本文由半導(dǎo)體產(chǎn)業(yè)縱橫（ID:ICVIEWS）編譯自semiengineering

開源本身并不能保證安全。

當(dāng) Meltdown 和 Spectre 漏洞于 2018 年首次被發(fā)現(xiàn)時(shí)，它們預(yù)示著整個(gè)行業(yè)對(duì)處理器安全性的看法發(fā)生了轉(zhuǎn)變。正如 IBM X-Force 威脅情報(bào)指數(shù)在次年所說，“2018 年迎來了硬件安全挑戰(zhàn)的新時(shí)代，迫使企業(yè)和安全社區(qū)重新思考他們處理硬件安全的方式。”

RISC-V正在那個(gè)新時(shí)代走向成熟，既受益于過去的經(jīng)驗(yàn)教訓(xùn)，也受益于其開源社區(qū)的廣泛貢獻(xiàn)。

對(duì)于大多數(shù)攻擊，威脅參與者并不關(guān)心他們可能針對(duì)哪個(gè)處理器。Codasip 的首席營銷官Rupert Baines 說：“如果有人在進(jìn)行魚叉式網(wǎng)絡(luò)釣魚，它依賴于你點(diǎn)擊 URL 。” “不管你運(yùn)行的是英特爾處理器還是 Arm M2。如果你單擊該鏈接，就會(huì)受到攻擊。很多攻擊都是這樣的。”

對(duì)于旨在利用更微妙的漏洞的更復(fù)雜的攻擊，處理器架構(gòu)的細(xì)節(jié)可能會(huì)產(chǎn)生重大影響。Baines 說：“當(dāng)你遇到旁路攻擊、幽靈和熔斷等問題時(shí)，架構(gòu)和實(shí)施就會(huì)真正開始變得重要。”

這就是 RISC-V 可以帶來一些獨(dú)特優(yōu)勢的地方。

開放性帶來的安全性

RISC-V 的開放式架構(gòu)允許對(duì)其進(jìn)行持續(xù)的仔細(xì)檢查。Baines 以 2017 年普林斯頓大學(xué)的一項(xiàng)研究為例，該研究發(fā)現(xiàn)了 RISC-V 規(guī)范中的幾個(gè)錯(cuò)誤。雖然有些人認(rèn)為這些發(fā)現(xiàn)是 RISC-V 弱點(diǎn)的跡象，但大多數(shù)人不同意。“我們從未能夠?yàn)橛⑻貭柣?Arm 進(jìn)行這項(xiàng)研究，”他說。“他們可能有同樣的漏洞，但因?yàn)樗菍Ｓ械模覀儫o法查看它。如果那是真的，那么 RISC-V 現(xiàn)在更安全了，因?yàn)榇_實(shí)有人看過它，而且它已經(jīng)被修復(fù)了。”

OpenHW Group 總裁兼首席執(zhí)行官 Rick O'Connor 表示，RISC-V 在應(yīng)對(duì)最初出現(xiàn)的邊信道攻擊方面同樣有用。“圍繞這項(xiàng)工作的原始研究論文是使用 RISC-V 架構(gòu)發(fā)表的，只是因?yàn)樗俏ㄒ婚_放的架構(gòu)，”他說。“所以你可以拿到它，把它放在起重機(jī)上，拆除它，找出漏洞所在，開發(fā)算法來證明你的論點(diǎn)，然后克服它。”

O'Connor說，這種開放性最終使 RISC-V 更加安全。“這似乎有悖常理，但構(gòu)建安全平臺(tái)的最佳方式是讓整個(gè)設(shè)計(jì)在公共領(lǐng)域開放并可供審查，”他說。“沒有后門或隱藏渠道，整個(gè)社區(qū)都可以努力保護(hù)它。”

更重要的是，RISC-V 通過設(shè)計(jì)提供了一個(gè)從一開始就做到這一點(diǎn)的獨(dú)特機(jī)會(huì)。“我們擁有干凈的'畫布'，”Crypto Quantique 首席執(zhí)行官 Shahram Mossayebi 說。“我們可以以更適合生態(tài)系統(tǒng)演變方式的方式做正確的事，正確地構(gòu)建事物。”

默默無聞的安全時(shí)代

互聯(lián)安全系統(tǒng) (CSS) 部門的杰出工程師 Peter Laackmann表示，這一切都?xì)w結(jié)為 Kerckhoffs 的原則——即使攻擊者知道系統(tǒng)工作原理的一切，系統(tǒng)也應(yīng)該保持安全。

“默默無聞的安全時(shí)代已經(jīng)結(jié)束，”Laackmann說。“我們正在努力實(shí)現(xiàn)透明的安全性，我們會(huì)解釋事情是如何運(yùn)作的，而不是隱藏它們。”

