網(wǎng)絡(luò)世界是攻擊者的下一個主戰(zhàn)場。目前，攻擊者正忙于尋找破壞關(guān)鍵基礎(chǔ)設(shè)施的方法。據(jù)IAR 系統(tǒng)嵌入式安全解決方案的負(fù)責(zé)人Haydn Povey透露：“有26％的美國電網(wǎng)都被發(fā)現(xiàn)裝有特洛伊木馬，而網(wǎng)絡(luò)戰(zhàn)中，電網(wǎng)往往是最先受到攻擊的部分?！钡牵⒎撬泄舳蓟谲浖?，有些是物理攻擊，特別是物聯(lián)網(wǎng)（IoT）的出現(xiàn)，涌現(xiàn)了一批進入敏感網(wǎng)絡(luò)的新方法。“物聯(lián)網(wǎng)市場本身不涉及篡改，但是由于很多新出現(xiàn)的IoT設(shè)備，尤其是對于工業(yè)IoT設(shè)備而言，物理攻擊呈上升趨勢。為了解決這個問題，防篡改功能出現(xiàn)在各種各樣的芯片上?！?芯科實驗室（Silicon Labs）的 IoT安全高級產(chǎn)品經(jīng)理Mike Dow說。

攻擊者的目的，竊取機密或破壞系統(tǒng)

被連接設(shè)備的安全性涉及到用于加密消息并確保通訊中的各方身份的真實性的加密功能。此類功能需要加密的密鑰、證書和其他偽跡，以確保機密的有效性。其中一些攻擊者越來越多地轉(zhuǎn)向物理攻擊，試圖檢索這些機密并破壞其安全性。防篡改就是為了保護這些機密。

但是有些時候，攻擊者的目標(biāo)不是竊取機密，而是禁用或破壞系統(tǒng)。Tortuga Logic的高級硬件安全工程師Alric Althoff 舉了一個例子，“根據(jù)FIPS （聯(lián)邦信息處理標(biāo)準(zhǔn)），隨機數(shù)生成器（RNG）需要一個內(nèi)置的健康測試，我們可以使用（電磁場）翻轉(zhuǎn)盡可能多的位，RNG健康測試便會失敗，數(shù)次失敗之后，設(shè)備將自行禁用?！?/p>

由于失去了熵，已禁用的設(shè)備不再被允許執(zhí)行加密功能，它所支持的系統(tǒng)便不再正常運行。Althoff表示：“這將促使RNG致力于增強安全性，并使其成為攻擊載體?！?/p>

物理攻擊要求攻擊者擁有對被攻擊單位實質(zhì)上的占有。如果攻擊成功，則攻擊者將獲得對該單元的訪問權(quán)限。因此，每個單元都有其自己的唯一密鑰非常重要，因為破解一個設(shè)備不會透露其他設(shè)備的秘密。

但是，訪問一臺設(shè)備并非一沒有意義，通常受攻擊的設(shè)備并不含有有價值的東西，該部分只是攻擊者進入網(wǎng)絡(luò)以訪問其他地方更有價值的資產(chǎn)的一種方式。

篡改通常有一個目標(biāo)，即以任何可能的方式提取加密密鑰。最顯而易見的方法是打開芯片搜尋存儲密鑰的依據(jù)。這可能來自存儲器中的視覺線索，通過檢測電路關(guān)鍵點處的電壓或通過物理方式更改有源電路（即使只是暫時的）也可以。

一種常見的工具是聚焦離子束工具或FIB。與舊的一層一層剝離整個芯片的方法相比，它可以進行更精確的感測和鉆井。通過謹(jǐn)慎地在未封裝的芯片上進行操作，保持電源接通以便探測關(guān)鍵金屬線。根據(jù)所使用的存儲器類型，攻擊者可能會嘗試通過視覺上或電子方式檢查存儲值。

最近特別注意激光的使用。通過將激光聚焦在擴散區(qū)域上，光電效應(yīng)可以使關(guān)聯(lián)的節(jié)點改變狀態(tài)。如果是節(jié)點是組合的，則之后可能會有一個短暫的“小故障”，但只要正確計時，即可在之后的觸發(fā)器中被捕獲。此類事件稱為“單事件瞬態(tài)（SET）”。

