沒有單一的解決方案，最全面的安全方案可能過于昂貴。

半導(dǎo)體工程（semiengineering）訪談了 Synopsys 科學(xué)家 Mike Borza 討論如何驗(yàn)證半導(dǎo)體設(shè)計(jì)的安全性；參與討論的還有西門子 EDA 信任與安全產(chǎn)品經(jīng)理 John Hallman；Pete Hardee，Cadence 產(chǎn)品管理集團(tuán)總監(jiān)；Expedera 營銷副總裁 Paul Karazuba；和 Breker Verification 的首席執(zhí)行官 Dave Kelf。

SE：在設(shè)計(jì)階段可以預(yù)先確保多少安全性？我們可以驗(yàn)證設(shè)備是否安全嗎？

Kelf：安全就是找出漏洞周圍的狀態(tài)空間，然后嘗試對其進(jìn)行驗(yàn)證。驗(yàn)證是否定驗(yàn)證。當(dāng)進(jìn)行功能驗(yàn)證時(shí)，你會(huì)驗(yàn)證某些功能是否正常運(yùn)行。在這種情況下，查看芯片內(nèi)部的安全元件——Arm Trust Zone 和 RISC-V PMP（物理內(nèi)存保護(hù)）就是很好的例子，確保它不能通過某些特殊的狀態(tài)組合進(jìn)行訪問。我們嘗試對此進(jìn)行驗(yàn)證，以確保沒有其他漏洞。

Hallman: 狀態(tài)空間顯然是一個(gè)很好的焦點(diǎn)區(qū)域。但是能做到全部嗎？可能不會(huì)。你必須加入約束。還有一個(gè)關(guān)于狀態(tài)空間可見性的問題。能達(dá)到最低的設(shè)計(jì)水平嗎？是不是在某個(gè)時(shí)候交付了一個(gè)黑匣子，而無法在其中看到內(nèi)部的可見性？我們正在努力推動(dòng)盡可能多的可見性，無論它涉及屬性還是關(guān)于該 IP 的其他描述。我們?nèi)绾尾拍鼙M早驗(yàn)證這一點(diǎn)？我們可以讓 IP 開發(fā)人員進(jìn)行驗(yàn)證嗎？我們能否盡可能多地封閉和理解該狀態(tài)空間？但除此之外，我們還在該 IP 開發(fā)商之外提供信息。你如何將安全性可能需要的驗(yàn)證信息傳遞到下一個(gè)級(jí)別，你可以在哪里進(jìn)行集成級(jí)別的分析，并可能在以后的實(shí)施階段進(jìn)行分析？我不認(rèn)為我們永遠(yuǎn)能夠在設(shè)備生命周期的不同階段檢查安全性，無論是在開發(fā)階段，還是在運(yùn)行階段。這就是數(shù)字化和數(shù)字孿生工作將有所幫助的地方。他們提供了一種在零件的整個(gè)生命周期中及早進(jìn)行驗(yàn)證的方法。

Hardee: 至于用基于PSS的工具進(jìn)行負(fù)面測試，可以幫助你超越狀態(tài)空間的限制，編寫一些有意義的測試程序，這有助于驗(yàn)證某些安全漏洞在你的系統(tǒng)中不存在并且不能被軟件或非安全進(jìn)程利用。能夠在 PSS 中開發(fā)其中一些測試的關(guān)鍵確實(shí)是擴(kuò)展 PSS 以能夠應(yīng)對負(fù)面測試。我們在狀態(tài)空間問題上看到了完全相同的事情，我們看到了很多正式的使用。我們有很多人在實(shí)施流程、多個(gè)問題和亂序處理，并且很多都涉及極其全面的測試，因此他們不容易受到處理架構(gòu)（如 Spectre）中發(fā)生的已知邊信道攻擊的影響，崩潰，和 PACMAN。正式也可以在子系統(tǒng)級(jí)別使用。我們有多個(gè)示例，其中 Arm 和 Intel 將與 Jasper 用戶組討論他們?nèi)绾问褂?formal 來驗(yàn)證加載存儲(chǔ)單元和類似的東西。在系統(tǒng)層面，數(shù)字孿生之類的東西仍然很重要。但是，當(dāng)我們與客戶談?wù)摤F(xiàn)實(shí)的期望時(shí)，人們會(huì)對各種側(cè)信道攻擊感興趣。其中一些可以在架構(gòu)和 RTL 階段進(jìn)行測試和消除，而另一些則不能。其中一些涉及攻擊者如何與你的電源系統(tǒng)交互，或者串?dāng)_如何可能通過電源信號(hào)、時(shí)鐘信號(hào)或任何其他信號(hào)泄漏安全數(shù)據(jù)。除非你有系統(tǒng)的精確物理表示，否則幾乎不可能驗(yàn)證這些。你需要模擬其中一些東西的模型變得非常詳細(xì)，以至于即使是數(shù)字雙胞胎也無法應(yīng)對。需要稍后進(jìn)行的物理攻擊實(shí)驗(yàn)室測試是無可替代的。因此，你需要對 RTL 設(shè)計(jì)階段、架構(gòu)階段可以完成的工作以及以后真正需要完成的工作設(shè)定預(yù)期。讓人們了解這些不同類別的側(cè)信道攻擊是成功的關(guān)鍵。

