（本文編譯自Semiconductor Engineering）

小芯片的商業化將大大增加硬件遭受攻擊的可能性，這就需要在供應鏈的每個層面采取更廣泛的安全措施和流程，包括從初始設計到產品報廢的整個過程中的可追溯性。

近年來，安全措施方面已取得了長足進步，包括從識別芯片內部異常數據流量到采用復雜的混淆技術等諸多方面。但小芯片增加了可能的攻擊途徑的數量，而且一個設計中包含的小芯片越多，設備保護就越困難，因為需要處理、移動和存儲的數據越多，涉及的組件也越多。

西門子EDA Tessent汽車IC解決方案總監Lee Harrison表示：“即使設備內的所有小芯片都具備安全元件，例如信任根(RoT)，也無法保證它們能夠輕松相互通信。這有可能危及設備層面的整體安全性。”

信任根存在的一個問題是，它們會占用大量的芯片面積和功耗。因此，除非系統中的所有小芯片尺寸都很大，否則為每個小芯片設置專用RoT的開銷可能不切實際。

就單個小芯片而言，它并不比其他芯片更容易受到黑客攻擊。但當多個小芯片封裝在一起時，問題就出現了。

Rambus芯片安全產品高級總監Scott Best表示：“Chiplet只是一種封裝方式不同的芯片。大多數芯片沒有單獨的封裝。但現在它就像有了‘室友’。這是一個有趣且有意思的封裝問題，因為你不再只是單獨封裝一個芯片。然而，現在它必須與所有‘室友’進行通信，然后其中一個或幾個‘室友’會通過I/O與外部世界通信。”

小芯片與其他芯片一樣，面臨著同樣的安全問題。“攻擊途徑多達20種，從竊取數據庫、賄賂設計團隊或驗證團隊人員插入惡意電路或泄露設計機密，到人為因素，以及芯片是否包含任何保護機密信息的秘密，”Best指出，“攻擊者可能竊取這些機密，或者對保護這些機密的電路進行逆向工程，或者進行某種功率分析側信道攻擊，導致信息泄露出芯片。芯片和小芯片都可能遭受多種攻擊。”

其他人也表示贊同。“本質上，我們試圖確保在將系統和封裝連接在一起時，互連中出現的所有內容都經過授權，并且如果將其分解成單個組件，它們就是你期望找到的那個單元，”新思科技科學家兼首席安全技術專家Mike Borza說道，“如果能做到這一點，就能確保系統擁有初始完整性。”

了解小芯片來源

隨著小芯片越來越多地由多家供應商提供，了解誰開發了這些小芯片、在哪里制造，以及供應鏈是否存在薄弱環節，這些都非常重要。

雖然目前使用的大多數小芯片都來自企業內部供應，但這種情況正在開始發生變化，尤其是I/O和內存芯片。

“你需要能夠在整個供應鏈流程中追蹤這些小芯片的身份信息并進行管理，”新思科技安全解決方案產品管理高級總監Dana Neustadter指出。“所有這些都與基礎安全息息相關。你必須考慮采用一些追蹤手段，這些手段也可能擴展到某種形式的傳感器，或用于提供身份標識的物理不可克隆功能，或某種形式的水印技術。雖然還可以添加一些其他元素，但與典型的片上系統（SoC）流程相比，這種多芯片供應鏈安全是完全不同的一個層面。”

汽車領域小芯片的安全問題

在汽車行業，系統開發人員正在關注小芯片開放市場所帶來的好處，以及這種方法可能引發的安全問題。

Imagination Technologies產品管理高級總監Rob Fisher表示：“一級供應商或OEM廠商可能會說，‘與其從瑞薩、德州儀器或其他公司購買芯片，不如基于從公開市場獲得的一系列小芯片來封裝自己的芯片。’如果你認為這就是未來的發展方向，那么供應鏈中的安全威脅就算不比小芯片架構本身所帶來的物理攻擊風險多，也至少是相當的。”

這里的關鍵在于可信來源。“對于單片芯片，如果你掌握了RTL設計，你就能很好地了解它的來源，并對其進行測試，”Fisher表示，“但如果你從第三方獲取小芯片，就需要確保它來自可信來源。而且你需要確保你使用的所有小芯片都來自可信來源，并且沒有設計任何惡意硬件，因此你會面臨一個相當復雜的供應鏈追蹤問題。另一方面，你需要了解小芯片的來源和設計出處，以及所有參與生產的參與者，因為小芯片不僅僅是一段RTL設計。在到達系統集成商之前，它要經過許多階段和多方交涉，因此這方面存在很多擔憂。”

此外，還有其他一些令人擔憂的問題。由于系統是由多個獨立模塊構建的，因此這些模塊之間的通信可以被探測，而且與單片芯片相比，小芯片之間傳輸的數據可能更容易被獲取。

Fisher表示：“這可能比解決供應鏈問題要容易一些，但仍然不是一件容易的事。對于SoC，有一套經過實踐檢驗的方法來確保其安全性。你有一個RoT，你知道它是完整且不會被篡改的。然后在此基礎上進行構建。你基于RoT保護啟動整個系統，并以此構建安全性。然而，在擁有獨立芯片的小芯片架構中，這變得相當具有挑戰性。解決的方法是將應用于SoC的技術應用于每個小芯片。然后在終端設備（終端SoC）中，你還需要添加一些額外的功能，來協調所有小芯片的安全配置文件。因此，最終每個小芯片可能都需要自己的信任根和安全啟動程序，這將能使小芯片使用加密協議安全地相互通信。但還需要在更高層次上設置其他安全機制來設置所有這些安全措施。”

