本文由半導體產業縱橫（ID:ICVIEWS）編譯自semiengineering

開源本身并不能保證安全。

當 Meltdown 和 Spectre 漏洞于 2018 年首次被發現時，它們預示著整個行業對處理器安全性的看法發生了轉變。正如 IBM X-Force 威脅情報指數在次年所說，“2018 年迎來了硬件安全挑戰的新時代，迫使企業和安全社區重新思考他們處理硬件安全的方式。”

RISC-V正在那個新時代走向成熟，既受益于過去的經驗教訓，也受益于其開源社區的廣泛貢獻。

對于大多數攻擊，威脅參與者并不關心他們可能針對哪個處理器。Codasip 的首席營銷官Rupert Baines 說：“如果有人在進行魚叉式網絡釣魚，它依賴于你點擊 URL 。” “不管你運行的是英特爾處理器還是 Arm M2。如果你單擊該鏈接，就會受到攻擊。很多攻擊都是這樣的。”

對于旨在利用更微妙的漏洞的更復雜的攻擊，處理器架構的細節可能會產生重大影響。Baines 說：“當你遇到旁路攻擊、幽靈和熔斷等問題時，架構和實施就會真正開始變得重要。”

這就是 RISC-V 可以帶來一些獨特優勢的地方。

開放性帶來的安全性

RISC-V 的開放式架構允許對其進行持續的仔細檢查。Baines 以 2017 年普林斯頓大學的一項研究為例，該研究發現了 RISC-V 規范中的幾個錯誤。雖然有些人認為這些發現是 RISC-V 弱點的跡象，但大多數人不同意。“我們從未能夠為英特爾或 Arm 進行這項研究，”他說。“他們可能有同樣的漏洞，但因為它是專有的，我們無法查看它。如果那是真的，那么 RISC-V 現在更安全了，因為確實有人看過它，而且它已經被修復了。”

OpenHW Group 總裁兼首席執行官 Rick O'Connor 表示，RISC-V 在應對最初出現的邊信道攻擊方面同樣有用。“圍繞這項工作的原始研究論文是使用 RISC-V 架構發表的，只是因為它是唯一開放的架構，”他說。“所以你可以拿到它，把它放在起重機上，拆除它，找出漏洞所在，開發算法來證明你的論點，然后克服它。”

O'Connor說，這種開放性最終使 RISC-V 更加安全。“這似乎有悖常理，但構建安全平臺的最佳方式是讓整個設計在公共領域開放并可供審查，”他說。“沒有后門或隱藏渠道，整個社區都可以努力保護它。”

更重要的是，RISC-V 通過設計提供了一個從一開始就做到這一點的獨特機會。“我們擁有干凈的'畫布'，”Crypto Quantique 首席執行官 Shahram Mossayebi 說。“我們可以以更適合生態系統演變方式的方式做正確的事，正確地構建事物。”

默默無聞的安全時代

互聯安全系統 (CSS) 部門的杰出工程師 Peter Laackmann表示，這一切都歸結為 Kerckhoffs 的原則——即使攻擊者知道系統工作原理的一切，系統也應該保持安全。

“默默無聞的安全時代已經結束，”Laackmann說。“我們正在努力實現透明的安全性，我們會解釋事情是如何運作的，而不是隱藏它們。”

Cycuity安全應用工程師 Anders Nordstrom 指出 AES 就是一個很好的例子。“即使你確切地知道 AES 是如何工作的，你也無法對其進行逆向工程并從加密數據中獲取密鑰。這是解決安全問題的正確方法，”他說。“在有人發現之前，試圖隱藏一些東西是有效的。如果架構和安全功能是已知的，并且即使在已知的情況下也可以設計成安全的，那么你就有了更強大的防御。”

不過，Laackmann 表示，重要的是要記住，僅僅因為某些東西是開源的，它不一定經過檢查。盡職調查仍然至關重要。“有很多軟件包是開源的，每個人都認為有人已經深入研究過它。但隨后，事實證明，20 年來沒有人這樣做——然后安全措施就失敗了。所以即使你使用開源，你也必須檢查它。”

為此，Nordstrom 表示，驗證是關鍵，尤其是在開源生態系統中。“僅僅因為它是開源和 RISC-V，并不意味著它可以隨時使用，”他說。“你必須意識到你得到了什么。如果你從 Arm 購買，你會得到一個黑盒子，但你有信心它已經通過了大量驗證。”

開源硬件的風險

商業ISA的風險有著明顯更長的跟蹤記錄，并且該跟蹤記錄具有先天優勢。英特爾和 Arm 擁有更多的經驗，他們在那里積累了更多的技術、解決方案和架構，而 RISC-V 社區尚未建立、標準化或推出。

較新的開源解決方案也可能帶來其他挑戰。Riscure的高級安全分析師 Nicole Fern指出，在設計中包含第三方 IP 始終需要為集成和測試付出努力和預算。但她表示，使用開源硬件時需要付出更大的努力，“尤其是與閉源版本相比缺乏成熟度的開源 IP。例如，Arm 內核已成功集成到 SoC 中并已流片多年。RISC-V 實現達到相同水平還需要一些時間。”

