圖 1：OEM 負(fù)責(zé)確保 IC 生命周期的最后兩個(gè)階段：電路板組裝和電路板測試。資料來源：硅實(shí)驗(yàn)室

雖然產(chǎn)品生命周期中的 OEM 階段少于 IC 生產(chǎn)階段，但每個(gè)階段的安全風(fēng)險(xiǎn)都與芯片供應(yīng)商面臨的挑戰(zhàn)相似，并且同樣重要。好消息是 OEM 可以在其芯片供應(yīng)商建立的安全基礎(chǔ)上構(gòu)建并重用許多相同的技術(shù)。

1. 板組裝

電路板組裝很像 IC 生產(chǎn)中的封裝組裝步驟；但是，不是將芯片放入封裝內(nèi)，而是將封裝安裝到印刷電路板 (PCB) 上，然后通常將其安裝在某種外殼中。封裝組裝現(xiàn)場的物理和網(wǎng)絡(luò)安全是抵御攻擊的第一道防線；但是，這可能因承包商而異，并且由于成本考慮和電路板測試的性質(zhì)而往往很差。

此階段最重要的威脅是盜竊、設(shè)備分析和修改。下文描述了這些威脅的緩解措施。

盜竊

以合法設(shè)備轉(zhuǎn)售為目的的設(shè)備盜竊是此步驟的主要關(guān)注點(diǎn)。與 IC 生產(chǎn)中的封裝測試階段一樣，通過比較電路板組裝現(xiàn)場的進(jìn)出庫存，很容易發(fā)現(xiàn)任何重要數(shù)量的盜竊。

此階段 OEM 面臨的最大風(fēng)險(xiǎn)是攻擊者獲取大量設(shè)備，對(duì)其進(jìn)行修改，然后將修改后的產(chǎn)品介紹給最終用戶。如果芯片供應(yīng)商提供定制編程，OEM 可以通過訂購啟用和配置安全啟動(dòng)的部件來大大降低這種風(fēng)險(xiǎn)。安全啟動(dòng)將導(dǎo)致 IC 拒絕攻擊者試圖編程的任何修改軟件。

設(shè)備分析

與 IC 生產(chǎn)期間的封裝組裝階段相比，此步驟中攻擊者獲取系統(tǒng)進(jìn)行分析的可能性大大降低。此步驟的板通常不包含任何有用的信息進(jìn)行分析。如果攻擊者有興趣分析硬件結(jié)構(gòu)，他們可以通過購買設(shè)備輕松獲取樣本。此外，由于尚未對(duì)設(shè)備進(jìn)行編程，因此以這種方式獲取設(shè)備不會(huì)使攻擊者能夠訪問和分析任何特定于設(shè)備的軟件。

硬件改造

鑒于檢測此類修改的容易程度，很難實(shí)現(xiàn)大規(guī)模的 PCB 隱蔽修改。OEM 可以在受信任的環(huán)境中實(shí)施簡單的抽樣測試，直觀地檢查電路板并將它們與已知的良好樣品進(jìn)行比較以檢測變化。嘗試僅修改一組特定板的攻擊將逃避此類測試，但也更難以協(xié)調(diào)和實(shí)施。

1. 板子測試

電路板測試階段帶來的威脅與 IC 生產(chǎn)期間的封裝測試類似。例如，測試系統(tǒng)在多個(gè)供應(yīng)商之間共享是很常見的，這增加了安全漏洞或不良行為者攻擊的風(fēng)險(xiǎn)。然而，在這一步，原始設(shè)備制造商的供應(yīng)商往往比集成電路制造商的供應(yīng)商更加多樣化，這使得電路板測試比封裝測試更難確保安全。

板卡測試一般物理和網(wǎng)絡(luò)安全性較差。在產(chǎn)品之間共享空間和測試主機(jī)是非常普遍的，并且測試系統(tǒng)可能不會(huì)保持補(bǔ)丁。最后，在最終測試中暴露機(jī)密數(shù)據(jù)的風(fēng)險(xiǎn)取決于產(chǎn)品的實(shí)施及其最終測試過程。如果 IC 具有足夠的安全能力，那么最終的測試架構(gòu)就可以完全保護(hù)數(shù)據(jù)免受測試環(huán)境中的不良行為者的影響。不幸的是，該主題過于復(fù)雜，無法在本文中深入探討。

惡意代碼注入

板卡測試中最簡單的攻擊方法是修改設(shè)備的軟件。由于安全啟動(dòng)啟用和應(yīng)用程序編程發(fā)生在同一電路板測試步驟中，因此擔(dān)心獲得完全控制測試的攻擊者可能會(huì)注入惡意代碼并禁用安全啟動(dòng)。這種風(fēng)險(xiǎn)可以通過實(shí)施樣本測試或雙插入測試流程來減輕。

