沒有單一的解決方案，最全面的安全方案可能過于昂貴。

半導(dǎo)體工程（semiengineering）訪談了 Synopsys 科學(xué)家 Mike Borza 討論如何驗證半導(dǎo)體設(shè)計的安全性；參與討論的還有西門子 EDA 信任與安全產(chǎn)品經(jīng)理 John Hallman；Pete Hardee，Cadence 產(chǎn)品管理集團(tuán)總監(jiān)；Expedera 營銷副總裁 Paul Karazuba；和 Breker Verification 的首席執(zhí)行官 Dave Kelf。

SE：在設(shè)計階段可以預(yù)先確保多少安全性？我們可以驗證設(shè)備是否安全嗎？

Kelf：安全就是找出漏洞周圍的狀態(tài)空間，然后嘗試對其進(jìn)行驗證。驗證是否定驗證。當(dāng)進(jìn)行功能驗證時，你會驗證某些功能是否正常運行。在這種情況下，查看芯片內(nèi)部的安全元件——Arm Trust Zone 和 RISC-V PMP（物理內(nèi)存保護(hù)）就是很好的例子，確保它不能通過某些特殊的狀態(tài)組合進(jìn)行訪問。我們嘗試對此進(jìn)行驗證，以確保沒有其他漏洞。

Hallman: 狀態(tài)空間顯然是一個很好的焦點區(qū)域。但是能做到全部嗎？可能不會。你必須加入約束。還有一個關(guān)于狀態(tài)空間可見性的問題。能達(dá)到最低的設(shè)計水平嗎？是不是在某個時候交付了一個黑匣子，而無法在其中看到內(nèi)部的可見性？我們正在努力推動盡可能多的可見性，無論它涉及屬性還是關(guān)于該 IP 的其他描述。我們?nèi)绾尾拍鼙M早驗證這一點？我們可以讓 IP 開發(fā)人員進(jìn)行驗證嗎？我們能否盡可能多地封閉和理解該狀態(tài)空間？但除此之外，我們還在該 IP 開發(fā)商之外提供信息。你如何將安全性可能需要的驗證信息傳遞到下一個級別，你可以在哪里進(jìn)行集成級別的分析，并可能在以后的實施階段進(jìn)行分析？我不認(rèn)為我們永遠(yuǎn)能夠在設(shè)備生命周期的不同階段檢查安全性，無論是在開發(fā)階段，還是在運行階段。這就是數(shù)字化和數(shù)字孿生工作將有所幫助的地方。他們提供了一種在零件的整個生命周期中及早進(jìn)行驗證的方法。

Hardee: 至于用基于PSS的工具進(jìn)行負(fù)面測試，可以幫助你超越狀態(tài)空間的限制，編寫一些有意義的測試程序，這有助于驗證某些安全漏洞在你的系統(tǒng)中不存在并且不能被軟件或非安全進(jìn)程利用。能夠在 PSS 中開發(fā)其中一些測試的關(guān)鍵確實是擴(kuò)展 PSS 以能夠應(yīng)對負(fù)面測試。我們在狀態(tài)空間問題上看到了完全相同的事情，我們看到了很多正式的使用。我們有很多人在實施流程、多個問題和亂序處理，并且很多都涉及極其全面的測試，因此他們不容易受到處理架構(gòu)（如 Spectre）中發(fā)生的已知邊信道攻擊的影響，崩潰，和 PACMAN。正式也可以在子系統(tǒng)級別使用。我們有多個示例，其中 Arm 和 Intel 將與 Jasper 用戶組討論他們?nèi)绾问褂?formal 來驗證加載存儲單元和類似的東西。在系統(tǒng)層面，數(shù)字孿生之類的東西仍然很重要。但是，當(dāng)我們與客戶談?wù)摤F(xiàn)實的期望時，人們會對各種側(cè)信道攻擊感興趣。其中一些可以在架構(gòu)和 RTL 階段進(jìn)行測試和消除，而另一些則不能。其中一些涉及攻擊者如何與你的電源系統(tǒng)交互，或者串?dāng)_如何可能通過電源信號、時鐘信號或任何其他信號泄漏安全數(shù)據(jù)。除非你有系統(tǒng)的精確物理表示，否則幾乎不可能驗證這些。你需要模擬其中一些東西的模型變得非常詳細(xì)，以至于即使是數(shù)字雙胞胎也無法應(yīng)對。需要稍后進(jìn)行的物理攻擊實驗室測試是無可替代的。因此，你需要對 RTL 設(shè)計階段、架構(gòu)階段可以完成的工作以及以后真正需要完成的工作設(shè)定預(yù)期。讓人們了解這些不同類別的側(cè)信道攻擊是成功的關(guān)鍵。

