網(wǎng)絡(luò)安全問題何時會變成物理安全問題？或者換一種說法，半導(dǎo)體什么時候必須內(nèi)置篡改檢測器？

對于為美國武裝部隊或任何武裝部隊建造下一代武器系統(tǒng)的公司來說，答案是明確的。他們必須假設(shè)設(shè)備將被留下并隨后被篡改。內(nèi)置篡改檢測器的半導(dǎo)體為工程師提供了滿足國防部要求所需的工具，并廣泛用于實現(xiàn)外國軍事銷售。

但是更廣泛的非國防市場呢？有些人認(rèn)為網(wǎng)絡(luò)安全就是他們所需要的。畢竟，他們通過圍欄、大門、警衛(wèi)、攝像頭、防火墻獲得“物理”安全，并利用自己的員工來構(gòu)建和/或制造他們的系統(tǒng)。這可能就足夠了。但人們必須問自己，在什么條件下，任何人（可能是雇員）都可以訪問一臺設(shè)備，他們可以對它做什么來利用設(shè)備的功能或提取秘密？

這不可避免地導(dǎo)致公司回答“我的供應(yīng)鏈?zhǔn)欠竦玫桨踩芾恚吭O(shè)備或貨物是否會“丟失”？設(shè)備如何退役？誰為設(shè)備提供服務(wù)以及如何升級？“在設(shè)備的使用壽命內(nèi)，誰可以訪問該設(shè)備，他們可以用它做什么？”這個問題的答案將有助于推動組織的決策過程。

以下是需要考慮的關(guān)鍵安全主題：

制造 - 構(gòu)建 PCB 板， 組裝， 和測試.

在任何非易失性設(shè)備的編程過程中，公司是否使用散列和簽名圖像？是否有可審核的日志，其中包含已預(yù)配的內(nèi)容、已預(yù)配的板數(shù)以及未通過傳出測試的板數(shù)？這些日志是否經(jīng)過哈希處理和簽名？

調(diào)試端口是否被禁用？

運送給客戶

組織是否可以核算已發(fā)貨商品與客戶接收的商品？大多數(shù)客戶會立即說“嘿，短一個！但是，如果客戶出于任何原因錯過了一個怎么辦？該公司將不得不假設(shè)它在野外擁有一臺設(shè)備。

公司及其客戶能否驗證所運設(shè)備的完整性？他們能否驗證它在運輸過程中沒有被篡改？

已部署的設(shè)備

設(shè)備上是否有防篡改密封？

是否只允許授權(quán)技術(shù)人員維修設(shè)備？

是否允許遠(yuǎn)程更新？

如果是這樣，圖像是否經(jīng)過驗證是完整和真實的？

是否有防止回滾的機制？

當(dāng)設(shè)備退役時，它是否歸零？無法操作？摧毀？

如果對上述任何一項的答案是否定的，那么組織應(yīng)該強烈考慮內(nèi)置防篡改對策的半導(dǎo)體，以便他們可以根據(jù)設(shè)備在其生命周期中可能出現(xiàn)的風(fēng)險場景定制其篡改響應(yīng)。例如，FPGA產(chǎn)品應(yīng)具有多個防篡改功能，可用于自定義威脅響應(yīng)（圖1）。示例包括：

足夠數(shù)量的數(shù)字篡改標(biāo)志。

多個模擬窗口電壓檢測器為每個關(guān)鍵電源（Vdd、Vdd18、Vdda25）提供高跳變點和低跳變點。

數(shù)字窗口溫度為您提供高低管芯溫度。

來自內(nèi)置溫度檢測器的原始電壓和溫度值。

指示系統(tǒng)控制器掉電情況的系統(tǒng)控制器慢時鐘。

指示設(shè)備復(fù)位源的數(shù)字總線（至少 5 位）（DEVRST 引腳、篡改宏輸入、系統(tǒng)控制器看門狗、安全鎖篡改檢測器已觸發(fā)、任何其他復(fù)位）。

無花果。1：Microchip PolarFire FPGA和PolarFire SoC FPGA器件的設(shè)計與數(shù)據(jù)安全屬性。

篡改檢測和響應(yīng)

在實例化 FPGA 設(shè)計的篡改宏時，應(yīng)該可以使用多種類型的篡改標(biāo)志。每個都有自己的目的：

響應(yīng)與檢測同樣重要。一旦公司因在單個事件、一系列事件或其中的任何組合期間未經(jīng)授權(quán)的篡改而決定采取行動，則應(yīng)根據(jù)一段時間內(nèi)發(fā)生的事件量身定制響應(yīng)?；蛘呓M織可以放下錘子并用磚塊砌零件。示例包括：

IO 禁用

禁用所有用戶 IO。IO 將重置為其 SEU 免疫配置位定義的狀態(tài)。專用（JTAG、SPI、XCVR等）或未由配置位配置的IO被排除在外。只要斷言IO_DISABLE IO 就會被禁用

安全鎖定

所有用戶鎖都設(shè)置為其鎖定狀態(tài)。

重置

向系統(tǒng)控制器發(fā)送復(fù)位信號以啟動關(guān)斷和上電周期

歸零

清除并驗證任何或所有配置存儲元素。內(nèi)部易失性存儲器（如 LSRAM、uSRAM 和系統(tǒng)控制器 RAM）經(jīng)過清除和驗證。歸零完成后，可以使用JTAG/SPI從站指令檢索歸零證書，以確認(rèn)歸零過程是否成功。啟用系統(tǒng)控制器掛起模式時，此篡改響應(yīng)不可用。用戶可以選擇歸零為2種不同的狀態(tài)：

像新的一樣 - 設(shè)備恢復(fù)到發(fā)貨前的狀態(tài)。

不可恢復(fù)。即使是公司也無法訪問設(shè)備的內(nèi)部。

歸零完成后，可以通過專用JTAG/SPI端口導(dǎo)出歸零證書，向外部實體保證器件確實已歸零。

在當(dāng)今競爭激烈的環(huán)境中，網(wǎng)絡(luò)安全是不夠的。公司制造的設(shè)備將落入其競爭對手和不良行為者的手中。半導(dǎo)體產(chǎn)品必須具有各種內(nèi)置的防篡改功能，組織可以使用這些功能來定制對這些威脅的響應(yīng)。

審核編輯：郭婷