網(wǎng)絡(luò)安全問題何時成為物理安全問題？或者換句話說，半導(dǎo)體何時必須具有內(nèi)置的篡改檢測器？

對于為美國武裝部隊或任何武裝部隊制造下一代武器系統(tǒng)的公司來說，答案是顯而易見的。他們必須假設(shè)設(shè)備將被留下并隨后被篡改。帶有內(nèi)置篡改檢測器的半導(dǎo)體為工程師提供了滿足國防部要求所需的工具，并被廣泛用于實現(xiàn)外國軍事銷售。

但是，更廣泛的非國防市場呢？有些人認(rèn)為網(wǎng)絡(luò)安全是他們所需要的。畢竟，他們通過柵欄，大門，警衛(wèi)，攝像頭，防火墻擁有“物理”安全性，并利用自己的員工來構(gòu)建和/或制造他們的系統(tǒng)。這可能就足夠了。但人們必須問自己，在什么條件下，任何人（可能是雇員）都可以使用一臺設(shè)備，他們可以對它做些什么來利用設(shè)備的功能或提取秘密？

這不可避免地導(dǎo)致公司回答“我的供應(yīng)鏈?zhǔn)欠竦玫桨踩芾恚吭O(shè)備或貨物是否會“丟失”？設(shè)備如何退役？誰為設(shè)備提供服務(wù)以及如何升級？“誰可以在設(shè)備的使用壽命期間訪問該設(shè)備，以及他們可以用它做什么”這一問題的答案將有助于推動組織的決策過程。

以下是需要考慮的關(guān)鍵安全主題：

制造 - 構(gòu)建 PCB 板、組裝和測試。

在任何非易失性設(shè)備的編程過程中，公司是否使用散列和簽名圖像？是否有可審核的日志，其中包含已預(yù)配的內(nèi)容、已預(yù)配的板數(shù)以及未通過傳出測試的板數(shù)？這些日志是否經(jīng)過哈希和簽名？

調(diào)試端口是否已禁用？

運送給客戶

組織是否可以考慮發(fā)貨的單位與客戶收到的單位？大多數(shù)客戶會馬上說“嘿，是個子！但是，如果客戶出于任何原因錯過了一個怎么辦？該公司將不得不假設(shè)它在野外有一臺設(shè)備。

公司及其客戶能否驗證所運設(shè)備的完整性？他們能否驗證它是否在運輸過程中未被篡改？

已部署的設(shè)備

設(shè)備上是否有防篡改密封？

是否只允許授權(quán)技術(shù)人員維修設(shè)備？

是否允許遠(yuǎn)程更新？

如果是這樣，是否驗證圖像是否完整和真實？

是否有防止回滾的機(jī)制？

當(dāng)設(shè)備退役時，它是否歸零？無法操作？摧毀？

如果上述任何一項的答案都是“否”，那么組織應(yīng)該強(qiáng)烈考慮內(nèi)置防篡改對策的半導(dǎo)體，以便他們可以根據(jù)設(shè)備在其生命周期中可能出現(xiàn)的風(fēng)險情況來定制其篡改響應(yīng)。例如，FPGA 產(chǎn)品應(yīng)具有多個防篡改功能，可用于自定義威脅響應(yīng)（圖 1）。示例包括：

足夠數(shù)量的數(shù)字篡改標(biāo)志。

多個模擬窗口式電壓檢測器為每個關(guān)鍵電源（Vdd、Vdd18、Vdda25）提供高跳變和低跳變點。

數(shù)字窗口溫度為您提供高低芯片溫度。

來自內(nèi)置溫度檢測器的原始電壓和溫度值。

系統(tǒng)控制器慢速時鐘指示系統(tǒng)控制器掉電情況。

指示器件復(fù)位源的數(shù)字總線（至少 5 位）（DEVRST 引腳、篡改宏輸入、系統(tǒng)控制器看門狗、安全鎖篡改檢測器已觸發(fā)、任何其他復(fù)位）。

圖 1：微芯片極火 FPGA 和極火 SoC FPGA 器件的設(shè)計和數(shù)據(jù)安全屬性。

篡改檢測和響應(yīng)

在實例化 FPGA 設(shè)計的篡改宏時，應(yīng)該可以使用多種類型的篡改標(biāo)志。每個都有自己的目的

響應(yīng)與檢測同樣重要。一旦公司決定在單個事件，一系列事件或其中的任何組合中由于未經(jīng)授權(quán)的篡改而采取行動，則應(yīng)根據(jù)事件隨時間推移而調(diào)整響應(yīng)。或者組織可以放下錘子并用磚塊砸零件。示例包括：

IO 禁用

禁用所有用戶 IO。IO 將重置為其 SEU 免疫配置位定義的狀態(tài)。專用（JTAG、SPI、XCVR 等）或未按配置位配置的 IO 將被排除在外。只要斷言IO_DISABLE，IO 就會被禁用

安全鎖定

所有用戶鎖定都設(shè)置為其鎖定狀態(tài)。

重置

向系統(tǒng)控制器發(fā)送復(fù)位信號以啟動掉電和上電周期

歸零

清除并驗證任何或所有配置存儲元素。清除并驗證內(nèi)部易失性存儲器，如 LSRAM、uSRAM 和系統(tǒng)控制器 RAM。歸零完成后，可以使用JTAG/SPI從指令檢索歸零證書，以確認(rèn)歸零過程是否成功。啟用系統(tǒng)控制器掛起模式時，此篡改響應(yīng)不可用。用戶可以選擇歸零到2種不同的狀態(tài)：

與新設(shè)備一樣，設(shè)備將恢復(fù)到發(fā)貨前的狀態(tài)。

不可恢復(fù)。即使是公司也無法訪問設(shè)備的內(nèi)部結(jié)構(gòu)。

歸零完成后，可以通過專用的JTAG/SPI端口導(dǎo)出歸零證書，從而向外部實體保證器件確實歸零。

在當(dāng)今競爭激烈的環(huán)境中，網(wǎng)絡(luò)安全是不夠的。公司制造的設(shè)備將落入競爭對手和不良行為者的手中。半導(dǎo)體產(chǎn)品必須具有各種內(nèi)置的防篡改功能，組織可以使用這些功能來自定義對這些威脅的響應(yīng)。

審核編輯：郭婷