这一芯片问题，不容忽视！

公众号记得加星标⭐️，第一时间看推送不会错过。

新的法规使得这一点没有商量的余地，但多芯片封装和边缘更多的交互正在造成一些巨大的障碍。

数据泄露即将面临的巨额罚款迫使芯片制造商正视端到端安全问题，这是一个日益复杂和艰巨的问题，因为没有哪一家公司能够控制所有环节。

这一点在多芯片封装中尤为明显，这种封装目前已应用于数据中心，并正在汽车和其他应用领域进行探索。多个芯片组可以将性能提升到远超单个光罩尺寸SoC的性能水平，同时还能灵活地选择设备中包含的功能以及采用的工艺节点。这些芯片组甚至可以来自不同的代工厂，并可以集成到定制的先进封装中。但这同时也使得供应链中所有组件的追踪变得更加困难。

而这仅仅是开始。芯片组在不同的工作负载下老化速度可能不同，这会导致设计过程中从未考虑到的新漏洞。而且，由于其中一些组件是独一无二的新型组件——特别是采用 3 纳米及以下工艺开发的逻辑组件——我们几乎没有任何关于可能出现的问题（例如静默数据损坏）的背景信息。

Rambus硅安全产品高级总监 Scott Best 表示：“这就是将所有组件拆分成异构芯片组所带来的问题之一。过去，至少在垂直领域，芯片和最终产品都由一家公司拥有。该公司负责特性数据、制造和测试数据以及软件更新。因此，即使在最先进的 SoC 中，构建软件物料清单和硬件物料清单的流程非常复杂，但这都是内部工作。如果你拥有 1000 名工程师，你就能解决这个问题。但如果你把最先进的 SoC 拆分成 10 个异构芯片组，分别由不同的厂商制造，那么问题的复杂程度就会增加 10 倍。情况会变得复杂 10 倍，因为现在你要和 10 家不同的供应商打交道，而这些供应商的系统可能互不兼容。”

大型芯片制造商通常会追踪芯片从设计到制造的整个过程，对于某些应用，甚至会追踪到现场使用阶段的数据。“他们可以查看芯片上的唯一ID，并追溯到当天操作该晶圆分拣设备的操作员，因为该操作员当班期间的芯片可能没有经过正确的筛选，”贝斯特说道。“现在，你可以主动查找生产流程中的缺陷，找出与之相关的其他芯片及其在全球的分布情况，联系这些客户，并在现场故障发生之前安排退货。其他公司也会这样做。他们拥有数TB的数据可供查看。但这完全不兼容。”

这正是商用芯片市场概念迟迟未能推出的关键原因之一。即使是那些从设计到制造全程严密监控的公司，也缺乏一致的数据。此外，由于芯片来自多家供应商，且设计针对特定工作负载进行定制，并在不同的运行条件下以独特的方式对多芯片组件的不同部分施加压力，因此，要找出潜在的安全风险可能出现在哪里，无疑是一项巨大的挑战。

Synopsys安全 IP 解决方案产品管理高级总监 Dana Neustadter 表示：“整个生态系统正变得越来越复杂。如果出现一个恶意芯片，不仅会影响一个产品系列，还会影响多个产品系列。这些恶意芯片最终可能出现在完全不同的设备和产品类别中。因此，我们需要具备相应的能力、流程和手段，从芯片制造到最终产品，贯穿整个供应链和生命周期，确保我们所做的一切都是正确的。”

这需要深入了解当前存在的风险，以及未来可能存在的风险。对于生命周期长的产品，还需要有办法堵住多年后可能出现的安全漏洞。

纽斯塔特表示：“有些事情需要更加谨慎，而不是一味地创造新事物，而是在整个开发过程、定义阶段，乃至整个供应链和生命周期中建立信任。你需要从安全设计入手，进行威胁建模和安全需求分析。哪些东西需要保护？为什么？将唯一身份信息嵌入芯片是构建端到端安全的基础。但除此之外，你还需要在其基础上构建其他安全层。”

英飞凌密码学和产品安全高级总监 Erik Wood将端到端安全分为两个部分。“第一部分是晶圆制造，成品库存中的一部分最终交付给客户。在这一部分，我们通过溯源来降低攻击风险，确保提供给客户的产品质量安全。我们使用加密标识符，让客户在进行编程时能够验证芯片是否确实是英飞凌芯片。第二部分是配置工具，客户在加载软件并将芯片切换到安全生命周期状态后使用该工具，该工具会同时锁定所有安全措施并混淆密钥。我们还会验证供应链中是否加载了任何固件。这是客户工厂的一个编程配置步骤，我们称之为‘准入考试’。我们会验证芯片是否包含任何不应包含的额外固件。”