Borza：我們在驗證中所做的很多工作類似于一種 ISO 網(wǎng)絡(luò)堆棧，你必須在與你正在工作的設(shè)計抽象級別相對應(yīng)的每個級別上進(jìn)行驗證。在 RTL，你有一定程度的驗證。布局布線后可以對物理設(shè)計進(jìn)行一些分析和仿真，但這會變得更加復(fù)雜，并且需要更多的計算才能在這些階段進(jìn)行大量驗證。你最終要做的是大量的硅后驗證，以測試你的實際設(shè)計是否達(dá)到了你的目標(biāo)。處理器側(cè)通道就像新型的定時攻擊。它們往往是基于時間的，而不是基于功率或能量的，但也有一些功率側(cè)通道，人們需要關(guān)注。這甚至沒有涉及一些物理攻擊，比如光子發(fā)射。所以你需要關(guān)注很多層次，你越接近物理學(xué)，就會有越來越復(fù)雜的對手。這確實使得在驗證方面做大量工作對于確保你已實現(xiàn)安全目標(biāo)至關(guān)重要。

Karazuba：需要關(guān)注的一個方面是安全的經(jīng)濟(jì)學(xué)。你可以把三十多個工程師放在一個房間里，然后說，盡可能開發(fā)最安全的芯片。添加對側(cè)信道攻擊的抵抗力，建立信任根，盡可能部署最先進(jìn)的加密算法。設(shè)計一個生產(chǎn)系統(tǒng)，我們在工廠中對設(shè)備進(jìn)行驗證，并在整個過程中插入密鑰，以便我們可以在現(xiàn)場的任何地方對其進(jìn)行 ping，并保證它運行正確的固件。你可以做所有這些，但它非常昂貴。這可能不符合你在特定芯片中尋找的成本概況。是否有可能開發(fā)出真正安全的設(shè)備？絕對地。這樣做在經(jīng)濟(jì)上是否可行？這取決于你在何處部署設(shè)備的風(fēng)險狀況以及它將持有什么樣的秘密。你的公司被黑客攻擊的風(fēng)險是什么？貴公司作為泄漏國家機(jī)密或公司機(jī)密的公司被紐約時報頭版點名的公關(guān)風(fēng)險有多大？

SE：我們今天看到的很多設(shè)計都是定制化程度更高，而且生產(chǎn)量更小。我們有新的工藝節(jié)點、混合節(jié)點設(shè)計、小芯片和新的鍵合方法，這些可能并不像每個人希望的那樣完美。其中有多少可以預(yù)先確保？

Borza：每一步都必須進(jìn)行分析，原因很簡單。你越早發(fā)現(xiàn)問題并加以解決，成本就越低，因為你花費更少的時間和精力將其細(xì)化為最終設(shè)計。因此，早期驗證事物的成本與等到以后你可以去尋找它們的成本之間存在平衡。但總的來說，及早解決問題的成本較低。然后，在每個級別，你需要確保如果你修復(fù)了某些東西，你不會在下一個級別重新引入它。這是挑戰(zhàn)之一。你經(jīng)常會破壞一些你認(rèn)為已經(jīng)修復(fù)的東西，而這些更改或決定是在設(shè)計過程的后期做出的——甚至是在晶圓廠的實施過程中做出的。

Kelf：隨著我們設(shè)計更復(fù)雜和更定制化的系統(tǒng)，我們可以在設(shè)計中構(gòu)建更多以關(guān)閉漏洞。當(dāng)我們審視其中一些新應(yīng)用時，汽車是最明顯的應(yīng)用，但也包括醫(yī)療和其他類似應(yīng)用，是否存在與這些應(yīng)用相關(guān)的特定漏洞，對于那些我們可以通過一些巧妙的設(shè)計工作作為目標(biāo)的定制設(shè)備，甚至在我們驗證之前？例如，你想確保某個人的心臟起搏器無法通過某些衛(wèi)星鏈路進(jìn)行控制。我們?nèi)绾卧诩軜?gòu)層面設(shè)計一些東西，以避免在稍后的過程中在電源軌上使用某種奇怪的效果。我們現(xiàn)在看到了更多這樣的東西，而且它對于某些應(yīng)用程序來說真的會變得更加重要。

