有一天，芯片安全問題會比世界大戰(zhàn)還可怕

?

在從工業(yè)控制到軍事裝備的廣泛范圍內(nèi)，其設(shè)備是否真的包含惡意代碼、木馬和遠(yuǎn)程觸發(fā)的后門？這是危言聳聽還是真的存在？如果你是一個樂觀主義者，你可能覺得沒這么夸張，相反，如果你是一個悲觀主義者，你可能會對此持肯定態(tài)度。但是，卻沒有一個人真的有把握斷言其有無。這也正是讓安全專家感到憂慮的地方，特別是現(xiàn)在越來越多的設(shè)備開始互連在一起。

在過去的幾十年中，半導(dǎo)體和IP工業(yè)分解成一些小而專的公司，以單獨解決非常具有挑戰(zhàn)性的問題。專業(yè)化被證明是推動摩爾定律、幫助降低開發(fā)成本、縮短上市時間的最有效的方法。但是，它帶來的代價就是安全性問題-怎么保證集成進(jìn)半導(dǎo)體元件和電子產(chǎn)品中的組件只完成既定任務(wù)而不存在其他漏洞。今天，供應(yīng)鏈上充斥著各種零散的器件，以至于不再能全面有效地對它們進(jìn)行審查，這也同時意味著，沒有一個人可以在把這些特定的部件拆下來、打磨掉其封裝、插入探頭在掃描電子顯微鏡下檢查之前，就可以準(zhǔn)確得說出該部件來自哪里。

“這是工業(yè)界和政府普遍關(guān)注的問題，”前美國國防部副部長戈登?英格蘭（他也是前兩任海軍部部長）說?！澳壳暗膯栴}是不知道問題在哪兒，你不知道存在哪些可能在以后被激活的潛在風(fēng)險，所以要求商業(yè)和軍事承包商在其供應(yīng)鏈中具有較高的誠信，就真的非常重要了。”

戈登?英格蘭說，現(xiàn)在已經(jīng)不可能再回頭檢查市場上已經(jīng)出現(xiàn)的各種設(shè)備了。

“就算對這種情況憂心忡忡，實際上我們能做的并不多?！彼f，“最終所有的設(shè)備都會被更換，當(dāng)然各種設(shè)備的更換周期大相徑庭。飛機可能會使用30到40年，但它的系統(tǒng)會定期進(jìn)行通常是比較瑣碎的升級。通信系統(tǒng)會更經(jīng)常地進(jìn)行升級，而IT系統(tǒng)一直處于不停的升級中。當(dāng)涉及到政府部門采購的設(shè)備時，有些很新有些很老，這就讓事情變得比較復(fù)雜了。”

當(dāng)然，并不僅是美國政府在操這個心，根據(jù)過去12個月內(nèi)對包括中國、印度、歐盟和英國等國家的高管的采訪，他們也表達(dá)了對這個問題的關(guān)切-不斷擴展的供應(yīng)鏈和在美國及其他國家開發(fā)的元件帶來的安全問題。

“這些芯片(SoC)范圍非常廣泛，都是標(biāo)準(zhǔn)件，但是當(dāng)它們組合起來時完善嗎？” 戈登?英格蘭說。

更大的組件
對成百上千個獨立的組件的關(guān)切是促使子系統(tǒng)發(fā)展的最大驅(qū)動力之一。不無諷刺的是，人們曾經(jīng)把子系統(tǒng)分解開，以更大程度上提升這些子系統(tǒng)中的組件的性能。但是，隨著越來越多的設(shè)備連接到物聯(lián)網(wǎng)引發(fā)的安全性問題，以及對功耗優(yōu)化的需求，都使得人們開始重新重視子系統(tǒng)的價值。子系統(tǒng)來自于同一個供應(yīng)商，這就意味著在將已經(jīng)通過驗證和測試的IP整合在一起時，出現(xiàn)錯誤的可能性更小。

當(dāng)然，也存在實現(xiàn)安全性能的其它驅(qū)動因素。

“我們從合作伙伴那里了解到的其中一個因素是，當(dāng)其設(shè)備連接到物聯(lián)網(wǎng)上時，他們不希望自己開發(fā)的代碼被偷?！盇RM的系統(tǒng)和軟件事業(yè)部經(jīng)理Jim Wallace說，另一方面，消費者關(guān)心的是當(dāng)把他們的終端設(shè)備連接到云端時會發(fā)生什么情況。子系統(tǒng)降低了我們的合作伙伴的風(fēng)險，減少了產(chǎn)品的上市時間。通過我們提供的子系統(tǒng)，合作伙伴便可以在單個硅片上進(jìn)行集成，從而實現(xiàn)將其代碼對外部隱身。

ARM最新的物聯(lián)網(wǎng)子系統(tǒng)包括處理器、射頻IP、閃存、'microvisor'、加密密鑰和安全boot loader。再加上軟件，ARM創(chuàng)造了一個可以用于多種應(yīng)用的平臺。不止如此，ARM的目標(biāo)在于通過這些子系統(tǒng)，使得黑客很難破解終端設(shè)備，并且從安全角度來說，這些設(shè)備不存在耦合性，即使黑客破解了一臺設(shè)備，他們也僅僅是只破解了這一臺而已，其他設(shè)備不受影響。這種方法對于制止對標(biāo)準(zhǔn)產(chǎn)品的廣泛攻擊非常重要，例如使用一個特定的部件就造成烘烤面包機起火或讓所有的戰(zhàn)斗機熄火。

