2019年5月
‧ Jeep被駭客入侵後,140萬輛車被召回
‧ FDA召回存在漏洞的心臟起搏器
‧ 史上最大規模駭客利用物聯網設備的DDOS攻擊
‧ 至少30億晶片存在安全性漏洞
上述新聞報導有何共同之處?在這些案例中,駭客利用互聯網設備存在的漏洞來盜竊資料或劫持設備。僅在2018年,超過30億各類系統的晶片因硬體攻擊,遭受資料盜竊、不合法操作和其他安全性威脅。未受保護的硬體可能會威脅系統可靠性和效能,造成不良的客戶體驗。還會讓OEM廠商遭到財務和品牌形象的損失,進而影響企業的聲譽以及財務狀況。
OEM廠商通常都傾力開發能夠解決如數據盜竊、資料損壞、設備劫持、產品複製和設計盜竊等各類安全威脅的安全硬體。此外,安全威脅不再局限於使用中的系統,攻擊者的目標可能是產品生命週期內任一環節的元件,從最初的元件生產和運送到配合製造商,到系統集成和運行的整個週期都有可能遭到威脅。因此,OEM需要一種能在系統生命週期的各個階段皆能保護硬體免受威脅的可靠解決方案。
OEM該如何解決這一難題呢?他們必須使用一個或多個硬體可信任根元件作為提供加密功能的平台,保障系統安全。這一過程包括資料加密、資料驗證、韌體驗證、系統驗證和代碼/配置加密。
可信任根元件是保護整個系統的信任鏈的首要環節。設計人員一旦確認了首個受信任的元件(通常是PLD、FPGA或MCU),它就能作為實現加密功能的基石,保障系統硬體安全。可信任根元件必須包含可驗證自身配置的硬體,並且應當是首個上電、最後斷電的元件。
隨著安全威脅的數量和複雜程度與日俱增,系統設計師需要什麼樣的安全架構呢?首先,為了防範現有的或新的韌體威脅,任何解決方案都必須足夠可靠。為了闡明設計人員評估各解決方案的效能,美國國家標準暨技術研究院(NIST)最新定義了一種全新的統一安全機制,NIST SP 800 193平台韌體保護恢復標準,旨在確保所有的系統韌體都有可信任根保護。
該標準的開發人員強調以下三個原則:
‧ 保護:通過存取控制保護非易失性儲存體
‧ 檢測:加密檢測,防止從惡意程式碼啟動
‧ 恢復:如果遭到破壞,恢復到最新的可信任韌體
引擎的選擇
理想狀況下,實現硬體安全的引擎應當具有功耗低、設計靈活性高、可拓展、物理尺寸小等特點。MCU固然可以提供不錯的運算資源,但通常不具備能夠?明其他系統處理器或元件啟動所需的全面功能。此外, MCU一旦運行,它就難以監測自身的啟動記憶體。
現場可程式設計閘陣列(FPGA)相對於MCU有著顯著的優勢。FPGA通常作為首個上電和協調系統啟動的元件,並在協調系統關閉後,最後斷電。最先上電/最後斷電這一特性,讓FPGA成為可快速構建可信任根的理想選擇。設計人員可以利用FPGA的並行特性來同時檢查多個記憶體,從而顯著縮短啟動時間。與MCU不同之處在於,FPGA可以通過即時監控保護非易失性記憶體。最後,在系統損壞的情況下,FPGA可提供啟動韌體恢復所需的邏輯和介面。
全面保障硬體安全的可信任根FPGA
為滿足各類應用日益增長的韌體安全需求,萊迪思MachXO3D FPGA是用於系統控制應用的小尺寸、低功耗FPGA,可以在運算、通訊、工業控制和汽車等各類應用中保障系統韌體安全。這款新元件通過在產品整個生命週期內實現全面、高彈性、可靠的硬體安全系統,?明OEM防範資料盜竊、資料篡改、設計盜竊、產品複製、過度構建、設備篡改和劫持等問題。
全新的MachXO3D與萊迪思的MachXO3系列(廣泛用於各類控制PLD應用)引腳相容,將成為萊迪思產品系列中實現安全韌體應用的重要控制PLD選擇。
簡化集成
確保輕鬆實現韌體安全是設計MachXO3D時的重點考慮因素。萊迪思的設計師希望設計人員能夠方便地使用這款新元件。由於超過50%的通訊系統和伺服器都採用基於MachXO架構的控制PLD,所以該新款元件經專門設計,與原有架構引腳相容。這有助於讓開發人員對現有的控制解決方案進行改進或增添新的安全功能。
目前對於這些全新安全特性的需求正不斷增長,且MachXO架構也早已普及,已有多家伺服器OEM開始與萊迪思合作,著手進行MachXO3D的相關設計。由於開發人員經常使用MachXO3元件作為最先上電和最後斷電的元件,他們可以快速建立信任根和信任鏈,不必擔心其他元件是否先於萊迪思PLD之前啟動。