Borza：我們在驗(yàn)證中所做的很多工作類似于一種 ISO 網(wǎng)絡(luò)堆棧，你必須在與你正在工作的設(shè)計(jì)抽象級(jí)別相對應(yīng)的每個(gè)級(jí)別上進(jìn)行驗(yàn)證。在 RTL，你有一定程度的驗(yàn)證。布局布線后可以對物理設(shè)計(jì)進(jìn)行一些分析和仿真，但這會(huì)變得更加復(fù)雜，并且需要更多的計(jì)算才能在這些階段進(jìn)行大量驗(yàn)證。你最終要做的是大量的硅后驗(yàn)證，以測試你的實(shí)際設(shè)計(jì)是否達(dá)到了你的目標(biāo)。處理器側(cè)通道就像新型的定時(shí)攻擊。它們往往是基于時(shí)間的，而不是基于功率或能量的，但也有一些功率側(cè)通道，人們需要關(guān)注。這甚至沒有涉及一些物理攻擊，比如光子發(fā)射。所以你需要關(guān)注很多層次，你越接近物理學(xué)，就會(huì)有越來越復(fù)雜的對手。這確實(shí)使得在驗(yàn)證方面做大量工作對于確保你已實(shí)現(xiàn)安全目標(biāo)至關(guān)重要。

Karazuba：需要關(guān)注的一個(gè)方面是安全的經(jīng)濟(jì)學(xué)。你可以把三十多個(gè)工程師放在一個(gè)房間里，然后說，盡可能開發(fā)最安全的芯片。添加對側(cè)信道攻擊的抵抗力，建立信任根，盡可能部署最先進(jìn)的加密算法。設(shè)計(jì)一個(gè)生產(chǎn)系統(tǒng)，我們在工廠中對設(shè)備進(jìn)行驗(yàn)證，并在整個(gè)過程中插入密鑰，以便我們可以在現(xiàn)場的任何地方對其進(jìn)行 ping，并保證它運(yùn)行正確的固件。你可以做所有這些，但它非常昂貴。這可能不符合你在特定芯片中尋找的成本概況。是否有可能開發(fā)出真正安全的設(shè)備？絕對地。這樣做在經(jīng)濟(jì)上是否可行？這取決于你在何處部署設(shè)備的風(fēng)險(xiǎn)狀況以及它將持有什么樣的秘密。你的公司被黑客攻擊的風(fēng)險(xiǎn)是什么？貴公司作為泄漏國家機(jī)密或公司機(jī)密的公司被紐約時(shí)報(bào)頭版點(diǎn)名的公關(guān)風(fēng)險(xiǎn)有多大？

SE：我們今天看到的很多設(shè)計(jì)都是定制化程度更高，而且生產(chǎn)量更小。我們有新的工藝節(jié)點(diǎn)、混合節(jié)點(diǎn)設(shè)計(jì)、小芯片和新的鍵合方法，這些可能并不像每個(gè)人希望的那樣完美。其中有多少可以預(yù)先確保？

Borza：每一步都必須進(jìn)行分析，原因很簡單。你越早發(fā)現(xiàn)問題并加以解決，成本就越低，因?yàn)槟慊ㄙM(fèi)更少的時(shí)間和精力將其細(xì)化為最終設(shè)計(jì)。因此，早期驗(yàn)證事物的成本與等到以后你可以去尋找它們的成本之間存在平衡。但總的來說，及早解決問題的成本較低。然后，在每個(gè)級(jí)別，你需要確保如果你修復(fù)了某些東西，你不會(huì)在下一個(gè)級(jí)別重新引入它。這是挑戰(zhàn)之一。你經(jīng)常會(huì)破壞一些你認(rèn)為已經(jīng)修復(fù)的東西，而這些更改或決定是在設(shè)計(jì)過程的后期做出的——甚至是在晶圓廠的實(shí)施過程中做出的。

