網(wǎng)絡(luò)世界是攻擊者的下一個(gè)主戰(zhàn)場(chǎng)。目前，攻擊者正忙于尋找破壞關(guān)鍵基礎(chǔ)設(shè)施的方法。據(jù)IAR 系統(tǒng)嵌入式安全解決方案的負(fù)責(zé)人Haydn Povey透露：“有26％的美國電網(wǎng)都被發(fā)現(xiàn)裝有特洛伊木馬，而網(wǎng)絡(luò)戰(zhàn)中，電網(wǎng)往往是最先受到攻擊的部分?！钡牵⒎撬泄舳蓟谲浖?，有些是物理攻擊，特別是物聯(lián)網(wǎng)（IoT）的出現(xiàn)，涌現(xiàn)了一批進(jìn)入敏感網(wǎng)絡(luò)的新方法?！拔锫?lián)網(wǎng)市場(chǎng)本身不涉及篡改，但是由于很多新出現(xiàn)的IoT設(shè)備，尤其是對(duì)于工業(yè)IoT設(shè)備而言，物理攻擊呈上升趨勢(shì)。為了解決這個(gè)問題，防篡改功能出現(xiàn)在各種各樣的芯片上?！?芯科實(shí)驗(yàn)室（Silicon Labs）的 IoT安全高級(jí)產(chǎn)品經(jīng)理Mike Dow說。

攻擊者的目的，竊取機(jī)密或破壞系統(tǒng)

被連接設(shè)備的安全性涉及到用于加密消息并確保通訊中的各方身份的真實(shí)性的加密功能。此類功能需要加密的密鑰、證書和其他偽跡，以確保機(jī)密的有效性。其中一些攻擊者越來越多地轉(zhuǎn)向物理攻擊，試圖檢索這些機(jī)密并破壞其安全性。防篡改就是為了保護(hù)這些機(jī)密。

但是有些時(shí)候，攻擊者的目標(biāo)不是竊取機(jī)密，而是禁用或破壞系統(tǒng)。Tortuga Logic的高級(jí)硬件安全工程師Alric Althoff 舉了一個(gè)例子，“根據(jù)FIPS （聯(lián)邦信息處理標(biāo)準(zhǔn)），隨機(jī)數(shù)生成器（RNG）需要一個(gè)內(nèi)置的健康測(cè)試，我們可以使用（電磁場(chǎng)）翻轉(zhuǎn)盡可能多的位，RNG健康測(cè)試便會(huì)失敗，數(shù)次失敗之后，設(shè)備將自行禁用。”

由于失去了熵，已禁用的設(shè)備不再被允許執(zhí)行加密功能，它所支持的系統(tǒng)便不再正常運(yùn)行。Althoff表示：“這將促使RNG致力于增強(qiáng)安全性，并使其成為攻擊載體?！?/p>

物理攻擊要求攻擊者擁有對(duì)被攻擊單位實(shí)質(zhì)上的占有。如果攻擊成功，則攻擊者將獲得對(duì)該單元的訪問權(quán)限。因此，每個(gè)單元都有其自己的唯一密鑰非常重要，因?yàn)槠平庖粋€(gè)設(shè)備不會(huì)透露其他設(shè)備的秘密。

但是，訪問一臺(tái)設(shè)備并非一沒有意義，通常受攻擊的設(shè)備并不含有有價(jià)值的東西，該部分只是攻擊者進(jìn)入網(wǎng)絡(luò)以訪問其他地方更有價(jià)值的資產(chǎn)的一種方式。

篡改通常有一個(gè)目標(biāo)，即以任何可能的方式提取加密密鑰。最顯而易見的方法是打開芯片搜尋存儲(chǔ)密鑰的依據(jù)。這可能來自存儲(chǔ)器中的視覺線索，通過檢測(cè)電路關(guān)鍵點(diǎn)處的電壓或通過物理方式更改有源電路（即使只是暫時(shí)的）也可以。

