在从工业控制到军事装备的广泛范围内,其设备是否真的包含恶意代码、木马和远程触发的后门?这是危言耸听还是真的存在?如果你是一个乐观主义者,你可能觉得没这么夸张,相反,如果你是一个悲观主义者,你可能会对此持肯定态度。但是,却没有一个人真的有把握断言其有无。这也正是让安全专家感到忧虑的地方,特别是现在越来越多的设备开始互连在一起。
在过去的几十年中,半导体和IP工业分解成一些小而专的公司,以单独解决非常具有挑战性的问题。专业化被证明是推动摩尔定律、帮助降低开发成本、缩短上市时间的最有效的方法。但是,它带来的代价就是安全性问题-怎么保证集成进半导体元件和电子产品中的组件只完成既定任务而不存在其他漏洞。今天,供应链上充斥着各种零散的器件,以至于不再能全面有效地对它们进行审查,这也同时意味着,没有一个人可以在把这些特定的部件拆下来、打磨掉其封装、插入探头在扫描电子显微镜下检查之前,就可以准确得说出该部件来自哪里。
“这是工业界和政府普遍关注的问题,”前美国国防部副部长戈登•英格兰(他也是前两任海军部部长)说。“目前的问题是不知道问题在哪儿,你不知道存在哪些可能在以后被激活的潜在风险,所以要求商业和军事承包商在其供应链中具有较高的诚信,就真的非常重要了。”
戈登•英格兰说,现在已经不可能再回头检查市场上已经出现的各种设备了。
“就算对这种情况忧心忡忡,实际上我们能做的并不多。”他说,“最终所有的设备都会被更换,当然各种设备的更换周期大相径庭。飞机可能会使用30到40年,但它的系统会定期进行通常是比较琐碎的升级。通信系统会更经常地进行升级,而IT系统一直处于不停的升级中。当涉及到政府部门采购的设备时,有些很新有些很老,这就让事情变得比较复杂了。”
当然,并不仅是美国政府在操这个心,根据过去12个月内对包括中国、印度、欧盟和英国等国家的高管的采访,他们也表达了对这个问题的关切-不断扩展的供应链和在美国及其他国家开发的元件带来的安全问题。
“这些芯片(SoC)范围非常广泛,都是标准件,但是当它们组合起来时完善吗?” 戈登•英格兰说。
更大的组件
对成百上千个独立的组件的关切是促使子系统发展的最大驱动力之一。不无讽刺的是,人们曾经把子系统分解开,以更大程度上提升这些子系统中的组件的性能。但是,随着越来越多的设备连接到物联网引发的安全性问题,以及对功耗优化的需求,都使得人们开始重新重视子系统的价值。子系统来自于同一个供应商,这就意味着在将已经通过验证和测试的IP整合在一起时,出现错误的可能性更小。
当然,也存在实现安全性能的其它驱动因素。
“我们从合作伙伴那里了解到的其中一个因素是,当其设备连接到物联网上时,他们不希望自己开发的代码被偷。”ARM的系统和软件事业部经理Jim Wallace说,另一方面,消费者关心的是当把他们的终端设备连接到云端时会发生什么情况。子系统降低了我们的合作伙伴的风险,减少了产品的上市时间。通过我们提供的子系统,合作伙伴便可以在单个硅片上进行集成,从而实现将其代码对外部隐身。
ARM最新的物联网子系统包括处理器、射频IP、闪存、'microvisor'、加密密钥和安全boot loader。再加上软件,ARM创造了一个可以用于多种应用的平台。不止如此,ARM的目标在于通过这些子系统,使得黑客很难破解终端设备,并且从安全角度来说,这些设备不存在耦合性,即使黑客破解了一台设备,他们也仅仅是只破解了这一台而已,其他设备不受影响。这种方法对于制止对标准产品的广泛攻击非常重要,例如使用一个特定的部件就造成烘烤面包机起火或让所有的战斗机熄火。
采用子系统的好处在于,你可以从多个角度实验产品中各个子系统的布局和布线,你还可以预测产品的性能,所以,如果验证了其他IP可以与该子系统一起工作,你可以很放心,最终的产品也会工作良好。
这个问题的关键之一在于发散性的思考。多想想可以从外部破解这个技术吗,或者可以把足够多的代码或电路嵌入到一个芯片上吗?而且同样重要的是,你能说出什么时候会出错吗?
