IC 制造生命周期中的安全基礎(chǔ)知識(shí)

如今，供應(yīng)鏈安全是一個(gè)熱門(mén)話(huà)題。芯片供應(yīng)商特別關(guān)注，因?yàn)樗麄兲峁┳钊菀资艿?a target="_blank">信息提取和操縱的組件。同時(shí)，原始設(shè)備制造商 (OEM) 對(duì)了解其芯片供應(yīng)商供應(yīng)鏈中的風(fēng)險(xiǎn)以及這些風(fēng)險(xiǎn)如何影響其最終產(chǎn)品具有既得利益。因此，雖然產(chǎn)品開(kāi)發(fā)的雙方都存在安全威脅，但特定于 OEM 生命周期階段的風(fēng)險(xiǎn)也是一個(gè)問(wèn)題。

這個(gè)由兩部分組成的系列將著眼于芯片供應(yīng)商和 OEM 之間的相互關(guān)系，以及他們必須如何合作以保護(hù)所有制造階段的漏洞。第一篇文章確定了 IC 生產(chǎn)生命周期每個(gè)步驟中的威脅，并描述了如何緩解這些威脅。第二篇文章側(cè)重于 OEM 特定的安全風(fēng)險(xiǎn)，并描述了最終產(chǎn)品制造商和芯片供應(yīng)商如何承擔(dān)責(zé)任。這些文章將表明 OEM 和芯片供應(yīng)商可以通過(guò)在其每個(gè)生產(chǎn)階段承擔(dān)風(fēng)險(xiǎn)來(lái)防止大部分安全攻擊。

IC 生命周期每個(gè)階段的安全威脅

無(wú)論是由于代工廠的故意行為還是不良行為者的滲透，IC 生命周期的每個(gè)階段都存在多種威脅，可能使最終產(chǎn)品面臨風(fēng)險(xiǎn)。

制造生命周期包括以下步驟，如圖 1 所示。

制造

探針測(cè)試

封裝組裝

封裝測(cè)試

電路板組裝（OEM 擁有和控制）

電路板測(cè)試（OEM 擁有和控制）

圖 1 上述概要顯示了 IC 生命周期開(kāi)發(fā)的六個(gè)關(guān)鍵階段。資料來(lái)源：硅實(shí)驗(yàn)室

IC 開(kāi)發(fā)從制造階段開(kāi)始，在該階段設(shè)備在代工廠中進(jìn)行物理制造。此時(shí) IC 的 ROM 已編程，但所有其他存儲(chǔ)器（OTP、閃存和 RAM）均未編程。下一步是探針測(cè)試，其中 IC 在從硅片上切下之前先進(jìn)行功能測(cè)試。在這個(gè)階段，沒(méi)有安裝永久配置，并且在制造過(guò)程中插入的任何數(shù)據(jù)都將作為測(cè)試過(guò)程的一部分被刪除。

在封裝組裝階段，將單個(gè)裸片放入封裝中。這一步是一個(gè)完全機(jī)械的過(guò)程，不進(jìn)行編程或測(cè)試。一旦進(jìn)入封裝，IC 就會(huì)進(jìn)行封裝測(cè)試，通常被硅供應(yīng)商稱(chēng)為“最終測(cè)試”，因?yàn)檫@是他們運(yùn)行的最終測(cè)試。

該測(cè)試有多種用途：尋找組裝過(guò)程中的缺陷，檢查設(shè)備是否存在參數(shù)問(wèn)題，例如功耗過(guò)大或特性不合格。此外，它使用任何硅供應(yīng)商提供的數(shù)據(jù)初始化設(shè)備。然后將設(shè)備出售給執(zhí)行電路板組裝的 OEM，然后將設(shè)備安裝到系統(tǒng)中。接下來(lái)，在電路板測(cè)試中，IC 接受最終測(cè)試、配置和編程。

通過(guò)對(duì) IC 生命周期步驟的基本了解，我們現(xiàn)在可以深入了解每個(gè)步驟中存在的威脅。在討論這些步驟時(shí)，我們將使用 Silicon Labs 的制造生命周期作為 IC 開(kāi)發(fā)模型。其他半導(dǎo)體供應(yīng)商將大體相似，因此本概述應(yīng)適用于大多數(shù)供應(yīng)商。

