針對半導(dǎo)體的網(wǎng)絡(luò)攻擊的數(shù)量和價值正在上升，但設(shè)計(jì)和封裝芯片的新方法可能會顯著降低這些數(shù)字。

根據(jù)網(wǎng)絡(luò)情報(bào)公司 CloudSEK 的一份報(bào)告，自 2022 年以來，與半導(dǎo)體相關(guān)的網(wǎng)絡(luò)安全攻擊增加了六倍多。這些攻擊已使半導(dǎo)體行業(yè)損失了約 10.5 億美元的勒索軟件相關(guān)損失，僅在美國就有數(shù)十億美元的戰(zhàn)略投資面臨風(fēng)險。研究人員還報(bào)告說，印度一家主要路邊援助和保險供應(yīng)商的 .git 存儲庫配置錯誤，該存儲庫暴露了與領(lǐng)先汽車品牌相關(guān)的 20 多 GB 敏感數(shù)據(jù)，包括完整的源代碼、支付網(wǎng)關(guān)令牌、云數(shù)據(jù)庫憑據(jù)以及數(shù)百萬個客戶和商家記錄。

這樣的例子不勝枚舉。變化在于硬件已成為主要攻擊媒介，破解芯片（或芯片系統(tǒng)）的最有效方法之一是將該設(shè)備帶入實(shí)驗(yàn)室并物理探測其弱點(diǎn)。過去，這通常涉及研磨包裝并使用掃描電子顯微鏡 （SEM） 找到各種探針點(diǎn)，這使得它對許多犯罪組織沒有吸引力。但 SEM 現(xiàn)在以低至 50,000 美元的價格廣泛使用，而且日益增加的復(fù)雜性為許多其他篡改途徑打開了大門。

“篡改是對手試圖物理訪問或修改芯片中信息的任何類型的嘗試，其中可能包括故障注入等，但也包括嘗試將探針插入芯片的某些部分或系統(tǒng)的一部分，以修改存在的數(shù)據(jù)或訪問可能從該接入點(diǎn)獲得的秘密信息，“Synopsys 首席安全技術(shù)專家 Mike Borza 說。

結(jié)果是，需要在過去基本上被忽視的地方實(shí)施安全措施。例如，運(yùn)行時軟件過去通常不會被篡改。但隨著對提高性能的需求不斷增長，以前由單個 CPU 管理的東西已被更專業(yè)的控制設(shè)備所取代，從而暴露了過去被認(rèn)為無法訪問的運(yùn)行時軟件。因此，現(xiàn)在需要修改運(yùn)行時軟件以檢測任何更改并糾正任何異常行為，或者至少提出一個標(biāo)志，表明程序不是它應(yīng)該有的樣子。

“在半導(dǎo)體領(lǐng)域，這通常被稱為'有節(jié)制的靴子'，是德科技高級總監(jiān) Marc Witteman 說。OCP 正在嘗試測量啟動和測量固件映像，這是實(shí)現(xiàn)信任保證的答案之一。因此，在某種程度上，您可以通過實(shí)施技術(shù)來防止篡改軟件，這些技術(shù)可以在看到軟件映像時標(biāo)記它。

疊加優(yōu)點(diǎn)和缺點(diǎn)具有
諷刺意味的是，3D-IC 前所未有的復(fù)雜性可以提供增強(qiáng)的保護(hù)，抵御日益復(fù)雜的攻擊，尤其是在良好的布局規(guī)劃下。事實(shí)上，3D-IC 面臨的挑戰(zhàn)可能更多地在于功能和良率，而不是安全性。原因是堆疊芯片增加了復(fù)雜性和物理混淆，有助于防止芯片篡改和逆向工程。通過垂直堆疊多個小芯片或芯片，3D-IC 架構(gòu)可能會引入新的安全保護(hù)，這是傳統(tǒng) 2D 集成電路甚至其他多芯片架構(gòu)無法實(shí)現(xiàn)的。

