|
Microchip Technology Inc. FPGA業務部 技術主管 Tim Morin 什么情況下網絡安全問題會變成物理安全問題?換句話說,什么情況下半導體必須具有內置篡改檢測器? 在廣泛的非國防市場,有些人認為網絡安全完全可以滿足他們的需求。畢竟,他們設置了柵欄、大門、警衛、攝像頭和防火墻,并且由他們自己的員工來制造和/或生產自己的系統,從而實現了“物理”安全。這可能就足夠了。但大家捫心自問,在什么條件下任何人(可能是員工)都可以訪問一臺設備,他們的哪些做法可使設備所具備的功能被利用或被秘密提取? 這勢必需要公司回答以下問題:我的供應鏈管理是否安全?設備或貨物是否曾“丟失”?設備如何停用?誰負責維修設備,設備如何升級?“誰可以在設備的使用壽命期間訪問該設備,他們可以如何處理該設備?”這些問題的答案將有助于推動組織的決策過程。 下面是需要考慮的關鍵安全主題: 生產(制造印刷電路板)、配置和測試 • 在任何非易失性器件的編程過程中,公司是否使用了經過哈希運算且已簽名的映像?是否存在記錄已配置內容、已配置的電路板數量以及未通過出廠測試的電路板數量的可審核日志?這些日志是否經過哈希運算且已簽名? • 是否禁止了調試端口? 發貨給客戶 • 組織能否對發貨件數與客戶收到的件數進行核對?大多數客戶會立即說“嘿,少了一件!”。但是,如果客戶因為某種原因丟失了一件,該怎么辦?這家公司不得不假定有一件設備流落在外。 • 公司及其客戶能否驗證交付設備的完整性?他們能否驗證設備在運輸過程中未遭到篡改? 已部署設備 • 設備上是否有防篡改密封? • 是否只允許獲得授權的技術人員維修設備? • 是否允許遠程更新? o 如果允許,經過驗證后,這些映像是否是完整的和真實的? o 是否有適當的機制來防止回滾? • 設備停用時是否執行零值化?是否使其無法操作?是否將其銷毀? 如果對上述任何一個問題的回答都是“否”,那么組織應該認真考慮內置防篡改對策的半導體,這樣他們便可根據設備在其生命周期內可能出現的風險情況為其量身定制篡改響應。例如,FPGA產品應該具有可用于定制威脅響應的多種防篡改功能(圖1)。示例包括: • 足夠數量的數字篡改標志 • 多個模擬窗口電壓檢測器,可為您提供每個關鍵電源(Vdd、Vdd18和Vdda25)的高/低跳變點 • 數字窗口溫度,可為您提供高/低管芯溫度 • 來自內置溫度檢測器的原始電壓和溫度值 • 系統控制器慢速時鐘,用于指示系統控制器的欠壓條件 • 數字總線(至少5位),用于指示器件復位源(已觸發DEVRST引腳、篡改宏輸入、系統控制器看門狗和安全鎖定篡改檢測器,以及任何其他復位) 
圖1. Microchip PolarFire FPGA和PolarFire SoC FPGA器件的設計和數據安全屬性 篡改檢測和響應 在對FPGA設計的篡改宏進行實例化時,應該可以使用多種類型的篡改標志。每個標志都有自己的用途:
響應與檢測同等重要。如果在單個事件、一系列事件或其中的任何事件組合發生期間,公司決定因未經授權的篡改而采取行動,則隨著時間的推移,應針對事件對響應進行調整。或者,組織可以打擊違例行為,強化安全部分。示例包括: IO禁止 禁止所有用戶IO。將IO重置為由其SEU抗擾配置位定義的狀態。專用(JTAG、SPI和XCVR等)IO或未通過配置位配置的IO除外。只要將IO_DISABLE置為有效,即會禁止IO。 安全鎖定 所有用戶鎖都設置為其鎖定狀態。 復位 向系統控制器發送復位信號以開始掉電和上電周期。 零值化 將任何或所有配置存儲元件清零并進行驗證。將內部易失性存儲器(例如LSRAM、uSRAM和系統控制器RAM)清零并進行驗證。零值化完成后,可以使用JTAG/SPI從指令檢索零值化證書,以確認零值化過程成功。如果使能系統控制器掛起模式,則此篡改響應不可用。用戶可以選擇在零值化后進入兩種不同的狀態: • 出廠狀態——器件恢復到交付前的狀態。 • 不可恢復。甚至公司也無法訪問器件的內部。 零值化完成后,可以通過專用JTAG/SPI端口導出零值化證書,向外部實體保證器件確實已執行零值化。 在當今競爭激烈的環境中,網絡安全還遠遠不夠。公司制造的設備有可能會落入其競爭對手和危險分子的手中。半導體產品必須具有各種內置的防篡改功能,組織可以利用這些功能來定制其對這些威脅的響應。如需了解更多信息,請訪問https://www.microchip.com/en-us/products/fpgas-and-plds |
