骰子已经铸造：硬件安全得不到保证

2020年10月20日第18卷第4期2011年，美国政府问责局成立了一家虚构的公司，目的是接触武器系统中使用的军用集成电路(IC)的供应商。在成功加入在线供应商平台后，美国政府问责局要求提供与任何正宗电子元件无关的虚假零件号的报价。从中国的供应商那里收到了不下40份提供假冒芯片的报价，美国政府问责局(GAO)成功地从其中几家供应商那里获得了假冒部件。3美国政府问责局(GAO)调查结果的后果是明显的：可信硬件的假设不适合用于网络安全系统。

向市场注入假冒电子产品只是全球IC供应链中存在的漏洞的一个子集。其他类型的攻击包括内置在电路中的特洛伊木马、盗版知识产权和反向工程。现代集成电路是极其复杂的设备，包括数十亿个晶体管、数英里微米级的互连线、先进的封装配置，以及多系统集成到大小约为25美分的芯片中。这些IC由同样复杂的全球分布供应链设计、制造和组装。一家半导体公司可能在世界各地拥有超过1.6万家供应商。10虽然全球化通过利用廉价劳动力市场和规模经济极大地降低了行业成本，但同时也为攻击者打开了许多机会之窗，使他们能够在ODM(原始设备制造商)或其客户不知情的情况下恶意修改硬件。

信任始于硅片的信条强调，硬件是安全的根源，软件保护在此基础上实施。安全系统不能建立在受损硬件的基础上。与软件不同，除了更换设备之外，没有补丁更新可以修复恶意硬件插入。保护硬件是一个多方面的问题，包括支撑制造链，开发强大的手段来检测恶意插入，以及设计安全的系统以抵御不可避免的硬件危害。

从DARPA的可信集成电路(TRUST)项目到LADS(利用模拟安全领域)项目的创新研究努力强调了硬件安全日益受到关注，从国防科学委员会(Defense Science Board)到总统科学与技术顾问委员会(Council Of Advisors On Science And Technology)等一系列备受瞩目的报告也是如此。现代经济和关键系统依赖IC技术，这使得硬件攻击的后果变得越来越可怕。

侵入式硬件攻击包括更改单个IC或IC组件的物理布局。特定类别的攻击包括在设计和制造过程中修改合法IC布局的硬件特洛伊木马程序、用非法芯片替换合法芯片的伪造攻击，以及包括在最终用户设备中加入额外IC的组装攻击。(这最后一类攻击是2018年彭博商业周刊(Bloomberg BusinessWeek)一篇关于数据中心主板的文章的主题，该文章现已广为人知。8即使这篇文章的事件无法核实，所描述的攻击也代表了一个现实的威胁载体。)。

侵入性攻击试图在最终用户设备中加入恶意功能。公开攻击的特征码在实施后可能会被目标系统检测到。这些例子包括破坏系统功能的杀死开关，允许非法访问的后门，以及改变系统行为的控制电路。隐蔽攻击寻求在未被检测到的情况下长时间运行，其目的通常是收集信息并将其发送给攻击者，并且可能永远不会被检测到。硬件攻击的实施需要了解IC是如何制造的，以及它们是如何被破坏的。

半导体制造包括从规格到分销的数百个步骤，为入侵攻击提供了许多机会(见侧栏)。假冒攻击和组装攻击是在组装、分销和二手供应链阶段进行的。恶意硬件特洛伊木马在IC制造过程中的任何阶段都可能发生。

打开你的笔记本电脑，你会发现大约有100到1000个IC。它们的范围从CPU到微处理器再到内存。这些电路中的每一个都曾多次环游全球，在从最初的规格发展到最终组装为您家中或办公室机器中的一个组件的过程中，在地理位置分散的供应链供应商之间移动。集成电路制造可分为三个主要阶段--设计、制造、组装和测试--每一个阶段都提供了改变硬件或组装系统的机会

一旦芯片的预期规格确定，就开始设计新的集成电路。规格决定了目标环境下芯片所需的性能，包括功能、功耗、大小和时序。半导体设计通常由工程师团队承担，他们用诸如VHDL(超高速集成电路HDL)或Verilog之类的HDL(硬件描述语言)将IC规范翻译成电路的RTL(寄存器传输级)描述。使用所需技术库中的逻辑门和元件将RTL描述合成到门级网表中。然后，使用EDA(电子设计自动化)软件将网表转换为具有完全布局和布线的物理布局(显示在GDSII文件中，用于表示布局的标准格式)的晶体管级别，从而完成电路描述。

设计既由拥有制造设施的IDM(集成器件制造商)承担，也由外包半导体制造的无厂房半导体公司承担。在整个设计过程中，工程师会纳入外部供应商的IP(知识产权)。第三方IP公司开发和许可被称为IP核的电路块，这些电路块被集成到新芯片的总体设计中。IP核可以采用可合成RTL的形式，也可以采用完全放置和布线的核设计的GDSII表示形式。领先的IP供应商可以将他们的IP核包含在每年生产的数百亿个芯片中。

