如今，供應(yīng)鏈安全是一個(gè)熱門話題。芯片供應(yīng)商特別關(guān)注，因?yàn)樗麄兲峁┳钊菀资艿叫畔⑻崛『筒倏v的組件。同時(shí)，原始設(shè)備制造商 (OEM) 對(duì)了解其芯片供應(yīng)商供應(yīng)鏈中的風(fēng)險(xiǎn)以及這些風(fēng)險(xiǎn)如何影響其最終產(chǎn)品具有既得利益。因此，雖然產(chǎn)品開發(fā)的雙方都存在安全威脅，但特定于 OEM 生命周期階段的風(fēng)險(xiǎn)也是一個(gè)問題。

這個(gè)由兩部分組成的系列將著眼于芯片供應(yīng)商和 OEM 之間的相互關(guān)系，以及他們必須如何合作以保護(hù)所有制造階段的漏洞。第一篇文章確定了 IC 生產(chǎn)生命周期每個(gè)步驟中的威脅，并描述了如何緩解這些威脅。第二篇文章側(cè)重于 OEM 特定的安全風(fēng)險(xiǎn)，并描述了最終產(chǎn)品制造商和芯片供應(yīng)商如何承擔(dān)責(zé)任。這些文章將表明 OEM 和芯片供應(yīng)商可以通過在其每個(gè)生產(chǎn)階段承擔(dān)風(fēng)險(xiǎn)來防止大部分安全攻擊。

IC 生命周期每個(gè)階段的安全威脅

無論是由于代工廠的故意行為還是不良行為者的滲透，IC 生命周期的每個(gè)階段都存在多種威脅，可能使最終產(chǎn)品面臨風(fēng)險(xiǎn)。

制造生命周期包括以下步驟，如圖 1 所示。

制造

探針測試

封裝組裝

封裝測試

電路板組裝（OEM 擁有和控制）

電路板測試（OEM 擁有和控制）

圖 1 上述概要顯示了 IC 生命周期開發(fā)的六個(gè)關(guān)鍵階段。資料來源：硅實(shí)驗(yàn)室

IC 開發(fā)從制造階段開始，在該階段設(shè)備在代工廠中進(jìn)行物理制造。此時(shí) IC 的 ROM 已編程，但所有其他存儲(chǔ)器（OTP、閃存和 RAM）均未編程。下一步是探針測試，其中 IC 在從硅片上切下之前先進(jìn)行功能測試。在這個(gè)階段，沒有安裝永久配置，并且在制造過程中插入的任何數(shù)據(jù)都將作為測試過程的一部分被刪除。

在封裝組裝階段，將單個(gè)裸片放入封裝中。這一步是一個(gè)完全機(jī)械的過程，不進(jìn)行編程或測試。一旦進(jìn)入封裝，IC 就會(huì)進(jìn)行封裝測試，通常被硅供應(yīng)商稱為“最終測試”，因?yàn)檫@是他們運(yùn)行的最終測試。

該測試有多種用途：尋找組裝過程中的缺陷，檢查設(shè)備是否存在參數(shù)問題，例如功耗過大或特性不合格。此外，它使用任何硅供應(yīng)商提供的數(shù)據(jù)初始化設(shè)備。然后將設(shè)備出售給執(zhí)行電路板組裝的 OEM，然后將設(shè)備安裝到系統(tǒng)中。接下來，在電路板測試中，IC 接受最終測試、配置和編程。

通過對(duì) IC 生命周期步驟的基本了解，我們現(xiàn)在可以深入了解每個(gè)步驟中存在的威脅。在討論這些步驟時(shí)，我們將使用 Silicon Labs 的制造生命周期作為 IC 開發(fā)模型。其他半導(dǎo)體供應(yīng)商將大體相似，因此本概述應(yīng)適用于大多數(shù)供應(yīng)商。

