什么时候网络安全还不够

网络安全问题何时成为物理安全问题？或者换句话说，半导体何时必须具有内置的篡改检测器？

对于为美国武装部队或任何武装部队制造下一代武器系统的公司来说，答案是显而易见的。他们必须假设设备将被留下并随后被篡改。带有内置篡改检测器的半导体为工程师提供了满足国防部要求所需的工具，并被广泛用于实现外国军事销售。

但是，更广泛的非国防市场呢？有些人认为网络安全是他们所需要的。毕竟，他们通过栅栏，大门，警卫，摄像头，防火墙拥有“物理”安全性，并利用自己的员工来构建和/或制造他们的系统。这可能就足够了。但人们必须问自己，在什么条件下，任何人（可能是雇员）都可以使用一台设备，他们可以对它做些什么来利用设备的功能或提取秘密？

这不可避免地导致公司回答“我的供应链是否得到安全管理？设备或货物是否会“丢失”？设备如何退役？谁为设备提供服务以及如何升级？“谁可以在设备的使用寿命期间访问该设备，以及他们可以用它做什么”这一问题的答案将有助于推动组织的决策过程。

以下是需要考虑的关键安全主题：

制造 - 构建 PCB 板、组装和测试。

在任何非易失性设备的编程过程中，公司是否使用散列和签名图像？是否有可审核的日志，其中包含已预配的内容、已预配的板数以及未通过传出测试的板数？这些日志是否经过哈希和签名？

调试端口是否已禁用？

运送给客户

组织是否可以考虑发货的单位与客户收到的单位？大多数客户会马上说“嘿，是个子！但是，如果客户出于任何原因错过了一个怎么办？该公司将不得不假设它在野外有一台设备。

公司及其客户能否验证所运设备的完整性？他们能否验证它是否在运输过程中未被篡改？

已部署的设备

设备上是否有防篡改密封？

是否只允许授权技术人员维修设备？

是否允许远程更新？

如果是这样，是否验证图像是否完整和真实？

是否有防止回滚的机制？

当设备退役时，它是否归零？无法操作？摧毁？

如果上述任何一项的答案都是“否”，那么组织应该强烈考虑内置防篡改对策的半导体，以便他们可以根据设备在其生命周期中可能出现的风险情况来定制其篡改响应。例如，FPGA 产品应具有多个防篡改功能，可用于自定义威胁响应（图 1）。示例包括：

足够数量的数字篡改标志。

多个模拟窗口式电压检测器为每个关键电源（Vdd、Vdd18、Vdda25）提供高跳变和低跳变点。

数字窗口温度为您提供高低芯片温度。

来自内置温度检测器的原始电压和温度值。

系统控制器慢速时钟指示系统控制器掉电情况。

指示器件复位源的数字总线（至少 5 位）（DEVRST 引脚、篡改宏输入、系统控制器看门狗、安全锁篡改检测器已触发、任何其他复位）。

图 1：微芯片极火 FPGA 和极火 SoC FPGA 器件的设计和数据安全属性。

篡改检测和响应

在实例化 FPGA 设计的篡改宏时，应该可以使用多种类型的篡改标志。每个都有自己的目的

响应与检测同样重要。一旦公司决定在单个事件，一系列事件或其中的任何组合中由于未经授权的篡改而采取行动，则应根据事件随时间推移而调整响应。或者组织可以放下锤子并用砖块砸零件。示例包括：

IO 禁用

禁用所有用户 IO。IO 将重置为其 SEU 免疫配置位定义的状态。专用（JTAG、SPI、XCVR 等）或未按配置位配置的 IO 将被排除在外。只要断言IO_DISABLE，IO 就会被禁用

安全锁定

所有用户锁定都设置为其锁定状态。

重置

向系统控制器发送复位信号以启动掉电和上电周期

归零

清除并验证任何或所有配置存储元素。清除并验证内部易失性存储器，如 LSRAM、uSRAM 和系统控制器 RAM。归零完成后，可以使用JTAG/SPI从指令检索归零证书，以确认归零过程是否成功。启用系统控制器挂起模式时，此篡改响应不可用。用户可以选择归零到2种不同的状态：

与新设备一样，设备将恢复到发货前的状态。

不可恢复。即使是公司也无法访问设备的内部结构。

归零完成后，可以通过专用的JTAG/SPI端口导出归零证书，从而向外部实体保证器件确实归零。

在当今竞争激烈的环境中，网络安全是不够的。公司制造的设备将落入竞争对手和不良行为者的手中。半导体产品必须具有各种内置的防篡改功能，组织可以使用这些功能来自定义对这些威胁的响应。

审核编辑：郭婷