完成的GDSII文件被送到半导体制造厂，称为代工厂进行制造。铸造厂要么由IDM拥有和运营，要么作为无厂房半导体公司签约的独立制造公司存在。GDSII文件由代工厂或第三方转换成掩模组，用于在光刻过程中将物理电路布局图案化成硅片中的层。

完整的制造过程包括材料沉积、蚀刻和图案化的多个步骤，以及微调集成元件电学性能的离子注入和退火过程。一旦制造了晶体管电平，就可以沉积图案化的金属线来连接晶体管元件。这些互连的几何结构针对芯片的功能规格进行了优化，复杂的IC具有20层以上的金属层。完成的制造晶片经过测试并切割成单独的硅芯片(芯片)，然后运往组装和进一步测试。

单个硅芯片的封装在芯片和外部环境之间创建了一个保护接口。封装集成将硅芯片与封装布线、基板、散热器和接地面结合在一起，从而为芯片与外部系统正确对接创造了所需的电气、机械和热环境。封装的IC经过测试，根据性能进行装订，然后分发到电子组装厂，这些工厂将IC合并到最终用户产品中。

特洛伊木马程序可以根据它们被插入的构建步骤进行分类，以深入了解供应链风险缓解。木马插入分为三类：前硅、硅内和硅后。特洛伊木马程序对IC性能的影响范围很广(功能更改、后门、终止开关、使用寿命缩短、信息泄露)、其激活机制(始终在线、内部触发、外部触发)、其在芯片上的物理位置(I/O、逻辑、内存、电源分配、时钟)以及它们发生的硬件抽象级别。4.。

预硅攻击发生在规范和设计阶段。通过在规范过程中更改功能特征(如时序或功耗)，或通过在设计过程中修改不同硬件抽象层(如RTL(寄存器传输级别)、门级、晶体管级别和布局布线)的功能，可以插入特洛伊木马程序。设计的每个阶段和设计期间使用的每个软件工具都是一个潜在的安全漏洞。第三方IP核和标准单元库在电路设计中的广泛使用增加了外部方插入恶意功能的机会。计算机辅助设计工具可以被篡改来创建受损的IC设计。在将设计发送到制造之前，甚至可以在包含测试功能的设计期间进行恶意修改。

在制造过程中会发生硅内攻击。这种类型的攻击需要对目标设备的制造阶段有详细的了解和访问权限。这些攻击的范围从编辑或更换口罩到改变制造过程中使用的化学物质的类型或浓度。改变集成电路材料的微调电学性能

硅后攻击是在制造完成后进行的。在此阶段可能发生的攻击包括电路编辑、修改的包级电路、无法发现特洛伊木马的不可信测试、封装伪造以及在印刷电路板上恶意组装可信IC。组装攻击可能表现为包含不需要的IC或在可信IC与其环境之间使用未屏蔽的连接，从而导致电磁耦合介导的信息泄漏。

可以实现硬件特洛伊木马的许多变体来实现一系列攻击：从添加额外的晶体管以创建新的逻辑，到修改时钟分配网络的线宽以引入时钟偏差。显杀开关、缩短使用寿命、隐蔽后门和信息泄露也有不同的激活机制。某些特洛伊木马程序始终处于打开状态，而其他特洛伊木马程序则需要内部或外部触发器才能激活攻击负载。然而，所有特洛伊木马的通用目标是在整个制造和部署过程中躲避检测，直到木马的攻击被执行为止。

特洛伊木马被设计成体积最小，消耗的芯片资源最少，这对任何检测它的努力都构成了严重的挑战。由于硬件攻击的潜在影响，大量的研究工作导致了检测特洛伊木马的复杂手段的开发，但没有确凿的证据来确保IC的信任。原则上，检测可以通过激活特洛伊木马并与已知性能规范相比观察其对芯片性能的影响，或者通过将有问题的设计或制造的芯片与可信(黄金)副本的物理和功能进行比较来完成。检测硅前攻击的方法与检测硅内攻击和硅后攻击的方法不同，后者的范围从无损到破坏性。

检测IC设计中的特洛伊木马需要评估和确保第三方IP核、库和电子设计自动化工具的信任。这并不容易。IP核很难验证可信度，因为没有黄金版本可供比较。因此，在设计性能测试期间，建立对IP核的信任通常采取搜索意外组件或信号输出的形式。IP功能的内部验证和代码覆盖分析用于识别可疑组件和信号。

ATPG(自动测试模式生成)使用数字信号输入来从所设计芯片的模拟中顺序地生成输出模式。ATPG可以检测到对芯片已知功能进行了修改的特洛伊木马程序，但不会成功找到向设计添加了功能(如附加逻辑)的特洛伊木马程序。由于没有关于附加逻辑的信息，ATPG无法对可能导致特洛伊木马激活的所有可能的数字信号输入进行定向搜索。此外，仅使用ATPG就无法检测到激活物理侧通道泄漏的特洛伊木马程序。