Kelf：隨著我們設(shè)計(jì)更復(fù)雜和更定制化的系統(tǒng)，我們可以在設(shè)計(jì)中構(gòu)建更多以關(guān)閉漏洞。當(dāng)我們審視其中一些新應(yīng)用時(shí)，汽車是最明顯的應(yīng)用，但也包括醫(yī)療和其他類似應(yīng)用，是否存在與這些應(yīng)用相關(guān)的特定漏洞，對于那些我們可以通過一些巧妙的設(shè)計(jì)工作作為目標(biāo)的定制設(shè)備，甚至在我們驗(yàn)證之前？例如，你想確保某個(gè)人的心臟起搏器無法通過某些衛(wèi)星鏈路進(jìn)行控制。我們?nèi)绾卧诩軜?gòu)層面設(shè)計(jì)一些東西，以避免在稍后的過程中在電源軌上使用某種奇怪的效果。我們現(xiàn)在看到了更多這樣的東西，而且它對于某些應(yīng)用程序來說真的會(huì)變得更加重要。

SE：在某種程度上，這也取決于人們想偷什么，對吧？因此，僅僅能夠接管硬件是一回事。但是數(shù)據(jù)泄漏也很重要，你可以在其中收集少量非常重要的數(shù)據(jù)。

Karazuba：某人可以獲得的價(jià)值，無論是數(shù)據(jù)還是對某物的物理訪問，都在很大程度上取決于你將對其應(yīng)用的安全級(jí)別。當(dāng)你以起搏器為例談?wù)撋蚪】禃r(shí)，顯然這對起搏器的擁有者來說極其重要。從部署的角度來看，世界上一些最好的安全措施是圍繞股票市場以及通過它們進(jìn)行的數(shù)十億或數(shù)萬億美元的交易。智能燈開關(guān)的貨幣價(jià)值要低得多，但在壞人手中，它可能會(huì)給高層建筑帶來真正的問題。福特申請了一項(xiàng)關(guān)于自動(dòng)收回汽車的專利。如果我真的想要那輛 Mustang GT，而且我可以破解他們的系統(tǒng)，它可以自動(dòng)開到我的車庫。

Hallman：目標(biāo)之一是確定這些共同的安全領(lǐng)域，并盡早在這些部分進(jìn)行設(shè)計(jì)。即使對于可能并不真正需要所有安全性的物聯(lián)網(wǎng)設(shè)備，這也提高了標(biāo)準(zhǔn)。但是，如果更早地引入這種安全性，那么你就可以通過預(yù)先添加一些常見元素來提高整個(gè)行業(yè)的標(biāo)準(zhǔn)。所以這就是設(shè)計(jì)的安全性真正有好處的地方。但是我們需要在每個(gè)過程中不斷檢查安全性在開發(fā)鏈的任何地方都沒有受到損害。

Borza：回到那個(gè)物聯(lián)網(wǎng)電燈開關(guān)的例子，如果你可以使用那個(gè)物聯(lián)網(wǎng)平臺(tái)作為進(jìn)入房屋的立足點(diǎn)，你可以獲得比燈泡更多的價(jià)值。所以交換機(jī)制造商認(rèn)為它在這方面沒有太大的作用，因?yàn)樗诮粨Q機(jī)上沒有賺到多少錢。它并沒有保護(hù)很多利益。但問題是你屋子里的東西。所以現(xiàn)在我們正在討論針對該問題的更多架構(gòu)解決方案，例如將 IoT 網(wǎng)絡(luò)放入一個(gè)單獨(dú)的網(wǎng)絡(luò)中，該網(wǎng)絡(luò)在物理上或邏輯上隔離并受防火墻保護(hù)。你開始看到這個(gè)概念的出現(xiàn)，物聯(lián)網(wǎng)在一個(gè)地方，并且將它作為立足點(diǎn)進(jìn)入房屋要困難得多。

Hardee：物聯(lián)網(wǎng)/邊緣設(shè)備是一個(gè)值得關(guān)注的大領(lǐng)域。我們銷售的客戶越來越注重安全。我們還看到大量貿(mào)易公司正在創(chuàng)建自己的 AI/ML 芯片，并且能夠在交易速度上獲得微秒或納秒級(jí)的延遲改進(jìn)對于這些應(yīng)用程序來說正變得非常重要。安全與此齊頭并進(jìn)，因?yàn)樘幚泶罅拷灰椎乃俣葘@些公司來說是成敗攸關(guān)的。安全顯然也是其中的一個(gè)重要因素。但是回到最初關(guān)于多芯片模塊和其他各種東西的可擴(kuò)展性大幅增加的問題，你無法測試很多物理側(cè)信道效應(yīng)。你必須去后硅。在構(gòu)建安全電力網(wǎng)絡(luò)方面仍然有非常好的設(shè)計(jì)實(shí)踐，一種與這些新的大型設(shè)備的協(xié)議進(jìn)行通信的安全方式。當(dāng)然，測試和調(diào)試會(huì)引入完全不同類別的安全漏洞。我們有人在處理這些問題的各個(gè)方面，但你必須在整個(gè)過程中的每一步都進(jìn)行測試和驗(yàn)證。沒有單一的答案。

編輯：黃飛