開(kāi)源本身并不能保證安全。

　　當(dāng) Meltdown 和 Spectre 漏洞于 2018 年首次被發(fā)現(xiàn)時(shí)，它們預(yù)示著整個(gè)行業(yè)對(duì)處理器安全性的看法發(fā)生了轉(zhuǎn)變。正如 IBM X-Force 威脅情報(bào)指數(shù)在次年所說(shuō)，“2018 年迎來(lái)了硬件安全挑戰(zhàn)的新時(shí)代，迫使企業(yè)和安全社區(qū)重新思考他們處理硬件安全的方式?！?a target="_blank">RISC-V正在那個(gè)新時(shí)代走向成熟，既受益于過(guò)去的經(jīng)驗(yàn)教訓(xùn)，也受益于其開(kāi)源社區(qū)的廣泛貢獻(xiàn)。對(duì)于大多數(shù)攻擊，威脅參與者并不關(guān)心他們可能針對(duì)哪個(gè)處理器。

　　Codasip 的首席營(yíng)銷(xiāo)官Rupert Baines 說(shuō)：“如果有人在進(jìn)行魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，它依賴(lài)于你點(diǎn)擊 URL ?！?“不管你運(yùn)行的是英特爾處理器還是 Arm M2。如果你單擊該鏈接，就會(huì)受到攻擊。很多攻擊都是這樣的?！睂?duì)于旨在利用更微妙的漏洞的更復(fù)雜的攻擊，處理器架構(gòu)的細(xì)節(jié)可能會(huì)產(chǎn)生重大影響。Baines 說(shuō)：“當(dāng)你遇到旁路攻擊、幽靈和熔斷等問(wèn)題時(shí)，架構(gòu)和實(shí)施就會(huì)真正開(kāi)始變得重要?！边@就是 RISC-V 可以帶來(lái)一些獨(dú)特優(yōu)勢(shì)的地方。

　　開(kāi)放性帶來(lái)的安全性

　　RISC-V 的開(kāi)放式架構(gòu)允許對(duì)其進(jìn)行持續(xù)的仔細(xì)檢查。Baines 以 2017 年普林斯頓大學(xué)的一項(xiàng)研究為例，該研究發(fā)現(xiàn)了 RISC-V 規(guī)范中的幾個(gè)錯(cuò)誤。雖然有些人認(rèn)為這些發(fā)現(xiàn)是 RISC-V 弱點(diǎn)的跡象，但大多數(shù)人不同意?！拔覀儚奈茨軌?yàn)橛⑻貭柣?Arm 進(jìn)行這項(xiàng)研究，”他說(shuō)?！八麄兛赡苡型瑯拥穆┒?，但因?yàn)樗菍?zhuān)有的，我們無(wú)法查看它。如果那是真的，那么 RISC-V 現(xiàn)在更安全了，因?yàn)榇_實(shí)有人看過(guò)它，而且它已經(jīng)被修復(fù)了?！?/p>

　　OpenHW Group 總裁兼首席執(zhí)行官 Rick O‘Connor 表示，RISC-V 在應(yīng)對(duì)最初出現(xiàn)的邊信道攻擊方面同樣有用。“圍繞這項(xiàng)工作的原始研究論文是使用 RISC-V 架構(gòu)發(fā)表的，只是因?yàn)樗俏ㄒ婚_(kāi)放的架構(gòu)，”他說(shuō)?！八阅憧梢阅玫剿阉旁谄鹬貦C(jī)上，拆除它，找出漏洞所在，開(kāi)發(fā)算法來(lái)證明你的論點(diǎn)，然后克服它?！監(jiān)’Connor說(shuō)，這種開(kāi)放性最終使 RISC-V 更加安全?！斑@似乎有悖常理，但構(gòu)建安全平臺(tái)的最佳方式是讓整個(gè)設(shè)計(jì)在公共領(lǐng)域開(kāi)放并可供審查，”他說(shuō)。“沒(méi)有后門(mén)或隱藏渠道，整個(gè)社區(qū)都可以努力保護(hù)它?！备匾氖?，RISC-V 通過(guò)設(shè)計(jì)提供了一個(gè)從一開(kāi)始就做到這一點(diǎn)的獨(dú)特機(jī)會(huì)?！拔覀儞碛懈蓛舻摹?huà)布’，”Crypto Quantique 首席執(zhí)行官 Shahram Mossayebi 說(shuō)。“我們可以以更適合生態(tài)系統(tǒng)演變方式的方式做正確的事，正確地構(gòu)建事物。”

