數以億計的設備互聯時代,眾人享受著快速傳輸和共享資訊的便利性的同時,當中隱含的IoT/AIoT資安問題更為複雜。
傳統靠軟體和網路加密連線的安全性來維護資安早已遠遠不足,試想一旦有任何一個邊緣裝置中的晶片安全性被駭客破解,便可輕易竊取金鑰並獲得其中的敏感資訊。 未來,要有牢不可破的安全防護,必須從硬體安全下手。
講一個毛骨悚然的案例。 過去駭客曾證明可以透過網路連線遠端存取特斯拉Model S的控制系統,並且控制螢幕,還可以操縱計速器來顯示錯誤的車速、打開或關閉車窗、上鎖或解鎖汽車,甚至 可操縱汽車啟動或熄火。
特斯拉發現,這個安全漏洞就是存在資訊娛樂系統和WiFi連線之中,隨後提供了一個無線軟體更新,但這樣補救措施遠遠不夠。 特斯拉更針對網路連線的硬體安裝了新的程式碼署名方式,在SoC中採用硬體信任根(root of trust;RoT)作為硬體安全的保障。
想想在萬物互聯時代,數以億計的邊緣裝置設備在資料收集點進行運算最後再傳回雲端時,萬一晶片有安全性疑慮,不只是敏感資訊有洩漏風險,中央伺服器也將成為被 攻擊的目標。 因此,科技廠商開始朝著基於晶片硬件的安全技術加碼,才能有全面性的防禦效果。
過去,晶片硬體業者都是用非揮發性記憶體NVM(Non-volatile Memory)像是eFuse、OTP、Flash Memory等來儲存機密資料,隨著IoT和AIoT時代的網路互聯複雜性大舉提升,這樣的做法 安全性仍是不足。
最佳的解決方案是用一把「終極鑰匙」把放鑰匙的地方(eFuse、OTP等NVM儲存)上鎖,再以有「晶片指紋」之稱的PUF 技術,來賦予這把「終極鑰匙 「獨特的指紋辨識功能,讓機密資料的防禦是滴水不漏、牢不可破。
IP矽智財大廠力旺電子eMemory與其旗下的安全IP供應商熵碼科技PUFsecurity 一直在對業界進行安全倡議「真正硬體信任根」的重要性,基於PUF(實體不可複製功能)的安全IP 是 最佳解決方案。
在晶片安全中,從應用層、作業系統層、韌件層至硬體層皆須有對應設計,缺一不可。 而整體安全防護網中最重要的設計,便是硬體層中作為整個晶片信任基礎的硬體信任根(root of trust)。 硬體信任根提供整個晶片安全運作所需的根密鑰(Root Key)、硬體識別碼 (UID)、硬體獨特鑰匙(HUK)、與隨機數 (entropy),因此容易成為駭客攻擊的目標。
力旺電子的NeoPUF 是一種 PUF 技術,用來產生作為根密鑰、硬體識別碼、硬體獨特鑰匙的晶片指紋。 這當中的創新點在於,利用每一個晶片獨一無二的物理特徵(也就是晶片指紋)作為晶片信任基礎。 這是只有晶片自己才能取用的最根本的密鑰,無法被複製、盜用。
利用這來自晶片硬體特徵的信任基礎,發展整體系統所需的安全功能,比方衍生更多的金鑰、加密OTP以達到安全儲存等。 這套技術還有一個優勢,因為每個晶片都有獨一無二的金鑰,可以避免短時間被大規模破解的資安威脅;不像現行常見的做法,整批產品都是注入同一把金鑰, 造成我們常看到的大規模損失事件。
力旺子公司和熵碼科技的PUFsecurity基於母公司的PUF和OTP技術,發展一系列的整合式安全解決方案,包括安全OTP、硬體信任根(PUFrt)、加密協處理器(PUFcc)和快閃記憶體保護 系列。
其中,PUFcc是市場上唯一整合完整的硬體信任根模組、適用於不同功能需求的全套演算法(crypto engine),以及抗攻擊設計(anti-tamper design)的產品。 PUFcc的可靠性有NIST-CAVP、Riscure Common Criteria Certification、PSA Certified Level 2 Ready保證了PUFcc在安全啟動、安全儲存、韌件更新、安全邊界和加密引擎設計上的可靠性。
在實務方面,PUFsecurity 亦有母公司力旺電子多年來在業界及代工廠夥伴兼打下的穩固基礎支援,得以在廣泛的技術平台上提供高性能和具成本效益的安全 IP 解決方案。
例如去年力旺和熵碼就與聯電共同宣布全球首個PUF的嵌入式閃存eFlash解決方案通過矽驗證(力旺和熵碼宣布全球首個安全嵌入式閃存IP通過聯電製程的矽驗證)。 PUFef可藉由內建的信任根 (PUFrt) 為聯電的 eFlash 技術平台提供全面的資料保護,滿足物聯網應用對效能和超低功耗的要求,以及程式碼的即時解密。
值得一提的是,Arm 在2017年首次提出物聯網安全性架構的概念,也是第三方物聯網硬體、軟體和裝置的安全認證 PSA Certified 的共同創辦單位。 透過PSA Certified Program,力旺和熵碼的PUFcc做為市場上最完整的硬體安全協處理器,已成功和Arm Cortex系列整合。 在其最新推出的白皮書當中,更提到了兩大應用建議:
針對低功耗需求的邊緣裝置,可參考PUFcc與Corstone-200的整合方案;而針對高運算需求的應用,如AIoT,則可參考PUFcc與Corstone-300的整合方案。