是什么让芯片防篡改?

网络世界是下一个主要战场，攻击者正忙于寻找破坏关键基础设施的方法。

有广泛的证据证明这种情况正在发生。IAR系统公司嵌入式安全解决方案总经理海顿·波维(Haydn Povey)说:“26%的美国电网被发现存在木马。”“在网络战形势下，这是首先会受到攻击的地方。”

但并非所有的攻击都是基于软件的。有些是身体上的。特别是物联网(物联网)代表了大量进入敏感网络的新方法。“物联网市场并不是在谈论篡改。但由于有如此多的新型物联网设备，特别是用于工业的，物理攻击也有所增加，”Silicon Labs物联网安全高级产品经理迈克·道(Mike Dow)说。为了解决这个问题，反篡改功能出现在广泛的芯片上。

保护秘密
连接设备的安全性包括加密信息的加密功能，并确保任何通信中的各方都是他们所称的身份。但是这样的功能需要加密密钥、证书和其他构件，其中一些必须保密才能有效。攻击者越来越多地转向物理攻击，试图获取这些秘密并击败安全系统。反篡改工作的目的是保护这些秘密。

然而，在某些情况下，目标可能不是窃取机密，而是使系统瘫痪或破坏系统。Alric Althoff，高级硬件安全工程师龟岛的逻辑，提供了一个例子。“根据FIPS(联邦信息处理标准)，RNG(随机数生成器)需要有内置的健康测试。你可以使用电磁场来翻转尽可能多的比特。RNG运行状况测试随后将失败。在出现一定数量的故障后，设备将自行禁用。”

由于熵的损失，被禁用的设备不再被允许执行加密功能，它所支持的系统也不再能够正常运行。Althoff说:“这就采取了RNG，这是为了增加安全性，并使其成为攻击载体。”

物理攻击要求攻击者拥有被攻击单位的物理所有权。如果攻击成功，那么攻击者将获得该单位的访问权。出于这个原因，每个单元都有自己的唯一密钥是非常重要的，因为破解一个设备不会泄露其他设备中的秘密。

然而，只有一台设备是有价值的。通常被攻击的设备中并没有什么有价值的东西。相反，该单元只是进入网络以访问其他地方更有价值的资产的一种方式。

直接物理攻击
篡改通常只有一个目标，即通过任何可能的方法提取加密密钥。最明显的方法是打开芯片，找到存储密钥的证据。这可能来自记忆中的视觉线索，通过感知电路关键点上的电压，或者通过物理上改变活动电路——即使只是暂时的。

一种常见的工具是聚焦离子束工具(FIB)。它允许以一种更外科的方式进行精确的传感和钻孔，而不是一层一层地分层整个芯片的旧方法。在未受保护的芯片上小心地进行，电源可以保持接通，从而可以探测关键的金属线路。根据所使用的内存类型，攻击者可能会尝试以可视或电方式检查存储的值。

最近尤其令人关注的是激光的使用。通过将激光聚焦在扩散区域上，光电效应可以使相关节点改变状态。如果是组合的，那么它很可能是一个临时的“故障”，如果计时正确，可以在接下来的触发器中捕捉到。这样的事件被称为“单事件暂态”或“SET”。

也可以直接攻击触发器，使其处于翻转状态。这被称为“单事件爆冷”(single-event upset)，简称“SEU”。一旦你可以改变一个节点或触发器的值，你就有更多的能力探测电路的其余部分，看看它是如何响应的。

边信道攻击
一些非侵入性攻击并不直接探测电路。相反，它们依赖于电路运行时泄漏的信息。这些所谓的“边信道攻击包括对电线或电磁辐射的分析，以提供内部发生情况的线索。虽然听起来不太可能，但在涉及密钥的计算发生时，通过观察这些工件来获得密钥是可能的。

图1:执行差分功率分析(DPA)攻击的概念设置。来源:维基百科

图2:在处理RSA密钥时，指示不乘法(左峰值)和乘法(右峰值)之间差异的功率迹线。来源:Audriusa。由苏黎世联邦理工学院学生在系统安全实验室工作期间记录。维基百科

