创建一个完全安全的芯片或系统几乎是不可能的,但是可以做很多事情来提高对该安全性的信心。
过去,安全性是事后才想到的,与架构脱节并在设计周期的后期添加。但随着芯片越来越多地用于安全和任务关键型系统,并且随着数据价值的不断上升,在安全方法和安全开发生命周期方面需要付出更多努力。
Cycuity(前身为 Tortuga Logic)的创始人兼首席技术官 Jason Oberg 表示:“从战术性的角度来看,我们与不同领域的客户进行互动。有些有很好的流程,有些则没有。”有些人只是说,“这就是我为安全而做的事情”,并制定了计划。非常有策略地,写下你的安全要求。”在与客户交谈时,我们经常询问他们的安全要求是什么,花很多时间与他们相处,只是让他们说,“我的芯片应该是安全的”,或者,“我不希望我的信任是易受伤害的。”
Oberg 说更好的方法包括识别设计资产。“设计资产是否被记录下来?与此相关的安全目标是什么?有些组织有这个,有些没有。只需写下这些,并在设计验证过程中使用一种简单的方法来检查它,就会让你领先一步。更好的是建立该流程,因为你可以为其添加更多复杂性,包括自动化。您可以开始输入标准等。同时,很多时候组织都受到来自客户和市场的压力来构建安全的产品,而他们真的不知道该怎么做。他们正在寻找解决方案。但在他们建立某种结构之前,他们很难采用解决方案。”
定义安全开发生命周期是一个很好的起点。但这也必须扩展到最终消费者。
Cadence解决方案和生态系统高级集团总监 Frank Schirrmeister 表示:“安全存在真正的危险,因为它的复杂性和难以理解,它会遇到可持续发展中所谓的绿色洗涤。这是‘安全清洗’,虽然可能有政府规定,但一切都与商业世界的客户有关。半导体公司和系统供应商必须为他们的最终客户服务,对他们来说,这就像卖保险一样。在遇到真正的问题之前真的不知道自己需要安全性。那时他们会说,如果我有保险就好了。但是如何实现它确实是一个错综复杂的问题,从技术角度很难理解。这就是为什么我认为安全清洗存在危险,最终消费者会陷入一种这东西是安全的的感觉,而没有真正了解下面是什么,谁证实了这一点,以及过程是什么。这就是为什么标准化至关重要,而且它也需要透明。”
不过,新思科技安全 IP 团队的研究员兼科学家 Mike Borza 指出,保险只是一种改变付款人、付款时间和付款方式的方式。“无法获得保险的人是那些理赔记录不佳的人。因此,如果你在销售已投保的产品,并且每次攻击成功时都必须支付,这要么会让你破产,要么会迫使你升级。最终,保险就是这样做的。它只是推迟了你真正开始为专业人士负责的时间。”监管的工作方式是一样的,因为为了有效监管,需要在监管中加入对不遵守监管的人的惩罚。如果没有内置的惩罚,那么它就完全没有效力了。
Borza 说,这也需要了解资产价值。“按照对你的重要性来排列你的资产。一旦你开始这样做,那么你就会对你的安全是什么、你在哪里容易受到攻击以及你在哪里没有安全有一个正确的概念。”
验证采用类似的方法。“从需求开始,然后是过程,”Optima Design 首席执行官 Jamil Mazzawi 指出。随后,每个需求都有一个相应的验证任务,这可能因目标应用程序而异。
应用程序域确定记录的内容。“在航空航天/国防领域有一套。在汽车领域,还有另一个。”Cadence 的 Schirrmeister 说。
另一个考虑是,如果芯片或包含该芯片的系统无法物理访问,则有很多无关紧要的侧通道。“在这种情况下,时机很重要,但你并不关心就在你面前的手机,” Borza说。
IP 集成挑战
在具有多个 IP 块的系统中,用户在尝试集成第三方 IP(包括软件和硬件)以及了解 IP 在安全方面的位置时经常会遇到困难。
“这方面的透明度可以追溯到写下您的要求,而不是将它们分散在500 页文档中,将它们全部组合在一起,以便客户或试图决定是否购买解决方案的人非常清楚。”Riscure的高级安全分析师 Nicole Fern 说。“好的供应商会做到这一点。优秀的供应商也会告诉你限制在哪里,因为每个声称提供某种安全保证的解决方案都有弱点。在某个时刻,它无法保护您,因为每个解决方案最终都可能被破坏。”
话虽如此,在查看可能集成到产品中的所有不同 IP 的广阔前景时,工程团队如何决定集成哪一个?“一定要寻找对优势透明的供应商,但 IP 不再能够提供这些保证的条件也很重要,”Fern 说。
Accellera 专门创建了一个IP 安全保证工作组来解决这个问题。Borza 指出。“集成商,也就是该 IP 的客户,有一些责任来完成集成并针对他们关心的风险管理这些安全问题。这可以追溯到不同垂直行业有不同关注点的概念。”
此外,Schirrmeister 建议供应商在一定程度上准备好在这个市场上服务。“我们必须从制定正确的流程开始,顺便说一句,这在安全方面也是一样的。我们在必须冷藏人员的公司之间合法地做的事情:你已经在这方面工作了,所以你暂时不能再在这方面工作了。这对于准备实施非常重要。”
