到半导体的设计。与权力,许多设计团队忽略,直到几年前,需要时间吸收设计流程。但与权力,一旦失败,它可以跨许多行业有广泛的影响,包括一些影响安全。此外,在这些市场,这些芯片将在多年来,这意味着忽视安全今天可以有长期影响。

“安全是最重要的一个物联网的需求,“Jen-Tai Hsu说,负责工程的副总裁Kilopass,注意到更多的潜在客户是谁询问安全比过去。Kilopass并不孤单。

“在每次谈话现在,安全是一个大问题,”Farhad Mafie说,全球产品营销副总裁Microsemi。“问题在于,没有放之四海而皆准的解决方案。很多旧的技术仍在。但当我们搬到一个更为连接一切,如电气和机械部件的汽车,安全成为一个更大的挑战。与新一代的电子,如果它不是连接就像它坏掉了。”

一些公司也在这problem-Intel面前,手臂,安第斯山脉,Xilinx,思科,大EDA公司,但绝大多数刚刚醒来,整个生态系统和供应链需要改变。需要一致的标准,通过行业组织,安全是一个重要的元素为一个连接的世界,和一个安全增加价值的理解所有的电子产品。不幸的是,这可能需要数年时间。

有关的故事
后门无处不在
尽管担心硬件漏洞,固件和芯片数据的访问比你期望的更为常见。
比赛安全的汽车
连通性和复杂性是提高安全性和可靠性的担忧。
确保云
云计算数据安全提出了各种独特的挑战,从里面包括一些。