最后，一种单独的篡改尝试依赖于找到一些可以用来泄露机密的异常行为。奇电压或逻辑故障被称为“故障注入”或“故障感应”攻击，会意外地导致机密丢失。该公司安全设计总监迈克尔·陈(Michael Chen)说，这不仅仅是随机的“模糊”，而是“特定的模式、故障、快/慢、过电压和欠电压或速度”Mentor是西门子旗下的企业．芯片设计人员很难预测这种攻击。“(这些)漏洞更难解决，因为它们要么是有意设计的，要么是无意的漏洞，要么是真正从未见过的攻击。他补充道。

强射频信号也可能导致意外行为。的用户手册ChipSHOUTER工具的负责人说:“改变磁场会在[被测设备]中引起感应电流，从而改变内部信号的电压水平。这些变化的电压水平会导致不正确的读(或写)操作，影响锁存器、寄存器等的结果。破坏内存、重置锁位、跳过指令、在加密操作中插入错误都是EMFI(电磁故障注入)的应用。”

侧通道攻击类型很多。Chen说:“并不是所有的侧信道都是电源/电磁的，因为它们可能是定时或总线监控、寄存器、缓存或内存攻击。”“肯定还有无数种我们还没有想到的方法。”

保护案件
对付这些攻击对于物联网(IoT)设备来说是新的，但对于销售点(PoS)系统中的芯片来说，它们已经很成熟了。这些单元用于支付卡行业(PCI)，具有被监管机构和主要金融机构的期望严格锁定的安全元素(se)。

这些规则要求保护套是防篡改的，任何包含信用卡数据的内部芯片都有一个篡改屏蔽，任何连接信用卡读卡器和PoS系统的电缆也都是屏蔽的。这些技术现在正在迁移到更普通的芯片上，它们也被应用在系统级别上。“如果你不能在不被发现的情况下打开箱子，那么就很难获得其他任何东西，”Silicon Labs的道表示。

在系统案例层面，计量公司——电力和水——多年来一直在实施篡改保护措施，以防止人们通过回调电表来人为地减少他们的账单。“计量行业习惯于防篡改。医学界也开始关注这个问题。”在这些行业之外(包括PCI)，找到案例级保护并不常见。这些可以通过在一些地方安装几个开关来增加，在那里打开一个外壳将改变开关的状态。这可以提醒系统，然后系统可以采取反制措施。

这种安全措施要求即使系统不插电也要有电源。硬币电池通常用于此，PCI法规规定它们必须持续两年，有足够的电量来应对一次性的篡改企图。

如果检测到案例级别的篡改，那么案例内部的系统必须采取防御措施。具体是什么是由设计师决定的。但是一般来说，篡改警报信号必须对CPU可用，可能是通过通用I/O。Silicon Labs物联网产品高级应用经理Brent Wilson指出:“有几种架构。“通过一个CPU，你可以检测到漏洞，并通过软件做出反应。有两个CPU，其中一个是安全的，你有一个事件输入引脚，不安全的CPU可以向片上SE发送信号。”

保护芯片
一旦进入保护套，含有敏感内容的单个芯片必须避免被篡改。一些对抗措施是物理上的，而另一些则涉及主动传感器。即使提供篡改的证据也有帮助。陈说:“防篡改技术通常用于保护包装、标签、封条、标记和物理安全。”“从水印、热敏感和紫外线敏感的材料，到破碎/玻璃材料，都被用来留下任何物理篡改企图的可见痕迹。”

虽然硬件信任的根源(hrot)倾向于主要在启动时操作，以确保系统干净，在任务完成后关闭。该公司嵌入式安全董事总经理斯科特•琼斯(Scott Jones)表示:“完成所需的操作大约需要100毫秒。马克西姆集成．虽然防止启动攻击可能需要设计和代码或电路，但它不太可能成为电池供电设备的进一步问题。琼斯说:“加密操作不会持续进行，所以不存在实权预算问题。”相比之下，篡改检测传感器必须始终处于开启状态，以便随时发现漏洞。

保护敏感信号的一种技术是把它们埋在其他金属层下面。有些芯片会使用不携带功能信号的金属来屏蔽电路。这些天，这种金属也很活跃，所以它可以检测到它是否被移除。金属上的直流信号很常见，而最先进的网格可能会使用交流信号。

一些设计人员可能会故意在敏感电路之上运行其他功能线——甚至门。其他可能包括专门建造的线路，或涉及战略性地放置假金属填充。在所有这些情况下，电路上方的金属网既有助于保护电路免受眼睛和探头的伤害，又能防止电磁辐射逸出。

