需要什么安全芯片

专家在餐桌上:半导体工程坐下来谈谈如何验证一个半导体设计将是安全的,与迈克·BorzaSynopsys对此科学家;产品经理约翰•Hallman信任和安全西门子EDA;皮特•荷迪集团产品管理主管节奏;保罗Karazuba,负责营销的副总裁Expedera;首席执行官和戴夫Kelf Breker验证。以下是摘录的讨论。

SE:多少安全可以在设计阶段预先做了什么?我们可以验证设备将是安全的吗?

Kelf:安全就是找出漏洞周围的状态空间,然后试图验证。验证是负的验证。当你做的功能验证,验证是否正常。在这种情况下,您看一个安全的元素在一个芯片——手臂信任区和RISC-V PMP(物理内存保护)是很好的例子,并确保它不能通过一些特殊的状态组合。我们试图验证,以确保没有其他漏洞。

Hallman:状态空间显然是焦点的好去处。但是你能达到所有的吗?可能不会。你必须把你的约束。还有一个问题关于可见性状态空间。你能得到的最低水平的设计?你送一个黑盒子在某种程度上你不能有可见性在哪里?我们试图推进的,可见性,是否涉及到属性或其他描述IP。我们如何能尽早确认吗?我们可以验证的IP开发人员做的吗? Can we get as much of that state space as possible closed and understood? But on top of that, we’re also providing information outside of that IP developer. How can you pass verification information that you might need for security on to the next level, where you can do analysis at an integration level, and possibly at a later implementation stage? I don’t think we’ll ever get away from being able to check security at different points throughout a device’s lifecycle, whether it’s being developed, or even at an operational stage. That’s where the digitization and digital twin efforts will help. They’re providing a way to do verification early and throughout the lifecycle of a part.

荷迪与PSS-based:至于负面测试的工具,可以帮助你得到状态空间的局限性和写一些有意义的测试程序,这有助于验证某些安全漏洞在系统中不存在,不能利用软件或不安全的过程。能够开发一些关键测试PSS的确是延长PSS能够应对负面测试。我们看到同样的事情的状态空间的问题,我们看到很多正式使用。我们有这么多的人实施过程,多个问题,和无序的处理,涉及到很多非常全面的测试,所以他们不容易受已知的边信道攻击发生的处理架构,如幽灵,崩溃,吃豆子。可以使用正式在子系统层面,。我们已经有多个例子的胳膊,英特尔将碧玉用户组的谈论他们是如何使用正式验证加载存储单位和这些东西。系统级,诸如数字双胞胎仍然很重要。但是当我们与客户讨论现实的期望,有各种各样的边信道攻击的人感兴趣。其中一些可以检测和消除在建筑和RTL的阶段,而另一些则不能。其中一些涉及到攻击者如何与你的电力系统交互,或者相声可能泄漏安全数据,如何对权力的信号、时钟信号,或其他信号。 Those are nearly impossible to verify unless you have an exact physical representation of the system. The models you need to simulate some of that stuff gets so detailed that even a digital twin cannot cope with it. There is no replacement for the physical attack lab kind of testing that needs to come later. So you need to set the expectations for what can be done at the RTL design stage, at the architectural stage, and what really has to be done later. Having people understand those different categories of side channel attacks is key to success.

Borza:很多我们所做的验证类似于一种ISO网络堆栈,您必须验证在每个级别对应的设计抽象层次你工作。在RTL,你有一定的验证。可以做一些分析和仿真的物理设计place-and-route之后,但变得更加复杂,需要更多的计算做大量的验证在那些阶段。你最后做的是很多post-silicon测试来验证实际设计你已经达到了目标。处理器侧通道就像新的时机攻击。他们往往是基于时间的,而不是电或能源,但也有一些权力渠道,,,人们需要关心。,甚至没有进入的一些物理攻击,像光子发射。所以有很多层你需要关心,你有更多和更复杂的敌人你越接近物理。但是他们那里,人们担心他们。真的是做了很多的工作验证必须努力确保你实现安全目标。

Karazuba需要看:一个方面是经济安全。你可以把一群三打工程师在一个房间里说,“发展最安全芯片。增加抵抗侧信道攻击,放在根的信任,部署最先进的加密密码。设计一个生产系统,验证设备的工厂,我们插入钥匙在整个过程我们可以ping它任何地方,保证运行正确的固件。你可以做所有的,但非常昂贵。这可能不适合的成本你正在寻找在一个特定的芯片。有可能建立一个真正安全设备?绝对的。它是经济可行吗?是的,没有。这取决于你部署一个设备的风险将持有和什么样的秘密。 What’s the risk of your companies being hacked? What’s the PR risk of your company being called out on the front page of The New York Times as the company that let out state secrets or company secrets?