制造

針對(duì)此步驟的攻擊極不可能發(fā)生，因?yàn)樗鼈兂杀靖甙?，并且需要生成至少一個(gè)新的掩碼集、對(duì)設(shè)備的深入分析以及高度的專(zhuān)業(yè)知識(shí)。此外，這一步的任何攻擊都不能輕易針對(duì)特定的最終產(chǎn)品。由于代工廠生產(chǎn)多個(gè)晶圓，每個(gè)晶圓上都有數(shù)千個(gè)設(shè)備，攻擊者無(wú)法知道哪些設(shè)備最終會(huì)用于哪些最終產(chǎn)品。此外，在此開(kāi)發(fā)階段對(duì)設(shè)計(jì)進(jìn)行的任何修改都會(huì)影響該制造設(shè)備的每個(gè)副本，從而使其更容易檢測(cè)。但是，此階段的漏洞確實(shí)會(huì)帶來(lái)安全風(fēng)險(xiǎn)，如以下小節(jié)所述。

數(shù)據(jù)提取

代工廠的一種可能的攻擊向量是訪問(wèn)使最終產(chǎn)品面臨風(fēng)險(xiǎn)的機(jī)密信息。例如，如果 IC 在 ROM 中具有對(duì)稱(chēng)或私鑰——或硬編碼到寄存器等其他硬件中——代工廠可以輕松提取該值。同樣重要的是要記住，任何可以從設(shè)計(jì)中輕松提取的數(shù)據(jù)也可以通過(guò)逆向工程從設(shè)備的物理副本中獲得。例如，一些實(shí)驗(yàn)室將以不到 1 萬(wàn)美元的價(jià)格對(duì) ROM 數(shù)據(jù)進(jìn)行反處理和提取，這可能比從代工廠獲取布局更具成本效益。為避免此問(wèn)題，精心設(shè)計(jì)的產(chǎn)品絕不應(yīng)包含機(jī)密信息。

邏輯變化

一個(gè)更合理的威脅是鑄造廠修改設(shè)備以引入可利用的缺陷。這種修改可能包括修改 ROM 的內(nèi)容或邏輯以改變?cè)O(shè)備的行為或引入額外的功能。雖然這些類(lèi)型的更改既困難又昂貴，但基本操作完全在攻擊者的能力范圍內(nèi)，可以破壞代工廠。

針對(duì)這種攻擊的一個(gè)很好的對(duì)策是進(jìn)行抽樣測(cè)試，以驗(yàn)證生產(chǎn)線(xiàn)下隨機(jī)設(shè)備的功能。例如，Silicon Labs 每年可以隨機(jī)抽取幾個(gè)樣本，并運(yùn)行測(cè)試來(lái)驗(yàn)證 ROM 的內(nèi)容、驗(yàn)證邏輯以及測(cè)試其他功能。如果代工廠進(jìn)行更改，這些測(cè)試將失敗。雖然可能會(huì)引入此測(cè)試無(wú)法捕捉到的邏輯更改，但此類(lèi)更改的效果將受到嚴(yán)重限制，可能會(huì)達(dá)到無(wú)用的地步。在受信任的站點(diǎn)（例如，公司總部）執(zhí)行樣品測(cè)試可以極大地降低代工廠對(duì)硬件進(jìn)行更改并成功破壞旨在檢測(cè)它的測(cè)試的風(fēng)險(xiǎn)。

篡改檢測(cè)的未來(lái)改進(jìn)，例如基于機(jī)器學(xué)習(xí)的圖像分析，可能會(huì)進(jìn)一步防止未經(jīng)授權(quán)的芯片修改，但這些選項(xiàng)今天不可用。

設(shè)備復(fù)制

在這種類(lèi)型的攻擊中，代工廠生產(chǎn)過(guò)多的設(shè)備，然后作為合法設(shè)備出售。例如，攻擊者可以用修改過(guò)的 ROM 過(guò)量生產(chǎn)部件，并將它們作為合法的 OEM 出售，繞過(guò)旨在捕獲此類(lèi)更改的測(cè)試。這種方法允許攻擊者直接針對(duì) OEM，因?yàn)檫@些設(shè)備不再流經(jīng)供應(yīng)商的供應(yīng)鏈。

