RISC-V 芯片有多安全？

本文由半導體產(chǎn)業(yè)縱橫（ID:ICVIEWS）編譯自semiengineering

開源本身并不能保證安全。

當 Meltdown 和 Spectre 漏洞于 2018 年首次被發(fā)現(xiàn)時，它們預示著整個行業(yè)對處理器安全性的看法發(fā)生了轉(zhuǎn)變。正如 IBM X-Force 威脅情報指數(shù)在次年所說，“2018 年迎來了硬件安全挑戰(zhàn)的新時代，迫使企業(yè)和安全社區(qū)重新思考他們處理硬件安全的方式?！?/p>

RISC-V正在那個新時代走向成熟，既受益于過去的經(jīng)驗教訓，也受益于其開源社區(qū)的廣泛貢獻。

對于大多數(shù)攻擊，威脅參與者并不關(guān)心他們可能針對哪個處理器。Codasip 的首席營銷官Rupert Baines 說：“如果有人在進行魚叉式網(wǎng)絡釣魚，它依賴于你點擊 URL 。” “不管你運行的是英特爾處理器還是 Arm M2。如果你單擊該鏈接，就會受到攻擊。很多攻擊都是這樣的。”

對于旨在利用更微妙的漏洞的更復雜的攻擊，處理器架構(gòu)的細節(jié)可能會產(chǎn)生重大影響。Baines 說：“當你遇到旁路攻擊、幽靈和熔斷等問題時，架構(gòu)和實施就會真正開始變得重要?！?/p>

這就是 RISC-V 可以帶來一些獨特優(yōu)勢的地方。

開放性帶來的安全性

RISC-V 的開放式架構(gòu)允許對其進行持續(xù)的仔細檢查。Baines 以 2017 年普林斯頓大學的一項研究為例，該研究發(fā)現(xiàn)了 RISC-V 規(guī)范中的幾個錯誤。雖然有些人認為這些發(fā)現(xiàn)是 RISC-V 弱點的跡象，但大多數(shù)人不同意?！拔覀儚奈茨軌驗橛⑻貭柣?Arm 進行這項研究，”他說?！八麄兛赡苡型瑯拥穆┒矗驗樗菍Ｓ械?，我們無法查看它。如果那是真的，那么 RISC-V 現(xiàn)在更安全了，因為確實有人看過它，而且它已經(jīng)被修復了?！?/p>

OpenHW Group 總裁兼首席執(zhí)行官 Rick O'Connor 表示，RISC-V 在應對最初出現(xiàn)的邊信道攻擊方面同樣有用。“圍繞這項工作的原始研究論文是使用 RISC-V 架構(gòu)發(fā)表的，只是因為它是唯一開放的架構(gòu)，”他說?！八阅憧梢阅玫剿?，把它放在起重機上，拆除它，找出漏洞所在，開發(fā)算法來證明你的論點，然后克服它?！?/p>

O'Connor說，這種開放性最終使 RISC-V 更加安全?！斑@似乎有悖常理，但構(gòu)建安全平臺的最佳方式是讓整個設計在公共領(lǐng)域開放并可供審查，”他說。“沒有后門或隱藏渠道，整個社區(qū)都可以努力保護它。”

更重要的是，RISC-V 通過設計提供了一個從一開始就做到這一點的獨特機會。“我們擁有干凈的'畫布'，”Crypto Quantique 首席執(zhí)行官 Shahram Mossayebi 說。“我們可以以更適合生態(tài)系統(tǒng)演變方式的方式做正確的事，正確地構(gòu)建事物?！?/p>

默默無聞的安全時代

互聯(lián)安全系統(tǒng) (CSS) 部門的杰出工程師 Peter Laackmann表示，這一切都歸結(jié)為 Kerckhoffs 的原則——即使攻擊者知道系統(tǒng)工作原理的一切，系統(tǒng)也應該保持安全。

“默默無聞的安全時代已經(jīng)結(jié)束，”Laackmann說。“我們正在努力實現(xiàn)透明的安全性，我們會解釋事情是如何運作的，而不是隱藏它們?！?/p>

