Varnost povzroča veliko skrbi na področjih medicine, industrije, avtomobilizma in komunikacij. Industrije prilagajajo inteligentno omrežje naprav in procesov z namenom optimiziranja procesov, narejenih na povezanih pametnih strojih in sistemih. Te sistemi so dovzetni za zlonamerne napade, neznane programske hrošče, oddaljen dostop pa lahko celo povzroči fizične varnostne probleme, zato mora biti zaščiten pred nepooblaščenim dostopom ali nadzorom.
Microchip Technology Inc.
Avtor: Apurva Peri
Novo poglavje v razvoju industrije je splošno znana Četrta industrijska revolucija (ali Industrija 4.0), ki postavlja novo obdobje inovacij in razvoja, vendar ne brez svojih lastnih izzivov in nevarnosti.
Opredeljuje komunikacije in medsebojno povezanost med sistemi, omrežji, stroji in ljudmi, vključno z internetom stvari (IoT), ki prepleta nove ravni kompleksnosti. Čeprav prednosti povezljivosti vključujejo večjo učinkovitost, prepoznavanje in odpravljanje napak v realnem času, napovedno vzdrževanje in izboljšano sodelovanje med različnimi funkcijami, lahko tudi bistveno povečajo varnostne ranljivosti v pametni tovarni ali avtomatiziranem proizvodnem obratu. “Kibernetska varnost ni več omejena na določeno operacijo ali sistem, temveč se je razširila na vsako napravo v tovarni ali industrijskem omrežju. Po vsem svetu se je povečalo število varnostnih groženj nadzornim sistemom v pametnih tovarnah, vključno s PLC krmilniki, senzorji, ugnezdenimi sistemi in industrijskimi napravami interneta stvari. Daljinsko upravljanje iz oblaka predstavlja tudi tveganja fizičnih napadov, kot so poseganje, vnašanje zlonamerne vsebine itd.
V tem članku je opisano, kako lahko FPGA pospešijo pristop “obramba v globino” pri razvoju varnih aplikacij, ki ga zahtevajo zahteve hitre rasti interneta stvari in računalništva na robu, ki ga poganja četrta industrijska revolucija. Opisana je vloga varnosti v strojni opremi, zasnovi in podatkih, hkrati pa omogoča, da se aplikacije gradijo na treh stebrih varnosti: zaupnosti, celovitosti in avtentičnosti.
Brezhiben varnostni sistem mora nujno vsebovati tri ključne elemente:
- Zaupanje: Zagotovite, da je vir podatkov zanesljiv, pooblaščen in overjen.
- Zaščita pred nepooblaščenimi posegi: potrditev, da v napravo ni posegal nihče na noben način.
- Zagotavljanje informacij: podatki v vaših sistemih se uporabljajo, obdelujejo in prenašajo varno.
Varnost, ki temelji na strojni opremi z FPGA
Uporaba enega samega, na programski opremi temelječega varnostnega pristopa, ne zadostuje za doseganje ustreznih ravni varnosti v trenutnem okolju Industrije 4.0 zaradi pomanjkanja trajnosti, programabilnosti, učinkovite porabe energije, oblikovnega faktorja itd. Sprejeti je treba varnostne mehanizme “obramba v globini”, ki strojno opremo okrepijo s plastmi varnosti.
Danes je večina varnostnih ogrodij programska izvedba s kriptografskimi knjižnicami, pripravljenimi za delovanje na splošnih krmilnikih ali procesorjih. Te programske izvedbe izpostavljajo obsežnejši ranljivi prostor za napade s številnimi možnimi točkami napada, kot so operacijski sistem, gonilniki, programski skladi, pomnilniki in programski ključi. Poleg tega programske izvedbe morda niso optimizirane za zmogljivost glede na moč in lahko povzročijo izzive pri načrtovanju. Dolgoročno vzdrževanje teh sistemov s pogostim posodabljanjem skladov, knjižnic itd. v celotni življenjski dobi industrijskega sistema je prav tako lahko obremenjujoče in drago. Načeloma mora osnovna strojna oprema v svojo strukturo vključiti varnost, da se preprečijo statični in dinamični napadi povratnega inženiringa in ponarejanja.
Zato se je programabilna strojna varnost pojavila kot celovita in zanesljiva rešitev za energetsko učinkovite industrijske aplikacije interneta stvari in aplikacij na robu, zlasti z FPGA. Poleg izboljšanja varnostne zmogljivosti sistema FPGA izboljšujejo tudi raven varnosti aplikacije. FPGA mora integrirati ključne varnostne komponente v strojni opremi, zasnovi in podatkih, da ponudi resnično zanesljivo rešitev, ki je obravnavana v naslednjih razdelkih.
