有一天，芯片安全問(wèn)題會(huì)比世界大戰(zhàn)還可怕

?

在從工業(yè)控制到軍事裝備的廣泛范圍內(nèi)，其設(shè)備是否真的包含惡意代碼、木馬和遠(yuǎn)程觸發(fā)的后門？這是危言聳聽(tīng)還是真的存在？如果你是一個(gè)樂(lè)觀主義者，你可能覺(jué)得沒(méi)這么夸張，相反，如果你是一個(gè)悲觀主義者，你可能會(huì)對(duì)此持肯定態(tài)度。但是，卻沒(méi)有一個(gè)人真的有把握斷言其有無(wú)。這也正是讓安全專家感到憂慮的地方，特別是現(xiàn)在越來(lái)越多的設(shè)備開(kāi)始互連在一起。

在過(guò)去的幾十年中，半導(dǎo)體和IP工業(yè)分解成一些小而專的公司，以單獨(dú)解決非常具有挑戰(zhàn)性的問(wèn)題。專業(yè)化被證明是推動(dòng)摩爾定律、幫助降低開(kāi)發(fā)成本、縮短上市時(shí)間的最有效的方法。但是，它帶來(lái)的代價(jià)就是安全性問(wèn)題-怎么保證集成進(jìn)半導(dǎo)體元件和電子產(chǎn)品中的組件只完成既定任務(wù)而不存在其他漏洞。今天，供應(yīng)鏈上充斥著各種零散的器件，以至于不再能全面有效地對(duì)它們進(jìn)行審查，這也同時(shí)意味著，沒(méi)有一個(gè)人可以在把這些特定的部件拆下來(lái)、打磨掉其封裝、插入探頭在掃描電子顯微鏡下檢查之前，就可以準(zhǔn)確得說(shuō)出該部件來(lái)自哪里。

“這是工業(yè)界和政府普遍關(guān)注的問(wèn)題，”前美國(guó)國(guó)防部副部長(zhǎng)戈登?英格蘭（他也是前兩任海軍部部長(zhǎng)）說(shuō)。“目前的問(wèn)題是不知道問(wèn)題在哪兒，你不知道存在哪些可能在以后被激活的潛在風(fēng)險(xiǎn)，所以要求商業(yè)和軍事承包商在其供應(yīng)鏈中具有較高的誠(chéng)信，就真的非常重要了。”

戈登?英格蘭說(shuō)，現(xiàn)在已經(jīng)不可能再回頭檢查市場(chǎng)上已經(jīng)出現(xiàn)的各種設(shè)備了。

“就算對(duì)這種情況憂心忡忡，實(shí)際上我們能做的并不多?！彼f(shuō)，“最終所有的設(shè)備都會(huì)被更換，當(dāng)然各種設(shè)備的更換周期大相徑庭。飛機(jī)可能會(huì)使用30到40年，但它的系統(tǒng)會(huì)定期進(jìn)行通常是比較瑣碎的升級(jí)。通信系統(tǒng)會(huì)更經(jīng)常地進(jìn)行升級(jí)，而IT系統(tǒng)一直處于不停的升級(jí)中。當(dāng)涉及到政府部門采購(gòu)的設(shè)備時(shí)，有些很新有些很老，這就讓事情變得比較復(fù)雜了?！?/p>

當(dāng)然，并不僅是美國(guó)政府在操這個(gè)心，根據(jù)過(guò)去12個(gè)月內(nèi)對(duì)包括中國(guó)、印度、歐盟和英國(guó)等國(guó)家的高管的采訪，他們也表達(dá)了對(duì)這個(gè)問(wèn)題的關(guān)切-不斷擴(kuò)展的供應(yīng)鏈和在美國(guó)及其他國(guó)家開(kāi)發(fā)的元件帶來(lái)的安全問(wèn)題。

“這些芯片(SoC)范圍非常廣泛，都是標(biāo)準(zhǔn)件，但是當(dāng)它們組合起來(lái)時(shí)完善嗎？” 戈登?英格蘭說(shuō)。

更大的組件
對(duì)成百上千個(gè)獨(dú)立的組件的關(guān)切是促使子系統(tǒng)發(fā)展的最大驅(qū)動(dòng)力之一。不無(wú)諷刺的是，人們?cè)?jīng)把子系統(tǒng)分解開(kāi)，以更大程度上提升這些子系統(tǒng)中的組件的性能。但是，隨著越來(lái)越多的設(shè)備連接到物聯(lián)網(wǎng)引發(fā)的安全性問(wèn)題，以及對(duì)功耗優(yōu)化的需求，都使得人們開(kāi)始重新重視子系統(tǒng)的價(jià)值。子系統(tǒng)來(lái)自于同一個(gè)供應(yīng)商，這就意味著在將已經(jīng)通過(guò)驗(yàn)證和測(cè)試的IP整合在一起時(shí)，出現(xiàn)錯(cuò)誤的可能性更小。