采用子系統(tǒng)的好處在于，你可以從多個角度實驗產(chǎn)品中各個子系統(tǒng)的布局和布線，你還可以預(yù)測產(chǎn)品的性能，所以，如果驗證了其他IP可以與該子系統(tǒng)一起工作，你可以很放心，最終的產(chǎn)品也會工作良好。

這個問題的關(guān)鍵之一在于發(fā)散性的思考。多想想可以從外部破解這個技術(shù)嗎，或者可以把足夠多的代碼或電路嵌入到一個芯片上嗎？而且同樣重要的是，你能說出什么時候會出錯嗎？

這方面的需求已經(jīng)引起了眾多玩家的競爭，包括IP公司、EDA公司都競相在其新設(shè)計中發(fā)力，這不僅促使ARM和Synopsys展開了在這個領(lǐng)域的一系列收購，同時也促進(jìn)了很多其他方法的涌現(xiàn)，比如PFP Cybersecurity公司采用了一種方法，通過精確實時測量功率變化，以確定硬件什么時候進(jìn)行了非預(yù)期的操作。

“現(xiàn)在采用的設(shè)備測試方法是，經(jīng)銷商拿出1%的芯片，送到實驗室進(jìn)行破壞性試驗，即使100萬個中出現(xiàn)了一個假冒的芯片，他們也會把這一大批芯片都處理掉?！盤FP的董事長兼首席執(zhí)政官Steven Chen說。“其實你可以采用一個巧妙的方法，觀察芯片或電路板的功耗情況，你就可以判斷是否存在硬件木馬。”

當(dāng)然，這種方法也并非總是奏效?，F(xiàn)在的復(fù)雜SoC中存在那么多電源域，即使芯片看起來是真的，木馬可以屏蔽掉一些功能，所以很難通過總體的功耗波動判斷芯片的真實性。這里的技巧是為每個電源域都設(shè)定一種功率分布基準(zhǔn)，然后匯報任何的畸變。

?

動機不同
一個不容回避的問題是，在解決安全漏洞面前，并非供應(yīng)鏈上的每個人都有著同樣的關(guān)切和動機。

“對于某些監(jiān)管和國家安全解決方案，美國國防部顯然關(guān)切很高?！盇trenta公司首席技術(shù)官Bernard Murphy說，“在這點的掌控上，涉及面很廣。比如，國防部顯然更愿意只使用美國國內(nèi)的晶圓廠，但這顯然是不現(xiàn)實的。而且由于IP也來自世界各地，要全面控制IP也幾乎是不可能的?！?/p>

Murphy說，消費者的關(guān)注點相對來說沒那么簡單。他們雖然也非常關(guān)心自身的安全性，但是涉及到其他的數(shù)據(jù)的安全時，他們則沒有那么關(guān)心了。

“汽車的安全問題比較突出，特別是用于進(jìn)行升級的軟件存在故障時”，他說，“對其他事物而言，可能只有一個最低可接受的安全性，現(xiàn)在我們不知道公眾到底需要什么，國防部有自己的一套需求，但是消費者們的需求截然不同?！?/p>

這并不意味著芯片制造商和系統(tǒng)廠商不會對他們購買來的IP提出安全要求，即使只是用于邊緣設(shè)備，同樣也有一定程度的安全要求。Andes科技總裁Frankwell Lin表示，消費者關(guān)心的四大關(guān)鍵要素是安全性、電池續(xù)航能力、功能和成本。

“這四個要素對我們來說特別重要，我們每年花費數(shù)百萬美金以提高CPU和MCU核、外設(shè)和軟件工具的能效，”Frankwell Lin指著該公司旨在用于從智能傳感器到觸控面板的所有應(yīng)用的可配置MCU內(nèi)核對記者說，“它具有可以抵御黑客攻擊的安全特性，它獨特的架構(gòu)使其能在提供高性能的同時節(jié)約功耗?！?/p>

結(jié)論
保護(hù)供應(yīng)鏈只是解決多方面的安全問題的方法之一，連接性系統(tǒng)各個方面的漏洞都必須被消除，以保證數(shù)據(jù)不會擅自增加或減少。但是，即使是當(dāng)今做得最好的系統(tǒng)，也不能保證在連接到并用于物聯(lián)網(wǎng)時不會造成損壞，或者當(dāng)物聯(lián)網(wǎng)發(fā)揮更大作用時其技術(shù)依然有效。

被認(rèn)為已經(jīng)失效的木馬可能會在物聯(lián)網(wǎng)開始發(fā)揮作用時被重新激活，也可能，人們是在杞人憂天，這些僅僅是永遠(yuǎn)不會出現(xiàn)的所謂的終極災(zāi)難。

但是，正如戈登?英格蘭注意到的，即使是國稅局這樣的機構(gòu)也正在被黑客侵入，總統(tǒng)奧巴馬的私人電話清單也被公然盜走。

“到最后，這種問題會歸結(jié)到你是否認(rèn)為需要一些系統(tǒng)來保證芯片的完整性并在它們設(shè)計之前驗證其完整性”，英格蘭說。不過，至少到目前為止，還是說得比做得多。

更多有關(guān)芯片安全的資訊，歡迎訪問?與非網(wǎng)芯片安全專區(qū)

與非網(wǎng)編譯，未經(jīng)許可，不得轉(zhuǎn)載！