Varna FPGA strojna oprema
Strojna oprema je lahko napadena pred namestitvijo ali predhodnim programiranjem na lokaciji proizvodnje ali med prevozom po dobavni verigi. Varen proizvodni sistem, ki omogoča šifriranje in nabavo FPGA v manj zaupanja vrednem proizvodnem okolju, nadzor nad številom programiranih naprav in revizijo proizvodnega procesa na kriptografsko nadzorovan način, mora biti zgrajen tako, da preprečuje klone, zlonamerno programirane FPGA in neavtentične dele.
Varne zasnove FPGA
Varnost zasnove temelji na varni strojni platformi, ki zagotavlja zaupnost in avtentičnost zasnove, hkrati pa spremlja okolje za fizične napade. Napad iz stranskega kanala (angl. side-channel attack SCA) lahko predstavlja veliko grožnjo za FPGA, ki vključujejo kriptografske sisteme, saj poškoduje bitne tokove, programirane v napravi. SCA poskuša pridobiti skrivnosti iz čipa ali sistema z merjenjem ali analiziranjem različnih fizičnih parametrov, kot so napajalni tok, čas izvajanja in elektromagnetno oddajanje. Postopek programiranja ali “nalaganja” FPGA mora biti odporen na stranske kanale ne glede na to, ali gre za stalne ali SRAM FPGA.
Aktivno spremljanje okolja naprave je še ena tehnika za zaščito zasnove FPGA pred pol-invazivnimi in invazivnimi napadi. Nihanja napetosti, temperature in taktne frekvence lahko kažejo na poskus vdora. FPGA, ki je odporen proti nedovoljenim posegom, omogoča prilagodljive odzive za preprečevanje napada, vključno s popolnim izbrisom naprave, zaradi česar je za napadalca neuporabna.
Varnost podatkov v FPGA
FPGA morajo poleg varne strojne opreme in zasnove zagotavljati tudi tehnike za zaščito podatkov aplikacij, ki vključujejo kombinacijo različnih metodologij:
- Generator pravih naključnih števil (TRNG) za izdelavo varnih protokolov, ki izpolnjujejo standard NIST in zagotavljajo vir naključnosti za ustvarjanje tajnih ključev za kriptografske operacije.
- Korenski ključ se generira iz fizične funkcije, ki onemogoča kloniranje (PUF). PUF uporabljajo submikronske spremembe, ki se naravno pojavljajo med proizvodnjo polprevodnikov in vsakemu tranzistorju dajejo mejno naključne električne lastnosti in edinstveno identiteto. To je podobno človeškemu prstnemu odtisu, saj ni dveh enakih.
- Varen pomnilnik, zaščiten s skrivnim ključem.
- Kriptografska funkcija, ki lahko izvaja standardne asimetrične, simetrične in hashtag funkcije.
Zaključki
Industrija 4.0 je revolucija, ki napreduje, njena široka uveljavitev pa je odvisna od zanesljivih celovitih varnostnih rešitev. Programska izvedba varnostnih in kriptografskih funkcij je nagnjena k slabostim in zlonamernim izkoriščanjem.
Nasprotno pa današnje strojne rešitve izkoriščajo FPGA z naprednimi varnimi programirljivimi funkcijami, ki so vanje vgrajene skupaj s plastmi varnosti strojne opreme, zasnove in podatkov. To zagotavlja strojno opremo, ki je zasnovana tako, da ščiti strankino intelektualno lastnino pred krajo ali prekomerno gradnjo. Primeri teh funkcij za varnost podatkov vključujejo zaščito DPA za preprečevanje napadov po stranskih kanalih, ki je na splošno licencirana in patentirana zmogljivost. Pomembna je tudi rešitev za varno upravljanje ključev, ki temelji na fizičnih funkcijah, ki onemogočajo kloniranje (PUF), in programsko programirljiv kriptoprocesor, odporen na stranske kanale, ki podpira standardne industrijske asimetrične, simetrične in hashtag funkcije.
Rešitve, ki temeljijo na strojni opremi, utirajo pot za resnično prilagodljive in varne sisteme. Strojno podprta varnost z uporabo FPGA postaja izbira za ključne varnostne potrebe predvsem zaradi programabilnosti, zmogljivosti in znatnih prednosti glede porabe energije. FPGA, ki vključujejo kriptografske pospeševalnike, odporne na stranske kanale, vključujejo ukrepe proti nepooblaščenim posegom za zaščito intelektualne lastnine strank in ponujajo zaupanja vredno upravljanje dobavne verige, zagotavljajo varno platformo za razvoj varnih sistemov.
Opomba: Ime in logotip Microchip sta registrirani blagovni znamki podjetja Microchip Technology Incorporated v ZDA in drugih državah. Vse druge blagovne znamke, ki so morda tu omenjene, so last njihovih podjetij.
