2016年的網(wǎng)絡(luò)犯罪損失上升24%,超過13.3億美元,并且這僅僅是美國(guó)聯(lián)邦調(diào)查局(FBI)網(wǎng)絡(luò)犯罪投訴中心跟蹤的網(wǎng)絡(luò)犯罪。關(guān)于黑客和其他安全漏洞的新聞?lì)^條也屢見不鮮。然而,許多產(chǎn)品制造商仍然將設(shè)計(jì)安全作為亡羊補(bǔ)牢之舉。其中一部分原因可能是誤認(rèn)為實(shí)施安全性在時(shí)間和資源方面都代價(jià)昂貴。本文糾正這些誤解并介紹最新的整體式、高成效嵌入式安全,后者為防止入侵提供強(qiáng)有力的保護(hù)。
設(shè)計(jì)安全為什么仍然被忽視?
去年,電信巨頭Telefonica在發(fā)布的一份報(bào)告中警告說(shuō),由于防御網(wǎng)絡(luò)犯罪的措施仍然落后于物聯(lián)網(wǎng)(IoT)方案的發(fā)展,帶來(lái)了災(zāi)難性后果。
“這不僅僅涉及到數(shù)據(jù)隱私,或者數(shù)字身份的安全。在接下來(lái)的幾年中,我們的生活將被連接到互聯(lián)網(wǎng)的設(shè)備所包圍,這些設(shè)備將我們執(zhí)行的每一步都數(shù)字化、將我們的日常活動(dòng)轉(zhuǎn)化為信息、通過網(wǎng)絡(luò)分發(fā),并根據(jù)這些信息與我們互動(dòng)。我們的實(shí)際生活從來(lái)沒有如此接近數(shù)字世界。”該公司在報(bào)告中表示:“范圍、規(guī)模和風(fēng)險(xiǎn)前所未有:保護(hù)物聯(lián)網(wǎng)。”
然而,安全漏洞仍然有增無(wú)減。信用報(bào)告巨頭Equifax今年夏天發(fā)生了大規(guī)模數(shù)據(jù)泄露,黑客獲取了美國(guó)居民的姓名、社會(huì)保障號(hào)碼、生日、地址及部分信用卡號(hào)碼,以及英國(guó)和加拿大居民的個(gè)人數(shù)據(jù)。今年春天,大規(guī)模的勒索軟件攻擊事件對(duì)歐洲、南美洲、亞洲和北美洲的至少150個(gè)國(guó)家的計(jì)算機(jī)產(chǎn)生了影響,導(dǎo)致醫(yī)院、大學(xué)、制造商、企業(yè)和政府機(jī)構(gòu)出現(xiàn)問題。2016年秋季,由于遭受到基于Mirai惡意軟件的僵尸網(wǎng)絡(luò)攻擊,CCTV視頻攝像機(jī)和DVR造成大面積斷網(wǎng)事件。對(duì)于每一次廣為人知的重大事故,都有許多較小的事件令消費(fèi)者和企業(yè)擔(dān)心。不言而喻,隨著越來(lái)越多的產(chǎn)品和系統(tǒng)接入網(wǎng)絡(luò),黑客的技術(shù)變得越來(lái)越高,每個(gè)垂直行業(yè)都存在亟待解決的風(fēng)險(xiǎn)。例如,請(qǐng)考慮一下以下場(chǎng)景:
● 工業(yè):從之前的孤立系統(tǒng)向現(xiàn)在全部聯(lián)網(wǎng)的系統(tǒng)過渡,使設(shè)備容易受到遠(yuǎn)程攻擊。
● 醫(yī)療健康:該行業(yè)存在敏感數(shù)據(jù)相關(guān)的隱私問題、數(shù)據(jù)完整性問題,以及醫(yī)療設(shè)備/裝置的認(rèn)證操作。
● 銀行:隨著網(wǎng)絡(luò)銀行成指數(shù)級(jí)增長(zhǎng),機(jī)構(gòu)不再能現(xiàn)場(chǎng)保證身份真實(shí)性,風(fēng)險(xiǎn)大大提高。
● 零售:移動(dòng)設(shè)備采用開放式架構(gòu),但其功能又相當(dāng)于金融/支付終端,所以必須確保交易和通信安全。