“3D-IC 使攻擊者在沒有檢測或緩解的情況下訪問或探測內(nèi)部互連變得更加困難，”Rambus 硅 IP 高級技術(shù)總監(jiān) Scott Best 說。“對于異構(gòu)芯片堆棧來說是如此，但對于同構(gòu)芯片堆棧尤其如此。例如，如果一個安全處理器小芯片與自身的兩個相同的副本進(jìn)行 3D 堆疊，則三模塊冗余算法不僅可以增強(qiáng)作彈性（例如，耐輻射性），還可以阻止對關(guān)鍵計(jì)算出錯的嘗試。

在 2.5D 或 3.5D 設(shè)計(jì)中，分立小芯片通過中介層連接，這可能會使它們暴露在外。但在完整的 3D-IC 中，小芯片相互連接，使黑客更難辨別堆疊芯片層深處發(fā)生的事情。

新思科技的Borza表示：“在許多情況下，3D-IC比2.5D技術(shù)、小芯片內(nèi)插層或系統(tǒng)級封裝技術(shù)更難獲得，在2.5D技術(shù)中，中介層更類似于小型印刷電路板。“中介層本身可能是硅，也可能是有機(jī)基板，如印刷電路板，在某些情況下甚至是陶瓷基板，但所有互連都是暴露的。這意味著這些點(diǎn)中的每一個在物理上都相對較大，并且可能相當(dāng)容易被對手訪問或訪問，因此他們有機(jī)會閱讀這些點(diǎn)。而在 3D 堆棧中，一些中間層將非常難以訪問，因此這與您試圖訪問片上密鑰時遇到的可訪問性問題相當(dāng)。你現(xiàn)在談?wù)摰氖歉〉木€，就 3D-IC 而言，你有堆疊的東西在其他東西之上，中間層很難找到，所以這些相對更容易訪問。篡改可能會發(fā)生在這些接口上，就像使用光源或激光器將故障注入芯片時一樣，這使得它可能容易受到篡改。

多源小芯片也有助于確保安全，確保這些小芯片的來源。“通過有意利用這一點(diǎn)，用戶可以將每個小芯片專門定位到單獨(dú)的制造合作伙伴，”西門子 EDA Calibre 3D-IC 解決方案產(chǎn)品管理高級總監(jiān) John Ferguson 說。“這使得任何一個消息來源都很難知道設(shè)計(jì)的全部意圖。這可以通過進(jìn)一步分解單個小芯片或進(jìn)一步將封裝分解成具有不同制造來源的小塊來進(jìn)一步利用。

也可以讓小芯片的前端在一家代工廠制造，而后端則在其他地方制造。“后者看起來有點(diǎn)像一個無源中介層小芯片，硅上只有金屬，”弗格森說。“這些稍后可以通過 TSV 甚至通過直接粘合連接。同樣，單個封裝或基板 RDL 層可以分解并發(fā)送給不同的供應(yīng)商。

但這種復(fù)雜程度對設(shè)計(jì)團(tuán)隊(duì)和黑客來說都是令人生畏的，它會影響上市時間和總體設(shè)計(jì)成本，同時增加其他安全風(fēng)險。“你必須非常小心，確保任何給定接口每一側(cè)使用的工藝和材料都能正確連接，”弗格森說。“由于涉及的處理步驟數(shù)量增加，您還可能無意中使設(shè)計(jì)受到更多的可靠性問題。由于必須向如此多不同的供應(yīng)商發(fā)送貨物，供應(yīng)鏈也出現(xiàn)了嚴(yán)重的延遲。即便如此，這也可能不是 100% 萬無一失。例如，我們知道通過 JEDEC 標(biāo)準(zhǔn)，在 DFT 中可以跟蹤所有互連的小芯片以查找故障。如果不小心，這種方法可能會被黑客入侵，但仍可以跟蹤完整的設(shè)計(jì)功能。