　　默默無(wú)聞的安全時(shí)代

　　互聯(lián)安全系統(tǒng) （CSS） 部門(mén)的杰出工程師 Peter Laackmann表示，這一切都?xì)w結(jié)為 Kerckhoffs 的原則——即使攻擊者知道系統(tǒng)工作原理的一切，系統(tǒng)也應(yīng)該保持安全。“默默無(wú)聞的安全時(shí)代已經(jīng)結(jié)束，”Laackmann說(shuō)?！拔覀冋谂?shí)現(xiàn)透明的安全性，我們會(huì)解釋事情是如何運(yùn)作的，而不是隱藏它們?！盋ycuity安全應(yīng)用工程師 Anders Nordstrom 指出 AES 就是一個(gè)很好的例子。“即使你確切地知道 AES 是如何工作的，你也無(wú)法對(duì)其進(jìn)行逆向工程并從加密數(shù)據(jù)中獲取密鑰。這是解決安全問(wèn)題的正確方法，”他說(shuō)?！霸谟腥税l(fā)現(xiàn)之前，試圖隱藏一些東西是有效的。

　　如果架構(gòu)和安全功能是已知的，并且即使在已知的情況下也可以設(shè)計(jì)成安全的，那么你就有了更強(qiáng)大的防御?！辈贿^(guò)，Laackmann 表示，重要的是要記住，僅僅因?yàn)槟承〇|西是開(kāi)源的，它不一定經(jīng)過(guò)檢查。盡職調(diào)查仍然至關(guān)重要?！坝泻芏嘬浖情_(kāi)源的，每個(gè)人都認(rèn)為有人已經(jīng)深入研究過(guò)它。但隨后，事實(shí)證明，20 年來(lái)沒(méi)有人這樣做——然后安全措施就失敗了。所以即使你使用開(kāi)源，你也必須檢查它?！睘榇耍琋ordstrom 表示，驗(yàn)證是關(guān)鍵，尤其是在開(kāi)源生態(tài)系統(tǒng)中?！皟H僅因?yàn)樗情_(kāi)源和 RISC-V，并不意味著它可以隨時(shí)使用，”他說(shuō)?！澳惚仨氁庾R(shí)到你得到了什么。如果你從 Arm 購(gòu)買(mǎi)，你會(huì)得到一個(gè)黑盒子，但你有信心它已經(jīng)通過(guò)了大量驗(yàn)證。”

　　開(kāi)源硬件的風(fēng)險(xiǎn)

　　商業(yè)ISA的風(fēng)險(xiǎn)有著明顯更長(zhǎng)的跟蹤記錄，并且該跟蹤記錄具有先天優(yōu)勢(shì)。英特爾和 Arm 擁有更多的經(jīng)驗(yàn)，他們?cè)谀抢锓e累了更多的技術(shù)、解決方案和架構(gòu)，而 RISC-V 社區(qū)尚未建立、標(biāo)準(zhǔn)化或推出。較新的開(kāi)源解決方案也可能帶來(lái)其他挑戰(zhàn)。Riscure的高級(jí)安全分析師 Nicole Fern指出，在設(shè)計(jì)中包含第三方 IP 始終需要為集成和測(cè)試付出努力和預(yù)算。但她表示，使用開(kāi)源硬件時(shí)需要付出更大的努力，“尤其是與閉源版本相比缺乏成熟度的開(kāi)源 IP。例如，Arm 內(nèi)核已成功集成到 SoC 中并已流片多年。RISC-V 實(shí)現(xiàn)達(dá)到相同水平還需要一些時(shí)間?！边€存在故意引入威脅的風(fēng)險(xiǎn)?！耙?yàn)槿魏稳硕伎梢园l(fā)布開(kāi)源 RISC-V 實(shí)現(xiàn)，不良行為者有更多機(jī)會(huì)發(fā)布具有已知漏洞或硬件木馬的設(shè)計(jì)，”Fern 說(shuō)?！皩?duì)于有多個(gè)貢獻(xiàn)者的開(kāi)源項(xiàng)目，不受信任的實(shí)體有機(jī)會(huì)嘗試將易受攻擊的補(bǔ)丁或更新推送到其他值得信賴(lài)的開(kāi)源項(xiàng)目中?！?/p>