云端与边缘

端到端安全不仅仅关乎芯片内部的组件或芯片上运行的软件，它还涉及芯片所连接的设备，而这些设备通常在实际使用中才能得知。

数据中心拥有强大的边界安全防护，但插入不同的组件，例如 PCIe 卡或更换电源，可能会为恶意软件或木马的入侵打开方便之门。安全协议和数据模型 (SPDM) 的核心理念正是基于此，它是一种标准化但功能有限的组件验证方法。任何新硬件都可以使用数字图像和预先设定的测试序列进行扫描。

但对于多芯片设备和边缘计算设备而言，情况就复杂得多。在边缘计算设备上，设备需要通过互联网与其他设备交互，而并非所有设备都具备相同的安全防护能力。这正是欧盟《网络弹性法案》（CRA）出台的初衷，该法案规定，对于未能及时报告和修复安全漏洞的行为，将处以巨额罚款。

“安全意识方面存在很大的滞后，因为没有统一的标准。没有人明确指出‘你必须这样做’，” Cadence旗下 公司Secure-IC的首席营销官Yan-Tarō Clochard表示。“CRA强制要求客户了解自身可能存在的安全问题，预估其供应链、运营情况，以及在产品生命周期内如何考虑安全问题。对于整个端到端供应链而言，它迫使每个人都思考其资产的敏感程度以及未来将如何使用这些资产。”

然而，安全是有代价的，在价格敏感的市场中，这种代价可能会让应用变得难以承受。

英飞凌的伍德表示：“我们生产的芯片是专为安全而设计的部件，这意味着它们存在的唯一目的就是安全——护照、支付、安全元件、TPM（可信平台模块）。” “然后还有像微处理器（MPU）、微控制器（MCU）、Wi-Fi、蓝牙之类的芯片，它们功能更广泛，安全也是其组成部分。但这些芯片如今并非出于安全考虑而存在，而是为了实现其带来的各种功能。当然，我们也希望这些功能能够得到保障。但在考察了分包商，了解了在他们的安全生产车间进行生产所需的额外成本后，我们估计，如今售价2.5美元的微控制器，如果采用这种方式生产，成本将达到5美元，这显然行不通。因此，我们采取的措施是提供某种程度的保障。首先，要尽可能降低风险，确保芯片的来源可追溯，也就是说，我可以从加密的角度断言这是英飞凌的芯片。其次，要全面分析真正的攻击途径，证明它不是克隆产品，并确保在生产过程中没有被植入任何木马固件。”

接下来的管理更具挑战性。来自更多传感器和人工智能的更多数据在更多设备之间传输，尤其是在边缘设备之间。因此，除了硬件安全之外，还需要跟踪在不同硬件之间传输的数据。

Synaptics无线产品事业部高级副总裁兼总经理Venkat Kodavati表示：“连接性至关重要，尤其对于通用人工智能（AGI）以及几乎所有向边缘计算发展的技术而言更是如此。你需要快速传输数据，无论是传输到数据中心还是在设备之间传输。假设你同时拥有AR眼镜和手机，那么通信速度必须更快，延迟必须更低。此外，还需要更强大的视频功能和语音功能。如今，人们正在开发各种各样的应用场景。因此，我们正在讨论多模态通信。很多事情同时发生，因此需要最高级别的安全性。这包括PSA 3级安全认证、安全启动以及我们集成的所有其他功能，以确保无人能够入侵。它必须非常安全，同时还要极其高效。因此，我们在通信方面，尤其是在能耗方面，不断进行改进，并始终将安全性放在首位。”

没有万全之策

在供应链中，层级越高，端到端的安全挑战就越大。安全关键型应用，例如机器人、汽车或军事应用，可能包含数千个不同的组件，并非所有组件都是自主研发的。而且，由于某些复杂系统生命周期很长，很可能至少有一些公司在车辆预期寿命结束时已经倒闭。

关键在于准确了解最有可能需要更换或修理的部件是什么，并从设备制造日期开始预测哪些部件可能会发生变化或需要变化。

西门子EDA汽车及军工/航空混合物理与虚拟系统副总裁David Fritz表示：“在与军工、航空航天和国防工业的讨论中，我们发现车辆的使用寿命可能长达40年，而在这40年结束之前，其中一半的零部件将被不同的供应商更换三次。我们如何才能确定这些零部件真的能正常工作？如果你要提供某个零部件，就必须有该零部件的模型。‘这是模型的要求。它必须能够接入我们的数字孪生系统。我们需要通过实证验证，才能将其作为第二或第三个参考来源。’”

