企業(yè)環(huán)境的快速數(shù)字化、復(fù)雜網(wǎng)絡(luò)威脅的激增、安全法規(guī)的不斷演變以及量子計算技術(shù)的崛起,在網(wǎng)絡(luò)安全領(lǐng)域掀起了層層巨浪,行業(yè)對敏捷性和彈性也提出了更高的要求。為了應(yīng)對這種情況,企業(yè)必須在網(wǎng)絡(luò)防御和合規(guī)方面保持積極主動的態(tài)度。在最新的萊迪思安全研討會上,萊迪思安全專家與來自AMI和Rambus的合作伙伴共同探討了企業(yè)如何利用先進(jìn)的安全技術(shù)駕馭新的監(jiān)管環(huán)境。討論內(nèi)容包括可信平臺模塊(TPM)技術(shù)的最新進(jìn)展、使用Caliptra創(chuàng)新推出的測量信任根(RoTM),以及將這些解決方案無縫集成到現(xiàn)場可編程門陣列(FPGA)技術(shù)實施中。
應(yīng)對不斷變化的安全法規(guī)
為幫助確保網(wǎng)絡(luò)彈性和安全性,各種監(jiān)管準(zhǔn)則已經(jīng)出臺或即將出臺。例如,2024年8月13日,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了首批三種最終確定的后量子加密(PQC)算法。此外,美國國家安全局(NSA)也加大了應(yīng)對量子攻擊的力度,推出了商用國家安全算法套件2.0,要求國家安全系統(tǒng)所有者、運營商和供應(yīng)商從2025年起對所有新軟件實施PQC。歐盟也推出了大量新法規(guī),包括《數(shù)字運行彈性法案》(DORA)和《網(wǎng)絡(luò)彈性法案》(CRA),旨在降低不斷增長的安全威脅所帶來的風(fēng)險。
新興TPM技術(shù)進(jìn)展
TPM長期以來一直是硬件安全的基石。TPM是計算機主板上的一種專用芯片,旨在通過提供安全的方式來存儲加密密鑰、密碼和數(shù)字證書等敏感信息,增強系統(tǒng)的整體安全性。TPM標(biāo)準(zhǔn)最初由可信計算小組(Trusted Computing Group)制定,它提供了一種硬件可信根(HRoT)方案,確保系統(tǒng)的完整性。它可能是最早進(jìn)入市場的標(biāo)準(zhǔn)化HRoT之一。
然而TPM技術(shù)領(lǐng)域正面臨著重大挑戰(zhàn)。隨著物聯(lián)網(wǎng)(IoT)應(yīng)用在工業(yè)化環(huán)境中不斷擴大,需要開發(fā)更靈活、更低功耗的HRoT實現(xiàn)方案。此外,隨著云計算和虛擬工作負(fù)載大規(guī)模發(fā)展,HRoT需要通過遠(yuǎn)程驗證和安全訪問云資源來更好地支持零信任架構(gòu),確保只有受信任的設(shè)備才能訪問敏感數(shù)據(jù)和系統(tǒng)。人工智能(AI)在網(wǎng)絡(luò)安全中的應(yīng)用對TPM的靜態(tài)ASSP實現(xiàn)提出了挑戰(zhàn)。HRoT必須足夠靈活,兼容未來可能的更新,從而直接在硬件層面支持基于人工智能的威脅檢測和響應(yīng)。最后,最大的挑戰(zhàn)來自量子計算機的出現(xiàn)。TPM依賴于傳統(tǒng)的非對稱加密技術(shù),在量子攻擊面前不堪一擊。因此,迫切需要將PQC算法集成到TPM中。在FPGA等靈活的HRoT器件中集成TPM功能對于確保設(shè)備在面對新興威脅時保持安全至關(guān)重要。
隨著攻擊變得更加高級,防御環(huán)境變得更加復(fù)雜,TPM將需要持續(xù)更新,提供更強大的功能。
Caliptra:RoTM的范式轉(zhuǎn)變
開源計算的興起推動了對更具互操作性的RoTM功能的需求。RoTM是一個基本的安全概念,是指從可信、不可變的基礎(chǔ)開始,驗證系統(tǒng)硬件和軟件組件完整性和真實性的過程。其目的是建立一個信任鏈,從一個固有可信的組件(“根”)開始,通過一系列的測量和驗證擴展到系統(tǒng)的其他部分。
