• 晶片資安第一站

產業觀測

晶片安全:網路安全的未來基石

2021-12-24

全世界正站在網路安全發展的十字路口。頻傳的網路事件使得基礎建設進度停滯不前;重要數據遭竊,以及針對政府、企業,甚至是醫院的勒索攻擊變得稀鬆平常。網路攻擊事件不但數量直線攀升,而且也造成社會跟經濟的重大損失。 自 2017 年 Arm 安全宣言首次發布以來,科技公司已開始攜手合作,從晶片到系統全面加強安全性。然而,科技因素只是應變措施的其中一環;法律與制度同樣扮演了重要的角色。但在跨領域的努力跟合作上,我們需要再多下一倍的功夫。 幸運的是,我們正處於最好的時機。地緣政治紛爭,對區域供應鏈集中度的關切,以及全球半導體短缺,讓全球大眾把意識集中到一項他們不怎麼熟悉的科技:晶片。趁著全球生產鏈休眠的時...

Read More

當晶片也能夠防駭,它有辦法結束資安戰爭嗎?

2021-12-16

今時今日,網路犯罪對於各行各業來說是個真實存在且相當危險的威脅,但仍有許多企業並沒有採取應有的措施來保護自己,最終導致自己成為網路攻擊的受害者。 根據科技公司 Beaming 的研究,以英國企業來說,光是在 2019 年第三季,每個企業平均就曾遭受過 157,528 次攻擊;換算下來的話約是每 49 秒就遭受一次攻擊。而這數據跟前一年同期相比,成長了 243%。 對許多企業或是個人來說,沒有完善保護措施的設備是造成駭客攻擊的主因。為了解決這個問題,英國政府 2020 年與晶片供應商 Arm 合作,提出了一個五年 3,600 萬英鎊的研究計畫;該計畫的重點項目是研究新的抗駭晶片技術。然而,英國商...

Read More

論網路安全性:來自半導體產業角度的分析

2021-12-27

在過去十年,我們見證了半導體銷量第一次突破一兆大關;半導體產業也看到了客製化特定應用積體電路(ASICs)跟現場可程式化邏輯閘列陣(FPGAs)的成長。預計在 2025 年,全球將會有 416 億的連接設備產出 79.4 ZB (Zettabytes = 10 億 TB)的數據。因其隨處可見的普及性還有相對薄弱的安全性,物聯網設備對攻擊者來說成為了一個極具價值的攻擊目標;也因此,對於這些設備的保護需求也相當迫切。 隨著越來越多的領域開始運用到物聯網,如汽車產業,醫療產業以及基礎建設,安全性漏洞可能會造成嚴重的後果,像是巨大的經濟損失。以往的資安事件通常只會涉及隱私不保、財產損失,未來人們可能會...

Read More

在著手修復漏洞之前,可以這樣降低晶片零日漏洞風險

2021-12-16

本文成文於 2019 年,時值英特爾晶片爆發 ZombieLand 漏洞事件;這事件反映出晶片產業漏洞修補時程過長的問題。隨著晶片資安的重要性水漲船高,今日我們依然需要持續檢視相關機制,盡力減少空窗。 當英特爾和資訊安全專家在五月揭露了該公司的早期微晶片存在新的安全漏洞時,同時帶來了一個特別令人不安的警訊:他們花了超過一年的時間才找到其中一個問題的解決辦法。 專家表示,他們在 2018 年 4 月就向英特爾示警這個名為 ZombieLoad 的安全漏洞;然而直到上個月,針對這個漏洞的修補程式才被大量推出。相比之下,軟體公司從一發現漏洞到推出修補程式,時間上不會超過九十天。只要沒解決這個漏洞,時...

