• 晶片資安第一站

資安標準小百科

《晶片安全縱深防禦策略指引》一張圖搞懂晶片資安多面向防禦

2022-07-28

資通訊科技經過數十年的發展,資安攻防的戰場終於由軟體安全逐漸走向了硬體 資安威脅的挖掘而主宰各種系統運行的硬體晶片,其安全性成了備受關注的焦點。 晶片安全縱深防禦(Defense in Depth DiD)是可以視為容器,概念上晶片居於容器的核心,核心外的每個區域都專注於特定方面的保護 ,例如測試介面保護、韌體安全、錯誤注入及旁通道攻擊保護、防範硬體木馬之安全設計驗證 、以及防範實體逆向工程攻擊等面向。 從本質上而言,晶片安全縱深防禦是一種多管齊下的保護策略。晶片在安全方面實作深度防禦後,也同時實現了可靠性和彈性,即晶片抵禦各種攻擊的能力 在發生資安事件後,同時也可以降低對系統所提供服務的影響...

Read More

《晶片安全管理指引》三大面向落實晶片供應鏈管理

2022-07-28

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 現代晶片通常由複雜且散布在全球的供應鏈接力完成設計、製造、測試和組裝等一系列工作,例如:單個電腦晶片的生產通常需要 1,000 多個步驟,並經過 70 次或更多次的國際邊境跨越才能到達最終客戶手裡,而一家半導體公司可能在全球擁有超過 16,000 家供應商。 半導體供應鏈的複雜性程度,雖然透過全球市場分工大幅降低成本,但同時也提供攻擊者許多機會,如以偽冒的電子產品零件流入市場、在電路中置入木馬、竊取知識產權和逆向工程等。由於網路入侵、惡意的內部人員和經濟間諜活動無孔不入,勢必將威脅各種以晶片安全運作為核心的應用,帶來難以 預...

Read More

晶片型硬體木馬怎麼分?6大類35項一次看懂

2022-07-11

撰文:資策會資安所網駭中心晶片安全技術組 木馬程式於資訊產業中,是用於描述使用偽裝來隱藏其真實目的惡意軟件。因其無自行複製與感染文件,主要目的通常是透過觸發該木馬程式,藉由該程式繞過系統的即有安全防護,輸出、輸入、執行特定軟體或資料,俗稱後門。 硬體木馬則有別於常談論的木馬程式(軟體),是於CPU中,嵌入實體電路邏輯閘的方式,使用特定觸發機制來取得執行權限。 硬體木馬可被定義為:被故意植入電子系統中的特殊模塊以及電路,或者設計者無意留下的缺陷模塊以及電路,這種模塊或電路平日中潛伏在原始電路之中,在特殊條件觸發下,該模塊或電路能夠被攻擊者利用,以實現對原始電路進行有目的性的修改,以及實現破壞性功...

Read More

《晶片安全風險評估指引》十大風險評估步驟 掌握晶片安全

2022-05-19

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 晶片為現代的戰略物資,並在全球成為一項不可或缺的資源。同時,隨著科技進步,晶片受到濫用並產生威脅的風險也大幅增加。針對晶片可能會有許多不常見,但背後可產生相當程度之損失的攻擊。 透過此風險評估指引,可針對晶片進行風險分析,在風險評估過程中,藉由資產識別、運行環境理解可能的弱點、威脅及攻擊介面,並以本指引所提供的方法論,量化出風險等級,以確立可忍受之風險程度。 晶片安全風險評估介紹 諸如微型控制器、處理器及無線連接裝置等積體電路,容易在各種使用環境中受到威脅,當元件在不信任的環境狀態下運行,可能成為威脅代理人(threat a...

