什麽情況下網絡安(ān)全遠(yuǎn)遠(yuǎn)不夠?

 行業動态     |      2023-08-28 13:41:19

在廣泛的非國(guó)防市場,有(yǒu)些人認為(wèi)網絡安(ān)全完全可(kě)以滿足他(tā)們的需求。畢竟,他(tā)們設置了栅欄、大門、警衛、攝像頭和防火牆,并且由他(tā)們自己的員工(gōng)來制造和/或生産(chǎn)自己的系統,從而實現了“物(wù)理(lǐ)”安(ān)全。這可(kě)能(néng)就足夠了。但大家扪心自問,在什麽條件下任何人(可(kě)能(néng)是員工(gōng))都可(kě)以訪問一台設備,他(tā)們的哪些做法可(kě)使設備所具(jù)備的功能(néng)被利用(yòng)或被秘密提取?

這勢必需要公(gōng)司回答(dá)以下問題:我的供應鏈管理(lǐ)是否安(ān)全?設備或貨物(wù)是否曾“丢失”?設備如何停用(yòng)?誰負責維修設備,設備如何升級?“誰可(kě)以在設備的使用(yòng)壽命期間訪問該設備,他(tā)們可(kě)以如何處理(lǐ)該設備?”這些問題的答(dá)案将有(yǒu)助于推動組織的決策過程。

下面是需要考慮的關鍵安(ān)全主題:

生産(chǎn)(制造印刷電(diàn)路闆)、配置和測試

在任何非易失性器件的編程過程中(zhōng),公(gōng)司是否使用(yòng)了經過哈希運算且已簽名(míng)的映像?是否存在記錄已配置内容、已配置的電(diàn)路闆數量以及未通過出廠測試的電(diàn)路闆數量的可(kě)審核日志(zhì)?這些日志(zhì)是否經過哈希運算且已簽名(míng)?

是否禁止了調試端口?

發貨給客戶

組織能(néng)否對發貨件數與客戶收到的件數進行核對?大多(duō)數客戶會立即說“嘿,少了一件!”。但是,如果客戶因為(wèi)某種原因丢失了一件,該怎麽辦(bàn)?這家公(gōng)司不得不假定有(yǒu)一件設備流落在外。

公(gōng)司及其客戶能(néng)否驗證交付設備的完整性?他(tā)們能(néng)否驗證設備在運輸過程中(zhōng)未遭到篡改?

已部署設備

  • 設備上是否有(yǒu)防篡改密封?

  • 是否隻允許獲得授權的技(jì )術人員維修設備?

  • 是否允許遠(yuǎn)程更新(xīn)?

  • 如果允許,經過驗證後,這些映像是否是完整的和真實的?

  • 是否有(yǒu)适當的機制來防止回滾?

  • 設備停用(yòng)時是否執行零值化?是否使其無法操作(zuò)?是否将其銷毀?

如果對上述任何一個問題的回答(dá)都是“否”,那麽組織應該認真考慮内置防篡改對策的半導體(tǐ),這樣他(tā)們便可(kě)根據設備在其生命周期内可(kě)能(néng)出現的風險情況為(wèi)其量身定制篡改響應。例如,FPGA産(chǎn)品應該具(jù)有(yǒu)可(kě)用(yòng)于定制威脅響應的多(duō)種防篡改功能(néng)(圖1)。示例包括:

  • 足夠數量的數字篡改标志(zhì)

  • 多(duō)個模拟窗口電(diàn)壓檢測器,可(kě)為(wèi)您提供每個關鍵電(diàn)源(Vdd、Vdd18和Vdda25)的高/低跳變點

  • 數字窗口溫度,可(kě)為(wèi)您提供高/低管芯溫度

  • 來自内置溫度檢測器的原始電(diàn)壓和溫度值

  • 系統控制器慢速時鍾,用(yòng)于指示系統控制器的欠壓條件

  • 數字總線(xiàn)(至少5位),用(yòng)于指示器件複位源(已觸發DEVRST引腳、篡改宏輸入、系統控制器看門狗和安(ān)全鎖定篡改檢測器,以及任何其他(tā)複位)

1693201343857269.png

篡改檢測和響應

在對FPGA設計的篡改宏進行實例化時,應該可(kě)以使用(yòng)多(duō)種類型的篡改标志(zhì)。每個标志(zhì)都有(yǒu)自己的用(yòng)途:

1693201433197179.png

響應與檢測同等重要。如果在單個事件、一系列事件或其中(zhōng)的任何事件組合發生期間,公(gōng)司決定因未經授權的篡改而采取行動,則随着時間的推移,應針對事件對響應進行調整。或者,組織可(kě)以打擊違例行為(wèi),強化安(ān)全部分(fēn)。示例包括:

IO禁止

禁止所有(yǒu)用(yòng)戶IO。将IO重置為(wèi)由其SEU抗擾配置位定義的狀态。專用(yòng)(JTAG、SPI和XCVR等)IO或未通過配置位配置的IO除外。隻要将IO_DISABLE置為(wèi)有(yǒu)效,即會禁止IO。

安(ān)全鎖定

所有(yǒu)用(yòng)戶鎖都設置為(wèi)其鎖定狀态。

複位

向系統控制器發送複位信号以開始掉電(diàn)和上電(diàn)周期。

零值化

将任何或所有(yǒu)配置存儲元件清零并進行驗證。将内部易失性存儲器(例如LSRAM、uSRAM和系統控制器RAM)清零并進行驗證。零值化完成後,可(kě)以使用(yòng)JTAG/SPI從指令檢索零值化證書,以确認零值化過程成功。如果使能(néng)系統控制器挂起模式,則此篡改響應不可(kě)用(yòng)。用(yòng)戶可(kě)以選擇在零值化後進入兩種不同的狀态:

  • 出廠狀态——器件恢複到交付前的狀态。

  • 不可(kě)恢複。甚至公(gōng)司也無法訪問器件的内部。

零值化完成後,可(kě)以通過專用(yòng)JTAG/SPI端口導出零值化證書,向外部實體(tǐ)保證器件确實已執行零值化。

在當今競争激烈的環境中(zhōng),網絡安(ān)全還遠(yuǎn)遠(yuǎn)不夠。公(gōng)司制造的設備有(yǒu)可(kě)能(néng)會落入其競争對手和危險分(fēn)子的手中(zhōng)。半導體(tǐ)産(chǎn)品必須具(jù)有(yǒu)各種内置的防篡改功能(néng),組織可(kě)以利用(yòng)這些功能(néng)來定制其對這些威脅的響應。