防止過(guò)度生產(chǎn)的最佳方法是在包測(cè)試時(shí)提供加密憑證。然后，OEM 可以檢查這些憑據(jù)，以確保他們從該供應(yīng)商處收到了正品設(shè)備。盡管代工廠可以生產(chǎn)物理上相同的設(shè)備，但他們無(wú)法為其生成有效憑證，并且 OEM 會(huì)檢測(cè)到任何假貨。

這種緩解需要標(biāo)準(zhǔn)的未鎖定設(shè)備來(lái)安全地保存密鑰。Silicon Labs 提供具有此功能的 Vault-High EFR 產(chǎn)品。使用安全級(jí)別較低的設(shè)備（例如 Vault-Mid 設(shè)備而不是 Vault-High 設(shè)備）的 OEM 可以通過(guò)使用像 Silicon Labs 的定制部件這樣的定制編程服務(wù)來(lái)實(shí)現(xiàn)類(lèi)似的效果（盡管保護(hù)級(jí)別較低）制造服務(wù)（CPMS）。在這種情況下，對(duì)設(shè)備內(nèi)容的訪問(wèn)在發(fā)貨之前被鎖定，以便密鑰可以保密地存儲(chǔ)在非易失性存儲(chǔ)器 (NVM) 中。

設(shè)備分析

器件分析是代工廠中最現(xiàn)實(shí)的威脅。設(shè)備在不安全的解鎖狀態(tài)下制造，提供對(duì)成品中不可用的邏輯和系統(tǒng)的訪問(wèn)。雖然訪問(wèn)空白的開(kāi)放部件不會(huì)構(gòu)成直接的安全威脅，但攻擊者可以利用這個(gè)機(jī)會(huì)分析設(shè)備并尋找可以在配置和鎖定部件上利用的弱點(diǎn)。

雖然這種威脅存在于制造過(guò)程中，但它更有可能發(fā)生在組裝步驟中，下面將進(jìn)行更詳細(xì)的討論。

探針測(cè)試

An exploit targeting probe test costs less than that of making modifications in the foundry as it only requires the test program or tester to be compromised. However, as with attacks targeting fabrication, probe test attacks are systemic and can’t easily target a specific end-product or OEM.

Malicious code injection

An attacker may attempt to inject malicious code onto the device during probe test. However, any content injected at this step will either be erased at package test or cause the package test to fail when the vendor can’t program the correct content. In addition, secure boot will prevent any attempt to install unauthorized code once enabled in package test. This threat is not realistic for well-implemented products and production lifecycles.

Device analysis

理論上，在探測(cè)測(cè)試中控制測(cè)試儀的攻擊者可以執(zhí)行設(shè)備分析，類(lèi)似于通過(guò)代工廠的過(guò)度生產(chǎn)可以實(shí)現(xiàn)的分析。但是，攻擊者更有可能在組裝步驟中嘗試獲得此訪問(wèn)權(quán)限。

封裝組裝

由于這是供應(yīng)商將設(shè)備放入最終外形尺寸的步驟，因此封裝組裝是攻擊者最有可能竊取空白、打開(kāi)的設(shè)備以進(jìn)行復(fù)制和分析的地方。

點(diǎn)擊查看完整大小的圖片

圖 2 芯片制造商必須確保降低與開(kāi)放樣品相關(guān)的風(fēng)險(xiǎn)。資料來(lái)源：硅實(shí)驗(yàn)室

盜竊

竊取空白設(shè)備的目的是獲取開(kāi)放樣本，以對(duì)攻擊者有利的方式對(duì)其進(jìn)行配置，然后將它們作為合法設(shè)備交付給目標(biāo) OEM。此策略允許針對(duì)特定的 OEM 或產(chǎn)品并繞過(guò)供應(yīng)商的最終測(cè)試，否則會(huì)覆蓋或檢測(cè)修改。

與沒(méi)有輸入數(shù)量的制造步驟不同，組裝現(xiàn)場(chǎng)接收并生產(chǎn)已知數(shù)量的 IC，因此通過(guò)比較這些數(shù)字應(yīng)該很容易發(fā)現(xiàn)任何重大盜竊行為。

