广告

OEM制造生命周期关键阶段之安全性入门

2022-09-19 11:59:07 Silicon Labs 阅读:
虽然产品生命周期中的OEM阶段比IC生产的OEM阶段要短一些,但每个阶段的安全风险与芯片供应商面临的风险却很相似,且同样影响深远。幸运的是,OEM可以在其芯片供应商建立的安全基础上进行构建,并重复使用多种相同的技术。

正如本系列文章第一篇所述,IC生命周期的最后两个阶段是电路板组装和电路板测试,而这两个阶段是由原始设备制造商(OEM)来掌控的。R97ednc

R97ednc

图1:OEM负责确保IC生命周期最后两个阶段的安全。来源:Silicon LabsR97ednc

虽然产品生命周期中的OEM阶段比IC生产的OEM阶段要短一些,但每个阶段的安全风险与芯片供应商面临的风险却很相似,且同样影响深远。幸运的是,OEM可以在其芯片供应商建立的安全基础上进行构建,并重复使用多种相同的技术。R97ednc

电路板组装

电路板组装与IC生产中的封装步骤非常相似。但是,电路板组装不是将晶粒放入封装内,而是将芯片安装到印制电路板(PCB)上,然后通常再将PCB安装在某种外壳中。电路板组装现场的物理安全和网络安全是抵御攻击的第一道防线。但是,不同承包商所提供的物理安全和网络安全可能会有天壤之别。而且,受限于成本考虑和电路板测试性质,所提供的物理安全环境和网络安全环境往往很糟糕。此阶段最严重的风险包括设备窃取、设备分析和硬件修改。下文将对如何降低这些风险进行阐述。R97ednc

R97ednc

图2:电路板组装与IC生产阶段的封装非常相似。来源:Silicon LabsR97ednc

设备窃取

窃取设备并试图以合法手段转售是该步骤首要关注的问题。与IC生产中的封装测试阶段一样,通过对比电路板组装现场的入库和出库库存,很容易检测到数量较大的设备窃取行为。R97ednc

此阶段OEM面临的最大风险是攻击者窃取大量设备、对设备进行修改,并将修改后的产品出售给最终用户。如果芯片供应商提供定制编程,OEM可以通过订购配置安全启动的部件来大大降低这种风险。安全启动能够让IC阻绝攻击者试图通过编程修改的所有软件。R97ednc

设备分析

与IC生产期间的封装组装阶段相比,在此步骤中,攻击者窃取系统进行分析的可能性大大降低。因为在此步骤中,电路板通常并不包含可进行分析的有用信息。这是因为如果攻击者试图分析硬件结构,他们可以通过购买设备轻松获取样本。此外,由于尚未对设备进行编程,即使攻击者以这种方式窃取设备也并不能访问和分析任何具体的设备软件。R97ednc

硬件修改

由于隐蔽修改很容易被检测到,所以很难对PCB进行大规模隐蔽修改。OEM可以在可信的环境中进行简单的抽样测试,以便直观地检查电路板,并将其与已知的良好样品进行比较以检测是否进行了修改。如果攻击仅试图修改一套特定的电路板,此类测试可能会检测不到,但测试会让此类攻击难以开展和实施。R97ednc

电路板测试

电路板测试阶段的风险与IC生产期间的封装测试风险类似。例如,多个供应商共享测试系统是很常见的,这增加了安全漏洞或恶意软件入侵的风险。然而,OEM在此阶段的供应商往往比IC制造的供应商更加多元化,因此,电路板测试比芯片封装测试更难以确保安全。R97ednc

R97ednc

图3:同样,电路板测试与IC生产期间的封装测试非常相似。来源:Silicon LabsR97ednc

通常电路板测试的物理安全和网络安全较差。不同产品之间共享空间和测试主机是极其常见的,而且可能不会一直对测试系统打补丁。在最后测试中泄露机密数据的风险最终取决于产品的实施及其最终测试过程。如果IC足够安全,那么最后的测试架构就可以完全保护数据免受测试环境中恶意软件的危害。遗憾的是,该主题过于复杂,无法在本文中深入探讨。R97ednc

恶意代码注入

在电路板测试中最简单的攻击方法就是修改设备软件。由于启用安全启动和应用程序编程都在电路板测试的同一步骤中完成,因此人们担心攻击者完全控制测试、注入恶意代码并禁用安全启动。可以通过样本测试或双插入测试流程来降低这种风险。此外,如果定制编程可用,那么要求芯片供应商配置并启用安全启动将能有效防御恶意代码注入。以此方式使用编程服务时,电路板测试应能验证安全启动得以正确配置和启用,这一点仍尤为重要。封装步骤和最后测试步骤可以协同工作、相互验证,因此,攻击者要想更改芯片供应商或OEM的代码,就要破坏这两个步骤才可能得逞。R97ednc

