芯片防偽的考量

新的供應(yīng)鏈威脅正在出現(xiàn),復(fù)雜集成電路和簡(jiǎn)單無源組件的造假手段越來越多,這兩者都會(huì)影響使用這些組件的系統(tǒng)的功能和安全。在供貨趨緊的情況下,主機(jī)廠可能饑不擇食,采購到趁虛而入的贗品芯片。如何防患于未然?看看防偽專家如何解讀。

·鋌而走險(xiǎn)的造假

只要有可靠的收入來源,造假就可能發(fā)生。Rambus防偽產(chǎn)品技術(shù)總監(jiān)Scott Best說:“每年有700億美元的打印機(jī)耗材銷往世界各地。對(duì)于造假者來說,這是一個(gè)難得的機(jī)會(huì)。他們花1000萬美元拆開別人的安全芯片,進(jìn)行完全逆向工程(完全合法),并打印一個(gè)功能克隆。如果你能做到這一點(diǎn),克隆的芯片保證每年有1億美元的產(chǎn)品流�！背�了收入和利潤(rùn)的損失之外,安全問題也成為了當(dāng)今人們關(guān)注的焦點(diǎn),特別是在汽車市場(chǎng)。

Dust Identity首席執(zhí)行官Ophir Gaathon表示:“如果你買到一款假的Gucci包,那么還好,如果你買的安全氣囊芯片是假的,含義就完全不同了�！�

·信任要著眼于整個(gè)價(jià)值鏈

一些正在開發(fā)的新技術(shù)有助于主機(jī)廠在組裝前和故障分析期間識(shí)別假冒組件來建立信任,而單個(gè)組件識(shí)別正成為這項(xiàng)工作的重要一環(huán)。西門子企業(yè)Mentor的信任鏈業(yè)務(wù)主管Tom Katsioulas表示:“信任需要著眼于整個(gè)價(jià)值鏈,從設(shè)計(jì)到制造,并仔細(xì)監(jiān)控每一步。安全關(guān)乎數(shù)字資產(chǎn);信任關(guān)乎有形資產(chǎn);身份將兩者聯(lián)系起來。”

器件真?zhèn)蔚膯栴}可能發(fā)生在供應(yīng)商、承包商與供應(yīng)商之間,或者發(fā)生在承包商與客戶之間移動(dòng)組件的過程中。所使用的防偽選項(xiàng)類型既取決于組件價(jià)值,也取決于假冒組件的后果。但通過專注于唯一識(shí)別一個(gè)組件的能力,就可以在最終系統(tǒng)組裝時(shí)予以跟蹤。

電子器件供應(yīng)鏈 ·防偽與可追溯

防偽措施與可追溯性關(guān)系密切,獨(dú)特的組件ID既解決了防偽問題,又可以在懷疑故障是由假冒組件引起時(shí)進(jìn)行回顧。

可追溯性流程提供創(chuàng)建可靠、無缺陷數(shù)字IC軟件工具的OneSpin Solutions信任和安全產(chǎn)品經(jīng)理John Hallman說:“最大的問題在于能夠識(shí)別器件,多年來有不同標(biāo)簽技術(shù)可以解決這一問題,現(xiàn)在有各種電子ID,在硅片中有一個(gè)隨機(jī)標(biāo)識(shí)符,還有授權(quán)技術(shù)。我們將驗(yàn)證數(shù)據(jù)視為唯一標(biāo)識(shí)符,用戶可以在其中獲取驗(yàn)證數(shù)據(jù)并使用區(qū)塊鏈技術(shù)將其附加到IP上�！�

實(shí)際上,其數(shù)據(jù)的每個(gè)位都是唯一的。Hallman說:“這些數(shù)據(jù)可以保存在器件上,如果有人修改它,你就能看到。這種方法有助于查看一個(gè)IP或芯片,對(duì)其進(jìn)行評(píng)估,并將其構(gòu)建到一個(gè)器件中,以便它可以與該IP一起傳輸。其數(shù)據(jù)保持加密,并可連接外部數(shù)據(jù)庫。”
·零信任態(tài)度

傳統(tǒng)上,信任是通過組織層面的審查建立起來的。但是僅僅有一個(gè)被認(rèn)可的供應(yīng)商已經(jīng)不夠了。專門從事電子設(shè)計(jì)自動(dòng)化的Cadence航空航天和國(guó)防解決方案主管Steve Carlson說:“你從一開始就假定自己對(duì)芯片是信任的。如果你做過一次驗(yàn)證,然后你說,‘好吧,現(xiàn)在它們是值得信任的,’那么就可以在系統(tǒng)內(nèi)自由使用這些芯片了。” 零信任打破默認(rèn)的“信任” 新的方法是假設(shè),在任何給定時(shí)間,如果沒有證據(jù),任何實(shí)體都不能被信任,不管過去已經(jīng)給出了多少次證據(jù)。這被稱為“零信任”,它把每一次互動(dòng)都當(dāng)作第一次�！傲阈湃巍本褪恰俺掷m(xù)驗(yàn)證,永不信任”。提供完整的測(cè)試測(cè)量解決方案廠商Keyfactor物聯(lián)網(wǎng)產(chǎn)品管理高級(jí)總監(jiān)Ellen Boehm說:“當(dāng)我們談?wù)摿阈湃螘r(shí),我們不想在各個(gè)階段納入先進(jìn)的人工干預(yù),自動(dòng)化才是關(guān)鍵�！�

