中国安全风险被低估

半导体生态系统充满了小芯片的希望，但对这些小芯片的安全性或它们将集成到的异构系统的关注要少得多。

将soc分解成小芯片显著地改变了网络安全威胁的格局。与通常使用相同工艺技术制造的单片多功能芯片不同，小芯片可以在任何地方和任何工艺节点上开发。事实上，开发异构芯片的关键原因之一是，并不是每个功能都能从最新的工艺技术中受益，也不是所有功能都能塞到一个芯片上。但这也提高了威胁级别，该行业正在努力以一种可重复且具有成本效益的方式处理安全问题。

英特尔的硅安全产品高级总监斯科特•贝斯特(Scott Best)表示:“其中一些芯片的制造方式可以以低廉的价格进行逆向工程或重新制造，并在芯片中添加一些恶意功能，因为它的芯片要小得多。Rambus．“它不再是一个20 x 20毫米的芯片，上面有500亿个晶体管。它有一百万个晶体管，它有一个非常特殊的功能。世界各地都有国家资助的参与者可以克隆该功能，将其放入兼容的流程节点，并向其添加恶意功能。现在的风险是，他们以某种方式将恶意组件插入供应链，并在无意中集成。这有点吓人，尤其是它的可行性。我不确定很多人是否完全理解克隆内置在尖端技术节点上的小芯片是多么容易。随着时间的推移，后缘开始意味着越来越多的东西。即使是最先进的22nm技术，现在也落后了3、4代。他们成为了非常诱人的目标，特别是如果想出这种芯片可以让对手进入更大的终端市场。”

一个关键的挑战是开发一个具有可靠可追溯性的供应链。“比方说，客户担心芯片是否内置了安全性，”英特尔高级封装解决方案总监托尼·马斯楚安尼(Tony Mastroianni)说西门子数字工业软件．“很多终端接口都内置了安全性。但是对于可追溯性还有其他的考虑，这是一个不同的问题。我们希望确保在整个设计过程中您不会受到损害，这需要涵盖从RTL设计到制造交付零件的所有方式。这是一头完全不同的野兽。”

在设计、组装或测试期间，将多个小芯片集成到一个异构包中会导致安全漏洞和与恶意修改或攻击单个小芯片相关的潜在风险。马斯楚安尼说:“此外，由于小芯片通常是由不同的供应商设计和制造的，恶意行为者可能会攻击其中一家供应商，并利用这种访问权限来攻击整个基于小芯片的系统。”

其中一些担忧始于soc，但芯片将它们提升到了一个全新的水平。“安全问题仍然存在，但有了小芯片，它们就更难预防了，”谷歌产品管理高级总监纪尧姆•波伊勒(Guillaume Boillet)表示Arteris IP．“现在，做芯片的人需要协调，因为一些对策需要芯片和软件携手合作。除此之外，对于小芯片，有一个更大的攻击面，由此产生了两类问题。首先是硬件木马。在异构系统中，芯片可能来自不同的公司，一些公司会对构成芯片的一些芯片进行逆向工程，并用恶意芯片取而代之——这听起来像科幻小说。但这种威胁是存在的，尤其是在物联网方面，所有这些事情可能比大型系统更容易实现。”

第二个问题是更广泛的攻击面，部分原因是小芯片之间的连接更容易被跟踪。这就产生了中间人攻击的可能性。

这在一定程度上取决于小芯片供应链的复杂性。英特尔(Intel)、AMD和Marvell等公司都在开发自己的芯片，从而将供应链威胁降至最低。但组装和整合商业化开发的小芯片的公司将面临更加艰难的时期。

“如果你是一家单独的公司，芯片认证就不是这样的问题，”英特尔高性能计算IP解决方案产品线高级集团总监米克·波斯纳(Mick Posner)说Synopsys对此．“你已经分解了你的SoC，你拥有双方，你熟悉你的供应链，所以恶意芯片进入你供应链的可能性可能非常低。您已经创建了一个包，其中包含您的组件和一些第三方组件，它们需要相互通信。他们中必须有一个人带头说，‘我是经理，你是代工。请声明你是正宗的薯条。’”如今，这方面没有标准。在UCIe规范中提到，这是将来要解决的问题。”

而小饰品市场的情况则完全不同。波斯纳说:“目前，因为没有真正的混合和匹配的模具，这真的不是一个问题。”“不过很快就会了。为了减少恶意组件进入你的供应链，你必须有某种形式的身份验证，现在你是一个经过身份验证的系统，如果有人试图进行硬黑客攻击，他们已经将包裹拆开，并以某种方式访问这两个组件之间的链接，该怎么办?在这些链接上采取了什么样的加密或保护措施?”