一種常見的工具是聚焦離子束工具或FIB。與舊的一層一層剝離整個(gè)芯片的方法相比，它可以進(jìn)行更精確的感測(cè)和鉆井。通過謹(jǐn)慎地在未封裝的芯片上進(jìn)行操作，保持電源接通以便探測(cè)關(guān)鍵金屬線。根據(jù)所使用的存儲(chǔ)器類型，攻擊者可能會(huì)嘗試通過視覺上或電子方式檢查存儲(chǔ)值。

最近特別注意激光的使用。通過將激光聚焦在擴(kuò)散區(qū)域上，光電效應(yīng)可以使關(guān)聯(lián)的節(jié)點(diǎn)改變狀態(tài)。如果是節(jié)點(diǎn)是組合的，則之后可能會(huì)有一個(gè)短暫的“小故障”，但只要正確計(jì)時(shí)，即可在之后的觸發(fā)器中被捕獲。此類事件稱為“單事件瞬態(tài)（SET）”。

也有可能直接攻擊觸發(fā)器，從而導(dǎo)致觸發(fā)器處于翻轉(zhuǎn)狀態(tài)。這被稱為“單事件失敗（SEU）”。一旦能更改節(jié)點(diǎn)或觸發(fā)器的值，就可以進(jìn)一步探查電路的其余部分，以查看其響應(yīng)方式。

某些非侵入式攻擊者不會(huì)直接進(jìn)入電路。相反，他們依賴于電路運(yùn)行時(shí)泄漏的信息。這些“ 旁道攻擊 ”涉及對(duì)電源線或電磁輻射的分析，以得到有關(guān)內(nèi)部發(fā)生情況的線索。聽起來似乎不太可能做到，但通過在涉及密鑰的計(jì)算發(fā)生時(shí)觀察這些偽跡以導(dǎo)出密鑰卻是可能的。

最后一類的篡改方式取決于找到一些異常行為，可以利用這些異常行為來泄露機(jī)密。這樣的方式被稱為“故障注入”或“故障感應(yīng)”攻擊，奇數(shù)電壓或邏輯故障意外地導(dǎo)致了機(jī)密的丟失。西門子業(yè)務(wù)部Mentor安全設(shè)計(jì)主任Michael Chen說，這類方式不僅使用了隨機(jī)的“模糊測(cè)試”，還使用了“特定的模式、’故障、快速/慢速、過壓和欠壓以及速度” 。芯片設(shè)計(jì)人員很難預(yù)料到這種攻擊。“ 這些漏洞更難解決，因?yàn)樗鼈円词枪室庠O(shè)計(jì)的或計(jì)劃之外的問題，要么是從未見過的真正的攻擊?！?他補(bǔ)充到。

強(qiáng)大的RF信號(hào)也可能導(dǎo)致意外行為。根據(jù)芯片工具用戶手冊(cè)，不斷變化的磁場(chǎng)會(huì)在被測(cè)設(shè)備中產(chǎn)生感應(yīng)電流，從而導(dǎo)致內(nèi)部信號(hào)上的電壓電平發(fā)生變化。這些變化的電壓電平可能導(dǎo)致錯(cuò)誤的讀?。ɑ?qū)懭耄?，從而影響鎖存器，寄存器等的結(jié)果。損壞內(nèi)存，重置鎖定位，跳過指令以及將故障插入加密操作都屬于是電磁故障注入（EMFI）。

旁道攻擊類型很多。Chen說：“并非所有的旁道都是功率/電磁的，它們可能是定時(shí)或總線監(jiān)控，寄存器，緩存或存儲(chǔ)器攻擊?？隙ㄟ€有數(shù)百萬種我們尚未想到的方式?！?/p>

外殼保護(hù)與芯片保護(hù)