SE：在某種程度上，這也取決于人們想偷什么，對吧？因此，僅僅能夠接管硬件是一回事。但是數(shù)據(jù)泄漏也很重要，你可以在其中收集少量非常重要的數(shù)據(jù)。

Karazuba：某人可以獲得的價值，無論是數(shù)據(jù)還是對某物的物理訪問，都在很大程度上取決于你將對其應(yīng)用的安全級別。當(dāng)你以起搏器為例談?wù)撋蚪】禃r，顯然這對起搏器的擁有者來說極其重要。從部署的角度來看，世界上一些最好的安全措施是圍繞股票市場以及通過它們進(jìn)行的數(shù)十億或數(shù)萬億美元的交易。智能燈開關(guān)的貨幣價值要低得多，但在壞人手中，它可能會給高層建筑帶來真正的問題。福特申請了一項關(guān)于自動收回汽車的專利。如果我真的想要那輛 Mustang GT，而且我可以破解他們的系統(tǒng)，它可以自動開到我的車庫。

Hallman：目標(biāo)之一是確定這些共同的安全領(lǐng)域，并盡早在這些部分進(jìn)行設(shè)計。即使對于可能并不真正需要所有安全性的物聯(lián)網(wǎng)設(shè)備，這也提高了標(biāo)準(zhǔn)。但是，如果更早地引入這種安全性，那么你就可以通過預(yù)先添加一些常見元素來提高整個行業(yè)的標(biāo)準(zhǔn)。所以這就是設(shè)計的安全性真正有好處的地方。但是我們需要在每個過程中不斷檢查安全性在開發(fā)鏈的任何地方都沒有受到損害。

Borza：回到那個物聯(lián)網(wǎng)電燈開關(guān)的例子，如果你可以使用那個物聯(lián)網(wǎng)平臺作為進(jìn)入房屋的立足點，你可以獲得比燈泡更多的價值。所以交換機(jī)制造商認(rèn)為它在這方面沒有太大的作用，因為它在交換機(jī)上沒有賺到多少錢。它并沒有保護(hù)很多利益。但問題是你屋子里的東西。所以現(xiàn)在我們正在討論針對該問題的更多架構(gòu)解決方案，例如將 IoT 網(wǎng)絡(luò)放入一個單獨的網(wǎng)絡(luò)中，該網(wǎng)絡(luò)在物理上或邏輯上隔離并受防火墻保護(hù)。你開始看到這個概念的出現(xiàn)，物聯(lián)網(wǎng)在一個地方，并且將它作為立足點進(jìn)入房屋要困難得多。

Hardee：物聯(lián)網(wǎng)/邊緣設(shè)備是一個值得關(guān)注的大領(lǐng)域。我們銷售的客戶越來越注重安全。我們還看到大量貿(mào)易公司正在創(chuàng)建自己的 AI/ML 芯片，并且能夠在交易速度上獲得微秒或納秒級的延遲改進(jìn)對于這些應(yīng)用程序來說正變得非常重要。安全與此齊頭并進(jìn)，因為處理大量交易的速度對這些公司來說是成敗攸關(guān)的。安全顯然也是其中的一個重要因素。但是回到最初關(guān)于多芯片模塊和其他各種東西的可擴(kuò)展性大幅增加的問題，你無法測試很多物理側(cè)信道效應(yīng)。你必須去后硅。在構(gòu)建安全電力網(wǎng)絡(luò)方面仍然有非常好的設(shè)計實踐，一種與這些新的大型設(shè)備的協(xié)議進(jìn)行通信的安全方式。當(dāng)然，測試和調(diào)試會引入完全不同類別的安全漏洞。我們有人在處理這些問題的各個方面，但你必須在整個過程中的每一步都進(jìn)行測試和驗證。沒有單一的答案。

編輯：黃飛