• 晶片資安第一站

旁通道攻擊

MITRE》2021 CWE 最重大硬體弱點:旁通道攻擊名列其中

2022-06-30

為提高整體資安意識,非營利組織 MITRE 每年都會發布《CWE 25 大最危險軟體弱點》;2021年它們首度將焦點將擴增至硬體弱點的範圍。 MITRE 與硬體 CWE SIG 合作,發表《2021 CWE™ 最重大硬體弱點》;其中,未能防止旁通道攻擊與未能提供韌體更新從 96 個候選名單中遭點名,躋身最重大硬體弱點之列。 2021 CWE 最重大硬體弱點一覽表(資料來源:CWE) 最重大硬體通用弱點列表(以下按 CWE 編號排序,不代表排名):  ● CWE-1189:系統單晶片(SoC)上的共享資源,未能在受信任與不受信任的代理之間適切地分隔共享資源。  ● CWE-1191:晶片未能實施...

Read More

供應鏈新危機》晶片與電路隱藏的後門風險正逐漸籠罩

2022-06-24

長期以來有個不斷重複提出的強勁趨勢:供應鏈是網路駭客的理想目標。 歐盟網路暨資訊安全局(ENISA)在2021年7月指出,供應鏈攻擊應會在 2020 年到 2021 年間增加四倍。根據該機構聲稱,這些供應鏈攻擊之中有 66% 將針對目標供應商的產品代碼,例如 Solarwinds。這些攻擊者透過導入後門程式,以方便在下一階段進行滲透,進而使用這些產品的用戶資訊系統,取得個人身份資訊等,尤其像是大企業、政府、軍隊與關鍵運營商等都是駭客最愛。 這表明組織應在使用第三方程式和軟體之前,將精力集中在驗證其安全性,以確保它們不會被篡改或操縱。 如今半導體供應鏈的緊張局勢 ,除了缺貨短料外,駭客對供應鏈的...

Read More

當晶片也能夠防駭,它有辦法結束資安戰爭嗎?

2021-12-16

今時今日,網路犯罪對於各行各業來說是個真實存在且相當危險的威脅,但仍有許多企業並沒有採取應有的措施來保護自己,最終導致自己成為網路攻擊的受害者。 根據科技公司 Beaming 的研究,以英國企業來說,光是在 2019 年第三季,每個企業平均就曾遭受過 157,528 次攻擊;換算下來的話約是每 49 秒就遭受一次攻擊。而這數據跟前一年同期相比,成長了 243%。 對許多企業或是個人來說,沒有完善保護措施的設備是造成駭客攻擊的主因。為了解決這個問題,英國政府 2020 年與晶片供應商 Arm 合作,提出了一個五年 3,600 萬英鎊的研究計畫;該計畫的重點項目是研究新的抗駭晶片技術。然而,英國商...

Read More

在著手修復漏洞之前,可以這樣降低晶片零日漏洞風險

2021-12-16

本文成文於 2019 年,時值英特爾晶片爆發 ZombieLand 漏洞事件;這事件反映出晶片產業漏洞修補時程過長的問題。隨著晶片資安的重要性水漲船高,今日我們依然需要持續檢視相關機制,盡力減少空窗。 當英特爾和資訊安全專家在五月揭露了該公司的早期微晶片存在新的安全漏洞時,同時帶來了一個特別令人不安的警訊:他們花了超過一年的時間才找到其中一個問題的解決辦法。 專家表示,他們在 2018 年 4 月就向英特爾示警這個名為 ZombieLoad 的安全漏洞;然而直到上個月,針對這個漏洞的修補程式才被大量推出。相比之下,軟體公司從一發現漏洞到推出修補程式,時間上不會超過九十天。只要沒解決這個漏洞,時...