● 通信:端對(duì)端安全是防止各種攻擊的必要條件。
● 汽車:還記得2015年Jeep汽車被白帽黑客遠(yuǎn)程控制的事件嗎?汽車將很快成為輪子上的計(jì)算機(jī),其受攻擊風(fēng)險(xiǎn)仍然非常高。
忽視設(shè)計(jì)安全的風(fēng)險(xiǎn)是巨大的:收入損失、品牌聲譽(yù)損失,甚至人身傷害。發(fā)生破壞之后的亡羊補(bǔ)牢之舉往往效果小且見效晚。事實(shí)告訴我們,越在設(shè)計(jì)的早期階段構(gòu)建安全性,效果越好。基于硬件的安全已被證明比基于軟件的相應(yīng)措施更有效(關(guān)于基于硬件與基于軟件的設(shè)計(jì)安全的比較,請(qǐng)參考白皮書:“為何基于硬件的設(shè)計(jì)安全性對(duì)于所有應(yīng)用程序都至關(guān)重要”)。值得慶幸的是,采用安全I(xiàn)C的硬件方法并不一定需要太多的人力、資源或時(shí)間。
上述安全性的代價(jià)
雖然您可能面臨產(chǎn)品快速上市且要求開發(fā)成本足夠低的巨大壓力,但您認(rèn)真考慮過破壞造成的相關(guān)成本嗎?如表1所示的假想終端產(chǎn)品,上述的安全問題最終會(huì)帶來(lái)更多的費(fèi)用。
基于硬件的安全在一定程度上提供了可靠性,因?yàn)榫W(wǎng)絡(luò)犯罪分子難以更改設(shè)計(jì)的物理層。此外,物理層的存在使得惡意軟件不可能滲透操作系統(tǒng)并潛入設(shè)計(jì)的虛擬層。從設(shè)計(jì)周期之初開始,即可將安全性整合到設(shè)計(jì)的底層以及后續(xù)所有層。
利用安全I(xiàn)C,例如從內(nèi)部、不可變存儲(chǔ)器中執(zhí)行代碼的微控制器,防止試圖破壞電氣器件硬件的攻擊。微控制器的ROM儲(chǔ)存被認(rèn)為是“信任根”的啟動(dòng)代碼,因?yàn)榇a不可修改。因此,這種“不可更改”、受信任的軟件可用于驗(yàn)證和認(rèn)證應(yīng)用軟件的簽名。利用從底層就基于硬件的“信任根”方法,可將設(shè)計(jì)的更多潛在進(jìn)入點(diǎn)關(guān)閉。
表1. 假冒偽劣帶來(lái)的資產(chǎn)損失最終遠(yuǎn)遠(yuǎn)超出實(shí)施安全性所需的成本。
安全微控制器和安全認(rèn)證器等嵌入式安全I(xiàn)C提供整體方案,保護(hù)從每個(gè)傳感器節(jié)點(diǎn)到云端的整個(gè)系統(tǒng)。然而,并非所有安全I(xiàn)C都是相同的。例如,由于成本、功耗以及要求復(fù)雜的固件開發(fā),有些安全微控制器就不適合IoT設(shè)備或端點(diǎn)。于是出現(xiàn)了一些加密控制器能夠?qū)嵤┣度胧健⒙?lián)網(wǎng)產(chǎn)品的完全安全性,且無(wú)需任何固件開發(fā)工作,例如,Maxim的MAXQ1061 DeepCover?器件。作為協(xié)處理器應(yīng)用于初始設(shè)計(jì),或者整合到已有設(shè)計(jì),保證數(shù)據(jù)保密性、身份真實(shí)性和設(shè)備完整性。
對(duì)于安全認(rèn)證器,器件應(yīng)提供一組核心的固定功能加密操作、密鑰存儲(chǔ)以及其它適合IoT和端點(diǎn)安全的相關(guān)功能。憑借這些能力,安全認(rèn)證器即可保護(hù)IP、防止克隆以及對(duì)外設(shè)、IoT設(shè)備和端點(diǎn)進(jìn)行安全認(rèn)證。