其他人也同意。Synopsys的科学家Mike Borza说:“这种混合的供应商生态系统还不存在，也就是说，供应商提供一些可以在许多系统中重复使用的标准功能，而集成封装的主要供应商从几个潜在的竞争供应商之一那里购买这些功能，并将其包含在他们的封装中。”“你可以想象，像系统控制器芯片和tpn之类的东西，都是以这种方式集成的好例子，因为它们具有明确定义的功能，并且周围有协议。”

供应链问题
芯片供应商越多，就越难保证一切安全。

“你将有更多的供应商参与进来，”史蒂夫卡尔森说，主管/建筑师，航空航天和国防解决方案节奏．“你有多个芯片，所以你可能会有一个新的中间商供应商，以及供应链上各处的新封装和测试人员。甚至在此之前，随着IP块进入小芯片，存在渎职或错误的可能性。此外，芯片的互操作性也存在问题，涉及到它们的安全协议，以及什么是“安全使用”模型。这些事情并不总是能清楚地沟通，所以当你把两个安全芯片连接在一起时，可能会以一种解除芯片的方式来完成。”

图1:为什么芯片公司正在寻求采用小芯片。来源:节奏

对于互连来说尤其如此。

卡尔森说:“你暴露了它们之间的联系，使它们更容易被利用。”“除了这些高层考虑之外，还有一些传统问题，与木马有关。你可能会生产出不符合规格的东西，比如材料和中间层上的互连、生产过剩、假冒、逆向工程、侧通道和回收等。”

系统级的安全
提高芯片安全性的方法各不相同，但首先需要关注系统范围的安全性。

“系统范围的安全审查现在已成为任何与客户数据有任何互动的产品开发周期中不可或缺的一部分，”华为高级安全分析师拉杰什•韦拉格拉蒂(Rajesh Velegalati)表示Riscure．“像通用标准和EMVCo这样的认证机构在确保这些产品符合安全标准方面也发挥着至关重要的作用。”

然而，如果这些安全审查是在设计周期的后期进行的，“即使发现了漏洞，修复它们本身也可能成为一个问题，”Velegalati说。“如果在硬件或不可变ROM代码(产品上电时执行的第一个代码)中发现漏洞，则很难修补缓解措施，甚至可能完全不可能。在这种情况下，发布的产品可能带有漏洞，制造商只能在产品的下一次迭代中修补它。下一次迭代将取决于产品生命周期，这可能至少需要一到几年。”

使问题复杂化的是，每个客户对安全和信任有不同的关注，并且有不同的方法来解决这些关注。

“国防部客户关心的都是安全问题，他们比我们更了解安全问题，包括加密和解密等。Flex Logix．“当FPGA嵌入到芯片中时，客户可以在FPGA周围设置很多安全性。商业客户最大的担忧是拥有包的人可以窥探进出包的数据。但国防部担心人们甚至会使用传感器来检测包裹内发生的事情。这些人非常关心安全问题，但他们不需要我们提供解决方案。对于商业客户，人们首先从安全角度使用嵌入式FPGA，因为他们可以重新编程。所以如果他们有一个加密算法，它被破坏了，他们可以重新编程加密算法，如果它是一个嵌入式FPGA。如果这是与生俱来的，他们就做不到。”

芯片之间安全通信的概念已经通过反窥探措施、未经授权的内存访问和其他方法进行了研究。

Cadence的卡尔森说:“这些问题已经解决了，而且正在解决。”“过去，安全性是每个项目努力的一次性项目。现在我们正在寻求标准化这些东西，这是非常困难的，因为国防部——不管它是不是民用系统——当某些东西被利用时，他们喜欢将数据分类并使其保密。MITRE CWE是我们可以努力的集结点。这是对漏洞的抽象看法，他们可以在这个层面上讨论一些常见的缓解技术。我们希望，随着人们就最需要防范的威胁媒介达成一致，这将有助于更快地推动标准化。”

展望未来，Riscure的Velegalati表示，解决这个问题的最佳方法是在产品本身的设计阶段进行安全审查。“换句话说，找到并修复硅之前的漏洞，这样在芯片制造之后，希望它们不会有任何已发现的漏洞。这可能需要改变开发周期本身的执行方式。”

有几个商业工具可用于使用静态和动态分析技术检测软件中的漏洞。

西门子的马斯楚安尼表示:“部署安全人员可以帮助确保系统的完整性、可操作性，以及从受损事件中发现和恢复。”此外，确保整个供应链中芯片组件的来源完整性和可追溯性将成为新产品和现有产品的关键要求。通过确保每个芯片的来源和完整性可以被验证并追溯到其来源，可以更容易地识别和响应可能出现的任何安全或信任问题。”