此外，如果定制編程可用，那么讓芯片供應(yīng)商配置并啟用安全啟動(dòng)將創(chuàng)建對(duì)惡意代碼注入的強(qiáng)大防御。當(dāng)以這種方式使用編程服務(wù)時(shí)，電路板測試驗(yàn)證安全啟動(dòng)是否正確配置和啟用仍然很重要。通過協(xié)同工作，封裝和最終測試步驟可以相互驗(yàn)證，因此攻擊者需要破壞這兩個(gè)步驟來更改芯片供應(yīng)商或 OEM 代碼。

需要注意的是，安全啟動(dòng)的強(qiáng)度取決于對(duì)私鑰保密。強(qiáng)烈建議在硬件安全模塊 (HSM) 等安全密鑰存儲(chǔ)中生成簽名密鑰，并且永遠(yuǎn)不要導(dǎo)出。此外，使用密鑰簽名的能力應(yīng)該受到嚴(yán)格限制，理想情況下需要至少兩個(gè)人的身份驗(yàn)證，以確保沒有單個(gè)參與者可以簽署惡意圖像。

身份提取

由于 OEM 在測試中注入憑證（加密密鑰和證書）很常見，因此攻擊者可能會(huì)尋求訪問憑證或它們所基于的密鑰材料。

事實(shí)證明，身份憑證的安全配置是一個(gè)特別復(fù)雜和細(xì)致入微的問題。它涉及設(shè)備的功能、承包商的物理和網(wǎng)絡(luò)安全以及供應(yīng)方法的設(shè)計(jì)。由于制造的規(guī)模和成本，它還提出了獨(dú)特的挑戰(zhàn)。此外，與所有安全性一樣，無法確認(rèn)您沒有遺漏系統(tǒng)中的某些缺陷。為設(shè)備提供身份很容易。以可接受的成本和巨大的規(guī)模為他們提供強(qiáng)大的安全身份非常困難。

在精心設(shè)計(jì)的系統(tǒng)中，私鑰永遠(yuǎn)不會(huì)離開安全的密鑰存儲(chǔ)，因此不可能訪問偽造憑證所需的密鑰材料。例如，在 Silicon Labs 使用的實(shí)施中，用于生成設(shè)備證書的私鑰存儲(chǔ)在 PC 上的可信平臺(tái)模塊 (TPM) 中，該模塊可抵御物理和邏輯攻擊，并位于訪問受限的籠子中。站點(diǎn)的數(shù)據(jù)中心。此外，這些密鑰的使用受到限制，僅適用于單個(gè)生產(chǎn)批次，并且在該批次完成測試和刪除之前僅存在幾天。最后，如果這樣的密鑰被泄露，使用該密鑰制造的設(shè)備可能會(huì)被撤銷其憑據(jù)，表明它們不應(yīng)再被信任。

同樣，所有支持安全密鑰存儲(chǔ)的設(shè)備都在機(jī)上生成其私鑰，而這些密鑰永遠(yuǎn)無法離開安全密鑰存儲(chǔ)。不支持安全密鑰存儲(chǔ)的設(shè)備必須注入其密鑰，并且更容易受到測試基礎(chǔ)設(shè)施上的攻擊者訪問其私鑰的攻擊。為了防止低安全性設(shè)備的證書被冒充為高安全性設(shè)備的證書，制造過程中生成的所有證書都包含指示用于其私鑰的存儲(chǔ)強(qiáng)度的數(shù)據(jù)。

原始設(shè)備制造商應(yīng)使用針對(duì)修改和限制物理訪問進(jìn)行強(qiáng)化的測試系統(tǒng)。應(yīng)審查物理安全性，并維護(hù)標(biāo)準(zhǔn)訪問控制和日志記錄。最后，應(yīng)維護(hù)網(wǎng)絡(luò)和 PC 的標(biāo)準(zhǔn)安全實(shí)踐。例如，不應(yīng)允許測試系統(tǒng)具有直接的 Internet 連接，并且不應(yīng)使用公共登錄憑據(jù)。應(yīng)進(jìn)行定期審查，以確保注意到和審查對(duì)這些過程的任何更改。

這些標(biāo)準(zhǔn)操作可以防止攻擊者首先獲得對(duì)測試系統(tǒng)的訪問權(quán)限。除了這些做法之外，OEM 還可以將測試人員委托給不會(huì)與其他供應(yīng)商共享的合同制造商 (CM)，從而進(jìn)一步提高物理和網(wǎng)絡(luò)安全性。這些系統(tǒng)也可以通過滲透測試來識(shí)別和修復(fù)漏洞，然后才能被利用。

最后，存儲(chǔ)在 OEM 的 IT 基礎(chǔ)設(shè)施中的更高級(jí)別的密鑰需要得到適當(dāng)?shù)奶幚怼?/font>它們應(yīng)存儲(chǔ)在密鑰庫中并具有適當(dāng)?shù)脑L問限制。應(yīng)該監(jiān)控它們的使用，以便可以識(shí)別任何意外操作，并提醒適當(dāng)?shù)墓ぷ魅藛T。