（本文編譯自Semiconductor Engineering）

半導(dǎo)體網(wǎng)絡(luò)攻擊的數(shù)量和規(guī)模持續(xù)攀升，而芯片設(shè)計(jì)和封裝新方法或可顯著遏制這一趨勢(shì)。

根據(jù)網(wǎng)絡(luò)情報(bào)公司CloudSEK的報(bào)告顯示，自2022年以來，與半導(dǎo)體相關(guān)的網(wǎng)絡(luò)安全攻擊次數(shù)增加了六倍多。在這些攻擊中，僅勒索軟件一項(xiàng)就給半導(dǎo)體行業(yè)造成了約10.5億美元的損失，而僅在美國(guó)，處于風(fēng)險(xiǎn)中的戰(zhàn)略性投資就高達(dá)數(shù)十億美元。研究人員還發(fā)現(xiàn)，印度某大型道路救援與保險(xiǎn)服務(wù)商存在一個(gè)配置錯(cuò)誤的.git代碼倉(cāng)庫(kù)，該漏洞導(dǎo)致超20GB的敏感數(shù)據(jù)泄露。這些數(shù)據(jù)與多家頭部汽車品牌相關(guān)，其中不僅包含完整源代碼、支付網(wǎng)關(guān)令牌、云數(shù)據(jù)庫(kù)憑證，還有數(shù)百萬條客戶及商戶記錄。

類似案例不勝枚舉。變化的是，硬件已成為主要的攻擊媒介，而入侵芯片（或芯片系統(tǒng)）最有效的方法之一，就是將該設(shè)備帶入實(shí)驗(yàn)室，進(jìn)行物理探測(cè)以發(fā)現(xiàn)其漏洞。過去，這通常需要研磨封裝，并用掃描電子顯微鏡(SEM)尋找各種探測(cè)點(diǎn)，這使得許多犯罪組織對(duì)此望而卻步。但現(xiàn)在，SEM的普及率大幅提高，最低僅需5萬美元即可購(gòu)置，而且其復(fù)雜性的提高也為許多其他篡改途徑打開了方便之門。

新思科技首席安全技術(shù)專家Mike Borza表示：“篡改指攻擊者試圖通過物理方式訪問或修改芯片內(nèi)信息的任何行為，既包括故障注入等手段，也涵蓋嘗試在芯片局部或系統(tǒng)局部接入探測(cè)設(shè)備，以修改現(xiàn)有數(shù)據(jù)或訪問可能從該訪問點(diǎn)獲取的秘密信息?！?/p>

其結(jié)果是，過去在很大程度上被忽視的環(huán)節(jié)，如今必須部署安全防護(hù)措施。例如，過去通常會(huì)通過防護(hù)手段防止運(yùn)行時(shí)軟件被篡改。但隨著對(duì)性能要求的不斷增長(zhǎng)，之前由單個(gè)CPU管理的功能，已被更專業(yè)的控制設(shè)備所取代，從而暴露了過去被認(rèn)為無法訪問的運(yùn)行時(shí)軟件。因此，現(xiàn)在需要修改運(yùn)行時(shí)軟件，以檢測(cè)任何更改并糾正任何異常行為，或者至少發(fā)出警告，指出程序存在的問題。

是德科技高級(jí)總監(jiān)Marc Witteman表示：“在半導(dǎo)體領(lǐng)域，這通常被稱為‘測(cè)量啟動(dòng)’。開放計(jì)算項(xiàng)目（OCP）正嘗試對(duì)啟動(dòng)過程和固件鏡像進(jìn)行檢測(cè)，這是實(shí)現(xiàn)信任保障的解決方案之一。因此，從某種程度上來說，通過部署相關(guān)技術(shù)，一旦發(fā)現(xiàn)軟件鏡像出現(xiàn)異常便發(fā)出警報(bào)，就能為軟件提供防篡改保護(hù)?！?/p>

堆疊的優(yōu)缺點(diǎn)

諷刺的是，3D IC前所未有的復(fù)雜性，或許能夠增強(qiáng)對(duì)日益復(fù)雜攻擊的防護(hù)，尤其是在良好的布局規(guī)劃下。事實(shí)上，3D IC面臨的挑戰(zhàn)可能更多地在于功能實(shí)現(xiàn)和良率提升，而非安全性。原因在于，堆疊芯片會(huì)增加復(fù)雜性和物理層面的“模糊性”，從而有助于防止芯片篡改和逆向工程。通過垂直堆疊多個(gè)芯?；蛐酒?，3D IC架構(gòu)或許能夠?qū)崿F(xiàn)傳統(tǒng)2D集成電路甚至其他多芯片架構(gòu)都無法實(shí)現(xiàn)的全新安全保護(hù)措施。

Rambus硅IP高級(jí)技術(shù)總監(jiān)Scott Best表示：“3D IC顯著提高了攻擊者在不被檢測(cè)或干預(yù)的情況下訪問或探測(cè)內(nèi)部互連結(jié)構(gòu)的難度。這種情況在異質(zhì)裸片堆疊中已然存在，對(duì)于同質(zhì)芯片堆疊尤其如此?！?/p>

