在收緊出口管制以及對人工智能芯片走私和假冒日益增長的擔憂的推動下，位置驗證作為一種以最小的努力加強供應鏈監管的方式越來越受到關注。

過去，這種跟蹤是通過讓一名或多名員工真正監督晶圓廠的生產運行，一直跟蹤芯片到達目的地，并核算每個密封的板條箱來完成的。這是一種昂貴的方法，而且容易被濫用。很難在供應鏈的每個階段計算數百萬個單獨的芯片，從GDSII代碼交付到晶圓廠，再到最終交付給客戶，而且由于來自多個來源的多個芯片，它變得完全笨拙。

也許更重要的是，當技術已經存在以做得更好時，為什么還要派人去保護供應鏈？這個問題的答案很復雜，而且可能帶有政治色彩。但技術正在進步和改進。

有幾種主要方法可用于跟蹤芯片從制造到目的地的任何時刻的位置，包括：

• 芯片內置全球定位服務技術;

• 基于 ping 的技術，可向芯片發送信號并返回跟蹤站點，以及

• 地理圍欄，以限制芯片在一組邊界內外的行為。

一個很大的優點是，所有這些都依賴于已經使用的相對成熟的方法，并且比中間人類型的解決方案具有更大的粒度。位置驗證可以超越芯片的運輸地點，甚至何時使用。

“如果你有驗證技術，那么你也可以吃蛋糕，”進步研究所技術研究員陶·布爾加說，他專門研究人工智能安全領域的研發。“這是一種減少權衡的方式，你可以將更多芯片運送到可能是半可信的國家，并確保這些芯片不會被轉移到敵對國家。”

這些方法都不是完美的——至少本身不是完美的。由芯片或多芯片封裝竊聽的全球定位系統可以跟蹤每一個動作，但它也可能具有侵入性，容易欺騙，并消耗寶貴的芯片資源。因此，雖然對手肯定不喜歡它，但客戶也不總是對它感到興奮。這反過來又促使了一些創新來幫助減輕負面影響。

“我們有一種水印技術，它依賴于 ping 相鄰系統，”佛羅里達大學 ECE 系杰出教授、Caspia Technologies 聯合創始人 Mark Tehranipoor 說。“如果你將一個系統從系統的其余部分移開，系統就會知道這一點。因此，您將不得不隨身攜帶整個社區。這不是 GPS 跟蹤。這是本地驗證。這不那么侵入性，但它可以讓你表明，'嘿，我們銷售給沙特阿拉伯的任何系統是否出現在其他地方？這些系統總是相互通信。“嘿，你在嗎？”另一個人說，'是的，我在這里。所以你不知道他們到底在哪里，但你知道他們在一起。

沒有一種方法適合所有人
越來越明顯的是，沒有一種方法在任何地方都最有效。不同類型的芯片或系統之間的經濟風險和政治邊界可能有很大差異。因此，即使目標相同，解決方案也會根據定位精度的需求以及確保信息正確所需的功率、性能和成本而有很大差異。

例如，Ping 技術已經被用于數據主權目的。在基本級別，可以通過將 ping 從具有已知位置的服務器發送到 存儲數據的另一臺服務器，并測量 ping 返回的往返時間來精確定位位置。挑戰在于確定這些 ping 是否正確。

“這可以通過經過身份驗證的網絡連接來解決，”Rambus 硅安全高級總監 Scott Best 說。“有一些解決方案說，'如果你選擇世界各地的三臺谷歌服務器，并測量每臺服務器的 ping 響應時間，你就可以進行三角測量并找出你在世界上的位置。互聯網只能以大約三分之二的光速傳輸 ping，這給你提供了從美國東海岸到西海岸大約 20 毫秒的時間。測量這些東西的時間出奇地短。問題是，如果你把其中一個系統放進一個私有數據中心，你可以欺騙你想要的所有谷歌服務器，所以你的芯片會非常高興地想，“我只離開了谷歌服務器 5 毫秒。不，你不是，但他們正在欺騙你的芯片試圖聯系的所有 IP 地址，以找出它在哪里。但是，如果您向該組件添加一個身份驗證組件，并對網絡流量進行充分身份驗證，并且您有一個像我們一樣運行完整網絡堆棧的安全處理器，那么您可以將這些經過身份驗證的網絡測量作為啟動過程的一部分。所以現在你可以說，'我可靠地在這些受信任的地理位置服務器的距離內，這樣我就可以在有限的程度上知道我在北美而不是東北亞運營。

