網絡安全問題何時會變成物理安全問題？或者換一種說法，半導體什么時候必須內置篡改檢測器？

對于為美國武裝部隊或任何武裝部隊建造下一代武器系統的公司來說，答案是明確的。他們必須假設設備將被留下并隨后被篡改。內置篡改檢測器的半導體為工程師提供了滿足國防部要求所需的工具，并廣泛用于實現外國軍事銷售。

但是更廣泛的非國防市場呢？有些人認為網絡安全就是他們所需要的。畢竟，他們通過圍欄、大門、警衛、攝像頭、防火墻獲得“物理”安全，并利用自己的員工來構建和/或制造他們的系統。這可能就足夠了。但人們必須問自己，在什么條件下，任何人（可能是雇員）都可以訪問一臺設備，他們可以對它做什么來利用設備的功能或提取秘密？

這不可避免地導致公司回答“我的供應鏈是否得到安全管理？設備或貨物是否會“丟失”？設備如何退役？誰為設備提供服務以及如何升級？“在設備的使用壽命內，誰可以訪問該設備，他們可以用它做什么？”這個問題的答案將有助于推動組織的決策過程。

以下是需要考慮的關鍵安全主題：

制造 - 構建 PCB 板， 組裝， 和測試.

在任何非易失性設備的編程過程中，公司是否使用散列和簽名圖像？是否有可審核的日志，其中包含已預配的內容、已預配的板數以及未通過傳出測試的板數？這些日志是否經過哈希處理和簽名？

調試端口是否被禁用？

運送給客戶

組織是否可以核算已發貨商品與客戶接收的商品？大多數客戶會立即說“嘿，短一個！但是，如果客戶出于任何原因錯過了一個怎么辦？該公司將不得不假設它在野外擁有一臺設備。

公司及其客戶能否驗證所運設備的完整性？他們能否驗證它在運輸過程中沒有被篡改？

已部署的設備

設備上是否有防篡改密封？

是否只允許授權技術人員維修設備？

是否允許遠程更新？

如果是這樣，圖像是否經過驗證是完整和真實的？

是否有防止回滾的機制？

當設備退役時，它是否歸零？無法操作？摧毀？

如果對上述任何一項的答案是否定的，那么組織應該強烈考慮內置防篡改對策的半導體，以便他們可以根據設備在其生命周期中可能出現的風險場景定制其篡改響應。例如，FPGA產品應具有多個防篡改功能，可用于自定義威脅響應（圖1）。示例包括：

足夠數量的數字篡改標志。

多個模擬窗口電壓檢測器為每個關鍵電源（Vdd、Vdd18、Vdda25）提供高跳變點和低跳變點。

數字窗口溫度為您提供高低管芯溫度。

來自內置溫度檢測器的原始電壓和溫度值。

指示系統控制器掉電情況的系統控制器慢時鐘。

指示設備復位源的數字總線（至少 5 位）（DEVRST 引腳、篡改宏輸入、系統控制器看門狗、安全鎖篡改檢測器已觸發、任何其他復位）。

無花果。1：Microchip PolarFire FPGA和PolarFire SoC FPGA器件的設計與數據安全屬性。

篡改檢測和響應

在實例化 FPGA 設計的篡改宏時，應該可以使用多種類型的篡改標志。每個都有自己的目的：

響應與檢測同樣重要。一旦公司因在單個事件、一系列事件或其中的任何組合期間未經授權的篡改而決定采取行動，則應根據一段時間內發生的事件量身定制響應。或者組織可以放下錘子并用磚塊砌零件。示例包括：

IO 禁用

禁用所有用戶 IO。IO 將重置為其 SEU 免疫配置位定義的狀態。專用（JTAG、SPI、XCVR等）或未由配置位配置的IO被排除在外。只要斷言IO_DISABLE IO 就會被禁用

安全鎖定

所有用戶鎖都設置為其鎖定狀態。

重置

向系統控制器發送復位信號以啟動關斷和上電周期

歸零

清除并驗證任何或所有配置存儲元素。內部易失性存儲器（如 LSRAM、uSRAM 和系統控制器 RAM）經過清除和驗證。歸零完成后，可以使用JTAG/SPI從站指令檢索歸零證書，以確認歸零過程是否成功。啟用系統控制器掛起模式時，此篡改響應不可用。用戶可以選擇歸零為2種不同的狀態：

像新的一樣 - 設備恢復到發貨前的狀態。

不可恢復。即使是公司也無法訪問設備的內部。

歸零完成后，可以通過專用JTAG/SPI端口導出歸零證書，向外部實體保證器件確實已歸零。

在當今競爭激烈的環境中，網絡安全是不夠的。公司制造的設備將落入其競爭對手和不良行為者的手中。半導體產品必須具有各種內置的防篡改功能，組織可以使用這些功能來定制對這些威脅的響應。

審核編輯：郭婷