值得注意的是,安全启动是否强力有效取决于是否对私钥保密。强烈建议在硬件安全模块(HSM)等安全密钥库中生成签名密钥,并且永远不要导出该密钥。此外,应严格限制密钥签名,最好是至少有两个人的身份验证,以确保单个参与者不能对恶意映像文件进行签名。R97ednc

身份提取

由于OEM通常会在电路板测试中加入凭证(加密密钥和证书),因此攻击者会试图窃取访问凭证或相关的密钥材料。R97ednc

事实证明,身份凭证的安全配置是一个十分复杂且极为微妙的问题。这不仅涉及到设备的功能、承包商的物理安全和网络安全,还涉及到配置方法的设计。而且,还要考虑到制造规模和成本所产生的特有问题。此外,与所有安全性能一样,无法确保所有的系统漏洞都得以解决。为设备提供身份认证很容易,但以可接受的成本和较大的规模为设备提供强大的身份安全认证却绝非易事。R97ednc

如果系统设计完善,私钥将始终绑定安全密钥库,因此他人不可能访问密钥材料并伪造凭证。例如,Silicon Labs采取的措施是将生成设备证书的私钥存储在PC上的可信平台模块(TPM)中,该模块可抵御物理入侵和逻辑入侵,它位于站点数据中心的访问受限装置之中。此外,使用这些密钥还会受到限制,密钥仅适用于某一批次的产品,且仅在该批次产品完成测试的前几天可用,一旦该批次产品测试完成就会删除这些密钥。最后,如果此种密钥被泄露,那么使用该密钥制造的设备其凭证可被撤销,以说明这些不再是可信设备。R97ednc

同样地,所有支持安全密钥存储的设备都在电路板上生成私钥,而且这些密钥将始终绑定安全密钥库。必须对不支持安全密钥存储的设备加入密钥。而实际上,这些设备更容易受到攻击者的入侵,因为攻击者会隐藏在测试基础设施中以窃取私钥。为了防止低安全性设备的证书冒充高安全性设备的证书,制造过程中生成的所有证书都包含有说明其私钥存储能力的数据。R97ednc

OEM所采用的测试系统应能抵御对物理访问的修改及限制,应检查物理安全性、进行标准访问控制并及时记录日志。最后,应保证网络和PC操作标准安全。例如,测试系统不应直接与互联网连接,也不应使用公共登录凭证。应开展定期检查,以确保在这些过程中发现并检查到所有的修改。这些标准操作可以防止攻击者一开始就获取对测试系统的访问权。除以上操作外,OEM还可以将测试设备委托给不与其他供应商共享的合同制造商(CM),从而进一步提高物理安全和网络安全。这些系统也可以通过渗透测试来识别和修复漏洞,之后这些系统才可以使用。R97ednc

最后,要妥善处理存储在OEM的IT基础设施中的更高级别的密钥。这些更高级的密钥应存储在密钥库中,且应制定合理的访问限制。这些密钥的使用应得到监管,以便识别到意外操作,并可及时提醒相关工作人员。R97ednc

对于那些不想自行建立凭证配置基础设施的OEM,可选择提供安全编程服务的芯片供应商。例如,Silicon Labs在其Vault-High产品目录中提供凭证,并且可以将凭证编程到定制化元件上,而这些定制化元件是通过定制化元件制造服务(CPMS)订购的。这些服务使建立凭证配置基础设施的负担从电路板测试阶段转移到了芯片供应商的编程阶段。R97ednc

机密信息提取

当密钥或专有算法等机密信息被编程为电路板测试的一部分时,攻击者可能会通过破坏测试设备来获取此信息。电路板测试阶段用以抵御身份提取的所有建议措施均适用于此。同样地,使用编程服务可以将这种风险从电路板测试阶段转移到芯片封装测试阶段。R97ednc

使用一系列恰当的安全功能,即使测试系统受到威胁,也可以配置机密信息并加以保护。如上所述,此配置要有安全的中央主机以及具有安全引擎的设备,这种引擎可以不受测试系统影响且可以通过中央主机进行检验以验证设备的状态。电路板测试将对IC进行编程、启用安全启动并锁定设备,然后设备将证明其状态。如果测试设备被入侵且不再正常发挥作用,中央主机将在已经得以证实的信息中检测到它。如果中央主机认为设备配置正确,便可以与已知的可靠应用程序交换密钥,然后通过该安全链路发送机密信息。此过程可防止测试系统查看或更改机密信息。R97ednc

产品的安全需要OEM的不懈努力

在终端产品的安全方面,OEM面临着与芯片供应商相同的许多挑战。虽然产品设计完善、物理环境和网络环境安全可靠构成了产品的第一道防线,但OEM可以按照其芯片供应商采取的许多相同步骤和程序进行操作,以防止针对其最终产品的大多数安全攻击。此外,许多芯片供应商提供的服务和功能,能够让OEM降低确保其制造环境安全的工作量和复杂性。如今,有效实施这些技术将有助于确保OEM所有互联设备的安全,以及确保其所在的生态系统的安全。芯片供应商和OEM应携手合作,为打造安全可靠的物联网保驾护航。R97ednc