在評(píng)估嵌入式安全技術(shù)時(shí),還應(yīng)該考慮哪些因素?內(nèi)置加密引擎和安全引導(dǎo)加載程序的安全微控制器,可有效防止密碼分析攻擊、物理篡改和反向工程化等威脅。Design SHIFT是一家總部位于美國(guó)加利福尼亞州門洛帕克市的數(shù)字安全和消費(fèi)產(chǎn)品工程公司,其ORWL安全臺(tái)式計(jì)算機(jī)需要此類特性。該公司設(shè)計(jì)ORWL時(shí),要求安全認(rèn)證和防止物理攻擊兩種功能,需要強(qiáng)壯的信任根安全。Design SHIFT找到了所需的方案:MAX32550 DeepCover ARM? Cortex?-M3安全微控制器。
“許多軟件人員說(shuō),一旦您失去對(duì)硬件的控制,您就玩完了”。Design SHIFT公司的CEO Olivier Boireau表示:“建立信任根是強(qiáng)壯保護(hù)的保證。”
通過物理不可復(fù)制特性(PUF)技術(shù)增強(qiáng)保護(hù)
我們開始在安全I(xiàn)C中看到一項(xiàng)更高級(jí)的加密技術(shù),即物理不可復(fù)制特性(PUF)。PUF依賴于IC器件的復(fù)雜且可變的物理/電學(xué)特性。由于PUF在制造過程中產(chǎn)生的隨機(jī)物理因素(不可預(yù)測(cè)、不受控),實(shí)際上不可能復(fù)制或克隆。集成PUF技術(shù)的IC帶有與生俱來(lái)的數(shù)字指紋,可用作唯一的密鑰/密碼,支持提供安全認(rèn)證、識(shí)別、防偽、硬件-軟件綁定以及加密/解密的算法。
Maxim的PUF電路依賴于基本MOSFET器件模擬特性來(lái)產(chǎn)生密鑰,而器件的模擬特性是自然隨機(jī)發(fā)生的;該方案被稱為ChipDNA?技術(shù)。這種專利方法可確保PUF電路產(chǎn)生的唯一二進(jìn)制數(shù)值,在隨溫度和電壓變化以及器件老化的情況下保持不變。高水平的安全性在于該唯一的二進(jìn)制數(shù)值實(shí)際上未儲(chǔ)存在非易失存儲(chǔ)器芯片的任何位置,而是需要時(shí)由PUF電路生成,使用后立即消失。因此,與之前的安全器件容易遭受對(duì)非易失存儲(chǔ)器的侵入式物理攻擊從而獲取密鑰不同,基于PUF的器件不容易受到這種類型的攻擊,因?yàn)楸緛?lái)就無(wú)密鑰可偷。此外,如果基于PUF的器件遭受侵入式物理攻擊,攻擊本身會(huì)造成PUF電路的特性發(fā)生變化,進(jìn)一步阻礙這種類型的攻擊。ChipDNA PUF技術(shù)已證明其在生產(chǎn)工藝、電壓、溫度和老化方面的優(yōu)異可靠性。此外,對(duì)基于NIST的隨機(jī)性測(cè)試結(jié)果的PUF輸出評(píng)估已經(jīng)成功完成,結(jié)果合格。圖1所示為ChipDNA PUF技術(shù)的不同用途:內(nèi)部存儲(chǔ)器加密、外部存儲(chǔ)器加密和安全認(rèn)證密鑰生成。
第一款采用PUF技術(shù)的安全認(rèn)證器
Maxim第一款采用ChipDNA PUF技術(shù)的安全I(xiàn)C為DS28E38安全認(rèn)證器,設(shè)計(jì)用于提供高成效的入侵式物理攻擊防御。DS28E38提供:
● 基于FIPS186 ECDSA的質(zhì)詢/響應(yīng)安全認(rèn)證
● ChipDNA安全存儲(chǔ)數(shù)據(jù),可選的ECDSA-P256私鑰數(shù)據(jù)源
● 2Kb EEPROM陣列,用于用戶存儲(chǔ)器和公鑰證書
● 帶認(rèn)證讀取的僅遞減計(jì)數(shù)器
圖1. ChipDNA PUF技術(shù)的不同用途
