题记:FortifyIQ致力于扩展功能验证以包括硬件的安全性。
防止侧信道攻击(side-channel attacks)的最佳方法是什么? FortifyIQ 认为答案至少部分在于验证过程。
FortifyIQ致力于扩展功能验证以包括硬件的安全性
随着黑客继续从软件扩展到软件和硬件的组合,旁道和故障注入攻击最近引起了更多关注。对于汽车、医疗和工业等安全关键型应用而言,这一点尤其令人担忧,在这些应用中,黑客硬件可以让网络犯罪分子控制整个系统以及越来越有价值的数据。
接管芯片的方式有很多种,其中很多方式都很好理解。但是,虽然芯片制造商认识到需要在多个级别将安全性内置到芯片中,但它并没有渗透到设计流程的每个级别。这就是初创公司 FortifyIQ 看到的机会。
FortifyIQ 的首席运营官 Will Ruby 说:“我们看到了一个机会,因为我们的客户正在从他们的客户那里得到要求,他们说必须保护免受此类攻击。” “不良行为者——业界称他们为黑客——他们变得越来越老练并攻击硬件,这些新型攻击可以绕过已知的保护方案。安全专家需要比这些不良行为者领先几步,并了解可以在设备上安装哪些类型的攻击。”
《硬件黑客手册:通过硬件攻击打破嵌入式安全》
黑客的优势在于能够从一个目标跳到另一个目标,任务失败或成功。对于防御者来说,即使确定了攻击向量,防止攻击也不是那么简单。一旦芯片制造出来,就很难修复,而对更多特定领域架构的推动使得在设计流程中更早地修复安全漏洞势在必行。
“这里的想法是安全验证成为功能验证的一部分,”Ruby 说。 “因此,作为功能验证的一部分,您还会显示硬件漏洞。应用程序、操作系统、固件存在安全问题,最终在该堆栈的底部,您拥有具有信任根的实际硬件本身。如果你破坏了硬件安全,那么上层就会暴露出来。”
由 Alexander Kessler 和 Yuri Kreimer 共同创立的 FortifyIQ 开发了一种可用于验证硬件设计以及 IP 内核的硅前评估工具集。该技术产生物理攻击模拟,其中一个人可以“发起一系列攻击,然后发现密钥的值,作为设计易受攻击的证据,”Ruby 说。
《用于硬件和软件安全的纳米电子器件》
芯片制造商有充分的理由更加重视安全性。有更多的法规适用于安全和任务关键型市场,其中许多法规会受到处罚或承担其他责任。例如,欧盟网络安全局 (ENISA) 已经建立了一个新的工作组来制定一个计划来认证在线测试。该计划预计将于今年开始全面运作。
虽然有很多公司致力于硬件安全,但 Ruby 表示目标是补充当今市场上已有的产品。 “这些都是不同类型的解决方案,旨在解决硬件安全验证的机会均等问题,”他补充说。
《用于硬件安全和信任的集成电路的拆分制造:方法、攻击和防御》
目前,FortifyIQ 只专注于解决硬件及其可能遇到的漏洞。这家初创公司希望为固件类型分析提供解决方案——牢记随着芯片老化可能出现的漏洞——未来。
该公司是私人出资的,最初的目标客户是北美客户。
