越來(lái)越多的集成電路供應(yīng)商開(kāi)始探索一種設(shè)備級(jí)的技術(shù)方法來(lái)保護(hù)數(shù)據(jù)，稱(chēng)為物理不可克隆功能（PUF）。雖然硅的生產(chǎn)過(guò)程是精確的，但這項(xiàng)技術(shù)利用了這樣一個(gè)事實(shí)，即每個(gè)生產(chǎn)的電路仍然存在微小的變化。PUF使用這些微小的差異來(lái)生成一個(gè)獨(dú)特的數(shù)字值，可以用作密鑰，密鑰對(duì)數(shù)字安全至關(guān)重要。

安全性正日益成為聯(lián)網(wǎng)設(shè)備或物聯(lián)網(wǎng)（IoT）設(shè)備開(kāi)發(fā)人員最關(guān)心的問(wèn)題之一，尤其是他們面臨著來(lái)自黑客攻擊、信息泄露和安全漏洞的巨大風(fēng)險(xiǎn)。

在物聯(lián)網(wǎng)設(shè)備中增加安全性的挑戰(zhàn)之一是如何在不增加硅或成本的情況下做到這一點(diǎn)，因?yàn)樵谠O(shè)備上保持最低功耗和優(yōu)化處理資源方面存在資源限制。

通過(guò)有效地實(shí)現(xiàn)PUF，可以克服傳統(tǒng)密鑰存儲(chǔ)的局限性：PUF電路沒(méi)有電池或其他永久性電源。嘗試物理探測(cè)密鑰將徹底改變PUF電路的特性，從而產(chǎn)生不同的數(shù)字。PUF密鑰只能在加密操作需要時(shí)生成，并且可以在以后立即擦除。

PUF技術(shù)在物料清單（BOM）方面具有防篡改SRAM的強(qiáng)大安全性。雖然單靠PUF技術(shù)還不足以確保密鑰安全，但它無(wú)疑將嵌入式設(shè)備的漏洞降至最低。

最近，我們看到Maxim Integrated和Silicon Labs針對(duì)使用PUF技術(shù)的安全設(shè)備發(fā)布了產(chǎn)品公告。Silicon Labs在其wireless Gecko Series 2平臺(tái)中將安全軟件功能與PUF硬件技術(shù)相結(jié)合，為物聯(lián)網(wǎng)設(shè)備的無(wú)線(xiàn)片上系統(tǒng)（SOC）增加了新的基于硬件的安全性。Maxim Integrated推出了MAX32520芯片dna安全臂Cortex-M4微控制器，該微控制器同樣采用了PUF來(lái)實(shí)現(xiàn)多個(gè)級(jí)別的保護(hù)；其芯片dna生成的密鑰可直接用于多種功能，如對(duì)稱(chēng)秘密，對(duì)存儲(chǔ)在安全I(xiàn)C非易失性存儲(chǔ)器中的數(shù)據(jù)進(jìn)行加密/解密。

Maxim的一位發(fā)言人說(shuō)，“MAX32520可以用于任何應(yīng)用——盡管我們?cè)趀mbedded world的公告中特別指出了物聯(lián)網(wǎng)應(yīng)用，但I(xiàn)C并不局限于物聯(lián)網(wǎng)應(yīng)用。”該設(shè)備涉及多個(gè)應(yīng)用，包括工業(yè)、醫(yī)療、計(jì)算和物聯(lián)網(wǎng)。

MAX32520可以實(shí)現(xiàn)安全引導(dǎo)任何處理器基于其串行閃存仿真功能，并提供兩個(gè)額外的物理層：芯片屏蔽和物理篡改檢測(cè)。芯片提供內(nèi)部閃存加密選項(xiàng)，用于數(shù)據(jù)保護(hù)。加密的強(qiáng)大功能增加了設(shè)備的信任度-它支持強(qiáng)大的SHA512，ECDSA P521和rsa4096。MAX32520利用芯片DNA輸出作為關(guān)鍵內(nèi)容，以加密方式保護(hù)所有設(shè)備存儲(chǔ)的數(shù)據(jù)，包括用戶(hù)固件。用戶(hù)固件加密提供最終的軟件IP保護(hù)。

ChipDNA還可以為ECDSA簽名操作生成私鑰。MAX32520提供符合FIPS/NIST標(biāo)準(zhǔn)的TRNG、環(huán)境和篡改檢測(cè)電路，以促進(jìn)系統(tǒng)級(jí)安全。任何試圖探測(cè)或觀察芯片DNA的嘗試都會(huì)改變底層電路的特性，阻止發(fā)現(xiàn)芯片密碼功能所使用的唯一值。同樣地，由于芯片DNA電路需要進(jìn)行工廠調(diào)節(jié)，更詳盡的逆向工程嘗試也被取消。

與此同時(shí)，Silicon Labs物聯(lián)網(wǎng)安全高級(jí)產(chǎn)品經(jīng)理Mike Dow向《電子時(shí)報(bào)》解釋了他們是如何將PUF技術(shù)用于物聯(lián)網(wǎng)設(shè)備的無(wú)線(xiàn)SOC中的。“對(duì)于Silicon Labs的安全保險(xiǎn)庫(kù)和安全元件技術(shù)中嵌入的物理不可克隆功能（PUF），我們使用了SRAM PUF，這意味著它利用了SRAM位塊的固有隨機(jī)性，當(dāng)它們通電時(shí)，可以得到一個(gè)設(shè)備特有的單對(duì)稱(chēng)密鑰。我們實(shí)施了SRAM PUF技術(shù)，該技術(shù)在市場(chǎng)上具有最長(zhǎng)的可靠性記錄。由于我們客戶(hù)在現(xiàn)場(chǎng)部署的設(shè)備通?？蛇\(yùn)行10多年，因此我們需要具有長(zhǎng)期可靠性的PUF技術(shù)?！?/p>

