根據(jù)美國國家信息安全漏洞數(shù)據(jù)庫提供的數(shù)據(jù)，從2016年到2019年來每年因為固件漏洞而導致的入侵有了將近七倍的增長。Gartner在去年7月份給出的報告中也預測：如果2022年這些公司還沒有完成固件安全漏洞補丁計劃，那么兩年后將會有70%的公司因此遭到各種入侵。面臨著如此多固件安全挑戰(zhàn)，Lattice最近推出了Sentry與SupplyGuard兩個服務，旨在幫助客戶在各種不同的應用場景下，幫助OEM廠商等加速實現(xiàn)符合NIST規(guī)范的PFR保護方案，提供動態(tài)的端到端的供應鏈安全保護。

固件安全問題為何成為挑戰(zhàn)？

正如文章開頭提到的，目前我們面臨著固件安全的重大挑戰(zhàn)，安全危機數(shù)量為何加速增長？萊迪思半導體亞太區(qū)應用工程（AE）總監(jiān)謝征帆先生分享了幾個觀點：第一是因為傳統(tǒng)的安全性保護都在操作系統(tǒng)或者上層軟件層面，固件層并沒有受到很好的重視。第二個原因是因為聯(lián)網(wǎng)的硬件產品越來越多，不管是云端、管道還是終端設備，基本上都有相應的固件存在。隨著在線設備數(shù)量增加，暴露出來的漏洞數(shù)量也會增長。另外，以前很多的安全措施需要人員到現(xiàn)場操作，但由于近期新冠疫情影響，很多人員無法到現(xiàn)場對這些設備實施安全保護，只能進行遠程管理、升級和操作，如果遠程操作沒有足夠的安全性保護，就會有一些中短期的風險存在。

如何實現(xiàn)這些硬件產品的安全保護？Lattice想要從硬件產品本身的安全機制和產品流轉的整個鏈條這兩個維度上，全面確保其安全無虞。

在硬件產品內實現(xiàn)最高實時性和動態(tài)信任的安全保護

Sentry Solution Stack是Lattice推出的一整套的軟硬件和服務的方案。據(jù)謝征帆先生分享，Sentry方案包含6個不同的層次，從底層的硬件平臺，再到上層的IP核層面、軟件工具...一直到最頂層的定制設計服務，貫穿了一個硬件產品的整體設計路徑，從各個不同的環(huán)節(jié)來確保安全，形成了一個安全的解決方案棧。Sentry Solution Stack的最終的目的是要實現(xiàn)動態(tài)信任，同時實現(xiàn)端到端的供應鏈保護。動態(tài)信任的實現(xiàn)主要是依靠Sentry內部的一個RISC-V軟核。這個軟核可以調度不同硬件的block，例如監(jiān)視器、Mux這樣的底層模塊，可以用相應的C代碼實現(xiàn)客戶所需要的功能。而且未來即使產品進行迭代升級需要新的安全保護，只要底層的基礎模塊沒有變化，那么僅需改變相應的C代碼就可以實現(xiàn)。

在安全保護的解決方案的實現(xiàn)上，除了Lattice提供的Sentry之外，行業(yè)內還有TPM和MCU的方式，謝征帆先生也分別從保護、檢測和恢復三個角度進行了比較。首先從保護角度來講，Sentry方案最大的優(yōu)勢就是滿足客戶對實時性的要求，不論是TPM還是微控制器，它們的控制流程和時序都是用串行的方式實現(xiàn)的，無法同時對多個外設進行監(jiān)控和訪問控制的保護，但Sentry能夠以納秒級的響應速度對外圍的SPI flash、I2C和SPI的接口總線同時進行監(jiān)測。從內部來講，時鐘基本上可以跑到80M甚至100M，基本上在一兩個cycle就能夠檢測到非法訪問事件，同時能夠在第一時間能夠把這些非法訪問阻斷掉。對于一些時間敏感的應用而言，如果用MCU或者TPM的話，就沒有辦法在第一時刻抓到這些漏洞。在檢測方面，雖然MCU也能夠在啟動之前對受保護的芯片固件進行一個自動驗證。但因為TPM是一個被動的芯片，無法去主動驗證固件的可靠性。在恢復方面也存在著同樣的問題：MCU能夠做一些標準的固件回滾進行恢復，但遇到較大的破壞（例如DOS攻擊和重復攻擊）時，Sentry的效果會更加的好，能夠實時作出保護，將固件恢復到正常狀態(tài)。

覆蓋整個芯片生命周期的安全保護

Sentry更多的是在芯片的本身的角度，來實現(xiàn)其安全功能的保護。而其實在芯片從生產、到OEM廠商、 CM生產、到客戶現(xiàn)場交付、最終到差評報廢，這整個的生命周期的鏈條中，都需要時時刻刻確保其安全性。這個周期非常長，涉及到不同類型的安全問題，非常的復雜和耗時。而Lattice推出的SupplyGuard服務，就是旨在通過這一個整套服務來幫助客戶解決整個鏈條中的安全煩惱。

據(jù)謝征帆先生分享，傳統(tǒng)的方式要實現(xiàn)整個供應鏈的安全，所有的CM廠商都需要安裝一個HSM設備，通過HSM設備跟OEM之間建立一個比較安全的通信?；旧厦總€Site都需要一個HSM設備，但HSM設備通常價格昂貴，而且CM廠商也都需要確保是一個安全的環(huán)境，這樣才能確保不同設定之間安全信息的傳遞。而SupplyGuard服務的亮點就是可以在一個非安全的環(huán)境中也可以構建授權的產品，沒有經(jīng)過OEM授權的組件就會被阻止。

首先從IC組裝工廠開始，Lattice可以將一個Lock Key燒寫到芯片中，同時也會將Unlock Key通過一個安全通道教給客戶?？蛻粼陂_發(fā)的最后一個階段，需要使用Unlock Key進行加密和簽名，然后將這個文件發(fā)給CM廠商進行批量組裝。謝征帆先生表示，加密的代碼，一定要燒寫到跟它有對應的Key的芯片里面，這樣就實現(xiàn)了一個雙向的保護：既防止了非法的文件燒寫到Lock的芯片里面，也防止了正版的代碼燒寫到空的非Lock芯片中。

固件安全的問題，不僅僅要從芯片自身的安全保護上著手，也要從芯片整個設計和生產的流傳鏈條中得到保障。Lattice推出的Sentry與SupplyGuard這兩項服務，就可以大幅減少客戶在安全方面需要額外投入的時間和精力，從而確保其快速實現(xiàn)產品上市。謝征帆先生表示，Sentry Solution Stack符合NIST規(guī)范，能夠提供納秒級實時動態(tài)監(jiān)控機制。SupplyGuard 設計服務能夠在任何環(huán)境下實現(xiàn)最低成本的制造，抵御供應鏈中各個環(huán)節(jié)的攻擊。兩項服務一起構成了一個動態(tài)、并行、實時、快速響應的方案來管理安全問題。