在高價值芯片中，例如用于人工智能的芯片中，可以添加安全層以加密方式對 ping 進行簽名并盡快發回。

“實時位置跟蹤意味著你有辦法確定你的位置，有很多方法可以做到這一點，”Synopsys 首席安全技術專家兼科學家 Mike Borza 說。“幾乎所有這些都涉及某種無線電或網絡技術，可以讓您了解它們的位置，這意味著設備中嵌入了一些東西，它一直試圖找出您在哪里，并且以低功耗進行。這會影響您需要將哪些技術整合到芯片中，否則您可能不需要這些技術，只是為了能夠定位它此刻的運行位置。

它還需要適當的基礎設施才能使其發揮作用。“這意味著人們可以繪制每個頻譜中的所有固定無線事物，包括藍牙設備和 ZigBee 設備，”Borza 說。“你打算像谷歌幾年前那樣繪制所有 Wi-Fi 熱點地圖嗎？該數據庫現在已經過時了，需要更新。但是，如果這些技術被用來定位設備并了解其運行位置——人們也在談論地理圍欄，因此設備在移動到特定區域時停止運行——那么您將面臨巨大的成本。它會縮短電池壽命，增加功耗，并且需要大量的軟件。這是那些想繼續經營這些東西的人很容易擊敗的事情之一。

它還增加了芯片的成本。英飛凌密碼學和產品安全高級總監 Erik Wood 在 2020 年進行了一項差距分析，以弄清楚嵌入位置跟蹤需要什么，在英飛凌分包商的設施中使用隔離的安全室在那里進行最終編程和測試。

“出于各種原因，這將需要一個 2 美元的微控制器，并將其變成 5 美元的微控制器，”伍德說。“你必須有一個最低數量。您必須保證容量充分利用。而且使用那個房間和那些機器的比率要高得多，所以這沒有實際意義。因此，我們最終所做的是建立并依賴我們基于芯片的安全性，這樣我們就可以相信該設備可以通過加密方式識別為英飛凌原產的來源芯片。它可以完成所有這些步驟，然后如果客戶愿意并關心它，他們可以向后看，向他們保證，即使他們沒有看到芯片上的書面記錄，他們也可以放心，在書面記錄期間，該設備沒有受到任何損害。

英飛凌目前為客戶提供加密原產地證明。

“我們所做的是在我們的源頭、工廠放置一個加密密鑰，然后在整個供應鏈中保護設備，這樣當最終用戶 OEM 獲得該設備時，”伍德說。“他們真正接管信任根的唯一方法是上網并獲得所謂的 CSR，這是一種證書令牌，它出來了，使他們能夠接管安全性，加載新策略，加載新密鑰，并進行我們所說的入學考試，它會檢查所有非易失性內存，以確保沒有任何不打算存在的東西。”

地理圍欄更進一步。位置驗證僅確認芯片的大致位置。如果芯片位于批準區域之外，地理圍欄可以限制或禁用芯片的功能。

“[驗證]并沒有真正增加新的攻擊面，”布爾加說。“地理圍區是一件非常不同的事情。當然，如果你正在創建遠程關閉芯片的能力，這可能會產生新的安全漏洞。無論哪個機構能夠關閉芯片，即使分配數據不一致，也可能會單方面關閉芯片。如果這不是問題，因為你有一個多方系統，你可能仍然在為不受信任的參與者創建一種訪問和使用它的方法。