當(dāng)然，也存在實(shí)現(xiàn)安全性能的其它驅(qū)動(dòng)因素。

“我們從合作伙伴那里了解到的其中一個(gè)因素是，當(dāng)其設(shè)備連接到物聯(lián)網(wǎng)上時(shí)，他們不希望自己開(kāi)發(fā)的代碼被偷。”ARM的系統(tǒng)和軟件事業(yè)部經(jīng)理Jim Wallace說(shuō)，另一方面，消費(fèi)者關(guān)心的是當(dāng)把他們的終端設(shè)備連接到云端時(shí)會(huì)發(fā)生什么情況。子系統(tǒng)降低了我們的合作伙伴的風(fēng)險(xiǎn)，減少了產(chǎn)品的上市時(shí)間。通過(guò)我們提供的子系統(tǒng)，合作伙伴便可以在單個(gè)硅片上進(jìn)行集成，從而實(shí)現(xiàn)將其代碼對(duì)外部隱身。

ARM最新的物聯(lián)網(wǎng)子系統(tǒng)包括處理器、射頻IP、閃存、'microvisor'、加密密鑰和安全boot loader。再加上軟件，ARM創(chuàng)造了一個(gè)可以用于多種應(yīng)用的平臺(tái)。不止如此，ARM的目標(biāo)在于通過(guò)這些子系統(tǒng)，使得黑客很難破解終端設(shè)備，并且從安全角度來(lái)說(shuō)，這些設(shè)備不存在耦合性，即使黑客破解了一臺(tái)設(shè)備，他們也僅僅是只破解了這一臺(tái)而已，其他設(shè)備不受影響。這種方法對(duì)于制止對(duì)標(biāo)準(zhǔn)產(chǎn)品的廣泛攻擊非常重要，例如使用一個(gè)特定的部件就造成烘烤面包機(jī)起火或讓所有的戰(zhàn)斗機(jī)熄火。

采用子系統(tǒng)的好處在于，你可以從多個(gè)角度實(shí)驗(yàn)產(chǎn)品中各個(gè)子系統(tǒng)的布局和布線，你還可以預(yù)測(cè)產(chǎn)品的性能，所以，如果驗(yàn)證了其他IP可以與該子系統(tǒng)一起工作，你可以很放心，最終的產(chǎn)品也會(huì)工作良好。

這個(gè)問(wèn)題的關(guān)鍵之一在于發(fā)散性的思考。多想想可以從外部破解這個(gè)技術(shù)嗎，或者可以把足夠多的代碼或電路嵌入到一個(gè)芯片上嗎？而且同樣重要的是，你能說(shuō)出什么時(shí)候會(huì)出錯(cuò)嗎？

這方面的需求已經(jīng)引起了眾多玩家的競(jìng)爭(zhēng)，包括IP公司、EDA公司都競(jìng)相在其新設(shè)計(jì)中發(fā)力，這不僅促使ARM和Synopsys展開(kāi)了在這個(gè)領(lǐng)域的一系列收購(gòu)，同時(shí)也促進(jìn)了很多其他方法的涌現(xiàn)，比如PFP Cybersecurity公司采用了一種方法，通過(guò)精確實(shí)時(shí)測(cè)量功率變化，以確定硬件什么時(shí)候進(jìn)行了非預(yù)期的操作。

“現(xiàn)在采用的設(shè)備測(cè)試方法是，經(jīng)銷商拿出1%的芯片，送到實(shí)驗(yàn)室進(jìn)行破壞性試驗(yàn)，即使100萬(wàn)個(gè)中出現(xiàn)了一個(gè)假冒的芯片，他們也會(huì)把這一大批芯片都處理掉。”PFP的董事長(zhǎng)兼首席執(zhí)政官Steven Chen說(shuō)?！捌鋵?shí)你可以采用一個(gè)巧妙的方法，觀察芯片或電路板的功耗情況，你就可以判斷是否存在硬件木馬?！?/p>

當(dāng)然，這種方法也并非總是奏效?，F(xiàn)在的復(fù)雜SoC中存在那么多電源域，即使芯片看起來(lái)是真的，木馬可以屏蔽掉一些功能，所以很難通過(guò)總體的功耗波動(dòng)判斷芯片的真實(shí)性。這里的技巧是為每個(gè)電源域都設(shè)定一種功率分布基準(zhǔn)，然后匯報(bào)任何的畸變。

?