他說(shuō)，在Silicon Labs的實(shí)現(xiàn)中，它限制了PUF創(chuàng)建密鑰加密密鑰（KEK）的使用，KEK用于在系統(tǒng)中包裝（加密）其他密鑰，并將其存儲(chǔ)在內(nèi)部或外部?jī)?nèi)存中?！耙?yàn)檫@個(gè)KEK只用于訪(fǎng)問(wèn)包裝好的密鑰，所以它的使用時(shí)間是有限的，這反過(guò)來(lái)又限制了它暴露于多種類(lèi)型的攻擊。此外，重建KEK的過(guò)程僅在上電復(fù)位（POR）事件時(shí)發(fā)生，這進(jìn)一步限制了對(duì)生成密鑰過(guò)程的訪(fǎng)問(wèn)?！?/p>

在硅實(shí)驗(yàn)室設(shè)計(jì)中，除了密鑰加密密鑰之外，其他密鑰生成都由符合NIST標(biāo)準(zhǔn)的真隨機(jī)發(fā)生器（TRNG）執(zhí)行。

“在本設(shè)計(jì)中，除了KEK之外的其他密鑰生成都由NIST兼容的真隨機(jī)發(fā)生器（TRNG）執(zhí)行，然后用AES加密包好密鑰。TRNG和AES技術(shù)在安全行業(yè)中都是常見(jiàn)的、被充分理解、測(cè)試和驗(yàn)證的。我們還使用256位密鑰來(lái)增強(qiáng)AES加密的強(qiáng)度。然后在AES算法上應(yīng)用差分功率分析（DPA）側(cè)信道保護(hù)，進(jìn)一步增強(qiáng)了它對(duì)攻擊的抵抗能力。設(shè)備的所有關(guān)鍵材料都以這種方式包裝，包括生成并存儲(chǔ)在一次可編程（OTP）存儲(chǔ)器中的ECC專(zhuān)用/公共標(biāo)識(shí)密鑰對(duì)。

在實(shí)現(xiàn)復(fù)雜的云安全方案時(shí)，能夠?qū)⒚荑€安全存儲(chǔ)在幾乎無(wú)限的內(nèi)部或外部?jī)?nèi)存中是一個(gè)主要優(yōu)勢(shì)，這些方案需要多對(duì)非對(duì)稱(chēng)密鑰。另一種方法是將密鑰存儲(chǔ)在純文本中，但這種方法需要非常安全的內(nèi)存，這些內(nèi)存既復(fù)雜又昂貴，因此需要保護(hù)。道氏評(píng)論說(shuō)，“在設(shè)計(jì)芯片時(shí)，你必須選擇一個(gè)最佳大小的安全內(nèi)存。然而，無(wú)論你選擇什么尺寸，它幾乎可以保證在產(chǎn)品的使用壽命內(nèi)是不夠的。”

PUF創(chuàng)建一個(gè)秘密、隨機(jī)和唯一的密鑰；PUF密鑰加密安全密鑰存儲(chǔ)中的所有密鑰，這些密鑰是在啟動(dòng)時(shí)生成的，而不是存儲(chǔ)在閃存中。

他說(shuō)，其安全保險(xiǎn)庫(kù)密鑰管理方案的另一個(gè)優(yōu)點(diǎn)是，通過(guò)使用AES加密，您還可以需要一個(gè)初始向量來(lái)為算法提供數(shù)據(jù)?！斑@個(gè)初始向量就像有一個(gè)額外的128位密碼來(lái)執(zhí)行任何使用該密鑰的安全操作。然后，該密碼可由人類(lèi)或運(yùn)行在我們芯片上的其他應(yīng)用程序使用，以提供雙重身份驗(yàn)證以使用密鑰?！?/p>

“作為一個(gè)附加的保護(hù)層，我們?cè)谖覀兊陌踩ｋU(xiǎn)庫(kù)技術(shù)中包含了一個(gè)復(fù)雜的篡改保護(hù)方案，如果檢測(cè)到篡改，可以銷(xiāo)毀PUF重建數(shù)據(jù)。一旦重建數(shù)據(jù)被破壞，存儲(chǔ)的密鑰材料就再也不能被訪(fǎng)問(wèn)了。這有效地“阻止”了設(shè)備，因?yàn)楝F(xiàn)在無(wú)法執(zhí)行加密算法，甚至阻止了安全啟動(dòng)?！?/p>

Silicon Labs選擇了市場(chǎng)上最可靠的PUF技術(shù)，并將其功能局限于僅提供一個(gè)KEK來(lái)壓縮或解壓關(guān)鍵材料。通過(guò)要求另一個(gè)雙因素身份驗(yàn)證密碼，可以進(jìn)一步保護(hù)該密鑰。 “此外，我們提供多個(gè)篡改保護(hù)源，可以銷(xiāo)毀PUF密鑰，使其無(wú)法解密受其保護(hù)的所有其他密鑰。即使黑客投入相當(dāng)多的時(shí)間和資源來(lái)重新設(shè)計(jì)設(shè)備并恢復(fù)KEK，他們也只破壞了一個(gè)設(shè)備?！?br /> 責(zé)任編輯：tzh