　　提高安全性和可靠性

　　盡管如此，隨著競(jìng)爭(zhēng)的加劇，整個(gè) RISC-V 生態(tài)系統(tǒng)的安全性將穩(wěn)步提高。Baines 表示，他預(yù)計(jì)汽車(chē)應(yīng)用所需的安全級(jí)別將在未來(lái) 12 到 18 個(gè)月內(nèi)成功?！安皇敲總€(gè)人都想為認(rèn)證付費(fèi)，不是每個(gè)人都想要法律保證，但每個(gè)公司都應(yīng)該有能力提供 ISO 26262 安全和 ISO 21434 安全，”他指出。事實(shí)上，如果你在進(jìn)行供應(yīng)商選擇，那么確保一家公司能夠提供該級(jí)別的產(chǎn)品是值得的，無(wú)論這是否是真正需要的東西。Baines 說(shuō)：“我想知道你們作為一個(gè)組織是否具備這些能力和理解力，因?yàn)檫@讓我對(duì)你們進(jìn)行所有工程設(shè)計(jì)的方式充滿(mǎn)信心?！睂?duì)資產(chǎn)進(jìn)行分類(lèi)并進(jìn)行威脅建模以評(píng)估需要保護(hù)的內(nèi)容也很重要。“一旦你了解系統(tǒng)中的重要內(nèi)容，你就需要開(kāi)始編寫(xiě)安全要求，”Nordstrom 說(shuō)?！斑@些安全要求表明，‘這是我的資產(chǎn)，這就是信息安全的方式?！盢ordstrom 說(shuō)，硬件安全所需要的與驗(yàn)證任何其他方面所需要的非常相似?！澳阈枰粋€(gè)計(jì)劃，你需要確保你遵循這個(gè)計(jì)劃。之后，你知道你可以要求什么，你知道你覺(jué)得你需要的是安全的?！睂?duì)于任何系統(tǒng)，無(wú)論是否開(kāi)源，都是如此?！叭绻銖膭e人那里購(gòu)買(mǎi)處理器或系統(tǒng)，問(wèn)他們，‘告訴我你做了什么來(lái)驗(yàn)證沒(méi)有硬件安全漏洞，’”Nordstrom 說(shuō)。

　　構(gòu)建生態(tài)系統(tǒng)

　　更廣泛地說(shuō)，支持開(kāi)放標(biāo)準(zhǔn)并努力全面提高質(zhì)量符合每個(gè)公司的自身利益?！百|(zhì)量差會(huì)毒害到每個(gè)人，所以如果我們能幫助凈化每個(gè)人，這有助于 RISC-V 生態(tài)系統(tǒng)，”Baines說(shuō)?！斑@意味著有更多的軟件開(kāi)發(fā)人員，意味著有更多的庫(kù)，意味著有更多的人使用它，這是一個(gè)良性循環(huán)?！睘榇耍珺aines表示，更多公司支持 OpenHW Group 和 RISC-V International 等組織非常重要?！白屛覔?dān)心 RISC-V 的其中一件事是碎片化的可能性，”他說(shuō)。“人們正在采用 RISC-V 架構(gòu)并開(kāi)發(fā) RISC-V 內(nèi)核，然后添加他們自己的專(zhuān)有內(nèi)容，這實(shí)際上意味著它不再是可互操作的標(biāo)準(zhǔn)。”想想移動(dòng)解決方案，它只有通過(guò)共同關(guān)注標(biāo)準(zhǔn)和互操作性才能取得成功。“你可以使用帶有諾基亞基站、愛(ài)立信基站或三星基站的蘋(píng)果手機(jī)——諾基亞、愛(ài)立信和三星都在激烈競(jìng)爭(zhēng)，但它們都可以在同一款蘋(píng)果手機(jī)上使用，”Baines說(shuō)。“我希望 RISC-V 也朝著同樣的方向發(fā)展。”