制造

針對(duì)此步驟的攻擊極不可能發(fā)生，因?yàn)樗鼈兂杀靖甙海⑶倚枰芍辽僖粋€(gè)新的掩碼集、對(duì)設(shè)備的深入分析以及高度的專業(yè)知識(shí)。此外，這一步的任何攻擊都不能輕易針對(duì)特定的最終產(chǎn)品。由于代工廠生產(chǎn)多個(gè)晶圓，每個(gè)晶圓上都有數(shù)千個(gè)設(shè)備，攻擊者無法知道哪些設(shè)備最終會(huì)用于哪些最終產(chǎn)品。此外，在此開發(fā)階段對(duì)設(shè)計(jì)進(jìn)行的任何修改都會(huì)影響該制造設(shè)備的每個(gè)副本，從而使其更容易檢測。但是，此階段的漏洞確實(shí)會(huì)帶來安全風(fēng)險(xiǎn)，如以下小節(jié)所述。

數(shù)據(jù)提取

代工廠的一種可能的攻擊向量是訪問使最終產(chǎn)品面臨風(fēng)險(xiǎn)的機(jī)密信息。例如，如果 IC 在 ROM 中具有對(duì)稱或私鑰——或硬編碼到寄存器等其他硬件中——代工廠可以輕松提取該值。同樣重要的是要記住，任何可以從設(shè)計(jì)中輕松提取的數(shù)據(jù)也可以通過逆向工程從設(shè)備的物理副本中獲得。例如，一些實(shí)驗(yàn)室將以不到 1 萬美元的價(jià)格對(duì) ROM 數(shù)據(jù)進(jìn)行反處理和提取，這可能比從代工廠獲取布局更具成本效益。為避免此問題，精心設(shè)計(jì)的產(chǎn)品絕不應(yīng)包含機(jī)密信息。

邏輯變化

一個(gè)更合理的威脅是鑄造廠修改設(shè)備以引入可利用的缺陷。這種修改可能包括修改 ROM 的內(nèi)容或邏輯以改變?cè)O(shè)備的行為或引入額外的功能。雖然這些類型的更改既困難又昂貴，但基本操作完全在攻擊者的能力范圍內(nèi)，可以破壞代工廠。

針對(duì)這種攻擊的一個(gè)很好的對(duì)策是進(jìn)行抽樣測試，以驗(yàn)證生產(chǎn)線下隨機(jī)設(shè)備的功能。例如，Silicon Labs 每年可以隨機(jī)抽取幾個(gè)樣本，并運(yùn)行測試來驗(yàn)證 ROM 的內(nèi)容、驗(yàn)證邏輯以及測試其他功能。如果代工廠進(jìn)行更改，這些測試將失敗。雖然可能會(huì)引入此測試無法捕捉到的邏輯更改，但此類更改的效果將受到嚴(yán)重限制，可能會(huì)達(dá)到無用的地步。在受信任的站點(diǎn)（例如，公司總部）執(zhí)行樣品測試可以極大地降低代工廠對(duì)硬件進(jìn)行更改并成功破壞旨在檢測它的測試的風(fēng)險(xiǎn)。

篡改檢測的未來改進(jìn)，例如基于機(jī)器學(xué)習(xí)的圖像分析，可能會(huì)進(jìn)一步防止未經(jīng)授權(quán)的芯片修改，但這些選項(xiàng)今天不可用。

設(shè)備復(fù)制

在這種類型的攻擊中，代工廠生產(chǎn)過多的設(shè)備，然后作為合法設(shè)備出售。例如，攻擊者可以用修改過的 ROM 過量生產(chǎn)部件，并將它們作為合法的 OEM 出售，繞過旨在捕獲此類更改的測試。這種方法允許攻擊者直接針對(duì) OEM，因?yàn)檫@些設(shè)備不再流經(jīng)供應(yīng)商的供應(yīng)鏈。

