想要保障硬件安全？你需要动态信任方案

对动态信任机制的需求

电子产品如今已遍布各个市场，对于这些设备的开发人员而言，确保产品设计免于固件攻击至关重要。国家漏洞数据库报告称，2016年至2019年期间，固件漏洞的数量增长了700％以上。行业分析公司Gartner报告称，截至2022年，将有70%未执行固件升级计划的组织会由于固件漏洞而遭到入侵。

电子系统需要持续优化，适应新的不断变化的威胁，且能在检测到固件受损时自动采取适当措施。为了保护系统固件，安全解决方案需要“动态信任”机制：采用并行、实时、快速反应的解决方案抵御固件攻击，在系统的整个生命周期中提供全面的固件保护，从组件在整个供应链中的运输、最初的产品组装、最终产品的运输、集成到产品的整个运行周期。

由于一系列潜在的威胁，组件在供应链运输过程中很难确保其安全。

OEM如何保护自己免受不断变化的入侵方式？幸而，美国国家标准与技术研究院（NIST）意识到固件威胁的紧迫性，发布了NIST平台固件保护恢复（PFR）标准（NIST SP-800-193），强调了正确实施PFR的重要性。该标准描述了一系列安全机制，保护平台免遭未经授权的更改、检测已发生的未经授权更改并快速安全地从攻击中恢复，极大提高了平台的韧性。

该标准通过下列三个原则保障平台安全：

为了应对快速发展的市场和标准，莱迪思半导体推出了全新的高附加值安全解决方案集合和供应链安全服务，极大扩展了其硬件安全产品的功能。

推出莱迪思 Sentry 解决方案集合

莱迪思Sentry™解决方案集合通过为系统中的所有可编程组件提供实时、动态保护、检测和恢复功能，最大程度地减少了系统内固件攻击漏洞。Sentry采用莱迪思MachXO3D™安全FPGA提供完整、经过充分验证、易于定制、符合NIST 800-193的PFR解决方案。该解决方案集合包括一套即时可用、经过生产验证的可靠IP核，可用于保护和监视系统中的SPI和I2C器件及其总线。Sentry还包括演示板和参考设计，用于测试和展示PFR功能。可用的软件工具包括莱迪思最新的IP生态系统和开发环境——Lattice Propel™。Propel可以让非FPGA用户修改RISC-V处理器IP的C代码，帮助他们定制PFR实现方案，同时还能直观地布局所使用的IP，创建完整系统。该系统可以导入莱迪思Diamond工具中生成配置位流。Sentry包括完整的PFR参考设计，具有易于修改的PFR管理代码，用于SPI/QSPi的快速切换原理图、清单生成器和处理器指令仿真器。

莱迪思 SupplyGuard

开拓性的供应链安全服务

除Sentry外，莱迪思还提供SupplyGuard™端到端供应链安全服务。该服务通过提供工厂锁定的莱迪思FPGA来防止篡改、木马植入、过度构建、伪造和IP盗窃，从而在供应链各个环节保障客户IP的安全。该服务让客户确保存储在FPGA上的配置位流和外部固件认证密钥不被复制和篡改。开发人员通过SupplyGuard可以在整个供应链中保护其产品。SupplyGuard以安全、客户专有的方式实现安全密钥提供和设备所有权转移，从而提供保护，优于当前市场上其他的供应链解决方案。

SupplyGuard服务开启后，莱迪思将特定的订购编号烧写到客户的FPGA。每个客户的特定的FPGA都在莱迪思的工厂使用定制的加密凭证进行编程，仅允许客户使用配置位流和身份验证密钥对该FPGA进行编程。当FPGA在供应链中运输以及在第三方工厂中进行组装系统时，该服务将保持持续发挥信任和保护作用。由于芯片从莱迪思工厂出厂时就完全锁定，因此只有客户才拥有解锁FPGA所需的凭证。莱迪思使用FIPS 140-2认证的硬件安全性模块（HSM）生成解锁凭证并提供给客户，然后客户使用其HSM来解密凭证。在整个供应链中其他人均无法访问这些凭证。客户的HSM拥有加密和签名其自定义配置位流和身份验证密钥所需的凭证。此外，客户的IP和加密密钥绝不会以任何形式泄露给莱迪思或供应链。

完整的设备安全生命周期管理

一旦使用SupplyGuard服务锁定，客户的FPGA在供应链中将成为移动的“迷你堡垒”：被锁定且无法访问，直到使用客户的配置位流进行编程为止。客户经加密和签名的位流是唯一可以加载到这些自定义锁定的FPGA上的位流。同时，客户的位流也无法加载到另一片FPGA上，从而保护了客户的IP及其身份验证密钥，避免克隆和过度构建的风险。对客户的位流进行编程的过程则将芯片的密码控制从莱迪思的出厂锁定状态转变为客户锁定状态。该所有权的转移在莱迪思FPGA中以受保护的加密状态进行，并使用标准的批量工厂编程设备在标准的生产线上进行。配置位流始终保持安全和加密，并且保护的所有权转移无需任何特殊的安全程序、人员或设备（例如HSM），避免了其他工厂密钥提供解决方案中额外的时间和成本。

阅读原文，了解更多！