如果内存用于存储键，那么内存的类型必须是不能直观地检查其内容的，并且还可以抵抗电检测单元格内容的尝试。存储的密钥可能是加密的，但随后需要密钥来解密这些密钥。这可以是一个区域物理上不可克隆的函数(或PUF)可以创建“根”密钥，以启用所有其他安全功能。

光子传感器也变得越来越普遍。这个想法是检测任何企图用激光“探测”电路。

击败侧道攻击
有许多对抗措施可以阻止侧通道攻击。这些可能有助于阻止窃取机密以及芯片的一般逆向工程。斯科特·贝斯特说:“我们的目标是在产品中至少多植入一种对抗措施，让你的对手无法克服。”Rambus的防伪产品技术总监。方法包括:

• 在短时间内运行关键代码，然后关闭电源，以尽量减少在代码运行期间分析芯片行为的机会。
• 运行“反向”指令——其效果将中和有意指令的效果。
• 添加虚拟指令来混淆内部签名。
• 故意添加噪音来混淆任何电磁信号。
• 打开真随机数生成器(TRNG)。
• 监控一切，包括配电网络、关键电压和电流、时钟、信号定时、内存访问速度、辐射和热量。
• 使用双轨转换逻辑(DTL)。这涉及到通常在单线上运行的信号被分割为两条线。不是每一行都表示正在传输的静态值，在一行上的转换(任意一个方向)表示1，而在另一行上的转换表示0。这确保了平衡的转换，避免功率指示正在使用哪个值。这种技术有许多变体。

对篡改的响应
下一个明显的问题是，一旦检测到篡改，接下来该做什么?有一系列可用的响应，每个升级级别发生的点将因设计人员和应用程序而异。完全不回应是一种可能的行动。下一个级别可能是通知应用程序，以便它可以采取行动。在下一层，可能会生成一个系统重置，以提供一个从头开始的干净引导。如果漏洞的严重程度足够高，核选项就是“砖砌”系统:使其永久无法运行。

砖化系统可以通过删除键或部分键来实现。它可能涉及破坏用于重新创建PUF输出的数据。在上述任何一种情况下，都将取消预先配置的密钥或“本机”(即PUF)密钥——这是不可逆转的步骤。从理论上讲，重新配置(或重新注册)设备是可能的——换句话说，不涉及物理破坏——但这些补救措施意味着将设备放回制造流程中，因此对于攻击者来说，损坏是永久性的。

图3:解决篡改问题的决策树的一个例子。左边显示了必须被监控的芯片或SE的各个方面，右边显示了根据触发器返回的电平的响应。澄清一些细节:“过滤器计数器”指的是对过滤器中触发的事件与虚假事件进行计数的功能;DCI代表“调试挑战接口”;“解耦BOD”是指主VDD上的brown-out检测器(需要一个大的解耦帽)，“Secure Lock”是指调试端口上的锁。来源:Silicon Labs

所有这一切的最大风险在于建立一个过于敏感的反应，导致意外的砖砌。陶氏说:“病例检测的唯一缺点是它们可能很敏感，在制造业中很难处理。”导致砖砌的事件需要仔细过滤，因为这是一个不可逆的步骤。极端环境——比如极冷的温度——或者像掉落设备这样的事件一定不能触发篡改警报。这使得它很难达到正确的平衡——检测真正的篡改，同时不将其他事件误解为篡改。

对于内置防篡改电路的设备，可以配置篡改响应。如果该配置存储在某种可重新编程的内存中，攻击者可能会在尝试攻击之前尝试更改该设置。Silicon Labs的威尔逊说，Silicon Labs将其配置存储在一次性可编程(OTP)内存，因此一旦设置了配置，它是永久的，不能更改。

避免错误注入攻击
除了根据先前的失败获得最佳实践之外，故障注入攻击的设计要困难得多。然而，使用故障注入工具可以进行一定数量的硅前验证。“故障注入工具可以生成单个或多个故障，静态故障或瞬态故障，以及全局故障或局部故障。Synopsys对此．