作者:Joshua Norem,Silicon Labs高级系统工程师。R97ednc

(参考英文原文:A primer on security of key stages in OEM manufacturing lifecycleR97ednc

责编:Franklin
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 高通骁龙8 Gen 2 或推出两种型号 据EDN电子技术设计了解,高通骁龙8 Gen 2 很可能会在11月15日至17日高通举行的年度 Snapdragon 峰会期间发布,据最新消息称,该公司可能正在准备两种变体,每种变体适用于不同级别的 Android 智能手机。
  • 谷歌与美国政府合作开发开源芯片 谷歌和美国商务部的国家标准与技术研究院 (NIST) 周三 签署了一项联合研发协议 ,根据该协议,谷歌将资助开源芯片的生产,这些芯片可供学术和小型企业研究人员用于构建各种的新兴应用。
  • 台积电2nm将于2025年量产,ASML高NA EUV芯片制造机2024 今日,台积电负责研发和技术的高级副总裁Y.J. Mii博士透露,台湾半导体制造公司(TSMC)将在2024年收购ASML的高NA EUV芯片制造机,目标是在2025年量产其2纳米(nm)半导体制造工艺。
  • 芯片蚀刻过程中,怎样利用光谱仪监测等离子体? 在半导体行业,晶圆是用光刻技术制造和操作的。蚀刻是这一过程的主要部分,在这一过程中,材料可以被分层到一个非常具体的厚度。当这些层在晶圆表面被蚀刻时,等离子体监测被用来跟踪晶圆层的蚀刻,并确定等离子体何时完全蚀刻了一个特定的层并到达下一个层。通过监测等离子体在蚀刻过程中产生的发射线,可以精确跟踪蚀刻过程。这种终点检测对于使用基于等离子体的蚀刻工艺的半导体材料生产至关重要。
  • 苹果A16 Bionic架构优化,多核性能提高了14% 据EDN电子技术设计了解,苹果最新的A16 Bionic虽然使用与A15 Bionic相同数量的内核,但A16 Bionic在架构方面进行了优化。
  • 俄罗斯最大半导体工厂Mikron“贷款”70亿卢布,用于生产 为了缓解芯片荒,俄罗斯加大了对其国内芯片生产的投资。今年初,俄罗斯最大半导体制造商 Mikron 准备了一个投资项目,计划将产能扩大两倍(每月达 6000 片),用于生产 180-90nm 的芯片。不过为了实施这一项目,该公司需要大约 100 亿卢布(约 11.4 亿元人民币)。俄罗斯国有集团VEB.RF向Mikron公司提供了这笔救命钱……
  • 台积电:10美元的芯片可决定1.5亿美元光刻扫描仪“生死 台积电表示,商品芯片的短缺正在扰乱万亿美元的产业,如果你没有 10 美元的芯片,就无法出货 1.5 亿美元的光刻扫描仪。
  • 科学家展示生物降解印刷电路,可回收重复利用 据联合国统计,仅在 2021 年,全球电子垃圾就激增了 5740 万吨,其中只有 17.4% 被回收。一些专家预测,随着时间的推移,电子垃圾问题将愈发严重。但现在,来自能源部劳伦斯伯克利国家实验室(Berkeley Lab)和加州大学伯克利分校的一组研究人员已经开发出一种可行的解决方案……
  • 探究中芯7纳米芯片制造陷入困境的真相 日前,中芯国际(SMIC)掌握7纳米芯片制造技术的消息让不少人感到惊叹,该消息一度成为技术和商业媒体的头条新闻。中芯国际如何在其新开发的7纳米节点上量产芯片?中芯在美国实施的出口禁令下挺进7纳米制程,为此投入多少?
  • 揭秘台积电3nm制程和FinFlex技术 台积电(TSMC)可望如期在9月量产3nm制程,而Apple将成为其首家3nm客户——Apple将在其今年稍晚发表的Mac计算机中采用台积电制造的M2 Pro处理器...
  • 英特尔分享Meteor Lake、Arrow Lake和 Lunar Lake的3D 英特尔首席执行官 Pat Gelsinger 在 Hot Chips 34 上详细介绍了英特尔 Meteor Lake、Arrow Lake 和 Lunar Lake 等下一代 CPU,表示它们将使用先进的 Foveros 3D 封装技术,并澄清了近期有关其计划用于多芯片 / 多 IP 设计的工艺节点的一些不实传闻。
  • 苹果已启动 M3 的核心设计工作,采用台积电改进的 N3E 苹果的 M3 将被视为M2的直接继任者,一份新报道称新 SoC 的核心设计已经启动,乐观的发布时间表最早是 2023 年下半年。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了