事實(shí)上,“信任”的概念包羅萬象,涵蓋了許多具體要素,其中之一是人們是否相信進(jìn)入系統(tǒng)的組件是真品還是贗品。為每個(gè)這樣的組件分配一個(gè)唯一標(biāo)識(shí)符——“序列化”,是實(shí)現(xiàn)組件身份驗(yàn)證的一個(gè)重要步驟。

·序列號(hào)的承諾

序列化可能是一個(gè)挑戰(zhàn)。Gaathon說:“序列化的最大問題是對(duì)特定序列號(hào)的承諾,讓生態(tài)系統(tǒng)中的所有參與者都承諾使用相同的序列號(hào),以及擁有一個(gè)能夠回憶序列號(hào)的系統(tǒng)�！边@就需要更復(fù)雜的方法。

無論是衛(wèi)星、汽車還是高可用性計(jì)算機(jī),電子系統(tǒng)都有極其復(fù)雜的供應(yīng)鏈。芯片和無源組件被組裝到電路板上,電路板被組裝成模塊,模塊被組裝成一個(gè)完整的系統(tǒng)。

Katsioulas指出:“身份和識(shí)別碼是有區(qū)別的。對(duì)于單個(gè)器件,在設(shè)計(jì)、制造和組裝之間,在將芯片運(yùn)送到現(xiàn)場(chǎng)之前,可能有三個(gè)、四個(gè)或五個(gè)標(biāo)識(shí)符,還要?jiǎng)?chuàng)建一個(gè)由這些標(biāo)識(shí)符組成的統(tǒng)一標(biāo)識(shí)。”

同樣重要的是,雖然一個(gè)組織內(nèi)總有搗蛋鬼操作員的風(fēng)險(xiǎn),但在供應(yīng)鏈的不同參與者之間,甚至是屬于同一個(gè)供應(yīng)商的不同工廠之間轉(zhuǎn)移組件或子組件時(shí),就會(huì)出現(xiàn)許多漏洞。

·識(shí)別IC的黃金標(biāo)準(zhǔn)

2016年,研究人員證明黑客可以通過遠(yuǎn)程訪問和控制特斯拉Model S的制動(dòng)系統(tǒng)、發(fā)動(dòng)機(jī)、天窗、門鎖、后備箱、側(cè)視鏡等。之后,特斯拉在其SoC中采用硬件信任根(HRoT)來加強(qiáng)安全邊界。

目前,大多數(shù)ID的焦點(diǎn)都集中在硅芯片上,尤其是高價(jià)值組件。芯片的電子ID可以被詢問和讀取,無論是當(dāng)芯片是孤立的還是當(dāng)它安裝在一個(gè)系統(tǒng)中。

芯片ID是一個(gè)電子可尋址ID,用于可追溯性,它可以在制造過程中使用多種不同技術(shù)創(chuàng)建,而偽造ID的方式受到了更多限制。黃金標(biāo)準(zhǔn)是源于芯片本身ID的內(nèi)部HRoT。

采用信任根的硬件安全模塊 集成電路基礎(chǔ)設(shè)施技術(shù)和服務(wù)供應(yīng)商PDF Solutions業(yè)務(wù)開發(fā)部的Dave Huntley說:“另一種選擇是基于實(shí)際器件的物理特性。當(dāng)器件通電時(shí),它會(huì)在那一刻創(chuàng)造出自己獨(dú)特的ID�！�

實(shí)現(xiàn)這一點(diǎn)的方法有很多種,但最受關(guān)注的是物理不可壓縮函數(shù)(PUF),比如用SRAM陣列的隨機(jī)加電狀態(tài)建立一個(gè)標(biāo)識(shí)。因?yàn)镮D是器件固有的,所以是不可變的。這是任何組件ID的一個(gè)重要特征。

在第一次通電時(shí),這樣的組件就會(huì)“注冊(cè)”自己的ID。從那時(shí)起,它就可以在制造過程中甚至在部署之后識(shí)別或“驗(yàn)證”自己。系統(tǒng)可以在每次通電時(shí)驗(yàn)證其所有芯片,以確保沒有任何東西被篡改。

HRoT有多種用途,包括充當(dāng)公鑰和私鑰的種子。對(duì)于這些應(yīng)用來說,為了保護(hù)這些密鑰,HRoT返回的實(shí)際值必須是機(jī)密的,這至關(guān)重要。它不應(yīng)該離開器件。但根據(jù)定義,組件ID必須能夠離開器件。所以組件ID也可以從HRoT派生,就像密鑰一樣。HRoT值保持隱藏,而派生ID可以變?yōu)榭梢姟?/p>