Cycuity安全應(yīng)用工程師 Anders Nordstrom 指出 AES 就是一個(gè)很好的例子。“即使你確切地知道 AES 是如何工作的，你也無法對(duì)其進(jìn)行逆向工程并從加密數(shù)據(jù)中獲取密鑰。這是解決安全問題的正確方法，”他說。“在有人發(fā)現(xiàn)之前，試圖隱藏一些東西是有效的。如果架構(gòu)和安全功能是已知的，并且即使在已知的情況下也可以設(shè)計(jì)成安全的，那么你就有了更強(qiáng)大的防御。”

不過，Laackmann 表示，重要的是要記住，僅僅因?yàn)槟承〇|西是開源的，它不一定經(jīng)過檢查。盡職調(diào)查仍然至關(guān)重要。“有很多軟件包是開源的，每個(gè)人都認(rèn)為有人已經(jīng)深入研究過它。但隨后，事實(shí)證明，20 年來沒有人這樣做——然后安全措施就失敗了。所以即使你使用開源，你也必須檢查它。”

為此，Nordstrom 表示，驗(yàn)證是關(guān)鍵，尤其是在開源生態(tài)系統(tǒng)中。“僅僅因?yàn)樗情_源和 RISC-V，并不意味著它可以隨時(shí)使用，”他說。“你必須意識(shí)到你得到了什么。如果你從 Arm 購買，你會(huì)得到一個(gè)黑盒子，但你有信心它已經(jīng)通過了大量驗(yàn)證。”

開源硬件的風(fēng)險(xiǎn)

商業(yè)ISA的風(fēng)險(xiǎn)有著明顯更長的跟蹤記錄，并且該跟蹤記錄具有先天優(yōu)勢。英特爾和 Arm 擁有更多的經(jīng)驗(yàn)，他們?cè)谀抢锓e累了更多的技術(shù)、解決方案和架構(gòu)，而 RISC-V 社區(qū)尚未建立、標(biāo)準(zhǔn)化或推出。

較新的開源解決方案也可能帶來其他挑戰(zhàn)。Riscure的高級(jí)安全分析師 Nicole Fern指出，在設(shè)計(jì)中包含第三方 IP 始終需要為集成和測試付出努力和預(yù)算。但她表示，使用開源硬件時(shí)需要付出更大的努力，“尤其是與閉源版本相比缺乏成熟度的開源 IP。例如，Arm 內(nèi)核已成功集成到 SoC 中并已流片多年。RISC-V 實(shí)現(xiàn)達(dá)到相同水平還需要一些時(shí)間。”

還存在故意引入威脅的風(fēng)險(xiǎn)。“因?yàn)槿魏稳硕伎梢园l(fā)布開源 RISC-V 實(shí)現(xiàn)，不良行為者有更多機(jī)會(huì)發(fā)布具有已知漏洞或硬件木馬的設(shè)計(jì)，”Fern 說。“對(duì)于有多個(gè)貢獻(xiàn)者的開源項(xiàng)目，不受信任的實(shí)體有機(jī)會(huì)嘗試將易受攻擊的補(bǔ)丁或更新推送到其他值得信賴的開源項(xiàng)目中。”

提高安全性和可靠性

盡管如此，隨著競爭的加劇，整個(gè) RISC-V 生態(tài)系統(tǒng)的安全性將穩(wěn)步提高。Baines 表示，他預(yù)計(jì)汽車應(yīng)用所需的安全級(jí)別將在未來 12 到 18 個(gè)月內(nèi)成功。“不是每個(gè)人都想為認(rèn)證付費(fèi)，不是每個(gè)人都想要法律保證，但每個(gè)公司都應(yīng)該有能力提供 ISO 26262 安全和 ISO 21434 安全，”他指出。

事實(shí)上，如果你在進(jìn)行供應(yīng)商選擇，那么確保一家公司能夠提供該級(jí)別的產(chǎn)品是值得的，無論這是否是真正需要的東西。Baines 說：“我想知道你們作為一個(gè)組織是否具備這些能力和理解力，因?yàn)檫@讓我對(duì)你們進(jìn)行所有工程設(shè)計(jì)的方式充滿信心。”

對(duì)資產(chǎn)進(jìn)行分類并進(jìn)行威脅建模以評(píng)估需要保護(hù)的內(nèi)容也很重要。“一旦你了解系統(tǒng)中的重要內(nèi)容，你就需要開始編寫安全要求，”Nordstrom 說。“這些安全要求表明，‘這是我的資產(chǎn)，這就是信息安全的方式。’”

Nordstrom 說，硬件安全所需要的與驗(yàn)證任何其他方面所需要的非常相似。“你需要一個(gè)計(jì)劃，你需要確保你遵循這個(gè)計(jì)劃。之后，你知道你可以要求什么，你知道你覺得你需要的是安全的。”

對(duì)于任何系統(tǒng)，無論是否開源，都是如此。“如果你從別人那里購買處理器或系統(tǒng)，問他們，'告訴我你做了什么來驗(yàn)證沒有硬件安全漏洞，'”Nordstrom 說。