Cycuity安全應用工程師 Anders Nordstrom 指出 AES 就是一個很好的例子?！凹词鼓愦_切地知道 AES 是如何工作的，你也無法對其進行逆向工程并從加密數(shù)據(jù)中獲取密鑰。這是解決安全問題的正確方法，”他說?！霸谟腥税l(fā)現(xiàn)之前，試圖隱藏一些東西是有效的。如果架構(gòu)和安全功能是已知的，并且即使在已知的情況下也可以設計成安全的，那么你就有了更強大的防御。”

不過，Laackmann 表示，重要的是要記住，僅僅因為某些東西是開源的，它不一定經(jīng)過檢查。盡職調(diào)查仍然至關(guān)重要?！坝泻芏嘬浖情_源的，每個人都認為有人已經(jīng)深入研究過它。但隨后，事實證明，20 年來沒有人這樣做——然后安全措施就失敗了。所以即使你使用開源，你也必須檢查它?！?/p>

為此，Nordstrom 表示，驗證是關(guān)鍵，尤其是在開源生態(tài)系統(tǒng)中?！皟H僅因為它是開源和 RISC-V，并不意味著它可以隨時使用，”他說?！澳惚仨氁庾R到你得到了什么。如果你從 Arm 購買，你會得到一個黑盒子，但你有信心它已經(jīng)通過了大量驗證。”

開源硬件的風險

商業(yè)ISA的風險有著明顯更長的跟蹤記錄，并且該跟蹤記錄具有先天優(yōu)勢。英特爾和 Arm 擁有更多的經(jīng)驗，他們在那里積累了更多的技術(shù)、解決方案和架構(gòu)，而 RISC-V 社區(qū)尚未建立、標準化或推出。

較新的開源解決方案也可能帶來其他挑戰(zhàn)。Riscure的高級安全分析師 Nicole Fern指出，在設計中包含第三方 IP 始終需要為集成和測試付出努力和預算。但她表示，使用開源硬件時需要付出更大的努力，“尤其是與閉源版本相比缺乏成熟度的開源 IP。例如，Arm 內(nèi)核已成功集成到 SoC 中并已流片多年。RISC-V 實現(xiàn)達到相同水平還需要一些時間。”

還存在故意引入威脅的風險?！耙驗槿魏稳硕伎梢园l(fā)布開源 RISC-V 實現(xiàn)，不良行為者有更多機會發(fā)布具有已知漏洞或硬件木馬的設計，”Fern 說?！皩τ谟卸鄠€貢獻者的開源項目，不受信任的實體有機會嘗試將易受攻擊的補丁或更新推送到其他值得信賴的開源項目中。”

提高安全性和可靠性

盡管如此，隨著競爭的加劇，整個 RISC-V 生態(tài)系統(tǒng)的安全性將穩(wěn)步提高。Baines 表示，他預計汽車應用所需的安全級別將在未來 12 到 18 個月內(nèi)成功。“不是每個人都想為認證付費，不是每個人都想要法律保證，但每個公司都應該有能力提供 ISO 26262 安全和 ISO 21434 安全，”他指出。

事實上，如果你在進行供應商選擇，那么確保一家公司能夠提供該級別的產(chǎn)品是值得的，無論這是否是真正需要的東西。Baines 說：“我想知道你們作為一個組織是否具備這些能力和理解力，因為這讓我對你們進行所有工程設計的方式充滿信心?！?/p>

對資產(chǎn)進行分類并進行威脅建模以評估需要保護的內(nèi)容也很重要?！耙坏┠懔私庀到y(tǒng)中的重要內(nèi)容，你就需要開始編寫安全要求，”Nordstrom 說。“這些安全要求表明，‘這是我的資產(chǎn)，這就是信息安全的方式。’”

Nordstrom 說，硬件安全所需要的與驗證任何其他方面所需要的非常相似?！澳阈枰粋€計劃，你需要確保你遵循這個計劃。之后，你知道你可以要求什么，你知道你覺得你需要的是安全的。”

對于任何系統(tǒng)，無論是否開源，都是如此。“如果你從別人那里購買處理器或系統(tǒng)，問他們，'告訴我你做了什么來驗證沒有硬件安全漏洞，'”Nordstrom 說。