了解易感性很重要。“敏感性分析可以在设计过程中进行，但由于在实施和制造过程中很多事情都可能出错，因此作为最终决定，也必须对成品部件进行测试，”波音公司航空航天和国防解决方案总监Steve Carlson说节奏．“在设计过程中发现问题总比在制造过程中发现问题要好。”

陈表示了认同。“如果确定了特定的攻击面，并且需要保护高安全性资产，那么模拟攻击是非常可能的。仅仅确定安全需求就已经成功了一半。”也就是说，开发安全威胁模型是任何验证或测试的重要前奏，但它可能太容易被复杂的场景所迷惑。

Tortuga Logic的Althoff说:“我们看到现实攻击和学术攻击之间的分歧，前者可能非常简单，后者可能非常聪明和新颖。”

IAR系统公司的波维表示同意。“挑战在于不要过度设计这些东西，”他说。“现实是，安全在很大程度上是常识。”

Althoff说，该模型也应该与安全模型相结合，因为一些篡改事件可能是意外而不是故意的。“在安全方面，我们一直专注于意图。在现实生活中，人们会把事情搞砸。”

物理测试
因为模拟不能保证抗篡改性，新硅在发货前必须进行测试。这在过去意味着雇佣在进入芯片行业方面有经验的人——这仍然是一种选择。但也有一些工具可以测试芯片的性能，并找出任何弱点。一种流行的开源工具叫做ChipWhisperer，它可以用很少的钱执行许多这样的侧通道攻击。它不应用使用强射频信号的攻击，所以有一个(更昂贵的)ChipSHOUTER盒子可以处理这种类型的攻击。

更复杂的商业级工具也可以从IP和芯片公司获得。“还有其他工具，但都是商业级别的，”Rambus的Best说。“例如，Rambus差分功率分析工作站(DPAWS)是一款白帽产品，用于测试电源信息泄漏的稳健性。ChipWhisperer更像是一个业余爱好者级别的产品，用于对设备进行“二进制”测试。“它坏了没有?”vs.“它有多健壮?”’”

它们可能比ChipWhisperer做得更多，但也可能更难使用。贝斯特说:“芯片总是可以通过电分析来泄露它们的秘密。”“然而，用‘全侵入式’FA(故障分析)工具攻击芯片是昂贵的，需要掌握复杂的商业设备。这种情况大大提高了攻击者所需的技能。”

从所有这些来看，显然没有一种正确的方法来制造防篡改的芯片。与许多安全问题一样，必须在设计阶段的早期根据预期的攻击模型做出决策。成本和力量必须与成功攻击的后果相平衡。有一长串潜在的保护措施，其中一些或全部可以在给定的设计中实现。

如果要寻找一种安全的芯片，也没有适用于所有设备的简单清单。成本是一个考虑因素，更多的钱可以支付更多的保护。Maxim Integrated的Jones说:“要看他们愿意付多少钱。”“对于一个成本不到20美分的芯片来说，没有太多的可能性。只要50美分，你就可以做一些。花5美元，你就能做顶级的。”

具体的技术也取决于系统的类型和范围。“[篡改]嵌入式微控制器……用于ROM中的固件的单个离线功能，与在云中具有缓存的服务器多核CPU非常不同。即使使用相同的英特尔/AMD处理器，无论是在消费PC、服务器群还是军事应用中，需要保护的机密/高价值资产都是非常不同的。”

没有行业标准，甚至在网上也很难找到关于大规模保护措施的讨论。实际上，这项业务在一定程度上是不明确的——这是有意为之。没有一家公司愿意以任何具体的方式吹嘘他们强大的保护措施，因为这只会让攻击者更加努力地工作。

“在许多设备中，如何使用或实施减排措施是隐藏的，”陈说。“营销或记录所使用的技术可能会给对手提供太多信息。”

相关的
安全知识中心
芯片安全经济学的根本性变化
越来越多价值更高的数据、越来越薄的芯片以及不断变化的客户基础，正迫使半导体安全领域发生姗姗姗迟的变化。
理解puf
是什么推动了物理上不可克隆功能的复兴，以及为什么这项技术如此令人困惑。
硬件攻击面扩大
电缆出没遵循幽灵，熔解和预示作为潜在的威胁蔓延超出单个设备;人工智能增加了新的不确定性。
确定芯片中真正需要保护的内容
专家座谈:为什么以前的安全方法只有有限的成功。
我们YouTube频道的安全