還存在故意引入威脅的風險。“因為任何人都可以發布開源 RISC-V 實現，不良行為者有更多機會發布具有已知漏洞或硬件木馬的設計，”Fern 說。“對于有多個貢獻者的開源項目，不受信任的實體有機會嘗試將易受攻擊的補丁或更新推送到其他值得信賴的開源項目中。”

提高安全性和可靠性

盡管如此，隨著競爭的加劇，整個 RISC-V 生態系統的安全性將穩步提高。Baines 表示，他預計汽車應用所需的安全級別將在未來 12 到 18 個月內成功。“不是每個人都想為認證付費，不是每個人都想要法律保證，但每個公司都應該有能力提供 ISO 26262 安全和 ISO 21434 安全，”他指出。

事實上，如果你在進行供應商選擇，那么確保一家公司能夠提供該級別的產品是值得的，無論這是否是真正需要的東西。Baines 說：“我想知道你們作為一個組織是否具備這些能力和理解力，因為這讓我對你們進行所有工程設計的方式充滿信心。”

對資產進行分類并進行威脅建模以評估需要保護的內容也很重要。“一旦你了解系統中的重要內容，你就需要開始編寫安全要求，”Nordstrom 說。“這些安全要求表明，‘這是我的資產，這就是信息安全的方式。’”

Nordstrom 說，硬件安全所需要的與驗證任何其他方面所需要的非常相似。“你需要一個計劃，你需要確保你遵循這個計劃。之后，你知道你可以要求什么，你知道你覺得你需要的是安全的。”

對于任何系統，無論是否開源，都是如此。“如果你從別人那里購買處理器或系統，問他們，'告訴我你做了什么來驗證沒有硬件安全漏洞，'”Nordstrom 說。

構建生態系統

更廣泛地說，支持開放標準并努力全面提高質量符合每個公司的自身利益。“質量差會毒害到每個人，所以如果我們能幫助凈化每個人，這有助于 RISC-V 生態系統，”Baines說。“這意味著有更多的軟件開發人員，意味著有更多的庫，意味著有更多的人使用它，這是一個良性循環。”

為此，Baines表示，更多公司支持 OpenHW Group 和 RISC-V International 等組織非常重要。“讓我擔心 RISC-V 的其中一件事是碎片化的可能性，”他說。“人們正在采用 RISC-V 架構并開發 RISC-V 內核，然后添加他們自己的專有內容，這實際上意味著它不再是可互操作的標準。”

想想移動解決方案，它只有通過共同關注標準和互操作性才能取得成功。“你可以使用帶有諾基亞基站、愛立信基站或三星基站的蘋果手機——諾基亞、愛立信和三星都在激烈競爭，但它們都可以在同一款蘋果手機上使用，”Baines說。“我希望 RISC-V 也朝著同樣的方向發展。”

RISC-V 安全性的未來

僅修補安全性不足以讓 RISC-V 取得成功。但如果 RISC-V 要用于更主流的應用程序，安全性將是一個要求。

“我們將無法部署所有這些智能和智能的物聯網邊緣連接設備，如果你可以相信我的東西但你不能相信你的東西，那么這些設備具有我們正在談論的人工智能和機器學習的所有好處東西，”OpenHW 的 O'Connor 說。“一旦有了這種更好的安全等級，那么作為一個集體，我們就會對社區造成傷害。”

根據 Riscure 的 Fern 的說法，好消息是 RISC-V 的開放性有可能大大提高安全性。“有很多機會從頭開始創建具有安全屬性的實現，例如提高對故障注入攻擊的容忍度，并以比其他閉源商業選項更敏捷的方式整合研究社區的新想法和技術，“ 她說。

部分挑戰在于簡單地讓各種規模的公司接受這個想法。“在每家公司內部，都有一些團體認為開源硬件作為一個概念已經準備就緒，現在是時候開始弄清楚工作流程將如何運作以及在公共領域就開源項目進行協作意味著什么了。” O'Connor說，“但與此同時，有一個同樣強大的甚至可能更強大的隊伍或陣營認為這完全是胡說八道。”

O'Connor說，應對這種情況的最佳方式是讓作品自己說話。“對于持懷疑態度的硬件工程類型，實施和存在證明大有幫助，”他說。“從根本上說，這個行業的基礎是證明你的設計有效，然后將其投入生產。作為硬件工程師，我們接受的培訓是在我們說好之前先獲得存在證明。”

這不可避免地需要時間。“Acorn，然后是 Arm，甚至就此而言是 x86，這些事情都不是一夜之間發生的，”O'Connor 說。“相對而言，RISC-V 架構的推出，以及與這些設備相關的體積，實際上發展得相當快。這不是一個四分之一或兩個季度的問題，這是好幾年的問題。”

盡管如此，Baines說，對于任何考慮 RISC-V 但不確定生態系統是否準備就緒的公司來說，總是會有延遲的理由。“如果你有一個工程項目將從 RISC-V 中受益，你現在就應該關注它，”他說。或者你可以等兩三年，然后發現你的競爭對手在那段時間推出了兩代項目。那會對你有什么影響呢？