在2.5D或3.5D設(shè)計(jì)中，分立的芯片通過中介層連接，這會(huì)使它們暴露在外。但在完整的3D IC設(shè)計(jì)中，芯片彼此連接，這使得黑客更難以辨別堆疊芯片層內(nèi)部深處的情況。

新思科技的Borza表示：“在多數(shù)情況下，3D IC比2.5D技術(shù)、中介層上的芯粒或系統(tǒng)級(jí)封裝技術(shù)更難被訪問，因?yàn)橹薪閷痈愃朴谝粔K小型印刷電路板。中介層本身可能是硅基的，也可能是有機(jī)基板，在某些情況下甚至是陶瓷基板，但無論哪種材質(zhì)，所有互連結(jié)構(gòu)都是暴露的。這意味著每個(gè)點(diǎn)的物理尺寸相對(duì)較大，可能很容易被攻擊者輕松訪問，因此他們有機(jī)會(huì)讀取數(shù)據(jù)。而在3D堆疊中，某些中間層的訪問難度極高，與試圖獲取芯片內(nèi)機(jī)密信息時(shí)遇到的可訪問性問題類似。現(xiàn)在討論的是更小的線路，在3D IC中，各組件層層堆疊，中間層難以訪問，因此相對(duì)而言更難被攻擊。篡改可能發(fā)生在接口處，就像使用光源或激光將故障注入芯片一樣，這使得3D IC在這些環(huán)節(jié)仍容易受到篡改。

多源芯粒也能提高安全性，前提是這些芯粒的來源有保證。“通過有意利用多元化策略，用戶可將每個(gè)芯粒分配給不同的制造合作伙伴，”西門子EDA公司Calibre 3D IC解決方案產(chǎn)品管理高級(jí)總監(jiān)John Ferguson表示，“這使得任何一個(gè)供應(yīng)商都難以了解設(shè)計(jì)的全部意圖。為進(jìn)一步強(qiáng)化這一效果，甚至可以將單個(gè)芯粒分解成更小單元，并由不同的代工廠進(jìn)行生產(chǎn)?！?/p>

也可以將芯粒的前端制造在一家代工廠進(jìn)行，而將后端制造在另一家代工廠進(jìn)行?！昂笳呖雌饋碛悬c(diǎn)像無源中介層芯粒，只是在硅片上覆有金屬，”Ferguson表示，“它們之后可以通過硅通孔(TSV)甚至直接鍵合進(jìn)行連接。同樣，各個(gè)封裝或基板的RDL層也可以拆分，并發(fā)送給不同的供應(yīng)商?！?/p>

但這種高復(fù)雜度對(duì)設(shè)計(jì)團(tuán)隊(duì)和黑客而言都是挑戰(zhàn)，它會(huì)影響產(chǎn)品上市時(shí)間和總體設(shè)計(jì)成本，同時(shí)增加其他安全風(fēng)險(xiǎn)。“你必須非常小心，確保任何給定接口兩側(cè)使用的工藝和材料都能正確連接，”Ferguson表示，“由于涉及的加工步驟增多，設(shè)計(jì)可能會(huì)在無意間面臨更多可靠性問題。同時(shí)，需將部件送往多家供應(yīng)商生產(chǎn)，這也會(huì)導(dǎo)致供應(yīng)鏈流程顯著延遲。即便如此，這也未必是100%萬無一失的?！?/p>

減少攻擊面

關(guān)鍵在于識(shí)別和限制攻擊面，同時(shí)對(duì)剩余暴露部分加以保護(hù)?！叭绻麑⑿酒询B起來，攻擊面是有限的，而若采用2D平面布局，攻擊者從底部或可見的底層位置，就能輕松接觸到所有組件，”Secure-IC首席技術(shù)官Sylvain Guilley表示，“就可訪問性和檢測(cè)儀器而言，放置探頭并嘗試用示波器讀取數(shù)據(jù)，或者強(qiáng)行禁用一些東西等，在系統(tǒng)開放時(shí)，這些操作都會(huì)比系統(tǒng)折疊壓縮成緊湊結(jié)構(gòu)時(shí)容易得多。一旦形成堆疊或‘三明治’式結(jié)構(gòu)，中間層幾乎無法觸及，僅通過這種布局設(shè)計(jì)和封裝方式本身，就能實(shí)現(xiàn)自我保護(hù)?！?/p>

這本質(zhì)上是通過布局規(guī)劃來保障安全。如果最重要的資產(chǎn)位于堆棧的中間，它們的安全就不那么容易受到攻擊。但代價(jià)是，邏輯和數(shù)據(jù)移動(dòng)會(huì)產(chǎn)生熱量，而當(dāng)熱量需要從堆棧中間而不是頂部或側(cè)面排出時(shí)，散熱會(huì)更加困難。

