網絡安全問題何時成為物理安全問題？或者換句話說，半導體何時必須具有內置的篡改檢測器？

對于為美國武裝部隊或任何武裝部隊制造下一代武器系統的公司來說，答案是顯而易見的。他們必須假設設備將被留下并隨后被篡改。帶有內置篡改檢測器的半導體為工程師提供了滿足國防部要求所需的工具，并被廣泛用于實現外國軍事銷售。

但是，更廣泛的非國防市場呢？有些人認為網絡安全是他們所需要的。畢竟，他們通過柵欄，大門，警衛，攝像頭，防火墻擁有“物理”安全性，并利用自己的員工來構建和/或制造他們的系統。這可能就足夠了。但人們必須問自己，在什么條件下，任何人（可能是雇員）都可以使用一臺設備，他們可以對它做些什么來利用設備的功能或提取秘密？

這不可避免地導致公司回答“我的供應鏈是否得到安全管理？設備或貨物是否會“丟失”？設備如何退役？誰為設備提供服務以及如何升級？“誰可以在設備的使用壽命期間訪問該設備，以及他們可以用它做什么”這一問題的答案將有助于推動組織的決策過程。

以下是需要考慮的關鍵安全主題：

制造 - 構建 PCB 板、組裝和測試。

在任何非易失性設備的編程過程中，公司是否使用散列和簽名圖像？是否有可審核的日志，其中包含已預配的內容、已預配的板數以及未通過傳出測試的板數？這些日志是否經過哈希和簽名？

調試端口是否已禁用？

運送給客戶

組織是否可以考慮發貨的單位與客戶收到的單位？大多數客戶會馬上說“嘿，是個子！但是，如果客戶出于任何原因錯過了一個怎么辦？該公司將不得不假設它在野外有一臺設備。

公司及其客戶能否驗證所運設備的完整性？他們能否驗證它是否在運輸過程中未被篡改？

已部署的設備

設備上是否有防篡改密封？

是否只允許授權技術人員維修設備？

是否允許遠程更新？

如果是這樣，是否驗證圖像是否完整和真實？

是否有防止回滾的機制？

當設備退役時，它是否歸零？無法操作？摧毀？

如果上述任何一項的答案都是“否”，那么組織應該強烈考慮內置防篡改對策的半導體，以便他們可以根據設備在其生命周期中可能出現的風險情況來定制其篡改響應。例如，FPGA 產品應具有多個防篡改功能，可用于自定義威脅響應（圖 1）。示例包括：

足夠數量的數字篡改標志。

多個模擬窗口式電壓檢測器為每個關鍵電源（Vdd、Vdd18、Vdda25）提供高跳變和低跳變點。

數字窗口溫度為您提供高低芯片溫度。

來自內置溫度檢測器的原始電壓和溫度值。

系統控制器慢速時鐘指示系統控制器掉電情況。

指示器件復位源的數字總線（至少 5 位）（DEVRST 引腳、篡改宏輸入、系統控制器看門狗、安全鎖篡改檢測器已觸發、任何其他復位）。

圖 1：微芯片極火 FPGA 和極火 SoC FPGA 器件的設計和數據安全屬性。

篡改檢測和響應

在實例化 FPGA 設計的篡改宏時，應該可以使用多種類型的篡改標志。每個都有自己的目的

響應與檢測同樣重要。一旦公司決定在單個事件，一系列事件或其中的任何組合中由于未經授權的篡改而采取行動，則應根據事件隨時間推移而調整響應。或者組織可以放下錘子并用磚塊砸零件。示例包括：

IO 禁用

禁用所有用戶 IO。IO 將重置為其 SEU 免疫配置位定義的狀態。專用（JTAG、SPI、XCVR 等）或未按配置位配置的 IO 將被排除在外。只要斷言IO_DISABLE，IO 就會被禁用

安全鎖定

所有用戶鎖定都設置為其鎖定狀態。

重置

向系統控制器發送復位信號以啟動掉電和上電周期

歸零

清除并驗證任何或所有配置存儲元素。清除并驗證內部易失性存儲器，如 LSRAM、uSRAM 和系統控制器 RAM。歸零完成后，可以使用JTAG/SPI從指令檢索歸零證書，以確認歸零過程是否成功。啟用系統控制器掛起模式時，此篡改響應不可用。用戶可以選擇歸零到2種不同的狀態：

與新設備一樣，設備將恢復到發貨前的狀態。

不可恢復。即使是公司也無法訪問設備的內部結構。

歸零完成后，可以通過專用的JTAG/SPI端口導出歸零證書，從而向外部實體保證器件確實歸零。

在當今競爭激烈的環境中，網絡安全是不夠的。公司制造的設備將落入競爭對手和不良行為者的手中。半導體產品必須具有各種內置的防篡改功能，組織可以使用這些功能來自定義對這些威脅的響應。

審核編輯：郭婷