一旦芯片制造完成，就会出现一套新的木马检测方法。扫描电子显微镜和皮秒成像电路分析等复杂工具可以用来对IC进行全面拆解，以提取其物理布局，以便与可信设计进行比较。这是昂贵和耗时的，导致被测设备的部分或全部损坏，因此对即将进入消费市场的芯片进行大规模测试是不可行的。

更易处理、更不彻底的无损物理检查和电气测试利用了从X射线成像到芯片行为参数测试的一切。其他测试方法包括通过物理设备上的ATPG激活特洛伊木马，以及旁路分析。后一种方法调查被测设备的物理特性，例如定时和功耗，以与已知或黄金侧通道行为进行比较。然而，在制造过程中自然发生的工艺变化降低了侧通道分析用于木马检测的效率。

尽管有大量的测试方法，但到目前为止还没有确定芯片是否被篡改的可靠方法。在许多情况下，集成电路的庞大数量，以及缺乏先进的测试设备，阻碍了对市场上设备的保证。测试通常由ODM或第三方专家完成。测试方法大量使用微电子工业所使用的既定手段来测试器件质量保证。这些技术，包括性能评估和故障分析，同样适用于仿冒和组装攻击。虽然功能强大，但这些方法并不全面，ADoP越来越受到重视

最近的微体系结构攻击(如Spectre和Meltdown)臭名昭著，清楚地表明硬件安全这本书并没有随着供应链的结束而结束。可信IC的潜在漏洞可以通过使用半侵入式攻击(如故障注入)和利用侧通道的非侵入式攻击来利用。如果你曾经被警告不要在数据中心大喊大叫，那么你一定很熟悉机械振动可能会导致磁头读取器出现的故障。类似的故障注入可以通过对IC的物理耦合或操作来引入。存在许多例子，从通过重复行敲击注入DRAM的干扰错误导致的内存隔离损坏，6到违反可信执行环境(如ARM TrustZone)，再到英特尔SGX(软件保护扩展)。5个。

物理攻击机也可以用于旁路攻击，如“幽灵党”和“熔毁”。攻击者可以利用IC操作过程中出现的意外物理或微体系结构签名来了解有关电路的信息，从而使攻击者能够危害安全数据或获得对安全功能的访问权限。这一点最早是通过时机攻击来证明的，这是出了名的。7越来越多地，安全设计寻求在设计阶段理解和抢占IC的物理签名，以预测或检测在制造后阶段显现的侧通道安全漏洞。

对硬件安全重要性的认识已将重点从传统的软件威胁转移到较低级别的计算层次结构。跨硬件安全领域(从供应链到旁路)的研究使人们更好地了解了硬件威胁，并促进了检测和缓解技术的发展。TrustHub特洛伊木马数据库等资源，以及IEEE的HOST(面向硬件的安全与信任)和Paine(电子产品的物理保证与检查)等会议，都是这种重心向硬件安全转移的迹象。

尽管越来越多的关注和不断增长的研究语料库，但没有共同的标准或工具存在，也没有确定的解决方案被开发出来。物理攻击平面上的侵入式和非侵入性漏洞的范围使得硬件保证即使不是无法克服的挑战，也是一项艰巨的挑战。与网络安全社区的其他成员一样，硬件安全得益于这样一种认识，即仅以预防为保证的方法会使系统容易受到成功的攻击。这类似于一个完全依赖外部围栏的家庭安全系统，没有内部警报、锁、安全房间或警察响应部队，以防入侵者跳过围栏。因此，Focus越来越倾向于设计能够识别攻击、穿透攻击、减轻攻击并从攻击中恢复的硬件。11然而，由于安全成本高昂，以及愿意为提高计算能力而冒安全风险(或不了解漏洞)的消费者普遍存在，安全的经济效益往往仍不明朗。

硬件安全的未来将随着硬件的发展而发展。随着包装的进步和焦点转移到摩尔的法律技术之外，硬件安全专家将需要跟上不断变化的安全范式，包括系统和进程漏洞。专注于量子黑客的研究是将物理攻击平面上的安全原则转化为新兴通信和计算技术的象征。2也许商业市场会不断发展，以至于美国政府问责局(GAO)将在不远的将来开展一项关于受危害的量子技术的研究。

1.Becker，G.T.，Regazzoni，F.，Paar，C.，Burleson，W.P.。隐形掺杂级硬件特洛伊木马：扩展版。密码工程杂志4(1)，19-31；https://link.springer.com/article/10.1007/s13389-013-0068-0.。

2.来自arxiv的新兴技术。2014年。反量子黑客战争的下一个战场。《麻省理工学院技术评论》(2018年8月20日)；https://www.technologyreview.com/2014/08/20/171574/the-next-battleground-in-the-war-against-quantum-hacking/.。

3.高。2012年。国防部供应链：在互联网采购平台上可以找到可疑的假冒电子零部件。地址：GAO-12-375；https://www.gao.gov/products/GAO-12-375.

4.Karri，R.，Rajendran，J.，Rosenfeld，K.，特赫拉尼普，M.2010。值得信赖的硬件：识别和分类硬件特洛伊木马。计算机43(10)，39-46；https://ieeexplore.ieee.org/document/5604161.。

5.Keegan，R.。

.