多芯片設(shè)計(jì)還會(huì)增加更多故障點(diǎn)，從而增強(qiáng)設(shè)備抵御攻擊的能力?！凹词褂幸粋€(gè)核心安全組件，仍需管理其他組件的身份驗(yàn)證方式，并為它們構(gòu)建各自的安全層，”Secure-IC首席營(yíng)銷官Yan-Taro Clochard指出，“這包括評(píng)估芯粒系統(tǒng)和整體分解芯片的特定威脅，因此可能要求子系統(tǒng)的每個(gè)部分都具備抵御物理攻擊的獨(dú)立防護(hù)能力。但這也使整體安全架構(gòu)分布更加復(fù)雜，必須防范此類情況的發(fā)生?！?/p>

其他保護(hù)措施和最佳實(shí)踐

保護(hù)硬件免遭篡改可采用多種技術(shù)手段，從物理屏蔽到計(jì)算保護(hù)措施。

Rambus的Best表示：“基于硬件的解決方案包括電路級(jí)傳感器，當(dāng)檢測(cè)到極端環(huán)境、時(shí)鐘故障或電壓異常時(shí)，它們會(huì)發(fā)出警報(bào)信號(hào)。防篡改物理不可克隆函數(shù)(PUF)是另一種強(qiáng)大的方法。它們可利用芯片防護(hù)結(jié)構(gòu)的差異性生成加密密鑰，這樣，當(dāng)設(shè)備受到物理攻擊時(shí)，攻擊者將永久無法獲取PUF生成的密鑰。此外，隨機(jī)掩碼等計(jì)算防護(hù)措施也至關(guān)重要，能有效抵御功耗分析、電磁分析等非侵入式側(cè)信道攻擊。這些技術(shù)共同構(gòu)成了縱深防御策略，與眾多不斷發(fā)展的商業(yè)標(biāo)準(zhǔn)相契合。”

關(guān)鍵在于盡可能地防御攻擊，并在攻擊成功后迅速恢復(fù)，而這在很大程度上取決于受保護(hù)對(duì)象的價(jià)值。汽車行業(yè)就是一個(gè)很好的例子。

Best表示：“在推動(dòng)微電子供應(yīng)商重視汽車子系統(tǒng)安全標(biāo)準(zhǔn)方面，汽車行業(yè)做出了卓越貢獻(xiàn)。無論是針對(duì)功能安全的ASIL B級(jí)、ASIL D級(jí)ISO標(biāo)準(zhǔn)，還是網(wǎng)絡(luò)安全相關(guān)的ISO標(biāo)準(zhǔn)及CSIP規(guī)范，均納入了防篡改安全理念。幾乎所有其他行業(yè)的安全標(biāo)準(zhǔn)推進(jìn)速度都遠(yuǎn)落后于汽車行業(yè)，后者正引領(lǐng)著這些標(biāo)準(zhǔn)的發(fā)展。”

汽車安全性之所以復(fù)雜，是因?yàn)樗鼈兪窍到y(tǒng)之系統(tǒng)，因此設(shè)計(jì)團(tuán)隊(duì)必須應(yīng)對(duì)的不再僅僅是芯片本身。他們必須思考自己的設(shè)計(jì)目標(biāo)。如果系統(tǒng)進(jìn)行了更新，是否會(huì)引發(fā)新的安全問題？在極端環(huán)境溫度下，電路會(huì)因高溫而發(fā)生變化時(shí)，是否會(huì)從安全層面帶來新風(fēng)險(xiǎn)？

所有這些因素都會(huì)對(duì)每一家原始設(shè)備制造商（OEM）產(chǎn)生影響，無論是汽車行業(yè)還是其他行業(yè)。安全和品牌聲譽(yù)對(duì)OEM至關(guān)重要，尤其是在汽車行業(yè)，安全問題會(huì)嚴(yán)重影響品牌形象。微電子層面的安全性至關(guān)重要，因?yàn)樗苯佑绊懗丝桶踩凸拘蜗蟆?/p>

結(jié)語(yǔ)

如今，半導(dǎo)體設(shè)備已成為支撐汽車、個(gè)人電子、工業(yè)基礎(chǔ)設(shè)施等領(lǐng)域的核心基石，構(gòu)建強(qiáng)健的半導(dǎo)體安全體系需求迫切，毋庸置疑。隨著系統(tǒng)互連程度和復(fù)雜性的不斷提升，安全防護(hù)需采用不斷演進(jìn)的多層級(jí)策略，涵蓋物理防護(hù)、模擬防護(hù)、計(jì)算防護(hù)及組織管理防護(hù)等多個(gè)維度。

封裝方法、布局設(shè)計(jì)、芯粒技術(shù)以及各類傳統(tǒng)和新型的防篡改方法，不僅會(huì)深刻影響設(shè)計(jì)方案抵御攻擊的能力，也決定了攻擊發(fā)生后的應(yīng)對(duì)效果。但所有這些安全設(shè)計(jì)都需在設(shè)計(jì)周期早期啟動(dòng)，并具備隨時(shí)間推移調(diào)整防護(hù)策略的能力。