在RoTM方面,由開放計算項目開發(fā)的開源芯片RoT Caliptra提供了在大規(guī)模數(shù)據(jù)中心和網(wǎng)絡(luò)邊緣計算環(huán)境中測量、存儲和報告系統(tǒng)狀態(tài)的基本功能。Caliptra集成到片上系統(tǒng)(SoC)設(shè)計中,可以實現(xiàn)安全啟動過程和運行時驗證,這對于維護(hù)系統(tǒng)完整性和檢測潛在的安全漏洞至關(guān)重要。
Caliptra是RoTM演進(jìn)過程中的一項重要發(fā)展,它建立了一個標(biāo)準(zhǔn)化的開源框架,用于保護(hù)可互操作的計算生態(tài)系統(tǒng)。通過提供芯片RoTM的開源標(biāo)準(zhǔn)化實現(xiàn),它解決了一致性、靈活性、面向未來和透明度等幾個關(guān)鍵挑戰(zhàn)。它還提供了跨不同硬件平臺的統(tǒng)一RoTM方法,這對于確保大規(guī)模云計算和網(wǎng)絡(luò)邊緣計算環(huán)境的安全至關(guān)重要。展望未來,Caliptra將繼續(xù)成為維護(hù)不同云計算和網(wǎng)絡(luò)邊緣計算環(huán)境之間安全互操作性的關(guān)鍵:為各種軟件和硬件平臺提供一致的安全基礎(chǔ)。
利用FPGA推動動態(tài)HRoT
萊迪思FPGA在支持TPM和Caliptra等HRoT功能方面發(fā)揮著關(guān)鍵作用,其多功能性和基于硬件的功能使其成為實現(xiàn)和增強這些技術(shù)所提供的安全功能的理想選擇。例如,萊迪思MachXO3D?、萊迪思MachXO5D?-NX和萊迪思Mach?-NX提供了一個強大的HRoT基石,具有用于自我驗證的安全、不可變的唯一ID,快速安全的啟動,以及特定器件原生的全套驗證安全服務(wù)。
萊迪思FPGA還在HRoT產(chǎn)品中集成了 “加密敏捷 ”功能,為服務(wù)器平臺和其他互連設(shè)備應(yīng)用(如PQC擴展)提供面向未來的保護(hù)。此外,它們還為TPM和Caliptra的原型開發(fā)和新設(shè)計或功能測試提供了一個絕佳的平臺。由于FPGA可以無線重新編程,因此設(shè)計人員可以快速迭代和驗證設(shè)計,而無需每次都制造新的芯片。這對TPM和Caliptra等安全模塊尤其有用,因為它們需要更新和改進(jìn),以滿足不斷變化的標(biāo)準(zhǔn)和法規(guī)的要求。
具有HRoT功能的萊迪思FPGA有一個專用的加密引擎,具有對稱和非對稱加密功能。此外,集成了鎖定閃存的萊迪思HRoT產(chǎn)品可保護(hù)代碼不被擦除、讀取或改寫,防止未經(jīng)授權(quán)的訪問。它們可以建立獨特的器件身份,在允許數(shù)據(jù)交換之前進(jìn)行驗證,確保系統(tǒng)的核心功能和組件受到保護(hù)。此外,它們還允許在具有獨特安全要求(如網(wǎng)絡(luò)彈性標(biāo)準(zhǔn)要求)的專門應(yīng)用中實施定制安全功能,以補充或增強標(biāo)準(zhǔn)TPM或Caliptra實現(xiàn)。對于已經(jīng)使用FPGA的系統(tǒng),將TPM或Caliptra功能直接集成到FPGA中還可以提高設(shè)計的效率和成本效益。
FPGA為TPM和Caliptra等重要技術(shù)提供了支持,將繼續(xù)成為現(xiàn)代計算系統(tǒng)中寶貴的安全資產(chǎn)。通過利用FPGA的功能,企業(yè)可以構(gòu)建高度安全可靠的平臺,從而很好地防范各種威脅。欲了解有關(guān)FPGA及其在網(wǎng)絡(luò)安全中的作用的更多信息,請立即聯(lián)系萊迪思團隊。