江苏龙网

  1. 首页 > 人文 > >

雷锋网如何防止芯片被篡改?( 三 )


如果使用存储器来存储密钥 , 则该存储器一定不能从视觉上检查其内容 , 且可以以电子方式检测单元格内容阻止尝试性篡改 。 可以对存储的密钥进行加密 , 但是随后需要一个密钥来解密 。 这可能是物理上不可复制的功能(PUF) , 用以创建启用所有其他安全功能的“根”密钥的区域 。
光子传感器也变得越来越普遍 , 主要是为了用激光检测出电路中的任何篡改尝试 。
许多对策可以阻止旁通道攻击 。 这些对策可能有助于阻止窃取秘密以及芯片的反向工程 。 Rambus公司防伪产品技术总监Scott Best说:“目标是向产品中插入至少一种反击者所不能克服的对策 。 ” 方法包括:
在短时间内运行关键代码 , 然后断电 , 最大程度地减少在代码运行时分析芯片行为的机会 。
运行“反向”指令-这些指令的作用将抵消有意指令的影响 。
添加虚拟指令以使内部签名混乱 。
故意添加噪声以混淆电磁信号 。
打开真正的随机数生成器(TRNG) 。
监控所有内容 , 包括配电网络、临界电压和电流、时钟、信号时序、内存访问速度、辐射和热量 。
使用双轨转换逻辑(DTL) 。 这涉及通常在单条线上运行的信号 , 该信号被分成两行 , 不是每条线都指示要传输的静态值 , 而是一条线(沿任一方向)上的过渡指示为1 , 而另一条线上的过渡则指示为0 。 这确保了过渡的平衡 , 从而避免了表明使用哪个值的问题 。 此技术有多种变体 。
如何应对篡改?
下一个问题是 , 一旦检测到篡改 , 该怎么办?可以提供多种响应 , 并且每个级别的升级时间点都将因设计人员和应用程序而异 。 完全没有响应是一种可采取的措施 。 下一个级别可能是通知应用程序以便采取措施 。 如果被破坏的严重程度足够高 , 则最核心的决定就是“破坏”系统:使其永久无法运行 。
可以通过擦除密钥或密钥的一部分来对系统进行堆砌 。 它可能涉及销毁用于重新创建PUF输出的数据 。 在上述任何一种情况下 , 都将取消预先设置的密钥或“本机”(PUF)密钥——这是不可逆的步骤 。 从理论上讲 , 可以重新配置(或重新注册)设备——不涉及物理破坏 , 但这些补救措施意味着将设备重新投入制造流程 , 因此对于攻击者而言 , 损害是永久的 。
雷锋网如何防止芯片被篡改?
本文插图
所有这些 , 最大风险在于创建的响应过于敏感 , 从而导致意外阻塞 。 陶氏说:“工程检测的唯一缺点是它们可能很敏感 , 因此很难在制造中进行处理 。 ” 导致阻塞的事件需要仔细过滤 , 因为这一步是不可逆的 。 极端环境(例如非常冷的温度)或诸如设备掉落之类的事件均不得触发篡改警报 , 这使达到平衡以检测真正的篡改同时又不将其他事件误解为篡改成为一项挑战 。
对于具有内置防篡改电路的设备 , 可以配置篡改响应 。 如果该配置存储在某种可重新编程寄存器中 , 则攻击者可能会在进行攻击之前尝试更改该设置 。 芯科实验室(Silicon Labs)的Wilson表示 , 芯科实验室的配置将其配置存储在一次性可编程(OTP)寄存器中 , 因此 , 一旦配置完成 , 它便是永久不能更改 。
除了要基于先前的故障获得最佳实践之外 , 故障注入攻击比设计抵抗更难 。 但是 , 可以使用故障注入工具进行一定量的硅前验证 。 Synopsys验证部门的研发总监Zongyao Wen说:“故障注入工具可以生成单个或多个故障 , 包括静态或瞬态故障、全局或局部故障 。 ”
了解敏感性很重要 。 “敏感性分析可以在设计过程中进行 , 但是由于在实施和制造过程中可能会出错 , 因此必须在成品零件上进行测试并以此作为最终结果 。 ” Cadence航空航天和国防解决方案主管Steve Carlson表示 , “但在设计过程中发现问题比在制造完成后再发现要好 。 ”


推荐阅读


上一篇:手机之家手机最快商用充电方案 Reno4 系列搭载 65W 超级闪充

下一篇:小兵军事决不能让17年前悲剧重演,美已将目光转向太空,星链计划居心叵测