这方面的需求已经引起了众多玩家的竞争,包括IP公司、EDA公司都竞相在其新设计中发力,这不仅促使ARM和Synopsys展开了在这个领域的一系列收购,同时也促进了很多其他方法的涌现,比如PFP Cybersecurity公司采用了一种方法,通过精确实时测量功率变化,以确定硬件什么时候进行了非预期的操作。
“现在采用的设备测试方法是,经销商拿出1%的芯片,送到实验室进行破坏性试验,即使100万个中出现了一个假冒的芯片,他们也会把这一大批芯片都处理掉。”PFP的董事长兼首席执政官Steven Chen说。“其实你可以采用一个巧妙的方法,观察芯片或电路板的功耗情况,你就可以判断是否存在硬件木马。”
当然,这种方法也并非总是奏效。现在的复杂SoC中存在那么多电源域,即使芯片看起来是真的,木马可以屏蔽掉一些功能,所以很难通过总体的功耗波动判断芯片的真实性。这里的技巧是为每个电源域都设定一种功率分布基准,然后汇报任何的畸变。
动机不同
一个不容回避的问题是,在解决安全漏洞面前,并非供应链上的每个人都有着同样的关切和动机。
“对于某些监管和国家安全解决方案,美国国防部显然关切很高。”Atrenta公司首席技术官Bernard Murphy说,“在这点的掌控上,涉及面很广。比如,国防部显然更愿意只使用美国国内的晶圆厂,但这显然是不现实的。而且由于IP也来自世界各地,要全面控制IP也几乎是不可能的。”
Murphy说,消费者的关注点相对来说没那么简单。他们虽然也非常关心自身的安全性,但是涉及到其他的数据的安全时,他们则没有那么关心了。
“汽车的安全问题比较突出,特别是用于进行升级的软件存在故障时”,他说,“对其他事物而言,可能只有一个最低可接受的安全性,现在我们不知道公众到底需要什么,国防部有自己的一套需求,但是消费者们的需求截然不同。”
这并不意味着芯片制造商和系统厂商不会对他们购买来的IP提出安全要求,即使只是用于边缘设备,同样也有一定程度的安全要求。Andes科技总裁Frankwell Lin表示,消费者关心的四大关键要素是安全性、电池续航能力、功能和成本。
“这四个要素对我们来说特别重要,我们每年花费数百万美金以提高CPU和MCU核、外设和软件工具的能效,”Frankwell Lin指着该公司旨在用于从智能传感器到触控面板的所有应用的可配置MCU内核对记者说,“它具有可以抵御黑客攻击的安全特性,它独特的架构使其能在提供高性能的同时节约功耗。”
结论
保护供应链只是解决多方面的安全问题的方法之一,连接性系统各个方面的漏洞都必须被消除,以保证数据不会擅自增加或减少。但是,即使是当今做得最好的系统,也不能保证在连接到并用于物联网时不会造成损坏,或者当物联网发挥更大作用时其技术依然有效。
被认为已经失效的木马可能会在物联网开始发挥作用时被重新激活,也可能,人们是在杞人忧天,这些仅仅是永远不会出现的所谓的终极灾难。
但是,正如戈登•英格兰注意到的,即使是国税局这样的机构也正在被黑客侵入,总统奥巴马的私人电话清单也被公然盗走。
“到最后,这种问题会归结到你是否认为需要一些系统来保证芯片的完整性并在它们设计之前验证其完整性”,英格兰说。不过,至少到目前为止,还是说得比做得多。
更多有关芯片安全的资讯,欢迎访问 与非网芯片安全专区
与非网编译,未经许可,不得转载!