原标题：FPGA安全的军备竞赛从未停止

　　确保高度集成的可编程设备具有尽可能高的安全性是一个持续关注的问题。

　　鉴于数据中心、航空航天和国防、汽车、工业和电信领域的 FPGA 应用呈指数级增长，确保高度集成的可编程设备具有尽可能高的安全级别是一个持续关注的问题。在芯片制造商和黑客之间不断升级的“军备竞赛”中，可编程设备中日益完善和强大的安全机制的行业引入促使攻击者改变策略，寻找剩余的组件弱点并设计利用它们的方法。

　　EE Times Europe最近采访了可编程设备开发和生产领域的两位领军人物，以了解有关设备安全性的更多信息： AMD-赛灵思 高管Manuel Uhm，硅营销总监，Jason Moore，核心市场工程高级总监。下面，我们总结了与Moore和Uhm关于主要攻击类型和制造商引入的对策的对话，然后是问答部分，高管们在其中提供了进一步的见解。

　　保护 FPGA 设备

　　技术 用于破坏 FPGA 安全性和数据完整性的漏洞包括逆向工程、侧信道攻击(如差分功率分析 [DPA])、热激光刺激、比特流更改、回读攻击、物理探测和环境攻击。Moore说，设计人员试图通过安全启动(使用硬件信任根)和加密来保护设备，同时提供机密性，完整性和真实性。然而，作为回应，攻击者改变了他们的策略。如果您加密比特流，它们会追逐密钥。

　　“当今最先进的技术是以加密形式存储密钥，”摩尔说。“制造商遵循的常见方法是让对手更难，[但这]转化为更高的成本和更高的复杂性。

　　硬件信任根在设备中插入公钥和签名配置。然后，该部件将仅接受那些已由合法所有者签名的文件。真实性方案还提供加密的强完整性，这意味着如果单个位出错，整个设备将发生故障。

　　为了获取密钥或影响部件的操作，攻击者可能会尝试故障注入。因此，制造商试图防止一系列潜在故障，包括电压毛刺、电磁故障和时钟毛刺。甚至可以用激光制造故障。

　　“你会看到供应商做不同的事情来帮助在执行身份验证的系统中提供一定程度的健壮性，”摩尔说。“许多供应商为其设备增加了冗余，增加了对故障攻击的抵抗力。冗余方案的成本和复杂性将随着目标故障类型数量的增加而增加。

　　Uhm指出，AMD-Xilinx的16纳米和7纳米器件“在硬件中具有许多以前没有的安全功能，在芯片级别提供了额外的安全性。与可能没有内置那么多安全功能的设备相比，这可以使我们更具优势。此外，可编程逻辑可用于自定义安全功能，其运行速度比软件快几个数量级。

　　Moore说，针对FPGA的环境攻击很常见，因为IC制造商通常不会在数据表范围之外测试他们的设备，也不能保证在这些范围之外正确运行。因此，对手喜欢在其指定工作范围之外操作 IC，试图迫使 IC 以产生漏洞的方式发生故障。

　　“避免这种情况的方法是将特定的电路，如温度和电压监控，集成到设备中，”摩尔说。“从零件内部，您可以确定这些环境参数的值，如果它们超出范围，芯片可以采取行动”，例如擦除密钥或发出重置。

　　测试和调试端口是另一个潜在的攻击源。事实上，测试和调试电路可能是IC中被利用最多的电路，因为这些端口是必需的;您需要具备 JTAG 和测试功能来开发、调试和测试系统。

　　“一旦你在芯片中启用安全性，你将不得不永久禁用测试和调试端口，或者至少限制它们可以操作的模式，”摩尔说。“这取决于具体的供应商。

　　问答：赢得安全军备竞赛

　　EE Times Europe：与许多其他高级IC一样，FPGA具有内部电压和温度监控功能。是否有其他环境因素(如辐射)可供对手利用来发动攻击?

　　杰森·摩尔： 显然，辐射会影响设备，并可能成为攻击媒介。这取决于客户希望保护其系统免受攻击者的影响，以及设备将在其中运行的环境。如果您正在构建耐辐射或抗辐射的设备，则不必担心特定的攻击媒介，因为设备中已经嵌入了防辐射保护。但是，如果您为商业用途或仅针对地面辐射进行设计，则由集成商决定是否解决该特定攻击[矢量]。如果他们确实[想要解决这个问题]，他们将需要增加对策，如传感器，以检测辐射环境。

　　EETE：安全方案是否会影响加载FPGA映像期间的设备性能(启动时间)

　　摩尔： 是的，有性能影响，你永远不会摆脱它。这是因为在对比特流进行签名后，您需要在加载比特流时进行签名验证。这是非对称加密的一部分，如RSA，这种签名验证过程需要时间。对于加载时不受保护的 FPGA 图像，不存在签名验证时间。根据加载配置映像时必须验证的签名数量，这将花费或多或少的时间。[但是]您可以通过增加总线宽度或配置电路的时钟速率来最小化此时间。

　　EETE：您提到的保护功能是否可供整个用户使用?

　　摩尔： 对于给定系列，有一组通用的安全功能作为一个整体可用。在我们的设备以及其他设备中都是如此。您只需要启用它们。每一代[设备]，供应商都会有意识地努力不断提高IC的安全性。设计和制造FPGA需要几年时间，一旦构建并交付，就必须确保很长的使用寿命。在软件产品上，您可以执行更新以[解决]安全漏洞，但不能在硬件端执行更新。

　　IC制造商有有限的时间来设计产品的安全性，[但]对手有无限的时间来发现[漏洞]利用。所以我们总是处于这种失败的命题中。作为制造商，我们必须始终展望[下一代设备]，并通过尝试预测新的潜在攻击形式来设计安全性。

　　EETE：假设我是一名开发人员，我想加密FPGA映像。我该怎么办?

　　摩尔： 我们为客户提供开发工具，以在其环境中创建和加密其比特流或配置映像，因此他们永远不必释放密钥。

　　曼努埃尔·乌姆： 我们不想公开提供有关可编程设备内部安全技术的太多细节......因为我们不想让黑帽子或恶意的人有洞察力。我们向许多依赖安全的市场销售产品，例如航空航天和国防、汽车和工业应用，因此我们对这些问题非常敏感。我们与最新的情况保持联系，与可能不会向此类目标市场销售的供应商相比，这可能是有利的。

　　摩尔： 总的来说，该行业在应对这一系列攻击方面做得很好，一代又一代地改进了事情。这就是为什么为可编程设备提供安全性是一种军备竞赛。

　　此外，安全性正变得无处不在。这不再[仅仅是]航空航天和国防[要求]的问题;在汽车、工业和数据中心市场中，安全性也变得至关重要。