應(yīng)對(duì)這些攻擊對(duì)于物聯(lián)網(wǎng)（IoT）設(shè)備來說是陌生的領(lǐng)域，但對(duì)于銷售終端（PoS）系統(tǒng)中的芯片而言，卻有很好的基礎(chǔ)。這些單元用于支付卡行業(yè)（PCI），具有安全元件（SE），這些安全元件已通過法規(guī)和大部分金融機(jī)構(gòu)的期望被嚴(yán)格鎖定。

這些規(guī)則要求外殼是防篡改的，任何包含信用卡數(shù)據(jù)的內(nèi)部芯片也都應(yīng)具有防篡改功能，并且也必須屏蔽將信用卡閱讀器連接到PoS系統(tǒng)的所有電纜。這些技術(shù)現(xiàn)在正在逐漸應(yīng)用到更多普通芯片上，并且它們也正處于系統(tǒng)級(jí)應(yīng)用。芯科實(shí)驗(yàn)室（Silicon Labs）的陶氏化學(xué)公司說：“如果無法發(fā)現(xiàn)未發(fā)現(xiàn)的情況，那么很難解決其他問題?！?/p>

在系統(tǒng)案例方面，電表和水表等計(jì)量公司多年來一直在實(shí)施防篡改措施，以防人們通過人為回退電表來減少實(shí)際費(fèi)用?！坝?jì)量行業(yè)已經(jīng)習(xí)慣防篡改。醫(yī)學(xué)界也開始對(duì)此進(jìn)行研究，”陶氏說。在那些行業(yè)之外（包括PCI），找到工程級(jí)別的保護(hù)并不常見?？梢酝ㄟ^將幾個(gè)開關(guān)安裝在適當(dāng)?shù)奈恢脕碓黾舆@些功能，打開工程會(huì)改變開關(guān)的狀態(tài)。以此警告系統(tǒng)采取對(duì)策。

即使斷開系統(tǒng)未被接通，這一安全措施也需要電源。紐扣電池通常用在此處，PCI法規(guī)則規(guī)定紐扣電池必須持續(xù)使用兩年，并且必須有足夠的電量來一次性應(yīng)對(duì)篡改企圖。

如果在外殼級(jí)別檢測(cè)到篡改，則外殼內(nèi)部的系統(tǒng)則必須采取防御措施，具體細(xì)節(jié)由設(shè)計(jì)師決定。但通常，防篡改信號(hào)必須盡可能地通過通用I / O提供給CPU?！斑@里有有幾種架構(gòu)，” 芯科實(shí)驗(yàn)室（Silicon Labs）物聯(lián)網(wǎng)產(chǎn)品高級(jí)應(yīng)用經(jīng)理Brent Wilson指出，“對(duì)于一個(gè)CPU，可以檢測(cè)到漏洞并通過軟件進(jìn)行響應(yīng)。對(duì)于兩個(gè)CPU，其中一個(gè)是安全的，我們有一個(gè)這一事件的輸入引腳，而不安全的CPU可以向片上SE發(fā)送信號(hào)?！?/p>

一旦進(jìn)入外殼，帶有敏感內(nèi)容的單個(gè)芯片必須規(guī)避篡改嘗試。一些對(duì)策是物理上的，而其他對(duì)策則涉及有源傳感器。即使提供篡改證據(jù)也可能會(huì)有所幫助?！按鄹募夹g(shù)經(jīng)常被用來保護(hù)包裝、標(biāo)簽、密封、標(biāo)記和物理安全?！盋hen說， “從水印、熱敏感或紫外線敏感的材料以及粉碎/玻璃材料中提取的所有東西都會(huì)在任何物理篡改嘗試中留下可見的痕跡。”

盡管硬件信任根（HRoT）通常主要在啟動(dòng)時(shí)運(yùn)行，以確保系統(tǒng)干凈，但它們?cè)谕瓿稍撊蝿?wù)后即關(guān)閉。美信整合產(chǎn)品公司（Maxim Integrated）的嵌入式安全負(fù)責(zé)人Scott Jones說：“完成所需的工作大約需要100毫秒?！?盡管啟動(dòng)防范攻擊可能需要設(shè)計(jì)工作以及代碼或電路，但是對(duì)于電池供電的設(shè)備而言，則不太可能有更多的關(guān)注。瓊斯說：“加密操作不是經(jīng)常性進(jìn)行的，因此不存在實(shí)際功耗預(yù)算問題。” 相比之下，篡改檢測(cè)傳感器必須始終打開，以便它們可以隨時(shí)檢測(cè)到漏洞。