而且，與制造一樣，我們可以通過(guò)在封裝測(cè)試中對(duì)加密憑證進(jìn)行編程來(lái)防止被盜的開(kāi)放設(shè)備被假冒為正品。例如，為此目的，所有 EFR Vault-High 產(chǎn)品都配備了加密憑證，并且提供了 CPMS 以在沒(méi)有 Vault-High 功能集的設(shè)備上配置憑證。

設(shè)備分析

此階段設(shè)備分析的最明顯示例是攻擊者在安全引擎 (SE) 被編程和鎖定之前竊取設(shè)備，并使用該訪問(wèn)權(quán)限來(lái)了解郵箱機(jī)制和 SE 硬件的功能。從理論上講，這種訪問(wèn)可以讓攻擊者識(shí)別出一個(gè)弱點(diǎn)，然后可以將其轉(zhuǎn)化為針對(duì)鎖定 SE 的漏洞利用。

器件分析只需要從組裝現(xiàn)場(chǎng)獲取少量器件。雖然限制對(duì)開(kāi)放樣本的訪問(wèn)是理想的防御層，但應(yīng)該假設(shè)攻擊者將在某個(gè)時(shí)候獲得對(duì)開(kāi)放樣本的訪問(wèn)權(quán)限。IC 的設(shè)計(jì)方式不應(yīng)造成不可接受的風(fēng)險(xiǎn)或破壞系統(tǒng)的安全性。

Silicon Labs 采取了幾個(gè)步驟來(lái)降低與開(kāi)放樣品相關(guān)的風(fēng)險(xiǎn)，包括審核組裝承包商的流程和程序，跟蹤內(nèi)部用于開(kāi)發(fā)的任何開(kāi)放設(shè)備，以及在不再需要時(shí)銷(xiāo)毀開(kāi)放樣品。此外，產(chǎn)品旨在保持安全，即使是針對(duì)具有開(kāi)放樣本和完全訪問(wèn)設(shè)計(jì)的攻擊者。最后，內(nèi)部和第三方滲透測(cè)試均由具有開(kāi)放樣本、全面設(shè)計(jì)知識(shí)和高度專(zhuān)業(yè)知識(shí)的個(gè)人執(zhí)行。

硬件改造

今天，使用更改或附加組件修改包裝所帶來(lái)的風(fēng)險(xiǎn)相當(dāng)小。這不是一個(gè)高風(fēng)險(xiǎn)的攻擊媒介有幾個(gè)原因。首先，組裝距離終端系統(tǒng)足夠遠(yuǎn)，因此很難針對(duì)特定的終端設(shè)備（如門(mén)鎖）。此外，空間限制使得隱藏 IC 的任何添加變得困難。最后，抽樣測(cè)試可以通過(guò)對(duì)幾個(gè)單元進(jìn)行 X 射線(xiàn)檢測(cè)以識(shí)別意外組件來(lái)檢測(cè)任何大規(guī)模攻擊。

封裝測(cè)試

有許多通用方法可以使包測(cè)試階段的漏洞利用變得更加困難，包括限制對(duì)測(cè)試站點(diǎn)的訪問(wèn)和維護(hù)日志記錄控制。首先，應(yīng)遵守網(wǎng)絡(luò)和 PC 的正常安全做法。例如，測(cè)試系統(tǒng)不應(yīng)直接連接到 Internet，也不應(yīng)使用可通信的登錄憑據(jù)。供應(yīng)商應(yīng)對(duì)這些流程和系統(tǒng)進(jìn)行定期審查，以確保它們不被更改或利用。這些簡(jiǎn)單的操作會(huì)使攻擊者更難獲得對(duì)測(cè)試系統(tǒng)的訪問(wèn)權(quán)限。

圖 3 在封裝測(cè)試站點(diǎn)，擁有不受其他供應(yīng)商影響的受信任機(jī)器至關(guān)重要。資料來(lái)源：硅實(shí)驗(yàn)室

Silicon Labs 部署了多種技術(shù)來(lái)在其測(cè)試站點(diǎn)提供增強(qiáng)的安全性。例如，該公司委托不與其他供應(yīng)商共享的安全強(qiáng)化測(cè)試人員。此外，Silicon Labs 為測(cè)試站點(diǎn)提供了一臺(tái)受信任的機(jī)器，該機(jī)器不受其影響，可用于監(jiān)控和支持測(cè)試人員。這臺(tái)機(jī)器位于服務(wù)器機(jī)房中，沒(méi)有本地接口，并且包含旨在抵御物理攻擊的硬件。