構(gòu)建生態(tài)系統(tǒng)

更廣泛地說，支持開放標準并努力全面提高質(zhì)量符合每個公司的自身利益。“質(zhì)量差會毒害到每個人，所以如果我們能幫助凈化每個人，這有助于 RISC-V 生態(tài)系統(tǒng)，”Baines說?！斑@意味著有更多的軟件開發(fā)人員，意味著有更多的庫，意味著有更多的人使用它，這是一個良性循環(huán)。”

為此，Baines表示，更多公司支持 OpenHW Group 和 RISC-V International 等組織非常重要?！白屛覔?RISC-V 的其中一件事是碎片化的可能性，”他說?！叭藗冋诓捎?RISC-V 架構(gòu)并開發(fā) RISC-V 內(nèi)核，然后添加他們自己的專有內(nèi)容，這實際上意味著它不再是可互操作的標準?！?/p>

想想移動解決方案，它只有通過共同關(guān)注標準和互操作性才能取得成功。“你可以使用帶有諾基亞基站、愛立信基站或三星基站的蘋果手機——諾基亞、愛立信和三星都在激烈競爭，但它們都可以在同一款蘋果手機上使用，”Baines說。“我希望 RISC-V 也朝著同樣的方向發(fā)展?！?/p>

RISC-V 安全性的未來

僅修補安全性不足以讓 RISC-V 取得成功。但如果 RISC-V 要用于更主流的應用程序，安全性將是一個要求。

“我們將無法部署所有這些智能和智能的物聯(lián)網(wǎng)邊緣連接設備，如果你可以相信我的東西但你不能相信你的東西，那么這些設備具有我們正在談論的人工智能和機器學習的所有好處東西，”O(jiān)penHW 的 O'Connor 說?！耙坏┯辛诉@種更好的安全等級，那么作為一個集體，我們就會對社區(qū)造成傷害。”

根據(jù) Riscure 的 Fern 的說法，好消息是 RISC-V 的開放性有可能大大提高安全性。“有很多機會從頭開始創(chuàng)建具有安全屬性的實現(xiàn)，例如提高對故障注入攻擊的容忍度，并以比其他閉源商業(yè)選項更敏捷的方式整合研究社區(qū)的新想法和技術(shù)，“ 她說。

部分挑戰(zhàn)在于簡單地讓各種規(guī)模的公司接受這個想法。“在每家公司內(nèi)部，都有一些團體認為開源硬件作為一個概念已經(jīng)準備就緒，現(xiàn)在是時候開始弄清楚工作流程將如何運作以及在公共領(lǐng)域就開源項目進行協(xié)作意味著什么了。” O'Connor說，“但與此同時，有一個同樣強大的甚至可能更強大的隊伍或陣營認為這完全是胡說八道?！?/p>

O'Connor說，應對這種情況的最佳方式是讓作品自己說話?！皩τ诔謶岩蓱B(tài)度的硬件工程類型，實施和存在證明大有幫助，”他說。“從根本上說，這個行業(yè)的基礎是證明你的設計有效，然后將其投入生產(chǎn)。作為硬件工程師，我們接受的培訓是在我們說好之前先獲得存在證明?！?/p>

這不可避免地需要時間?！癆corn，然后是 Arm，甚至就此而言是 x86，這些事情都不是一夜之間發(fā)生的，”O(jiān)'Connor 說?！跋鄬Χ裕琑ISC-V 架構(gòu)的推出，以及與這些設備相關(guān)的體積，實際上發(fā)展得相當快。這不是一個四分之一或兩個季度的問題，這是好幾年的問題?！?/p>

盡管如此，Baines說，對于任何考慮 RISC-V 但不確定生態(tài)系統(tǒng)是否準備就緒的公司來說，總是會有延遲的理由。“如果你有一個工程項目將從 RISC-V 中受益，你現(xiàn)在就應該關(guān)注它，”他說?；蛘吣憧梢缘葍扇辏缓蟀l(fā)現(xiàn)你的競爭對手在那段時間推出了兩代項目。那會對你有什么影響呢？