保護(hù)敏感信號(hào)的一種技術(shù)是將這些敏感信號(hào)掩埋在其他金屬層下面。一些芯片會(huì)使用不帶有功能信號(hào)的金屬來屏蔽電路。如今，這種金屬很活躍以便于可以檢測(cè)信號(hào)是否被去除了。金屬上的DC信號(hào)很常見，而最先進(jìn)的技術(shù)可能會(huì)改用AC信號(hào)。

一些設(shè)計(jì)人員可能有意在敏感電路上方運(yùn)行其他功能線，甚至是門電路。另一些設(shè)計(jì)人員則可能用專用生產(chǎn)線或策略性放置的假金屬填充物。所有的情況里，電路上方的金屬網(wǎng)既有助于屏蔽電路防止探頭進(jìn)入，也可以防止電磁輻射逸出。

如果使用存儲(chǔ)器來存儲(chǔ)密鑰，則該存儲(chǔ)器一定不能從視覺上檢查其內(nèi)容，且可以以電子方式檢測(cè)單元格內(nèi)容阻止嘗試性篡改?？梢詫?duì)存儲(chǔ)的密鑰進(jìn)行加密，但是隨后需要一個(gè)密鑰來解密。這可能是物理上不可復(fù)制的功能（PUF），用以創(chuàng)建啟用所有其他安全功能的“根”密鑰的區(qū)域。

光子傳感器也變得越來越普遍，主要是為了用激光檢測(cè)出電路中的任何篡改嘗試。

許多對(duì)策可以阻止旁通道攻擊。這些對(duì)策可能有助于阻止竊取秘密以及芯片的反向工程。Rambus公司防偽產(chǎn)品技術(shù)總監(jiān)Scott Best說：“目標(biāo)是向產(chǎn)品中插入至少一種反擊者所不能克服的對(duì)策。” 方法包括：

在短時(shí)間內(nèi)運(yùn)行關(guān)鍵代碼，然后斷電，最大程度地減少在代碼運(yùn)行時(shí)分析芯片行為的機(jī)會(huì)。

運(yùn)行“反向”指令-這些指令的作用將抵消有意指令的影響。

添加虛擬指令以使內(nèi)部簽名混亂。

故意添加噪聲以混淆電磁信號(hào)。

打開真正的隨機(jī)數(shù)生成器（TRNG）。

監(jiān)控所有內(nèi)容，包括配電網(wǎng)絡(luò)、臨界電壓和電流、時(shí)鐘、信號(hào)時(shí)序、內(nèi)存訪問速度、輻射和熱量。

使用雙軌轉(zhuǎn)換邏輯（DTL）。這涉及通常在單條線上運(yùn)行的信號(hào)，該信號(hào)被分成兩行，不是每條線都指示要傳輸?shù)撵o態(tài)值，而是一條線（沿任一方向）上的過渡指示為1，而另一條線上的過渡則指示為0。這確保了過渡的平衡，從而避免了表明使用哪個(gè)值的問題。此技術(shù)有多種變體。

如何應(yīng)對(duì)篡改？

下一個(gè)問題是，一旦檢測(cè)到篡改，該怎么辦？可以提供多種響應(yīng)，并且每個(gè)級(jí)別的升級(jí)時(shí)間點(diǎn)都將因設(shè)計(jì)人員和應(yīng)用程序而異。完全沒有響應(yīng)是一種可采取的措施。下一個(gè)級(jí)別可能是通知應(yīng)用程序以便采取措施。如果被破壞的嚴(yán)重程度足夠高，則最核心的決定就是“破壞”系統(tǒng)：使其永久無法運(yùn)行。