防止過度生產(chǎn)的最佳方法是在包測試時(shí)提供加密憑證。然后，OEM 可以檢查這些憑據(jù)，以確保他們從該供應(yīng)商處收到了正品設(shè)備。盡管代工廠可以生產(chǎn)物理上相同的設(shè)備，但他們無法為其生成有效憑證，并且 OEM 會(huì)檢測到任何假貨。

這種緩解需要標(biāo)準(zhǔn)的未鎖定設(shè)備來安全地保存密鑰。Silicon Labs 提供具有此功能的 Vault-High EFR 產(chǎn)品。使用安全級(jí)別較低的設(shè)備（例如 Vault-Mid 設(shè)備而不是 Vault-High 設(shè)備）的 OEM 可以通過使用像 Silicon Labs 的定制部件這樣的定制編程服務(wù)來實(shí)現(xiàn)類似的效果（盡管保護(hù)級(jí)別較低）制造服務(wù)（CPMS）。在這種情況下，對(duì)設(shè)備內(nèi)容的訪問在發(fā)貨之前被鎖定，以便密鑰可以保密地存儲(chǔ)在非易失性存儲(chǔ)器 (NVM) 中。

設(shè)備分析

器件分析是代工廠中最現(xiàn)實(shí)的威脅。設(shè)備在不安全的解鎖狀態(tài)下制造，提供對(duì)成品中不可用的邏輯和系統(tǒng)的訪問。雖然訪問空白的開放部件不會(huì)構(gòu)成直接的安全威脅，但攻擊者可以利用這個(gè)機(jī)會(huì)分析設(shè)備并尋找可以在配置和鎖定部件上利用的弱點(diǎn)。

雖然這種威脅存在于制造過程中，但它更有可能發(fā)生在組裝步驟中，下面將進(jìn)行更詳細(xì)的討論。

探針測試

An exploit targeting probe test costs less than that of making modifications in the foundry as it only requires the test program or tester to be compromised. However, as with attacks targeting fabrication, probe test attacks are systemic and can’t easily target a specific end-product or OEM.

Malicious code injection

An attacker may attempt to inject malicious code onto the device during probe test. However, any content injected at this step will either be erased at package test or cause the package test to fail when the vendor can’t program the correct content. In addition, secure boot will prevent any attempt to install unauthorized code once enabled in package test. This threat is not realistic for well-implemented products and production lifecycles.

Device analysis

理論上，在探測測試中控制測試儀的攻擊者可以執(zhí)行設(shè)備分析，類似于通過代工廠的過度生產(chǎn)可以實(shí)現(xiàn)的分析。但是，攻擊者更有可能在組裝步驟中嘗試獲得此訪問權(quán)限。

封裝組裝

由于這是供應(yīng)商將設(shè)備放入最終外形尺寸的步驟，因此封裝組裝是攻擊者最有可能竊取空白、打開的設(shè)備以進(jìn)行復(fù)制和分析的地方。

點(diǎn)擊查看完整大小的圖片

圖 2 芯片制造商必須確保降低與開放樣品相關(guān)的風(fēng)險(xiǎn)。資料來源：硅實(shí)驗(yàn)室

盜竊

竊取空白設(shè)備的目的是獲取開放樣本，以對(duì)攻擊者有利的方式對(duì)其進(jìn)行配置，然后將它們作為合法設(shè)備交付給目標(biāo) OEM。此策略允許針對(duì)特定的 OEM 或產(chǎn)品并繞過供應(yīng)商的最終測試，否則會(huì)覆蓋或檢測修改。

與沒有輸入數(shù)量的制造步驟不同，組裝現(xiàn)場接收并生產(chǎn)已知數(shù)量的 IC，因此通過比較這些數(shù)字應(yīng)該很容易發(fā)現(xiàn)任何重大盜竊行為。