惡意代碼注入

在這個(gè)階段最明顯的攻擊方法是注入惡意代碼來(lái)編輯設(shè)備的行為。芯片廠商在此步驟提供的代碼，例如 SE 固件，不會(huì)被板測(cè)試覆蓋；但是，如果可以更改，則可以運(yùn)送受損設(shè)備。

這種風(fēng)險(xiǎn)可以通過(guò)在 ROM 中使用帶有公鑰的安全引導(dǎo)來(lái)消除，從而確保只有正確簽名的代碼才能運(yùn)行。如果攻擊者試圖修改程序代碼，它將不再被正確簽名，并且設(shè)備將停止運(yùn)行。由于用于簽名的密鑰存儲(chǔ)在硬件安全模塊 (HSM) 中，受到嚴(yán)格控制，并且在任何生產(chǎn)環(huán)境中都不可用，因此攻擊者極不可能為被操縱的圖像生成正確的簽名。

由于測(cè)試要求，固件編程后啟用安全啟動(dòng)。盡管復(fù)雜，但這種生產(chǎn)流程使攻擊者有可能破壞包測(cè)試，從而對(duì)惡意映像進(jìn)行編程并禁用安全啟動(dòng)。

為了完全消除這種威脅，IC 應(yīng)允許 OEM 驗(yàn)證設(shè)備的狀態(tài)，而不受任何編程代碼的影響。例如，Silicon Labs 設(shè)備有一個(gè)硬件寄存器，用于指示 SE 子系統(tǒng)是否已鎖定，并允許 OEM 應(yīng)用程序或測(cè)試程序驗(yàn)證設(shè)備配置是否正確。通過(guò)此驗(yàn)證，OEM 可以檢測(cè)到任何封裝測(cè)試更改或惡意代碼，并丟棄這些更改的部分。

提取機(jī)密信息

如果在包測(cè)試期間對(duì)任何機(jī)密信息進(jìn)行了編程，攻擊者可能會(huì)通過(guò)破壞測(cè)試系統(tǒng)來(lái)尋求訪問(wèn)權(quán)限。對(duì)于標(biāo)準(zhǔn)嵌入式產(chǎn)品，與憑證關(guān)聯(lián)的密鑰是唯一存在的機(jī)密信息。對(duì)于在機(jī)上生成這些密鑰的設(shè)備，將無(wú)法提??；但是，如果測(cè)試系統(tǒng)注入密鑰，那么攻擊者可以獲得所需的訪問(wèn)權(quán)限，以便在編程時(shí)查看這些值。

使用機(jī)密的、OEM 特定信息定制的設(shè)備特別容易受到此類(lèi)攻擊的威脅。但是，遵循本系列文章中建議的芯片供應(yīng)商可以提供達(dá)到或超過(guò)大多數(shù)電路板測(cè)試設(shè)施的安全級(jí)別。始終建議 OEM 與芯片供應(yīng)商合作，以確定設(shè)備編程的最佳解決方案。

供應(yīng)鏈安全需要分層方法

安全性是一個(gè)系統(tǒng)級(jí)問(wèn)題，需要供應(yīng)商和 OEM 在開(kāi)發(fā)互聯(lián)產(chǎn)品時(shí)作為值得信賴(lài)的合作伙伴共同努力。隨著我們?cè)跇?gòu)建物聯(lián)網(wǎng) (IoT) 方面取得進(jìn)展，對(duì)于 OEM 來(lái)說(shuō)，評(píng)估其芯片供應(yīng)商在其制造生命周期中處理安全性的成功程度至關(guān)重要。在決定使用哪些供應(yīng)商時(shí)，OEM 應(yīng)考慮供應(yīng)商提供的透明度和徹底性水平，以及其 IC 的成本和性能。

立即與您的供應(yīng)商討論他們的制造安全性以及他們?nèi)绾螏椭_保您的最終產(chǎn)品的安全性。

本系列文章的第二部分將解釋 IC 制造生命周期的最后兩個(gè)階段，這與 OEM 特定的安全風(fēng)險(xiǎn)有關(guān)。

— Joshua Norem是 Silicon Labs的高級(jí) 系統(tǒng) 工程師 。

審核編輯 黃昊宇