问题不仅限于芯片本身。OEM厂商还需对PCB板上的所有组件负责。“电路板上不再只有你自己的芯片了，” Keysight EDA总经理Maarten Bron说道，“其中可能还包括来自第三方的车身控制模块（BCM）、存储器和存储控制器。因此，如果制造商要为系统的安全性作担保，他们最好对供应链有充分的了解，并且能够信任供应商。这就像大规模安全。在数据中心，他们会进行纵向扩展，或者说超大规模扩展。从安全保障的角度来看，这就是我们所说的‘大规模安全’。”

将时间因素纳入安全考量

对于使用寿命较长的设备而言，时间是端到端安全中的关键维度，而且这不仅仅指硬件本身。这其中也包括加密数据，这些数据在未来某个时候可能极具价值。随着量子计算机精度的提高和量子比特相干性的增强，破解现有加密方案所需的时间预计将大幅缩短。

这个问题需要在设计阶段早期就加以解决，而这本身就是一个挑战，因为目前的量子技术很大程度上还停留在理论阶段，没有人能够确定它最终会对安全产生怎样的影响，或者该如何应对。量子安全并非一劳永逸，而是一个持续的挑战。

“汽车行业在这方面确实非常成熟，”Cadence旗下公司Secure-IC的联合创始人兼首席技术官Sylvain Guilley表示。“他们有TARA——威胁分析和风险评估——这是他们制定汽车规格和展望未来的方式，因为汽车芯片必须保持功能正常、及时更新且安全，通常需要超过30年的时间。当我们评估风险时，会考虑量子计算机破坏一切的可能性。此外，还要考虑攻击者的可能性、影响范围和攻击手段等因素，因为量子计算机显然不会在初期就普及。某个国家是否会对攻击汽车感兴趣？这是一个问题。但当我们分析风险时，还需要考虑利害关系。是经济损失？还是声誉损失？汽车制造商不希望为了升级而召回数百万辆汽车，更不希望为了更换零部件而召回。那将是一场彻底的灾难，但发生的概率很低。”

人工智能的作用

为这个问题增添了新的维度。从负面影响来看，人工智能代理可能会不断寻找安全漏洞，并且永不放弃地寻找弱点或监视变化。从正面影响来看，这些代理也可以被用来修补漏洞。

ChipAgents首席执行官William Wang表示：“人工智能代理非常擅长发现人类难以发现的安全漏洞。人类很难找到能够破坏设计的特定组合。但让人工智能基于以往的训练数据来分析各种极端情况，就是一个很好的应用场景。它可以查看所有设计规范，找出漏洞。它可以查看RTL代码和测试平台，甚至可以查看整个技术栈。这不仅仅关乎RTL或硬件，还关乎嵌入式系统，因为其中存在大量的安全漏洞和驱动程序问题。部分原因是驱动程序实际上并没有遵循硬件规范。将驱动程序和C代码与硬件规范关联起来，就能构建出漏洞更少、更完善的系统。”

与此同时，人工智能代理本身也需要严格控制，因为代理之间可以独立通信。“这就是微妙之处，” Arm基础设施业务营销副总裁Eddie Ramirez说道。“进行机密计算时，你会假定这些容器之间互不通信。你实际上需要将它们隔离。内存是加密的。而代理之间则需要更多的协调。但这并不意味着它们不能拥有各自的安全孤岛。这只是意味着代理现在必须将信息和状态传递给另一个代理。我们可以充分利用这一点，但目前还没有正式的标准。机密计算联盟（CCC）和开放计算计划（OCP）正在进行相关讨论。最终，所有这些组织都会朝着同一个方向努力，制定一个统一的标准。”

结论

安全已从以往的次要考虑因素转变为电子系统各个环节的主流考量，从最初的概念和设计，到制造和封装，直至最终部署。任何不重视安全的公司都将面临严重的经济处罚、失去合作机会以及声誉受损的风险。这几乎肯定会导致各方互相指责，并淘汰那些未能充分重视安全措施的公司。

与此同时，要完全保护设备安全变得越来越困难，尤其是在多芯片解决方案、边缘连接更多设备以及软件和固件几乎无休止的更新方面。

端到端安全是否真的能够实现尚不明确。但企业努力实现端到端安全的理由无疑更多了，同时阻碍它们实现这一目标的障碍也更多了。

https://semiengineering.com/is-end-to-end-security-possible/

（来源：编译自semiengineering）

*免责声明：本文由作者原创。文章内容系作者个人观点，半导体行业观察转载仅为了传达一种不同的观点，不代表半导体行业观察对该观点赞同或支持，如果有任何异议，欢迎联系半导体行业观察。

今天是《半导体行业观察》为您分享的第4283期内容，欢迎关注。

加星标⭐️第一时间看推送

求推荐