而且，與制造一樣，我們可以通過在封裝測試中對(duì)加密憑證進(jìn)行編程來防止被盜的開放設(shè)備被假冒為正品。例如，為此目的，所有 EFR Vault-High 產(chǎn)品都配備了加密憑證，并且提供了 CPMS 以在沒有 Vault-High 功能集的設(shè)備上配置憑證。

設(shè)備分析

此階段設(shè)備分析的最明顯示例是攻擊者在安全引擎 (SE) 被編程和鎖定之前竊取設(shè)備，并使用該訪問權(quán)限來了解郵箱機(jī)制和 SE 硬件的功能。從理論上講，這種訪問可以讓攻擊者識(shí)別出一個(gè)弱點(diǎn)，然后可以將其轉(zhuǎn)化為針對(duì)鎖定 SE 的漏洞利用。

器件分析只需要從組裝現(xiàn)場獲取少量器件。雖然限制對(duì)開放樣本的訪問是理想的防御層，但應(yīng)該假設(shè)攻擊者將在某個(gè)時(shí)候獲得對(duì)開放樣本的訪問權(quán)限。IC 的設(shè)計(jì)方式不應(yīng)造成不可接受的風(fēng)險(xiǎn)或破壞系統(tǒng)的安全性。

Silicon Labs 采取了幾個(gè)步驟來降低與開放樣品相關(guān)的風(fēng)險(xiǎn)，包括審核組裝承包商的流程和程序，跟蹤內(nèi)部用于開發(fā)的任何開放設(shè)備，以及在不再需要時(shí)銷毀開放樣品。此外，產(chǎn)品旨在保持安全，即使是針對(duì)具有開放樣本和完全訪問設(shè)計(jì)的攻擊者。最后，內(nèi)部和第三方滲透測試均由具有開放樣本、全面設(shè)計(jì)知識(shí)和高度專業(yè)知識(shí)的個(gè)人執(zhí)行。

硬件改造

今天，使用更改或附加組件修改包裝所帶來的風(fēng)險(xiǎn)相當(dāng)小。這不是一個(gè)高風(fēng)險(xiǎn)的攻擊媒介有幾個(gè)原因。首先，組裝距離終端系統(tǒng)足夠遠(yuǎn)，因此很難針對(duì)特定的終端設(shè)備（如門鎖）。此外，空間限制使得隱藏 IC 的任何添加變得困難。最后，抽樣測試可以通過對(duì)幾個(gè)單元進(jìn)行 X 射線檢測以識(shí)別意外組件來檢測任何大規(guī)模攻擊。

封裝測試

有許多通用方法可以使包測試階段的漏洞利用變得更加困難，包括限制對(duì)測試站點(diǎn)的訪問和維護(hù)日志記錄控制。首先，應(yīng)遵守網(wǎng)絡(luò)和 PC 的正常安全做法。例如，測試系統(tǒng)不應(yīng)直接連接到 Internet，也不應(yīng)使用可通信的登錄憑據(jù)。供應(yīng)商應(yīng)對(duì)這些流程和系統(tǒng)進(jìn)行定期審查，以確保它們不被更改或利用。這些簡單的操作會(huì)使攻擊者更難獲得對(duì)測試系統(tǒng)的訪問權(quán)限。

圖 3 在封裝測試站點(diǎn)，擁有不受其他供應(yīng)商影響的受信任機(jī)器至關(guān)重要。資料來源：硅實(shí)驗(yàn)室

Silicon Labs 部署了多種技術(shù)來在其測試站點(diǎn)提供增強(qiáng)的安全性。例如，該公司委托不與其他供應(yīng)商共享的安全強(qiáng)化測試人員。此外，Silicon Labs 為測試站點(diǎn)提供了一臺(tái)受信任的機(jī)器，該機(jī)器不受其影響，可用于監(jiān)控和支持測試人員。這臺(tái)機(jī)器位于服務(wù)器機(jī)房中，沒有本地接口，并且包含旨在抵御物理攻擊的硬件。