也有可能直接攻擊觸發(fā)器，從而導(dǎo)致觸發(fā)器處于翻轉(zhuǎn)狀態(tài)。這被稱為“單事件失?。⊿EU）”。一旦能更改節(jié)點或觸發(fā)器的值，就可以進一步探查電路的其余部分，以查看其響應(yīng)方式。

某些非侵入式攻擊者不會直接進入電路。相反，他們依賴于電路運行時泄漏的信息。這些“ 旁道攻擊 ”涉及對電源線或電磁輻射的分析，以得到有關(guān)內(nèi)部發(fā)生情況的線索。聽起來似乎不太可能做到，但通過在涉及密鑰的計算發(fā)生時觀察這些偽跡以導(dǎo)出密鑰卻是可能的。

最后一類的篡改方式取決于找到一些異常行為，可以利用這些異常行為來泄露機密。這樣的方式被稱為“故障注入”或“故障感應(yīng)”攻擊，奇數(shù)電壓或邏輯故障意外地導(dǎo)致了機密的丟失。西門子業(yè)務(wù)部Mentor安全設(shè)計主任Michael Chen說，這類方式不僅使用了隨機的“模糊測試”，還使用了“特定的模式、’故障、快速/慢速、過壓和欠壓以及速度” 。芯片設(shè)計人員很難預(yù)料到這種攻擊?！?這些漏洞更難解決，因為它們要么是故意設(shè)計的或計劃之外的問題，要么是從未見過的真正的攻擊。” 他補充到。

強大的RF信號也可能導(dǎo)致意外行為。根據(jù)芯片工具用戶手冊，不斷變化的磁場會在被測設(shè)備中產(chǎn)生感應(yīng)電流，從而導(dǎo)致內(nèi)部信號上的電壓電平發(fā)生變化。這些變化的電壓電平可能導(dǎo)致錯誤的讀?。ɑ?qū)懭耄?，從而影響鎖存器，寄存器等的結(jié)果。損壞內(nèi)存，重置鎖定位，跳過指令以及將故障插入加密操作都屬于是電磁故障注入（EMFI）。

旁道攻擊類型很多。Chen說：“并非所有的旁道都是功率/電磁的，它們可能是定時或總線監(jiān)控，寄存器，緩存或存儲器攻擊?？隙ㄟ€有數(shù)百萬種我們尚未想到的方式。”

外殼保護與芯片保護

應(yīng)對這些攻擊對于物聯(lián)網(wǎng)（IoT）設(shè)備來說是陌生的領(lǐng)域，但對于銷售終端（PoS）系統(tǒng)中的芯片而言，卻有很好的基礎(chǔ)。這些單元用于支付卡行業(yè)（PCI），具有安全元件（SE），這些安全元件已通過法規(guī)和大部分金融機構(gòu)的期望被嚴(yán)格鎖定。

這些規(guī)則要求外殼是防篡改的，任何包含信用卡數(shù)據(jù)的內(nèi)部芯片也都應(yīng)具有防篡改功能，并且也必須屏蔽將信用卡閱讀器連接到PoS系統(tǒng)的所有電纜。這些技術(shù)現(xiàn)在正在逐漸應(yīng)用到更多普通芯片上，并且它們也正處于系統(tǒng)級應(yīng)用。芯科實驗室（Silicon Labs）的陶氏化學(xué)公司說：“如果無法發(fā)現(xiàn)未發(fā)現(xiàn)的情況，那么很難解決其他問題?！?/p>

在系統(tǒng)案例方面，電表和水表等計量公司多年來一直在實施防篡改措施，以防人們通過人為回退電表來減少實際費用。“計量行業(yè)已經(jīng)習(xí)慣防篡改。醫(yī)學(xué)界也開始對此進行研究，”陶氏說。在那些行業(yè)之外（包括PCI），找到工程級別的保護并不常見?？梢酝ㄟ^將幾個開關(guān)安裝在適當(dāng)?shù)奈恢脕碓黾舆@些功能，打開工程會改變開關(guān)的狀態(tài)。以此警告系統(tǒng)采取對策。