實現高度彈性的安全機制並保持系統完整性
‧ 關鍵基礎設施的大多數控制PLD都採用 MachXO架構開發
‧ MachXO3和MachXO3D引腳相容
‧ MachXO3D是用於簡單信任鏈實現的最先上電和最後斷電的元件
‧ 5家伺服器OEM已著手採用MachXO3D設計
全面保障安全
為應對日益嚴峻的硬體安全問題。萊迪思增強了MachXO3D FPGA的控制PLD功能,其中的嵌入式安全模組提供了開發人員解決多種安全威脅所需的硬體可信任根和硬體加密功能。
‧ MachXO3D對位流進行加密,確保設計安全性,防範IP盜竊。
‧ 為保護OEM的營收和品牌聲譽,該元件新增了安全ID,可以與其他安全功能配合,進行元件/平台驗證。
‧ 橢圓曲線加密、公共金鑰/私人金鑰功能和AES加密/解密能有效防止資料盜竊。
‧ 橢圓曲線驗證和簽名生成提供驗證韌體和通用資料的基石。
符合NIST標準的可靠設計
MachXO3D設計極為可靠,是符合NIST SP 800 193平台韌體保護恢復(PFR)標準的控制FPGA。該元件可通過存取控制保護非易失性記憶體,加密檢測並防止從惡意程式啟動,且在韌體遭到破壞時能恢復到最新的可信任韌體。此外,MachXO3D隨時可以動態重新配置I/O埠,從而最小化系統的攻擊面。
靈活的設計實現
設計靈活性也是一個關鍵考慮要素。萊迪思的大多數客戶都希望在設備部署完畢後,在XO架構上實現升級。這種可重新程式設計的特性有助於動態控制攻擊面,還能讓用戶輕鬆地更新FPGA,應對最新的韌體攻擊。因此,萊迪思的設計人員希望在提供可靠安全效能的同時,保證可程式設計特性。
為了應對這種多樣化的需求,MachXO3D新增了兩個關鍵特性。作為硬體化的配置引擎的一部分,該元件支持代碼驗證,確保了每個載入的配置都有合法的數位簽章。與此同時,MachXO3D額外增添了片上快閃記憶體,可以隨時記憶體件的兩套配置。這種雙重開機功能能讓系統在出現問題時預設使用備份配置。
典型應用
MachXO3D旨在滿足多個市場的各類應用需求。潛在應用包括5G無線通訊設備,如交換機和路由器、伺服器和企業電腦、工廠自動化和工業IoT設備。
下列框圖描述了MachXO3D在安全伺服器中的典型應用,其中包括了一個基板管理控制器(BMC)、一個主CPU和多個輔CPU或FPGA。通常情況下,一片被稱之為控制PLD的小型FPGA管理板上的所有復位和電源控制。所有的處理器從SPI或Quad SPI記憶體啟動。開發人員現可以使用MachXO3D作為上述小型FPGA,並新增開關,實現伺服器安全升級。這種配置允許FPGA自行啟動,然後驗證每個SPI記憶體,隨後釋放這些元件開始啟動(假設記憶體正常且簽名合法)。如果SPI記憶體出現問題,MachXO3D可以根據使用者偏好進行下一步操作,如關閉系統或嘗試從其他來源重新配置。系統啟動後,MachXO3D還會監控對各個SPI記憶體的訪問,防止未經授權的惡意程式寫入。
生命週期內有效保護
為滿足產品整個生命週期內日益增長的安全需求,萊迪思優化了其元件生產時的測試集成流程,以支援使用公開金鑰加密技術在未受保護的環境中對元件進行安全程式設計,讓每個元件在其整個生命週期內都能受到安全保證。這一新功能確保了客戶的元件從離開萊迪思工廠直到報廢的整個過程都是受到保護的。
結論
如今的數位系統面臨著前所未有的危險。駭客會利用系統漏洞來偷竊資料和設計、篡改、劫持或複製產品。這些攻擊出現在產品的整個生命週期。光在2018年,就有高達數十億起對未受防護韌體所進行的攻擊,導致運算、通訊、工業控制和汽車系統中IC面臨安全威脅。最終,容易遭到入侵的硬體就會對OEM廠商的財務狀況和品牌聲譽產生不良影響。
設計人員如何解決這一威脅,保護他們的系統呢?答案就是使用硬體可信任根和信任鏈技術實現全面、高彈性、可靠的安全系統。萊迪思全新的MachXO3D FPGA具有的硬體可信任根和雙重開機特性可以幫助他們增強安全控制功能,同時,該款元件可極大簡化安全解決方案的實現,在整個生命週期內保障元件的安全。