惡意代碼注入

在這個(gè)階段最明顯的攻擊方法是注入惡意代碼來編輯設(shè)備的行為。芯片廠商在此步驟提供的代碼，例如 SE 固件，不會(huì)被板測試覆蓋；但是，如果可以更改，則可以運(yùn)送受損設(shè)備。

這種風(fēng)險(xiǎn)可以通過在 ROM 中使用帶有公鑰的安全引導(dǎo)來消除，從而確保只有正確簽名的代碼才能運(yùn)行。如果攻擊者試圖修改程序代碼，它將不再被正確簽名，并且設(shè)備將停止運(yùn)行。由于用于簽名的密鑰存儲(chǔ)在硬件安全模塊 (HSM) 中，受到嚴(yán)格控制，并且在任何生產(chǎn)環(huán)境中都不可用，因此攻擊者極不可能為被操縱的圖像生成正確的簽名。

由于測試要求，固件編程后啟用安全啟動(dòng)。盡管復(fù)雜，但這種生產(chǎn)流程使攻擊者有可能破壞包測試，從而對(duì)惡意映像進(jìn)行編程并禁用安全啟動(dòng)。

為了完全消除這種威脅，IC 應(yīng)允許 OEM 驗(yàn)證設(shè)備的狀態(tài)，而不受任何編程代碼的影響。例如，Silicon Labs 設(shè)備有一個(gè)硬件寄存器，用于指示 SE 子系統(tǒng)是否已鎖定，并允許 OEM 應(yīng)用程序或測試程序驗(yàn)證設(shè)備配置是否正確。通過此驗(yàn)證，OEM 可以檢測到任何封裝測試更改或惡意代碼，并丟棄這些更改的部分。

提取機(jī)密信息

如果在包測試期間對(duì)任何機(jī)密信息進(jìn)行了編程，攻擊者可能會(huì)通過破壞測試系統(tǒng)來尋求訪問權(quán)限。對(duì)于標(biāo)準(zhǔn)嵌入式產(chǎn)品，與憑證關(guān)聯(lián)的密鑰是唯一存在的機(jī)密信息。對(duì)于在機(jī)上生成這些密鑰的設(shè)備，將無法提取；但是，如果測試系統(tǒng)注入密鑰，那么攻擊者可以獲得所需的訪問權(quán)限，以便在編程時(shí)查看這些值。

使用機(jī)密的、OEM 特定信息定制的設(shè)備特別容易受到此類攻擊的威脅。但是，遵循本系列文章中建議的芯片供應(yīng)商可以提供達(dá)到或超過大多數(shù)電路板測試設(shè)施的安全級(jí)別。始終建議 OEM 與芯片供應(yīng)商合作，以確定設(shè)備編程的最佳解決方案。

供應(yīng)鏈安全需要分層方法

安全性是一個(gè)系統(tǒng)級(jí)問題，需要供應(yīng)商和 OEM 在開發(fā)互聯(lián)產(chǎn)品時(shí)作為值得信賴的合作伙伴共同努力。隨著我們?cè)跇?gòu)建物聯(lián)網(wǎng) (IoT) 方面取得進(jìn)展，對(duì)于 OEM 來說，評(píng)估其芯片供應(yīng)商在其制造生命周期中處理安全性的成功程度至關(guān)重要。在決定使用哪些供應(yīng)商時(shí)，OEM 應(yīng)考慮供應(yīng)商提供的透明度和徹底性水平，以及其 IC 的成本和性能。

立即與您的供應(yīng)商討論他們的制造安全性以及他們?nèi)绾螏椭_保您的最終產(chǎn)品的安全性。

本系列文章的第二部分將解釋 IC 制造生命周期的最后兩個(gè)階段，這與 OEM 特定的安全風(fēng)險(xiǎn)有關(guān)。

— Joshua Norem是 Silicon Labs的高級(jí) 系統(tǒng) 工程師 。

審核編輯 黃昊宇