這就是為什么目前一些商業小芯片的實現涉及具有預定義的啟動序列和內置控制器的預集成模塊。

“你有一個主機，也就是你的應用處理器，”英飛凌科技公司加密和產品安全高級總監Erik Wood說道，“它負責關鍵操作和啟動，設置調試端口的訪問權限，設置產品的生命周期狀態，以及在將主機處理器進入安全生命周期狀態之前完成所有安全配置。所有這些都由它來處理，然后連接到應用處理器的小芯片就是該設備的子系統。因此，如果小芯片上有任何固件需要更新，主機負責對小芯片進行更新。同樣，應用處理器啟動時，首先進行自身的安全啟動，然后啟動小芯片。”

這類似于外部閃存或存儲器的情況。“這是一個類似的范例，所以你需要有可靠的控制器，”Wood表示，“例如，在外部存儲器中，既有物理方面的安全性，也有邏輯方面的安全性。你需要在主處理器中有一個控制器來管理與其他設備的接口功能。就外部存儲器而言，你希望能夠同時從外部存儲器進行身份驗證和解密。所以，既有邏輯方面的考量，也有關于如何將那些芯片組合在一起的物理結構方面的考量。”

如何實現小芯片的安全性和可追溯性？

保障小芯片安全性的一種方法是采用單一的RoT解決方案，將安全元件置于設備的基礎芯片上。然后，使用認證等技術，每個小芯片在上電時都會與基礎芯片上的RoT進行核對。

西門子EDA Tessent汽車IC解決方案總監Lee Harrison解釋道：“每個小芯片都會生成一個動態產生的認證令牌，這確保了每個小芯片在啟用之前都能通過基礎芯片進行自我識別。這種方法假設了一個零信任環境，類似于當今許多其他通信領域的情況，其中每個元件在經過身份驗證之前都被視為零信任元件。這既確保了小芯片令牌ID無法輕易被獲取，因為它是由小芯片在上電時動態生成的，而不是硬編碼的。此外，在完全認證完成之前不啟用小芯片，這可以防止半導體供應鏈中多層次的攻擊。”

功能監視器提供了一種在身份驗證過程中生成認證令牌的方法。功能監視器可以構建隨時間推移的監控數據配置文件，例如安全啟動序列。這種動態生成的簽名包含功能和時間元素，因此極難破解。

圖1：基于Chiplet設備的零信任供應鏈。

圖源：西門子EDA

Best表示：“如果我正在開發一款SoC，并將其應用于汽車平臺，而汽車供應商表示，‘我們將要求你交付給我們的芯片具有經過驗證的可追溯性（來源）。’我可能沒有進行可追溯性驗證，但這畢竟是我的芯片，所以我可以深入我的供應鏈，弄清楚在晶圓分選、最終測試和系統內測試中添加哪些組件。我需要添加哪些組件，才能確保可追溯性足夠可靠，從而讓我的客戶認可我已經實現了來源驗證和可追溯性驗證，并且讓他們愿意接受這個產品呢？如果我是一家傳統的SoC制造商，我只需要影響一條供應鏈。但如果我正在制造一個包含12種不同芯片的多芯片封裝（MCP），并且存在可追溯性問題，我該如何解決呢？我必須聯系12家不同的供應商，他們都有12種不同的可追溯性解決方案。其中一些可能是最先進的。但也有供應商可能會說，‘不，我們沒有最先進的、經過驗證的可追溯性解決方案’。所以，作為MCP集成商，我必須跨越業務障礙，才能促使供應商采取行動。而且，如果我沒有像汽車系統那樣的大量訂單需求，那么就很難讓你的供應商修改其供應鏈安全措施。”

小芯片也帶來了額外的安全風險。

新思科技的Neustadter表示：“設計工程師需要應對更高的功耗，這會帶來更高的輻射，也增加了側信道分析攻擊的可能性。而且當攻擊者有很強的動機時，他們會找到不同的方法來攻擊多芯片系統。此外，還有一種我們從未處理過的威脅，那就是當存在多個小芯片，并且這些小芯片最終被用于完全不同的終端產品中，例如汽車、智能家居設備或數據中心中。想象一下，如果其中一個小芯片被攻破。在那種情況下，你攻破的不只是一類產品。你可能會攻破一整套不同類型的產品。就可能出現的攻擊途徑而言，這是相當獨特的情況。”

因此，一些專家認為，像通用小芯片互連Express聯盟(Universal Chiplet Express)這樣的組織可以發揮重要作用，為如何安全地將組件連接在一起制定標準。

問題在于，標準的制定需要時間，而業界對小芯片的采用速度卻很快。“我不確定標準制定的速度是否足夠快，能否跟上人們應用小芯片的急切需求，”Best表示，“安全常常是人們認為總有時間去解決的問題之一。人們總覺得可以以后再逐步添加安全措施，直到遭到攻擊，直到已經投入使用的產品被嚴重破壞。如果市面上有十億臺設備出廠，它們都存在安全漏洞，其中一些芯片還被應用到關鍵基礎設施系統中，那該怎么辦？”

結語

小芯片設計的出現標志著半導體技術在性能、可擴展性和靈活性方面的重大轉變。然而，小芯片系統也帶來了獨特的安全挑戰，必須予以解決，才能確保多芯片封裝的完整性和可靠性。

經過驗證的可追溯性、強大的加密解決方案以及全行業的協作，對于降低小芯片安全風險至關重要。隨著行業的不斷發展，利益相關者必須優先考慮安全措施，以防范潛在的漏洞，并確保基于小芯片的系統能夠安全部署。只有理解并應對這些挑戰，才能有效管理商業小芯片生態系統的風險。