即使斷開系統(tǒng)未被接通，這一安全措施也需要電源。紐扣電池通常用在此處，PCI法規(guī)則規(guī)定紐扣電池必須持續(xù)使用兩年，并且必須有足夠的電量來一次性應(yīng)對篡改企圖。

如果在外殼級別檢測到篡改，則外殼內(nèi)部的系統(tǒng)則必須采取防御措施，具體細(xì)節(jié)由設(shè)計師決定。但通常，防篡改信號必須盡可能地通過通用I / O提供給CPU。“這里有有幾種架構(gòu)，” 芯科實驗室（Silicon Labs）物聯(lián)網(wǎng)產(chǎn)品高級應(yīng)用經(jīng)理Brent Wilson指出，“對于一個CPU，可以檢測到漏洞并通過軟件進行響應(yīng)。對于兩個CPU，其中一個是安全的，我們有一個這一事件的輸入引腳，而不安全的CPU可以向片上SE發(fā)送信號。”

一旦進入外殼，帶有敏感內(nèi)容的單個芯片必須規(guī)避篡改嘗試。一些對策是物理上的，而其他對策則涉及有源傳感器。即使提供篡改證據(jù)也可能會有所幫助?！按鄹募夹g(shù)經(jīng)常被用來保護包裝、標(biāo)簽、密封、標(biāo)記和物理安全。”Chen說， “從水印、熱敏感或紫外線敏感的材料以及粉碎/玻璃材料中提取的所有東西都會在任何物理篡改嘗試中留下可見的痕跡。”

盡管硬件信任根（HRoT）通常主要在啟動時運行，以確保系統(tǒng)干凈，但它們在完成該任務(wù)后即關(guān)閉。美信整合產(chǎn)品公司（Maxim Integrated）的嵌入式安全負(fù)責(zé)人Scott Jones說：“完成所需的工作大約需要100毫秒?！?盡管啟動防范攻擊可能需要設(shè)計工作以及代碼或電路，但是對于電池供電的設(shè)備而言，則不太可能有更多的關(guān)注。瓊斯說：“加密操作不是經(jīng)常性進行的，因此不存在實際功耗預(yù)算問題?！?相比之下，篡改檢測傳感器必須始終打開，以便它們可以隨時檢測到漏洞。

保護敏感信號的一種技術(shù)是將這些敏感信號掩埋在其他金屬層下面。一些芯片會使用不帶有功能信號的金屬來屏蔽電路。如今，這種金屬很活躍以便于可以檢測信號是否被去除了。金屬上的DC信號很常見，而最先進的技術(shù)可能會改用AC信號。

一些設(shè)計人員可能有意在敏感電路上方運行其他功能線，甚至是門電路。另一些設(shè)計人員則可能用專用生產(chǎn)線或策略性放置的假金屬填充物。所有的情況里，電路上方的金屬網(wǎng)既有助于屏蔽電路防止探頭進入，也可以防止電磁輻射逸出。

如果使用存儲器來存儲密鑰，則該存儲器一定不能從視覺上檢查其內(nèi)容，且可以以電子方式檢測單元格內(nèi)容阻止嘗試性篡改?？梢詫Υ鎯Φ拿荑€進行加密，但是隨后需要一個密鑰來解密。這可能是物理上不可復(fù)制的功能（PUF），用以創(chuàng)建啟用所有其他安全功能的“根”密鑰的區(qū)域。

光子傳感器也變得越來越普遍，主要是為了用激光檢測出電路中的任何篡改嘗試。

許多對策可以阻止旁通道攻擊。這些對策可能有助于阻止竊取秘密以及芯片的反向工程。Rambus公司防偽產(chǎn)品技術(shù)總監(jiān)Scott Best說：“目標(biāo)是向產(chǎn)品中插入至少一種反擊者所不能克服的對策?！?方法包括：