SE:很多设计我们今天看更多的定制和生产的小卷。我们有新的流程节点,混合节点设计,chiplets,新的焊接方法可能并不像每个人都希望完美。这可以获得正面的多少?

Borza:这是基本分析的每一步,原因很简单。之前你可以抓住一个问题并修复它,更便宜,这是因为你花更少的时间和精力阐述最终设计。所以早期平衡验证成本的事情还是等到以后,你可以去找他们。但总的来说,这是更便宜的解决问题。然后,在每一个层面上,你需要确保如果你修理东西,你不引入下一个级别。这是一个挑战。你经常打破一些你认为你固定的改变或决定了以后在设计过程中,甚至在工厂实现。

Kelf:当我们设计更复杂的和定制的系统,我们可以建立更多的设计关闭漏洞。我们看看其中的一些新的应用,汽车是最明显的一个,而且医疗和其他类似的东西——有特定的与这些应用程序相关的漏洞,对于那些定制的设备,我们可以用一些聪明的目标设计工作,甚至在我们验证吗?例如,你要确保别人的起搏器不能通过卫星链路控制。我们如何设计在建筑层面的东西,这将避免某种奇怪的效应被用于铁路在之后的开发过程中。现在我们看到更多的,它真的会成为某些应用程序更重要。

SE:在某种程度上也取决于人们想偷,对吧?所以就能够接管硬件是一回事。但是数据泄漏,你可以收集少量的非常重要的数据,也很重要。

Karazuba:别人能得到的价值,无论是数据或物理访问,高度依赖于安全级别你将适用于它。当你谈论生命或者健康使用起搏器的例子中,很明显,这是极其重要的起搏器的所有者。的一些世界上最好的安全部署的角度来看是在股票市场和数十亿或数万亿美元交易。智能灯的开关有很多更少的货币价值,但在错误的手可以创建一个真正的问题,高层建筑。关于self-repossessing汽车福特申请了专利。如果我真正想要的野马GT和我可以破解他们的系统,它可以租我的车库。

Hallman的目标是识别这些常见的安全领域,在早期设计的作品。,物联网设备,提高了标准甚至可能不需要所有的安全。但如果在早些时候安全是烤,你提高了整个行业的酒吧将前期在一些常见元素。这就是中的任一种安全确实有好处。但是我们需要检查在每一个流程,安全不损害任何连锁发展。

Borza:物联网的回到这个例子灯的开关,如果您可以使用物联网平台作为一个立足进了房子,你可以访问更多的价值比一个灯泡。所以开关制造商不看到它在这有很大的作用,因为它没有多少钱的开关。这不是保护的利益。但问题是在你的房子的事情。现在我们谈论更多的建筑解决这个问题,就像把物联网网络到一个单独的网络物理上或逻辑上隔离和保护的防火墙。你开始看到这个概念出现,物联网在一个地方,更难以使用它作为一个立足让进屋里。

荷迪:物联网/边缘设备是一个值得关注的领域。我们卖给客户越来越安全。我们也看到大量的贸易公司创建自己的AI /毫升芯片,能够得到微秒或纳秒的延迟改善交易的速度成为这些应用程序非常重要。安全是手牵手,因为更快的大量交易对这些公司来说是不成则败的。安全显然是一个重要因素。但回到原来的问题大大增加在可伸缩性multi-chip模块和其他东西,你不能测试的很多物理侧槽的影响。你必须去post-silicon。仍有极好的设计实践而言,是什么让一个安全的电力网络,一个安全的方式与这些新的大规模设备的协议。当然,测试和调试介绍完全不同类型的安全漏洞。我们有工作人员在这些问题的方方面面,但你必须验证每一步。 There is no single answer.