動(dòng)機(jī)不同
一個(gè)不容回避的問(wèn)題是，在解決安全漏洞面前，并非供應(yīng)鏈上的每個(gè)人都有著同樣的關(guān)切和動(dòng)機(jī)。

“對(duì)于某些監(jiān)管和國(guó)家安全解決方案，美國(guó)國(guó)防部顯然關(guān)切很高?！盇trenta公司首席技術(shù)官Bernard Murphy說(shuō)，“在這點(diǎn)的掌控上，涉及面很廣。比如，國(guó)防部顯然更愿意只使用美國(guó)國(guó)內(nèi)的晶圓廠，但這顯然是不現(xiàn)實(shí)的。而且由于IP也來(lái)自世界各地，要全面控制IP也幾乎是不可能的?！?/p>

Murphy說(shuō)，消費(fèi)者的關(guān)注點(diǎn)相對(duì)來(lái)說(shuō)沒(méi)那么簡(jiǎn)單。他們雖然也非常關(guān)心自身的安全性，但是涉及到其他的數(shù)據(jù)的安全時(shí)，他們則沒(méi)有那么關(guān)心了。

“汽車的安全問(wèn)題比較突出，特別是用于進(jìn)行升級(jí)的軟件存在故障時(shí)”，他說(shuō)，“對(duì)其他事物而言，可能只有一個(gè)最低可接受的安全性，現(xiàn)在我們不知道公眾到底需要什么，國(guó)防部有自己的一套需求，但是消費(fèi)者們的需求截然不同?！?/p>

這并不意味著芯片制造商和系統(tǒng)廠商不會(huì)對(duì)他們購(gòu)買來(lái)的IP提出安全要求，即使只是用于邊緣設(shè)備，同樣也有一定程度的安全要求。Andes科技總裁Frankwell Lin表示，消費(fèi)者關(guān)心的四大關(guān)鍵要素是安全性、電池續(xù)航能力、功能和成本。

“這四個(gè)要素對(duì)我們來(lái)說(shuō)特別重要，我們每年花費(fèi)數(shù)百萬(wàn)美金以提高CPU和MCU核、外設(shè)和軟件工具的能效，”Frankwell Lin指著該公司旨在用于從智能傳感器到觸控面板的所有應(yīng)用的可配置MCU內(nèi)核對(duì)記者說(shuō)，“它具有可以抵御黑客攻擊的安全特性，它獨(dú)特的架構(gòu)使其能在提供高性能的同時(shí)節(jié)約功耗?！?/p>

結(jié)論
保護(hù)供應(yīng)鏈只是解決多方面的安全問(wèn)題的方法之一，連接性系統(tǒng)各個(gè)方面的漏洞都必須被消除，以保證數(shù)據(jù)不會(huì)擅自增加或減少。但是，即使是當(dāng)今做得最好的系統(tǒng)，也不能保證在連接到并用于物聯(lián)網(wǎng)時(shí)不會(huì)造成損壞，或者當(dāng)物聯(lián)網(wǎng)發(fā)揮更大作用時(shí)其技術(shù)依然有效。

被認(rèn)為已經(jīng)失效的木馬可能會(huì)在物聯(lián)網(wǎng)開(kāi)始發(fā)揮作用時(shí)被重新激活，也可能，人們是在杞人憂天，這些僅僅是永遠(yuǎn)不會(huì)出現(xiàn)的所謂的終極災(zāi)難。

但是，正如戈登?英格蘭注意到的，即使是國(guó)稅局這樣的機(jī)構(gòu)也正在被黑客侵入，總統(tǒng)奧巴馬的私人電話清單也被公然盜走。

“到最后，這種問(wèn)題會(huì)歸結(jié)到你是否認(rèn)為需要一些系統(tǒng)來(lái)保證芯片的完整性并在它們?cè)O(shè)計(jì)之前驗(yàn)證其完整性”，英格蘭說(shuō)。不過(guò)，至少到目前為止，還是說(shuō)得比做得多。

更多有關(guān)芯片安全的資訊，歡迎訪問(wèn)?與非網(wǎng)芯片安全專區(qū)

與非網(wǎng)編譯，未經(jīng)許可，不得轉(zhuǎn)載！