Read More

無止境的軍備競賽:晶片新防護方案帶來了新隱憂

2021-12-10

當先進晶片的使用年限因技術精進而延長,而像量子計算等新興科技虎視眈眈的要破解最複雜的加密機制,各種新的且不同的資安策略顯得更為重要。 這些方案包羅萬象,從無需解碼即可處理數據的同態加密,到在量子世界裡安全傳輸與接收數據的各種方式都有。除此之外,如今的資安變得更模組化,更靈活,分佈更廣,讓系統得以在更加漫長的生命週期中能進行更新,還能運用氣隙技術的基礎,透過信任和身分認證的雙重機制進行更安全的無線更新;這也是因應市場上希望供應鏈資訊可視化日漸高漲的聲浪。 為了達到最佳效力,安全設置必須安裝在軟硬體的各個層面,而且相關設計必須以能提供給更廣泛的系統使用為前提。但即使做到如此,隱憂仍然存在 ─ 因為...

Read More

SRC 半導體十年計畫:如何在設計流程中確保晶片硬體安全?

2021-12-10

2020 年底,美國 SIA(Semiconductor Industry Association)和 SRC(the Semiconductor Research Corporation)聯合發表《半導體十年計畫》。這個報告是由學界、政府和工業各界領導者共同制定,並確定了晶片科技未來的五個方向。本文摘錄則自其中的第 4 章第 4 節,探究未來的安全硬體設計趨勢。 複雜性是「安全」的大敵,然而我們對功能性、效能,以及電源效率的追求,使得現今的硬體平台複雜得無以復加。近代的單晶片系統設計大多包含了一系列特殊需求的加速器跟 IP 模塊。這些系統的安全架構很複雜,原因來自於它們現在都是微型分散式系統...

Read More

為什麼駭客開始想對晶片下手了?六個原因告訴你

2021-12-02

本文成文於 2017 年,時值英特爾爆出晶片韌體的管理引擎(Intel Management Engine,Intel ME)遭揭露具有安全性漏洞,連帶使得各家電腦廠商受到波及。然而事過境遷,我們對於晶片與韌體資安的態度與做法,與多年前相比並無根本性的改變。這也使得晶片資安始終壟罩著一片揮之不去的陰霾。 硬體、晶片,又或是與它們相關的控制晶片,裡面都有類似軟體的控制指令。這些指令常常都有著明顯的安全漏洞;而相較於軟體,硬體跟晶片更加難以更新。 換句話說,晶片跟硬體只是比較難執行程式修補的軟體。因此,再加上其他讓晶片駭侵行為更加誘人的因素,我們幾乎可以預期,將來會有更多從韌體和硬體層面著手的資安...

Read More

(下)物聯網安全:混亂而破碎的標準與認證

2021-10-29

前情提要:儘管物聯網設備的數量不斷增長,然而它的安全性卻深受挑戰;最大的問題之一就是目前有太多物聯網相關的安全認證,但它們並沒有一致性,使得設計者與消費者都無所適從。如今,政府也開始嘗試制定相關規範,而企業財團則從中學習。疊床架屋之下,物聯網安全認證該何去何從? 百家爭鳴的法規機構 從入門級別開始,物聯網資安基金會(IoTSF)制定了自我認證的基本準則與方法。換句話說,它們的方法試圖去證明廠商透過流程完成了認證,旨在確認正確的觀念和技術有被應用在特定設備上。 再來說到晶片層級,美國最著名的機構是由安謀科技跟其生態系統夥伴一起創立的平台資安架構 PSA;此平台有權授予「PSA 認證」。實驗室會合...

Read More

不怕偽造或複製》4個保護機制確保晶片安全

2021-11-01

為防範偽造,IC 設計公司需在晶片內實現保護矽智財的機制。目前已知的保護機制包括加密(encryption)、混淆(obfuscation),浮水印 (watermarking)、和指紋(fingerprinting)識別。 加密(encryption) 對使用可程式化邏輯閘陣列(FPGA) 實作的產品而言,防範偽造、複製、甚至篡改都是重要的課題。為保護晶片安全,編程 FPGA 的 bitstream 之儲存或傳送須加密或認證。若 FPGA 可遠距進行硬體更新,則更新過程也需要經過身份驗證,以防更新 bitstream 時被攻擊者植入惡意的邏輯。 混淆(obfuscation) 防止洩漏的另一...

Read More
This site is registered on wpml.org as a development site.