可以通過擦除密鑰或密鑰的一部分來對(duì)系統(tǒng)進(jìn)行堆砌。它可能涉及銷毀用于重新創(chuàng)建PUF輸出的數(shù)據(jù)。在上述任何一種情況下，都將取消預(yù)先設(shè)置的密鑰或“本機(jī)”（PUF）密鑰——這是不可逆的步驟。從理論上講，可以重新配置（或重新注冊(cè)）設(shè)備——不涉及物理破壞，但這些補(bǔ)救措施意味著將設(shè)備重新投入制造流程，因此對(duì)于攻擊者而言，損害是永久的。

所有這些，最大風(fēng)險(xiǎn)在于創(chuàng)建的響應(yīng)過于敏感，從而導(dǎo)致意外阻塞。陶氏說：“工程檢測(cè)的唯一缺點(diǎn)是它們可能很敏感，因此很難在制造中進(jìn)行處理?！?導(dǎo)致阻塞的事件需要仔細(xì)過濾，因?yàn)檫@一步是不可逆的。極端環(huán)境（例如非常冷的溫度）或諸如設(shè)備掉落之類的事件均不得觸發(fā)篡改警報(bào)，這使達(dá)到平衡以檢測(cè)真正的篡改同時(shí)又不將其他事件誤解為篡改成為一項(xiàng)挑戰(zhàn)。

對(duì)于具有內(nèi)置防篡改電路的設(shè)備，可以配置篡改響應(yīng)。如果該配置存儲(chǔ)在某種可重新編程寄存器中，則攻擊者可能會(huì)在進(jìn)行攻擊之前嘗試更改該設(shè)置。芯科實(shí)驗(yàn)室（Silicon Labs）的Wilson表示，芯科實(shí)驗(yàn)室的配置將其配置存儲(chǔ)在一次性可編程（OTP）寄存器中，因此，一旦配置完成，它便是永久不能更改。

除了要基于先前的故障獲得最佳實(shí)踐之外，故障注入攻擊比設(shè)計(jì)抵抗更難。但是，可以使用故障注入工具進(jìn)行一定量的硅前驗(yàn)證。Synopsys驗(yàn)證部門的研發(fā)總監(jiān)Zongyao Wen說：“故障注入工具可以生成單個(gè)或多個(gè)故障，包括靜態(tài)或瞬態(tài)故障、全局或局部故障?！?/p>

了解敏感性很重要?！懊舾行苑治隹梢栽谠O(shè)計(jì)過程中進(jìn)行，但是由于在實(shí)施和制造過程中可能會(huì)出錯(cuò)，因此必須在成品零件上進(jìn)行測(cè)試并以此作為最終結(jié)果?！?Cadence航空航天和國防解決方案主管Steve Carlson表示，“但在設(shè)計(jì)過程中發(fā)現(xiàn)問題比在制造完成后再發(fā)現(xiàn)要好?！?/p>

Chen同意這一觀點(diǎn)，“如果確定了特定的攻擊面，且高安全性資產(chǎn)需要被保護(hù)，則模擬攻擊非常有可能，安全識(shí)別需求的滿足只是成功的一半?！?也就是說，開發(fā)安全威脅模型是任何驗(yàn)證或測(cè)試的重要前奏，但它太容易就陷入一些精細(xì)的設(shè)想中。

Tortuga Logic的Althoff說：“現(xiàn)實(shí)攻擊可能非常簡(jiǎn)單，而理論攻擊卻非常精巧和新穎，我們正在尋找它們之間的差異?！?/p>

IAR Systems的Povey同意這一說法，他說：“挑戰(zhàn)不是過度設(shè)計(jì)這些東西，安全才是大家的共識(shí)。”

Althoff表示，該模型還應(yīng)該與安全模型融合在一起，因?yàn)槟承┐鄹氖录赡苁且馔獾?，非有意而為之?！盀榱税踩?，我們一直專注于故意性。在現(xiàn)實(shí)生活中，人們往往弄錯(cuò)?！彼f。