減少攻擊面
這里的關(guān)鍵是識別和限制攻擊面，并保護(hù)剩下的任何內(nèi)容。“如果你將芯片堆疊成一堆，表面是有限的，而如果你在 2D 上擁有所有內(nèi)容，攻擊者可以輕松地從你看到的底部或底部的頂部觸摸所有東西，”Secure-IC 首席技術(shù)官 Sylvain Guilley 說。“在可訪問性和儀器方面，放置探頭并嘗試用示波器讀出，或者強(qiáng)行禁用一些東西等，在系統(tǒng)打開時要容易得多，而不是折疊且非常緊湊。當(dāng)它是堆疊或三明治時，中間的層幾乎無法到達(dá)，因此僅通過布局和包裝方式的優(yōu)點(diǎn)就可以進(jìn)行自我保護(hù)。

這基本上是通過布局規(guī)劃實(shí)現(xiàn)的安全性。如果最重要的資產(chǎn)位于堆棧的中間，它們就不太容易受到攻擊。權(quán)衡是邏輯和數(shù)據(jù)移動會產(chǎn)生熱量，并且當(dāng)熱量需要從堆棧的中間而不是頂部或側(cè)面移出時，散熱會更加困難。

多個芯片還會增加更多的故障點(diǎn)，這可以使設(shè)備更能抵御攻擊。“即使你有一個安全中心人物，你仍然必須管理其他組件的身份驗(yàn)證方式并管理它們自己的安全層，”Secure-IC 首席營銷官 Yan-Taro Clochard 指出。“這包括評估特定于 Chiplet 系統(tǒng)和整體分解芯片的威脅，因此我們可能要求子系統(tǒng)的每個部分都包含自己的物理攻擊保護(hù)。但這也使整體安全分布更加復(fù)雜，你必須防范此類情況。

其他保護(hù)和最佳實(shí)踐保護(hù)
硬件免遭篡改可以包括從物理防護(hù)到計(jì)算保護(hù)的多種技術(shù)。

“基于硬件的解決方案包括電路級傳感器，當(dāng)它們檢測到極端環(huán)境、時鐘故障或電壓異常時，它們會發(fā)出警報(bào)信號，”Rambus 的 Best 說。“可篡改物理不可克隆功能 （PUF） 是另一種強(qiáng)大的方法。它們可用于從芯片屏蔽結(jié)構(gòu)的變化中派生加密密鑰，這樣當(dāng)設(shè)備受到物理攻擊時，PUF 生成的密鑰可能會永久丟失給對手。計(jì)算對策（例如隨機(jī)掩蔽）對于防御功率和電磁分析等非侵入性側(cè)信道攻擊也至關(guān)重要。這些技術(shù)共同構(gòu)成了一種深度防御戰(zhàn)略，與許多不斷發(fā)展的商業(yè)標(biāo)準(zhǔn)保持一致。

關(guān)鍵是能夠盡可能防御攻擊，并在攻擊成功時從攻擊中恢復(fù)，這可能會因所保護(hù)內(nèi)容的價值而有很大差異。汽車行業(yè)就是一個典型的例子。

“汽車行業(yè)正在做英雄般的工作，推動安全標(biāo)準(zhǔn)對任何交付最終將用于汽車子系統(tǒng)的微電子產(chǎn)品的重要性，”貝斯特說。“有 ASIL B 和 ASIL D 的 ISO 標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全的 ISO 標(biāo)準(zhǔn)和 CSIP 規(guī)范，所有這些都開始涉及防篡改安全理念。與汽車行業(yè)相比，幾乎每個市場都遠(yuǎn)遠(yuǎn)落后，汽車行業(yè)正在推動這些標(biāo)準(zhǔn)的進(jìn)步。如果您正在構(gòu)建一個將涉及汽車的 IP 塊或 SoC，您必須認(rèn)真對待安全性。忽視它是不可能的。

使車輛安全變得復(fù)雜的是，它們是系統(tǒng)的系統(tǒng)，因此設(shè)計(jì)團(tuán)隊(duì)必須應(yīng)對的不再只是芯片。他們必須考慮他們想要實(shí)現(xiàn)的目標(biāo)。如果他們做了更新，這會改變事情嗎？在極端環(huán)境溫度下，當(dāng)電路因高溫而開始變化時，從安全角度來看，這是否會開始改變事情？