　　RISC-V 安全性的未來(lái)

　　僅修補(bǔ)安全性不足以讓 RISC-V 取得成功。但如果 RISC-V 要用于更主流的應(yīng)用程序，安全性將是一個(gè)要求。“我們將無(wú)法部署所有這些智能和智能的物聯(lián)網(wǎng)邊緣連接設(shè)備，如果你可以相信我的東西但你不能相信你的東西，那么這些設(shè)備具有我們正在談?wù)摰?a target="_blank">人工智能和機(jī)器學(xué)習(xí)的所有好處東西，”O(jiān)penHW 的 O‘Connor 說(shuō)?！耙坏┯辛诉@種更好的安全等級(jí)，那么作為一個(gè)集體，我們就會(huì)對(duì)社區(qū)造成傷害?！备鶕?jù) Riscure 的 Fern 的說(shuō)法，好消息是 RISC-V 的開(kāi)放性有可能大大提高安全性?！坝泻芏鄼C(jī)會(huì)從頭開(kāi)始創(chuàng)建具有安全屬性的實(shí)現(xiàn)，例如提高對(duì)故障注入攻擊的容忍度，并以比其他閉源商業(yè)選項(xiàng)更敏捷的方式整合研究社區(qū)的新想法和技術(shù)，“ 她說(shuō)。部分挑戰(zhàn)在于簡(jiǎn)單地讓各種規(guī)模的公司接受這個(gè)想法?！霸诿考夜緝?nèi)部，都有一些團(tuán)體認(rèn)為開(kāi)源硬件作為一個(gè)概念已經(jīng)準(zhǔn)備就緒，現(xiàn)在是時(shí)候開(kāi)始弄清楚工作流程將如何運(yùn)作以及在公共領(lǐng)域就開(kāi)源項(xiàng)目進(jìn)行協(xié)作意味著什么了?！?/p>

　　O’Connor說(shuō)，“但與此同時(shí)，有一個(gè)同樣強(qiáng)大的甚至可能更強(qiáng)大的隊(duì)伍或陣營(yíng)認(rèn)為這完全是胡說(shuō)八道?！監(jiān)‘Connor說(shuō)，應(yīng)對(duì)這種情況的最佳方式是讓作品自己說(shuō)話(huà)?！皩?duì)于持懷疑態(tài)度的硬件工程類(lèi)型，實(shí)施和存在證明大有幫助，”他說(shuō)?！皬母旧险f(shuō)，這個(gè)行業(yè)的基礎(chǔ)是證明你的設(shè)計(jì)有效，然后將其投入生產(chǎn)。作為硬件工程師，我們接受的培訓(xùn)是在我們說(shuō)好之前先獲得存在證明?！边@不可避免地需要時(shí)間?！癆corn，然后是 Arm，甚至就此而言是 x86，這些事情都不是一夜之間發(fā)生的，”O(jiān)’Connor 說(shuō)?！跋鄬?duì)而言，RISC-V 架構(gòu)的推出，以及與這些設(shè)備相關(guān)的體積，實(shí)際上發(fā)展得相當(dāng)快。這不是一個(gè)四分之一或兩個(gè)季度的問(wèn)題，這是好幾年的問(wèn)題?！北M管如此，Baines說(shuō)，對(duì)于任何考慮 RISC-V 但不確定生態(tài)系統(tǒng)是否準(zhǔn)備就緒的公司來(lái)說(shuō)，總是會(huì)有延遲的理由?！叭绻阌幸粋€(gè)工程項(xiàng)目將從 RISC-V 中受益，你現(xiàn)在就應(yīng)該關(guān)注它，”他說(shuō)?；蛘吣憧梢缘葍扇?，然后發(fā)現(xiàn)你的競(jìng)爭(zhēng)對(duì)手在那段時(shí)間推出了兩代項(xiàng)目。那會(huì)對(duì)你有什么影響呢？

　　編輯：黃飛