由于仿真不能保證防篡改，因此必須在出廠之前進(jìn)行測(cè)試。這在過去意味著要雇用有經(jīng)驗(yàn)的人嘗試闖入芯片——這仍然是一種選擇。但是，也有一些工具能幫助芯片完成檢測(cè)任務(wù)并發(fā)現(xiàn)缺陷。一種稱之為ChipWhisperer的開放源代碼工具可以用很小的代價(jià)執(zhí)行許多此類旁通道攻擊，它不使用強(qiáng)RF信號(hào)的攻擊，還有一種價(jià)格更高的ChipSHOUTER盒可以處理這種類型的攻擊。

也可以從封測(cè)和芯片公司購買更復(fù)雜的商業(yè)級(jí)工具?！斑€有其他工具，但它們是商業(yè)級(jí)的?！盧ambus的Best說： “例如，Rambus差分功率分析工作站（DPAWS）是一款白帽黑客產(chǎn)品，用于測(cè)試電源信息泄漏的魯棒性。ChipWhisperer更像是業(yè)余愛好者級(jí)別的產(chǎn)品，用于對(duì)設(shè)備進(jìn)行二元測(cè)試，確認(rèn)設(shè)備的好壞及牢固性?！?/p>

DPAWS比ChipWhisperer的功能更多，但使用起來也更困難。Best說：“總是可以通過電子方式分析芯片并交付機(jī)密。但是，使用‘全侵入式’失敗分析工具（FA）攻擊芯片很昂貴，并且需要掌握復(fù)雜的商用設(shè)備，對(duì)使用者的技能要求也很高。”

從所有這一切看來，沒有一種特別好的方法可以使芯片防篡改。像許多安全問題一樣，必須根據(jù)預(yù)期的攻擊模型在早期設(shè)計(jì)階段做出決策。必須權(quán)衡成本力量與成功攻擊的后果，并列出潛在的保護(hù)措施，保證其中一些或所有措施可以在給定的設(shè)計(jì)中實(shí)現(xiàn)。

如果要尋找安全的芯片，也沒有適用于所有設(shè)備的簡(jiǎn)單清單。成本是一個(gè)考慮因素，更多的保護(hù)需要更多的錢。Maxim Integrated的Jones表示：“安全的程度取決于客戶愿意支付的價(jià)格。對(duì)于（成本低于）20美分的芯片來說，安全是不可能實(shí)現(xiàn)的?；?0美分，一個(gè)芯片能滿足一些安全要求；支付5美元，一個(gè)芯片就可以達(dá)到一流的水平?！?/p>

特定技術(shù)也將根據(jù)系統(tǒng)的類型和范圍而有所不同?！?篡改嵌入式微控制器……通過ROM中的固件用于單個(gè)脫機(jī)功能，與在云端緩存的服務(wù)器多核CPU完全不同。即使使用相同的Intel / AMD處理器，無論是在一個(gè)消費(fèi)者的PC，還是在農(nóng)場(chǎng)服務(wù)器或軍事應(yīng)用中，需要保護(hù)的機(jī)密/高價(jià)值資產(chǎn)也大不相同?！?Chen說。

關(guān)于芯片的保護(hù)沒有行業(yè)標(biāo)準(zhǔn)，甚至很難在網(wǎng)上找到有關(guān)大型保護(hù)措施的討論。實(shí)際上，這項(xiàng)業(yè)務(wù)會(huì)有些荒謬。任何公司都不想單純吹噓自己的強(qiáng)大保護(hù)能力，因?yàn)檫@只會(huì)吸引更多的攻擊者。

“在許多設(shè)備中，防范措施的使用或?qū)嵤┓绞蕉际请[藏的，” Chen說?！盃I銷或記錄所使用的技術(shù)可能會(huì)給對(duì)手太多的信息?！?/p>

責(zé)任編輯：gt