構(gòu)建生態(tài)系統(tǒng)

更廣泛地說，支持開放標(biāo)準(zhǔn)并努力全面提高質(zhì)量符合每個(gè)公司的自身利益。“質(zhì)量差會(huì)毒害到每個(gè)人，所以如果我們能幫助凈化每個(gè)人，這有助于 RISC-V 生態(tài)系統(tǒng)，”Baines說。“這意味著有更多的軟件開發(fā)人員，意味著有更多的庫，意味著有更多的人使用它，這是一個(gè)良性循環(huán)。”

為此，Baines表示，更多公司支持 OpenHW Group 和 RISC-V International 等組織非常重要。“讓我擔(dān)心 RISC-V 的其中一件事是碎片化的可能性，”他說。“人們正在采用 RISC-V 架構(gòu)并開發(fā) RISC-V 內(nèi)核，然后添加他們自己的專有內(nèi)容，這實(shí)際上意味著它不再是可互操作的標(biāo)準(zhǔn)。”

想想移動(dòng)解決方案，它只有通過共同關(guān)注標(biāo)準(zhǔn)和互操作性才能取得成功。“你可以使用帶有諾基亞基站、愛立信基站或三星基站的蘋果手機(jī)——諾基亞、愛立信和三星都在激烈競爭，但它們都可以在同一款蘋果手機(jī)上使用，”Baines說。“我希望 RISC-V 也朝著同樣的方向發(fā)展。”

RISC-V 安全性的未來

僅修補(bǔ)安全性不足以讓 RISC-V 取得成功。但如果 RISC-V 要用于更主流的應(yīng)用程序，安全性將是一個(gè)要求。

“我們將無法部署所有這些智能和智能的物聯(lián)網(wǎng)邊緣連接設(shè)備，如果你可以相信我的東西但你不能相信你的東西，那么這些設(shè)備具有我們正在談?wù)摰?a href="http://m.xsypw.cn/v/tag/150/" target="_blank">人工智能和機(jī)器學(xué)習(xí)的所有好處東西，”O(jiān)penHW 的 O'Connor 說。“一旦有了這種更好的安全等級(jí)，那么作為一個(gè)集體，我們就會(huì)對(duì)社區(qū)造成傷害。”

根據(jù) Riscure 的 Fern 的說法，好消息是 RISC-V 的開放性有可能大大提高安全性。“有很多機(jī)會(huì)從頭開始創(chuàng)建具有安全屬性的實(shí)現(xiàn)，例如提高對(duì)故障注入攻擊的容忍度，并以比其他閉源商業(yè)選項(xiàng)更敏捷的方式整合研究社區(qū)的新想法和技術(shù)，“ 她說。

部分挑戰(zhàn)在于簡單地讓各種規(guī)模的公司接受這個(gè)想法。“在每家公司內(nèi)部，都有一些團(tuán)體認(rèn)為開源硬件作為一個(gè)概念已經(jīng)準(zhǔn)備就緒，現(xiàn)在是時(shí)候開始弄清楚工作流程將如何運(yùn)作以及在公共領(lǐng)域就開源項(xiàng)目進(jìn)行協(xié)作意味著什么了。” O'Connor說，“但與此同時(shí)，有一個(gè)同樣強(qiáng)大的甚至可能更強(qiáng)大的隊(duì)伍或陣營認(rèn)為這完全是胡說八道。”

O'Connor說，應(yīng)對(duì)這種情況的最佳方式是讓作品自己說話。“對(duì)于持懷疑態(tài)度的硬件工程類型，實(shí)施和存在證明大有幫助，”他說。“從根本上說，這個(gè)行業(yè)的基礎(chǔ)是證明你的設(shè)計(jì)有效，然后將其投入生產(chǎn)。作為硬件工程師，我們接受的培訓(xùn)是在我們說好之前先獲得存在證明。”

這不可避免地需要時(shí)間。“Acorn，然后是 Arm，甚至就此而言是 x86，這些事情都不是一夜之間發(fā)生的，”O(jiān)'Connor 說。“相對(duì)而言，RISC-V 架構(gòu)的推出，以及與這些設(shè)備相關(guān)的體積，實(shí)際上發(fā)展得相當(dāng)快。這不是一個(gè)四分之一或兩個(gè)季度的問題，這是好幾年的問題。”

盡管如此，Baines說，對(duì)于任何考慮 RISC-V 但不確定生態(tài)系統(tǒng)是否準(zhǔn)備就緒的公司來說，總是會(huì)有延遲的理由。“如果你有一個(gè)工程項(xiàng)目將從 RISC-V 中受益，你現(xiàn)在就應(yīng)該關(guān)注它，”他說。或者你可以等兩三年，然后發(fā)現(xiàn)你的競爭對(duì)手在那段時(shí)間推出了兩代項(xiàng)目。那會(huì)對(duì)你有什么影響呢？