視覺線索也可以用來識(shí)別一個(gè)ID。Huntley說:“多光束(電子束)可以在硅器件上寫上識(shí)別碼——不是電的,而是視覺的——所以必須用電子顯微鏡來觀察它�！边@樣做的好處在于,它是在電子測(cè)試流程之外創(chuàng)建的,因此不能像電子ID那樣被玩弄,而電子ID和可視ID有可能一起使用。

·無源組件也有風(fēng)險(xiǎn)

無源組件,例如電阻器和電容器,通常被認(rèn)為是低值組件,不值得像IC那樣花費(fèi)大量精力造假。但也有大量的嘗試在偽造無源組件。Katsioulas說:“我參加了MTA的假冒峰會(huì),聽到假冒電阻器和假冒電容器及其對(duì)供應(yīng)鏈的影響時(shí),我被嚇壞了�！�

Ford說:“造假最多的是陶瓷電容器(condenser,尤指汽車發(fā)動(dòng)機(jī)用)。這是因?yàn)槭袌?chǎng)供不應(yīng)求。贗品看起來像電容器(capacitor),其行為就像電容器。唯一的區(qū)別是電介質(zhì)的質(zhì)量比正常的低�！� 電容器也有質(zhì)量高低 這可能會(huì)對(duì)現(xiàn)實(shí)世界產(chǎn)生很大影響。Ford繼續(xù)說:“有一個(gè)特別的例子,一架空軍噴氣式飛機(jī)升空了,‘?dāng)秤?Friend or Foe)’電路失靈。他們認(rèn)為其中一個(gè)大型PGA是偽造的。但問題出在陶瓷電容器,因?yàn)樾盘?hào)通過無源組件到達(dá)PGA�！�

許多這樣的無源組件是卷帶包裝。因此,它們自然是序列化的,從理論上講,可以單獨(dú)進(jìn)行進(jìn)貨檢驗(yàn)。Huntley說:“如果你有一個(gè)裝滿卷帶的盒子,你可能會(huì)選擇一些進(jìn)行檢驗(yàn),先驗(yàn)證盒子,打開盒子,再打開卷帶,在投入生產(chǎn)前讀取后臺(tái)的所有包裝ID�！�

但今天,識(shí)別單個(gè)無源組件可能太麻煩了。取而代之的是,卷帶有一個(gè)批ID,任何無源組件都被認(rèn)為來自該卷帶�！膀�(yàn)證每一個(gè)電容器可能是不值得的,”Huntley說。不過,雖然系統(tǒng)無法追溯到特定的無源組件,但它可以追溯到組件來自的批次。

·真假難辨

來料質(zhì)量檢查也可能被蒙混過關(guān)。Ford說:“有一個(gè)案例,我們看到有一卷SMT組件,前100個(gè)是真的,后面都是贗品。所以這是一個(gè)被掉包的案例,專門挑戰(zhàn)進(jìn)貨檢驗(yàn)制度。如果有人發(fā)現(xiàn)了問題,由于它如此隨機(jī),很難找到一條通往責(zé)任方的路。” 發(fā)現(xiàn)批量中的贗品難上加難。

同時(shí),并非所有的裝配都是自動(dòng)化的。Ford說:“對(duì)于手工裝配來說,這有點(diǎn)棘手,因?yàn)樗麄兊牧慵�箱里時(shí)不時(shí)會(huì)裝滿。因此,必須有一個(gè)程序來確保永遠(yuǎn)不會(huì)在一個(gè)箱子里混入不同批次的組件�！迸�量的一個(gè)挑戰(zhàn)在于,批量大小并不總是與裝配需求相匹配。Ford說:“假設(shè)你需要生產(chǎn)100個(gè)產(chǎn)品,在這100個(gè)產(chǎn)品上你使用兩種特定組件。所以你要用200個(gè)組件。但組件是一卷1000個(gè)。所以ERP會(huì)分配給你200個(gè)組件。另外800個(gè)組件必須留在那里。與此同時(shí),在另一條生產(chǎn)線上,一個(gè)家伙用完了材料。他不關(guān)心任何事情,只關(guān)心讓他的產(chǎn)線運(yùn)行,所以剛才剩下的800個(gè)組件中的一些被拿去,沒有適當(dāng)?shù)母�蹤。這在每一家制造企業(yè)都會(huì)發(fā)生,除非已經(jīng)過渡到精益物料管理�！�

把緊安全關(guān)口

過去,潛在缺陷通常是在穩(wěn)定的環(huán)境中記錄的,但在汽車中,這變得更加困難,因?yàn)槠�車在非常不同�?通常是惡劣的環(huán)境中運(yùn)行。主機(jī)廠似乎不想為冗余解決方案買單,那就更應(yīng)該利用半導(dǎo)體廠商提供的各種驗(yàn)證方法嚴(yán)把質(zhì)量關(guān),何況汽車人命關(guān)天,又是一個(gè)有“汽車安規(guī)”的行業(yè)呢!