在這里，模擬安全并不是為了加強(qiáng) PHY 和 SerDes 的“模擬性”并防止它們或使它們的行為更可靠，因?yàn)樗鼈円呀?jīng)存在可靠性問題。“但 [汽車生態(tài)系統(tǒng)] 正在做的一件事是在這些技術(shù)中添加大量傳感器，”貝斯特說。“芯片上到處都是傳感器，它們希望說，例如，'我到底是在哪個工藝角制造的？我是典型的機(jī)頭上來的，還是我快一點(diǎn)，慢一點(diǎn)？我將根據(jù)快或慢來調(diào)整我的表現(xiàn)。有些老化的計(jì)數(shù)器知道這個芯片的牙齒已經(jīng)有點(diǎn)老了，所以我需要調(diào)低時鐘性能，因?yàn)槲抑涝谶^去 5 到 10 年的運(yùn)行中，偏移量已經(jīng)積累。有溫度傳感器，能夠知道您需要設(shè)置什么。有傳感器用于從系統(tǒng)輸入的電壓。是不是太低了？是不是太高了？電壓有什么奇怪的事情嗎？在一些安全芯片中，有光傳感器可以告訴你，'是否有人把我倒置在顯微鏡下的實(shí)驗(yàn)室工作臺上，因?yàn)檫@是光線真正照射到這個基板上的唯一方式，當(dāng)你用手電筒照在我身上時，我不會表現(xiàn)得正確。

這意味著許多模擬電路必須受到大量模擬傳感器技術(shù)的保護(hù)，這就提出了一個問題：誰在監(jiān)視守望者？“您如何保護(hù)保護(hù)更昂貴電路的傳感器電路？世界上有一個強(qiáng)大、健康的市場，一些汽車規(guī)范特別說，“你可以隨心所欲地投入到這個數(shù)字安全上。我們還需要在整個 SoC 中使用模擬傳感器技術(shù)。您將在這些系統(tǒng)的一些更高級別的安全中查看溫度、電壓、老化和光線。所以你正在使用模擬來保護(hù)其他模擬，這很重要，“貝斯特說。“一直以來，乘客的安全都處于危險之中，他們成為大學(xué)實(shí)驗(yàn)室的目標(biāo)，他們說，'我們非常直接地闖入了這個 ECU 系統(tǒng)，然后我們安裝了一些惡意密鑰。安裝鑰匙后，我們可能會讓惡意軟件一直在車內(nèi)運(yùn)行。在這里，我們將關(guān)閉自動駕駛，我們將撞毀一輛汽車，'“他說。

所有這些都將影響到汽車行業(yè)和其他領(lǐng)域的每一個原始設(shè)備制造商。安全和品牌聲譽(yù)對于原始設(shè)備制造商至關(guān)重要，尤其是在汽車行業(yè)，因?yàn)榘踩珕栴}會嚴(yán)重影響品牌。微電子層面的安全被高度重視，因?yàn)樗苯佑绊懗丝桶踩凸拘蜗蟆！安煌放破囍g最重要的區(qū)別之一是品牌，”他說。“與其他行業(yè)相比，這些供應(yīng)商的品牌差異非常顯著，安全問題對品牌的影響是致命的。因此，任何被視為安全的東西，包括微電子安全，在這個行業(yè)中都受到極其重視，因?yàn)樗_實(shí)可以追溯到乘客安全。同樣重要的是與他們的品牌和聲譽(yù)相關(guān)的公司。

結(jié)論
在半導(dǎo)體器件支撐著從汽車到個人電子產(chǎn)品和工業(yè)基礎(chǔ)設(shè)施等一切事物的時代，對強(qiáng)大安全性的需求是毋庸置疑的。隨著系統(tǒng)變得更加互聯(lián)和復(fù)雜，保護(hù)它們需要一種不斷發(fā)展的多層方法，包括物理、模擬、計(jì)算和組織防御。

打包方法、布局、小芯片以及一些傳統(tǒng)和新的防篡改方法都會對設(shè)計(jì)首先擊退攻擊的能力以及如果這些攻擊成功時如何處理攻擊產(chǎn)生重大影響。但所有這些都需要在設(shè)計(jì)周期的早期解決，并能夠隨著時間的推移修改防御措施。