布爾加說，出于這個原因，地理圍欄提案仍然存在爭議，而驗證被認為在短期內更可行。但所有選項都擺在桌面上。

根據總部位于華盛頓的智庫新美國安全中心的一份報告，“片上治理機制可以幫助保護功能廣泛的人工智能和超級計算系統的開發和部署，其中片上機制可以防止或為未經授權的行為者使用出口管制的人工智能芯片設置界限。

移動目標 可以運往哪里
的東西是復雜的、多變的，而且往往是模糊的。

“為先進人工智能芯片制定出口管制的工業安全局將芯片運送到頒發許可證或不需要許可證的目的地，”布爾加說，“你可以將芯片發送到某些國家，而不能發送到其他國家，或者你需要一個沒有頒發的許可證，然后芯片離開運輸港后，真的沒有辦法找到它。你可以進行親自檢查，但這些檢查并沒有真正發生。

人工智能政策與戰略研究所的報告表明，從馬來西亞和新加坡等國家轉移的人工智能芯片已被移交給中國并出售給那里的初創公司。“這是一種基于榮譽的系統，”布爾加說。

這種灰色市場的詭計也為其他問題打開了大門。“供應鏈一直對我擁有的系統中的芯片是否真實感興趣，”Rambus 的 Best 說。“我能證明它是真實的嗎？我能否追查可追溯性，以便我知道它是如何到達這里的，并且它不是從系統中偷來的、重新制造的并交給我的？如果它以某種對抗性的方式被修改，我可以監控可追溯性嗎？好吧，現在你有一個轉移問題。如果該系統在加拿大被拾取并空運到朝鮮，現在它在那里運行怎么辦？我們能察覺到這一點嗎？他們不太關心可追溯性。他們很樂意將該芯片用于私有數據中心。

未來的
不確定性美國政府已表示有興趣進行位置驗證，作為其更廣泛的人工智能和半導體安全戰略的一部分。《芯片安全法》包括驗證條款，但正在討論的修正案將允許公司使用面對面檢查作為替代方案。

“人工智能行動計劃發出了一個明確的信號，特別指出位置驗證是政府應該進一步探索的事情，”布爾加說。“這是政府前進方向的信號。發生這種情況并非巧合，因為新政府的政策非常注重出口管制，但也注重出口促進。

位置核查似乎符合支持美國技術出口同時解決國家安全問題的趨勢政策方向。“很多人對此感到興奮，因為這是一種低提升的干預措施，”他說。“關于如何使芯片更安全，還有其他建議，但這些建議需要更多的研發，而且尚不清楚它們是否可行，尤其是在短期內。位置驗證更突出的是，它不會產生太多缺點，并且只是極大地提高了了解芯片最終去向的能力，這可以服務于專家控制和出口促進目標。

盡管如此，仍存在重大的隱私問題和安全交付芯片的替代方法。然而，值得注意的是位置驗證和跟蹤技術的普遍性。

“如果你讀到政府、銀行或保險公司在定位服務方面做某事，這是一個很大的問題，”是德科技董事總經理 Maarten Bron 說。“但是，一旦你安裝了 Instagram，你被問到的第一個問題是，'可以使用你的位置嗎？你甚至不假思索地按下了'是'。因此，由于定位服務而對入侵的感知也與誰詢問您的位置有關。

這也引發了關于他們何時提問的問題。“如果你看看數據中心，供應鏈還包括生命周期結束，因為在某個時候存儲機架將不得不退役，”布隆說。“如果有一定比例的磁盤出現故障，則必須停用機架。如何擦除數據？通常，您現在看到的是加密擦除，因此數據的加密密鑰會被清除。這可以讓你假設數據永遠消失了。但是，如果有人使用聚焦離子束或其他方法能夠重建用于保護數據的密鑰呢？突然之間，你又重新開始營業了。芯片中存在某些唯一標識符，并且 Microsoft 和 Google 會在生命后添加場熵。但是，如果這些安全資產可以從芯片中提取，理論上您可以欺騙 CPU 或 GPU，使其具有完全不同的壽命。因此，這不僅僅是它何時進入供應鏈的問題。這也與它何時從數據中心退役并被其他東西取代有關。