在短時間內(nèi)運行關(guān)鍵代碼，然后斷電，最大程度地減少在代碼運行時分析芯片行為的機會。

運行“反向”指令-這些指令的作用將抵消有意指令的影響。

添加虛擬指令以使內(nèi)部簽名混亂。

故意添加噪聲以混淆電磁信號。

打開真正的隨機數(shù)生成器（TRNG）。

監(jiān)控所有內(nèi)容，包括配電網(wǎng)絡(luò)、臨界電壓和電流、時鐘、信號時序、內(nèi)存訪問速度、輻射和熱量。

使用雙軌轉(zhuǎn)換邏輯（DTL）。這涉及通常在單條線上運行的信號，該信號被分成兩行，不是每條線都指示要傳輸?shù)撵o態(tài)值，而是一條線（沿任一方向）上的過渡指示為1，而另一條線上的過渡則指示為0。這確保了過渡的平衡，從而避免了表明使用哪個值的問題。此技術(shù)有多種變體。

如何應(yīng)對篡改？

下一個問題是，一旦檢測到篡改，該怎么辦？可以提供多種響應(yīng)，并且每個級別的升級時間點都將因設(shè)計人員和應(yīng)用程序而異。完全沒有響應(yīng)是一種可采取的措施。下一個級別可能是通知應(yīng)用程序以便采取措施。如果被破壞的嚴(yán)重程度足夠高，則最核心的決定就是“破壞”系統(tǒng)：使其永久無法運行。

可以通過擦除密鑰或密鑰的一部分來對系統(tǒng)進行堆砌。它可能涉及銷毀用于重新創(chuàng)建PUF輸出的數(shù)據(jù)。在上述任何一種情況下，都將取消預(yù)先設(shè)置的密鑰或“本機”（PUF）密鑰——這是不可逆的步驟。從理論上講，可以重新配置（或重新注冊）設(shè)備——不涉及物理破壞，但這些補救措施意味著將設(shè)備重新投入制造流程，因此對于攻擊者而言，損害是永久的。

所有這些，最大風(fēng)險在于創(chuàng)建的響應(yīng)過于敏感，從而導(dǎo)致意外阻塞。陶氏說：“工程檢測的唯一缺點是它們可能很敏感，因此很難在制造中進行處理?！?導(dǎo)致阻塞的事件需要仔細(xì)過濾，因為這一步是不可逆的。極端環(huán)境（例如非常冷的溫度）或諸如設(shè)備掉落之類的事件均不得觸發(fā)篡改警報，這使達到平衡以檢測真正的篡改同時又不將其他事件誤解為篡改成為一項挑戰(zhàn)。

對于具有內(nèi)置防篡改電路的設(shè)備，可以配置篡改響應(yīng)。如果該配置存儲在某種可重新編程寄存器中，則攻擊者可能會在進行攻擊之前嘗試更改該設(shè)置。芯科實驗室（Silicon Labs）的Wilson表示，芯科實驗室的配置將其配置存儲在一次性可編程（OTP）寄存器中，因此，一旦配置完成，它便是永久不能更改。

除了要基于先前的故障獲得最佳實踐之外，故障注入攻擊比設(shè)計抵抗更難。但是，可以使用故障注入工具進行一定量的硅前驗證。Synopsys驗證部門的研發(fā)總監(jiān)Zongyao Wen說：“故障注入工具可以生成單個或多個故障，包括靜態(tài)或瞬態(tài)故障、全局或局部故障。”

了解敏感性很重要?！懊舾行苑治隹梢栽谠O(shè)計過程中進行，但是由于在實施和制造過程中可能會出錯，因此必須在成品零件上進行測試并以此作為最終結(jié)果?！?Cadence航空航天和國防解決方案主管Steve Carlson表示，“但在設(shè)計過程中發(fā)現(xiàn)問題比在制造完成后再發(fā)現(xiàn)要好?！?/p>