Read More

無止境的軍備競賽:晶片新防護方案帶來了新隱憂

2021-12-10

當先進晶片的使用年限因技術精進而延長,而像量子計算等新興科技虎視眈眈的要破解最複雜的加密機制,各種新的且不同的資安策略顯得更為重要。 這些方案包羅萬象,從無需解碼即可處理數據的同態加密,到在量子世界裡安全傳輸與接收數據的各種方式都有。除此之外,如今的資安變得更模組化,更靈活,分佈更廣,讓系統得以在更加漫長的生命週期中能進行更新,還能運用氣隙技術的基礎,透過信任和身分認證的雙重機制進行更安全的無線更新;這也是因應市場上希望供應鏈資訊可視化日漸高漲的聲浪。 為了達到最佳效力,安全設置必須安裝在軟硬體的各個層面,而且相關設計必須以能提供給更廣泛的系統使用為前提。但即使做到如此,隱憂仍然存在 ─ 因為...

Read More

《晶片安全設計最佳範例》2大做法,保護ACE抵抗旁通道攻擊

2021-11-29

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 積體電路(Integrated Circuit, IC)對安全特性的要求越來越高,包括採用進階加密標準(Advanced Encryption Standard, AES)、RSA (Rivest Shamir Adleman)、橢圓曲線加密(Elliptic Curve Cryptography, ECC)等加密技術,然而,如果晶片受到物理攻擊,這些加密演算法的硬體實作可能會失去安全性。 旁通道攻擊(Side-Channel Attack, SCA)與錯誤注入攻擊都可能被用來破解各種加密演算法以取得敏感資訊,本篇內容將討論...

Read More

《晶片安全實現指引》從位元流到FPGA自身的全方位防禦手段

2021-11-25

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 晶片安全實現指引主要分析 FPGA 的 IP 位元流在 FPGA 的合成流程中,各個階段可能面臨的威脅,包含來自外部不可信任的使用者,及內部設計與合成流程中所經手過的單位,並介紹各種常見的反制措施。 現場可程式化邏輯閘陣列(Field Programmable Gate Array,FPGA)是擁有製程後程式化能力的積體電路。由於其可重配置特性、低開發成本與高效能,其應用範圍涵蓋消費性電子產品到高端商業系統。 配置在FPGA的程式屬於二進制檔案的形式,又稱位元流,亦是惡意攻擊的一大標的。因此,如何保護位元流的機密性與完整性,...

Read More

《晶片安全設計指引》注入攻擊、旁通道攻擊防範機制怎麼做?

2021-11-24

指引著作/臺灣資安卓越深耕-半導體及資通訊供應鏈資安關鍵技術發展計畫 為了降低製造成本,一個晶片 IC 的誕生要歷經許多不同的國家或公司共同分工製造;即使是 IC 內部的不同功能設計,也因 IC 設計公司會採用不同設計專長的矽智財(Intellectual Core , IP Core)授權,以解決和減緩設計生產率上的成本,但也因此產生新的問題。 高度分工下,產生新的問題:不是所有的 IC 設計公司都能完全明白 IC 內部的電路結構,也無法確定各部分內部是否乾淨、沒有資安疑慮,使得安全方面的議題浮出檯面。 外包過程中也可能發生安全性和完整性的問題,像是矽智財盜用(IP Piracy)、逆向工程...

Read More

驅動數位化的晶片最常面臨哪三大安全威脅?

2021-10-28

傳統上,資訊安全的威脅主要來自於軟體,而硬體安全(Hardware Security)至今仍未受到足夠的重視。 不過,隨著國家及產業間的競爭日漸激烈,硬體安全威脅的議題也逐漸逐漸浮上台面,尤其資訊及電子業是台灣最具競爭力的產業,若硬體的安全性受到危脅,對國家經濟必然會產生極大影響。 硬體安全的主要議題包括: 使用硬體實現基本的資訊安全功能,包括硬體加密模組(Encryption Module)及晶片指紋(PUF); 硬體安全性設計及檢測。作為安全模組的重要元件,對硬體加密模組的攻擊方法及反制措施一直都是學術及產業界的關注重點。 硬體安全性設計的主要需求來自過去數十年產業分工及全球化影響,尤其半...

Read More
This site is registered on wpml.org as a development site.