芯片安全级别
实现芯片安全性的另一种方法是采用分层方法。

Intrinsic ID的首席执行官皮姆•图尔斯(Pim Tuyls)指出了芯片的三层安全。“一种是你说，‘我们要确保每个部件都能被识别’，并使用物理不可克隆功能(PUF)作为标识符。这种解决方案的优点是轻量级。其次，你会说，‘我们还需要一点。也就是说，我们需要能够安全地相互通信，并且能够相互认证的小芯片。你可以用对称加密来做。在这里，您在每个带有对称加密的芯片上实现PUF。其优点是，所有这些小程序都可以创建自己的密钥，并且可以运行密钥交换协议。你不需要对每个芯片都进行编程。第三，你说，‘我们想要最高级别的安全，最复杂的安全。这在公钥基础设施(PKI)系统中可能很难做到。 PKI can be classical PKI as we know it with RSA or ECC, or it could be post compromised PKI. From that point, it means that you’re going to make your system way more complex. Chiplets will have a PUF, will have asymmetric and symmetric functionality, and will be able to do secure key sharing between the different chiplets, as well as create different sets of symmetric keys. Based on that, then we’ll be able to securely communicate. That is the most advanced system, but also the most expensive system.”

解决方案是否到位?
一个悬而未决的问题是，芯片安全解决方案是否会在需要时到位。

Rambus ' Best表示:“我们有100%的信心，解决方案将在所需的时间框架内提供。”“即使我只是看看我们的防伪经验，仍然有客户来找我们咨询防伪解决方案。因此，防止这种情况的技术是已知的。缺点是这些都不是免费的。这使得一个5美元的芯片的制造成本增加了10美分，大多数商业供应商都不愿意同意。其他人则会讨价还价，直到成本降到5美分，或者不到1美分。他说，我能以不到一分钱的价格保护多少钱，因为我现在的利润非常微薄?他说，最后要和负责采购和制造的人打交道。安全架构师早已从这个话题中消失了。你可以建立一个非常安全的产品和一个非常安全的供应链。我们绝对知道该怎么做。 We have this technology, we know how to deploy it, we know how to deploy it cost-effectively. What’s difficult is just the normal decisions about whether we really solve for all of the security problems first, or is ‘perfect’ the enemy of ‘good’ here? Can we just pursue good and see if that’s sufficient and tested?’”

其他人也指出了类似的经历。卡尔森说:“安全不是免费的，除非你被咬了一口，否则你可能不想在这上面花钱。”“这就像保险。系统公司承担着首当其冲的责任。在手机和汽车领域，以及黑客已经公开的领域，他们必须做点什么。与安全相关的问题给他们造成了经济损失。在他们还没有受到伤害的产品领域，他们真的没有尽他们所能。他们不是什么都没做，而是做得比他们能做的要少。另一个问题是，你可能在安全方面花费1亿美元，但仍然会遭到黑客攻击。对于这个问题，没有一个单一的、可靠的解决方案。 Hackers are really inventive and coming up with new and crazy ways every day.”

此外，小芯片可以进行逆向工程。如何检测芯片是否被篡改?Arteris的Boillet表示，解决方案确实存在，至少一些供应商提供了解决方案。“我们与他们和我们的共同客户合作，帮助他们实施这些系统，特别是在soc中，以确保正确识别芯片，”他说。“在不同的攻击角度，他们都有一个想法来解决这个问题，但他们都有自己的挑战。例如，大多数将要求两个小芯片真正携手设计。因此，当你考虑到中间人攻击时，两个小芯片之间的连接可以被探测到，有一种方法可以通过只发送加密消息来解决这个问题。但是每次你谈到加密时，它需要在一边加密，在另一边解密，并且需要是同一段IP。这是相当复杂的，但如果是内部芯片分解，其中两个小芯片来自同一供应商，则可以解决这个问题。然而，如果我们开始谈论一个由现成部件组成的生态系统，我们将需要标准化，远远超出我们在电气兼容性方面所拥有的一切。 What is apparent beyond all the discussion we have with customers while doing chip disintegration is that it’s the mechanical aspect of it. The mechanical and physical aspect are not really addressed yet.”

新标准
在标准方面，OCP中有一个CDX工作组负责安全，在UCIe中也有一个工作组专门负责芯片安全，但这两个方面都还处于起步阶段。Synopsys的Borza指出，UCIe基本上是围绕PCIe和CXL进行整合的。“这是等式的重要组成部分，意味着他们将能够在CXL和IDE中完成的工作的尾翼上滑行。”

此外，在小芯片安全标准领域中，有安全协议数据模型(SPDM)等方法来跨小芯片对小芯片进行相互认证。

Borza解释说:“一旦SPDM开始运行，就会有一些协议可以利用你已经获得的认证连接来建立加密链接，以解决其他方面的问题，因为由小芯片组成的集成部件位于板上芯片和完全集成的SoC之间。”“它们比SoC更容易受到物理探测攻击，但它们比板载芯片更容易受到攻击。但这个漏洞仍然存在，因为探测芯片之间的连接比探测芯片本身要容易得多。无论如何，这都不简单，但它更容易。我认为这种变化的方式是，我们实际上能够从其他正在进行的工作中受益，而且我们不会免费获得。以低延迟运行且完全加密的高带宽链接的成本很高，但这是可能的。我们现在正在用CXL做这件事，我们将能够用小芯片沿着这条道路前进。”