Read More

工控資安標準 IEC 62443 導入經驗談

2022-03-15

口述:漢德資深技術經理 林正偉/整理:曾華銳 IEC 62443 標準概況 IEC 62443是一個很龐大的標準,轄下有非常多的子標準。那它又可以分成四個子章節。目前台灣標檢局也正在積極針對這些標準進行解讀,並且各位有可能在接下來會看到相關標準在台灣發行。 除此之外,IEC 62443 仍有相當的部分尚未完成、發行。因此未來幾年內在工控資安領域,各位還可以看到非常多的標準陸續公告出來。 導入經驗:資產擁有者 就如同前面提到的 IEC 62443 是很大的一套標準;其中的子章節針對不同的角色,有各自適用的部分。 第一個是資產擁有者。所謂的資產擁有者就是場域的擁有者,比方我擁有一座工廠、一個電廠或...

Read More

落實工控網路安全標準,大步邁向工業4.0

2022-03-15

口述:立德技術經理 李培寧/整理:曾華銳 為什麼企業需要資安標準? 過去我們在業界看到的情況就是,大多數企業、組織的防護方案都側重於技術面。問題是,一封足夠精緻的釣魚信件就有可能繞過這一切的監控阻攔。因此,網路安全並不能單靠技術解決。再者,如果沒有一個好的程序,企業沒有辦法確認這些技術面/安全機制是否都有確切執行;至於人的部分,如果他們如果沒有相對應的知識,他們也沒有辦法提升網路安全水準。 因此,如果用「木桶理論」來比喻的話,要做好資安,我們可以歸類出三個重點:首先就是技術面,再來是程序面,最後就是人。這三件事情決定了「資安」這個水桶它能裝多少水。而透過標準,我們用有效率而且正規的做法,透過量...

Read More

油水電基礎設施場域資安關鍵:IEC 62443 你一定要知道

2022-03-15

口述:資策會資安所副主任 高傳凱/整理:曾華銳 IEC 62443 是什麼樣的安全標準? IEC 62443的規範範疇專注於 ICS,也就是自動化控制系統。早期 ICS 只用於化學、電器這類工業開發、製造過程;但隨著應用領域逐漸擴張,如今它也成為油、水、電等等的關鍵基礎設施核心。 為什麼我們要開始關注 OT 資安? 以往的資安標準都專注在 IT 領域,像是後台機房或雲端網路。然而,這些經驗與標準無法移植到 OT 資安,因為兩者抱持的理念與面對的情境並不相同。 比如說 OT 系統更注重可用性且設備壽命相當長,因此我們無法直接使用 IT 資安的控管方式。再者,若是 IT 資安遭遇威脅,通常只會產生...

Read More

《晶片安全設計最佳範例》2大做法,保護ACE抵抗旁通道攻擊

2021-11-29

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 積體電路(Integrated Circuit, IC)對安全特性的要求越來越高,包括採用進階加密標準(Advanced Encryption Standard, AES)、RSA (Rivest Shamir Adleman)、橢圓曲線加密(Elliptic Curve Cryptography, ECC)等加密技術,然而,如果晶片受到物理攻擊,這些加密演算法的硬體實作可能會失去安全性。 旁通道攻擊(Side-Channel Attack, SCA)與錯誤注入攻擊都可能被用來破解各種加密演算法以取得敏感資訊,本篇內容將討論...

Read More

《晶片安全實現指引》從位元流到FPGA自身的全方位防禦手段

2021-11-25

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 晶片安全實現指引主要分析 FPGA 的 IP 位元流在 FPGA 的合成流程中,各個階段可能面臨的威脅,包含來自外部不可信任的使用者,及內部設計與合成流程中所經手過的單位,並介紹各種常見的反制措施。 現場可程式化邏輯閘陣列(Field Programmable Gate Array,FPGA)是擁有製程後程式化能力的積體電路。由於其可重配置特性、低開發成本與高效能,其應用範圍涵蓋消費性電子產品到高端商業系統。 配置在FPGA的程式屬於二進制檔案的形式,又稱位元流,亦是惡意攻擊的一大標的。因此,如何保護位元流的機密性與完整性,...

Read More
This site is registered on wpml.org as a development site.