網(wǎng)絡(luò)安全問(wèn)題何時(shí)成為物理安全問(wèn)題？或者換句話說(shuō)，半導(dǎo)體何時(shí)必須具有內(nèi)置的篡改檢測(cè)器？

對(duì)于為美國(guó)武裝部隊(duì)或任何武裝部隊(duì)制造下一代武器系統(tǒng)的公司來(lái)說(shuō)，答案是顯而易見(jiàn)的。他們必須假設(shè)設(shè)備將被留下并隨后被篡改。帶有內(nèi)置篡改檢測(cè)器的半導(dǎo)體為工程師提供了滿足國(guó)防部要求所需的工具，并被廣泛用于實(shí)現(xiàn)外國(guó)軍事銷售。

但是，更廣泛的非國(guó)防市場(chǎng)呢？有些人認(rèn)為網(wǎng)絡(luò)安全是他們所需要的。畢竟，他們通過(guò)柵欄，大門(mén)，警衛(wèi)，攝像頭，防火墻擁有“物理”安全性，并利用自己的員工來(lái)構(gòu)建和/或制造他們的系統(tǒng)。這可能就足夠了。但人們必須問(wèn)自己，在什么條件下，任何人（可能是雇員）都可以使用一臺(tái)設(shè)備，他們可以對(duì)它做些什么來(lái)利用設(shè)備的功能或提取秘密？

這不可避免地導(dǎo)致公司回答“我的供應(yīng)鏈?zhǔn)欠竦玫桨踩芾恚吭O(shè)備或貨物是否會(huì)“丟失”？設(shè)備如何退役？誰(shuí)為設(shè)備提供服務(wù)以及如何升級(jí)？“誰(shuí)可以在設(shè)備的使用壽命期間訪問(wèn)該設(shè)備，以及他們可以用它做什么”這一問(wèn)題的答案將有助于推動(dòng)組織的決策過(guò)程。

以下是需要考慮的關(guān)鍵安全主題：

制造 - 構(gòu)建 PCB 板、組裝和測(cè)試。

在任何非易失性設(shè)備的編程過(guò)程中，公司是否使用散列和簽名圖像？是否有可審核的日志，其中包含已預(yù)配的內(nèi)容、已預(yù)配的板數(shù)以及未通過(guò)傳出測(cè)試的板數(shù)？這些日志是否經(jīng)過(guò)哈希和簽名？

調(diào)試端口是否已禁用？

運(yùn)送給客戶

組織是否可以考慮發(fā)貨的單位與客戶收到的單位？大多數(shù)客戶會(huì)馬上說(shuō)“嘿，是個(gè)子！但是，如果客戶出于任何原因錯(cuò)過(guò)了一個(gè)怎么辦？該公司將不得不假設(shè)它在野外有一臺(tái)設(shè)備。

公司及其客戶能否驗(yàn)證所運(yùn)設(shè)備的完整性？他們能否驗(yàn)證它是否在運(yùn)輸過(guò)程中未被篡改？

已部署的設(shè)備

設(shè)備上是否有防篡改密封？

是否只允許授權(quán)技術(shù)人員維修設(shè)備？

是否允許遠(yuǎn)程更新？

如果是這樣，是否驗(yàn)證圖像是否完整和真實(shí)？

是否有防止回滾的機(jī)制？

當(dāng)設(shè)備退役時(shí)，它是否歸零？無(wú)法操作？摧毀？

如果上述任何一項(xiàng)的答案都是“否”，那么組織應(yīng)該強(qiáng)烈考慮內(nèi)置防篡改對(duì)策的半導(dǎo)體，以便他們可以根據(jù)設(shè)備在其生命周期中可能出現(xiàn)的風(fēng)險(xiǎn)情況來(lái)定制其篡改響應(yīng)。例如，FPGA 產(chǎn)品應(yīng)具有多個(gè)防篡改功能，可用于自定義威脅響應(yīng)（圖 1）。示例包括：

足夠數(shù)量的數(shù)字篡改標(biāo)志。

多個(gè)模擬窗口式電壓檢測(cè)器為每個(gè)關(guān)鍵電源（Vdd、Vdd18、Vdda25）提供高跳變和低跳變點(diǎn)。

數(shù)字窗口溫度為您提供高低芯片溫度。

來(lái)自內(nèi)置溫度檢測(cè)器的原始電壓和溫度值。

系統(tǒng)控制器慢速時(shí)鐘指示系統(tǒng)控制器掉電情況。

指示器件復(fù)位源的數(shù)字總線（至少 5 位）（DEVRST 引腳、篡改宏輸入、系統(tǒng)控制器看門(mén)狗、安全鎖篡改檢測(cè)器已觸發(fā)、任何其他復(fù)位）。

圖 1：微芯片極火 FPGA 和極火 SoC FPGA 器件的設(shè)計(jì)和數(shù)據(jù)安全屬性。

篡改檢測(cè)和響應(yīng)

在實(shí)例化 FPGA 設(shè)計(jì)的篡改宏時(shí)，應(yīng)該可以使用多種類型的篡改標(biāo)志。每個(gè)都有自己的目的

響應(yīng)與檢測(cè)同樣重要。一旦公司決定在單個(gè)事件，一系列事件或其中的任何組合中由于未經(jīng)授權(quán)的篡改而采取行動(dòng)，則應(yīng)根據(jù)事件隨時(shí)間推移而調(diào)整響應(yīng)。或者組織可以放下錘子并用磚塊砸零件。示例包括：

IO 禁用

禁用所有用戶 IO。IO 將重置為其 SEU 免疫配置位定義的狀態(tài)。專用（JTAG、SPI、XCVR 等）或未按配置位配置的 IO 將被排除在外。只要斷言IO_DISABLE，IO 就會(huì)被禁用

安全鎖定

所有用戶鎖定都設(shè)置為其鎖定狀態(tài)。

重置

向系統(tǒng)控制器發(fā)送復(fù)位信號(hào)以啟動(dòng)掉電和上電周期

歸零

清除并驗(yàn)證任何或所有配置存儲(chǔ)元素。清除并驗(yàn)證內(nèi)部易失性存儲(chǔ)器，如 LSRAM、uSRAM 和系統(tǒng)控制器 RAM。歸零完成后，可以使用JTAG/SPI從指令檢索歸零證書(shū)，以確認(rèn)歸零過(guò)程是否成功。啟用系統(tǒng)控制器掛起模式時(shí)，此篡改響應(yīng)不可用。用戶可以選擇歸零到2種不同的狀態(tài)：

與新設(shè)備一樣，設(shè)備將恢復(fù)到發(fā)貨前的狀態(tài)。

不可恢復(fù)。即使是公司也無(wú)法訪問(wèn)設(shè)備的內(nèi)部結(jié)構(gòu)。

歸零完成后，可以通過(guò)專用的JTAG/SPI端口導(dǎo)出歸零證書(shū)，從而向外部實(shí)體保證器件確實(shí)歸零。

在當(dāng)今競(jìng)爭(zhēng)激烈的環(huán)境中，網(wǎng)絡(luò)安全是不夠的。公司制造的設(shè)備將落入競(jìng)爭(zhēng)對(duì)手和不良行為者的手中。半導(dǎo)體產(chǎn)品必須具有各種內(nèi)置的防篡改功能，組織可以使用這些功能來(lái)自定義對(duì)這些威脅的響應(yīng)。

審核編輯：郭婷