对策设计方法
随着威胁向量的增加,捕捉潜在攻击的安全方法也必须增加。
Ansys电子、半导体和光学业务部门的研究员兼首席技术官 Norman Chang 表示:“虽然用户可能了解旁道攻击及其来源,但一旦发现弱点,他们就可以提供安全 ECO。”“但是,对于故障注入来说,与侧通道攻击相比,它要复杂得多。基于电磁故障注入、基于激光的故障注入或光学故障注入——在他们看来,他们不知道如何防止故障注入,因为如果你不使故障注入足够大,芯片肯定会失效。他们使用了适量的故障注入,这可能会导致安全输出不同。”
在安全环境中,没有故障安全,“有趣的是,当你开始结合安全和安保时,故障安全响应不一定是故障安全响应,因为你拥有关键系统,”Synopsys 的 Borza 说。“如果你将汽车视为一种简单的用例,不会希望自动制动系统仅仅因为其中存在安全故障而关闭。因为实际上需要它继续成为一个制动系统。”
Optima Design 的 Mazzawi 建议可以从安全中借鉴很多东西并将其应用于安全。“在安全方面,我们希望系统始终运行。它知道何时出现问题并尝试解决它。在这里,我们想简单地停止操作并做一些事情。我们可以在安全方面做些什么,即添加检测故障发生并纠正它的功能,我们还可以在安全方面做些什么来检测不良事件不会破坏这个平台。有很多方法可以用于检测可应用于安全的攻击或安全故障。有一些安全机制可以应用于安全性,然后验证是否足够好。”
Borza 指出,安全与正式意义上的安全之间的最大区别在于,安全与某事的意外故障有关,而故障是单故障检测和纠正,有时是双故障纠正措施。“但在安全场景中,通常会在同一芯片的大片区域注入与时序同时或密切相关的故障。系统需要如何处理这个问题,以及理解故障所在的思考过程是什么,这是一个很大的区别。”
“问题的答案是预先定义,”Cycuity 的 Oberg 说。“这是我要保护的资产。这是某人可以访问它的条件。这就是他们试图通过威胁模型过程获得的东西。你可以定义该要求,然后可以构建整个故障模拟和验证计划以适应它。没有一种万能的方法——例如,“这是你需要覆盖的故障百分比。”可能可以定义它,但这实际上取决于攻击者将要尝试做什么,他们将把注意力集中在哪里。您可以从中构建您的整个故障验证计划。辅助渠道等也是如此,因为对于您服务的任何市场,该衡量标准将根据市场和人们拥有的访问量而有所不同。”
由于安全是一个快速发展的领域,这一点变得复杂。“黑客实际上知道定义的空间以及他们应该关注的地方,因为我们告诉他们已经覆盖了什么,”Schirrmeister 说。“因此,关于我们未涵盖的领域的整个概念,在安全和功能验证的情况下会在安全方面要糟糕得多,因为你在告诉黑客:我们保护这一点,对他们来说反而是一个机会。”
足够好了吗?
尽管完美不是安全的现实目标,但有一些非常可靠的指导方针可以达到高度的信心。但它仍然归结为对特定设计或应用程序足够好的安全性。
“如果系统地完成了写下需求的过程,并且有证据支持验证所有需求,并且可以使用 CWE(通用弱点枚举)之类的覆盖范围来透明地传达所做的事情,那么你已经做得够多了,” Oberg说。“会有一些需求被你标记为‘超出范围’,这可能会因为有人利用它们而突然变成范围。你永远不会完全安全,但如果你有系统,你可以签字。你可以说,'这是我一开始就指定的。这是为什么的理由。您甚至可以与客户分享,然后进行验证。然后你说,‘我都做了。这是我的证据。你可能仍然会被黑客入侵,但至少可以这么说。”
随之而来的是从攻击中恢复的能力。“这包括报告问题的方法,然后解决问题,最后能够分发解决该问题的解决方案,这是需要的,”Borza 补充道。
同时,很大程度上取决于威胁模型,Riscure 的 Fern 说。“足够好取决于攻击者需要消耗多少能量,以及攻击潜力有多大。如果您能够将您的设备保护到甚至不值得攻击者追捕的程度,那么这就足够了。如果他们必须去别的地方,攻击一个更容易瞄准的地方,那就足够了。”
尤其是在汽车领域,这是一个巨大的挑战,因为芯片的安全性至关重要,而且预期寿命很长。Siemens Digital Industries Software的汽车 IC 测试解决方案经理 Lee Harrison 表示,一些用户现在要求供应商着眼于 6 到 10 年的未来,并以足够的灵活性对其进行更新。“在灵活性和解决方案的有效性之间需要权衡。”
免责声明:本网站内容来自作者投稿或互联网转载,目的在于传递更多信息,不代表本网赞同其观点或证实其内容的真实性。文章内容及配图如有侵权或对文章观点有异议,请联系我们处理。如转载本网站文章,务必保留本网注明的稿件来源,并自行承担法律责任。联系电话:0535-6792766