Chen同意這一觀點，“如果確定了特定的攻擊面，且高安全性資產(chǎn)需要被保護，則模擬攻擊非常有可能，安全識別需求的滿足只是成功的一半?！?也就是說，開發(fā)安全威脅模型是任何驗證或測試的重要前奏，但它太容易就陷入一些精細(xì)的設(shè)想中。

Tortuga Logic的Althoff說：“現(xiàn)實攻擊可能非常簡單，而理論攻擊卻非常精巧和新穎，我們正在尋找它們之間的差異?！?/p>

IAR Systems的Povey同意這一說法，他說：“挑戰(zhàn)不是過度設(shè)計這些東西，安全才是大家的共識。”

Althoff表示，該模型還應(yīng)該與安全模型融合在一起，因為某些篡改事件可能是意外的，非有意而為之?！盀榱税踩?，我們一直專注于故意性。在現(xiàn)實生活中，人們往往弄錯?！彼f。

由于仿真不能保證防篡改，因此必須在出廠之前進行測試。這在過去意味著要雇用有經(jīng)驗的人嘗試闖入芯片——這仍然是一種選擇。但是，也有一些工具能幫助芯片完成檢測任務(wù)并發(fā)現(xiàn)缺陷。一種稱之為ChipWhisperer的開放源代碼工具可以用很小的代價執(zhí)行許多此類旁通道攻擊，它不使用強RF信號的攻擊，還有一種價格更高的ChipSHOUTER盒可以處理這種類型的攻擊。

也可以從封測和芯片公司購買更復(fù)雜的商業(yè)級工具?！斑€有其他工具，但它們是商業(yè)級的?！盧ambus的Best說： “例如，Rambus差分功率分析工作站（DPAWS）是一款白帽黑客產(chǎn)品，用于測試電源信息泄漏的魯棒性。ChipWhisperer更像是業(yè)余愛好者級別的產(chǎn)品，用于對設(shè)備進行二元測試，確認(rèn)設(shè)備的好壞及牢固性。”

DPAWS比ChipWhisperer的功能更多，但使用起來也更困難。Best說：“總是可以通過電子方式分析芯片并交付機密。但是，使用‘全侵入式’失敗分析工具（FA）攻擊芯片很昂貴，并且需要掌握復(fù)雜的商用設(shè)備，對使用者的技能要求也很高?！?/p>

從所有這一切看來，沒有一種特別好的方法可以使芯片防篡改。像許多安全問題一樣，必須根據(jù)預(yù)期的攻擊模型在早期設(shè)計階段做出決策。必須權(quán)衡成本力量與成功攻擊的后果，并列出潛在的保護措施，保證其中一些或所有措施可以在給定的設(shè)計中實現(xiàn)。

如果要尋找安全的芯片，也沒有適用于所有設(shè)備的簡單清單。成本是一個考慮因素，更多的保護需要更多的錢。Maxim Integrated的Jones表示：“安全的程度取決于客戶愿意支付的價格。對于（成本低于）20美分的芯片來說，安全是不可能實現(xiàn)的?；?0美分，一個芯片能滿足一些安全要求；支付5美元，一個芯片就可以達到一流的水平。”

特定技術(shù)也將根據(jù)系統(tǒng)的類型和范圍而有所不同。“ 篡改嵌入式微控制器……通過ROM中的固件用于單個脫機功能，與在云端緩存的服務(wù)器多核CPU完全不同。即使使用相同的Intel / AMD處理器，無論是在一個消費者的PC，還是在農(nóng)場服務(wù)器或軍事應(yīng)用中，需要保護的機密/高價值資產(chǎn)也大不相同?！?Chen說。

關(guān)于芯片的保護沒有行業(yè)標(biāo)準(zhǔn)，甚至很難在網(wǎng)上找到有關(guān)大型保護措施的討論。實際上，這項業(yè)務(wù)會有些荒謬。任何公司都不想單純吹噓自己的強大保護能力，因為這只會吸引更多的攻擊者。

“在許多設(shè)備中，防范措施的使用或?qū)嵤┓绞蕉际请[藏的，” Chen說?！盃I銷或記錄所使用的技術(shù)可能會給對手太多的信息?！?/p>

責(zé)任編輯：gt