使用Mach-NX安全控制FPGA对系统进行检测、保护和恢复
Posted 12/08/2020 by PJ Chiang
如果你希望轻松快速地开发出符合NIST PFR规范的设计,保护系统固件和增添安全引导功能,那么接下来的内容定会为你带来惊喜。
当谈论到实现数据中心服务器的控制功能时,莱迪思可以说是牢牢确立了领先地位。Mach-NX FPGA基于闪存的配置可实现瞬时启动,使其成为平台上最先上电,最后断电的器件。实际上,当前出货的服务器平台中,Mach FPGA的占有量超过80%。
然而,我们生活的世界高度互连,很容易遭受各种来源的网络攻击。网络安全已发展成一场“军备竞赛”,黑客和其他恶意入侵者不断试图获取访问权限并控制系统,以窃取数据和知识产权,破坏数据和破解系统,或者对公司、机构和个人施压,要求支付赎金。试想一下工厂老板收到这样的消息会作何反应:“我们已经破解了你的安全措施,服务器已归我们控制。除非你在24小时内支付比特币赎金,否则我们将关停生产并清除所有文件。”
亡羊补牢的思路早已不再适用了。以硬件可信根(HRoT)的形式在系统的最底层实现并维护安全机制对于注重安全的关键应用而言十分重要。为了满足这一要求,莱迪思首先推出了MachXO3D™ FPGA系列,通过各种安全特性增强了传统的Mach系列的控制功能,包括采用了不可更改的安全引擎,可提供预验证的加密功能,例如ECDSA、ECIES、AES、SHA、HMAC、TRNG、唯一安全ID和公/私密钥生成。
Mach-NX系列是基于年初发布的莱迪思 Nexus™ FPGA 开发平台的第三款产品系列。按照发布顺序,三款FPGA分别是:
根据NIST SP 800-193的定义,平台固件恢复(PFR)包括了保护、检测和恢复三个功能:保护平台的固件和关键数据不受损坏,确保固件更新的真实性和完整性;系统首次上电以及进行在系统更新时,加密检测损坏的平台固件和关键数据;启动受信任的恢复过程,并将所有损坏的平台固件和关键数据恢复到之前的状态。
Mach-NX完全满足PFR的要求。Mach-NX的可编程逻辑、384位加密引擎以及安全的双引导配置模块为设计实现注入灵活性,并在系统部署后实现安全更新。
Mach-NX系列可兼容各类处理器,支持Intel、AMD和ARM等所有主要供应商的处理器。目前,大多数PFR实现都采用256位加密、解密和公/私密钥生成,而下一代平台将使用384位加密引擎。Mach-NX FPGA支持256位和384位加密应用,满足当前和未来升级的需求。
Mach-NX器件拥有领先的硬核RISC-V处理器核,用于配置和控制所有安全特性。而莱迪思Propel™的图形化设计环境可快速轻松地对RISC-V子系统进行配置和编程。
配置的内容包括:PFR通道数量、SPI存储器数量、监控器数量、对处理器或可编程逻辑使用的GPIO引脚的分配等。Propel还提供了设计模板,让软件开发变得更加轻松,它还包括了基于Eclipse的IDE和编译器,便于构建系统和打包所有硬件和软件文件。
使用Mach-NX FPGA来控制和保护系统可实现动态、实时、端到端的覆盖,从开始上电到最后断电的整个过程中实现PFR的保护、检测和恢复功能。
在上电保护阶段,除了验证自身的固件外,Mach-NX还可以监控和验证系统中其他所有器件的相关固件。与基于其他FPGA、MCU或BMC设计相比,Mach-NX的验证速度通常快2到6倍。你可能认为是5秒与10到30秒的差异无关紧要,但是当器件的正常运行时间需要达到99.999%(5个9)的标准时(一年只允许5分钟的停机时间),这种差异就会变得非常巨大。
从头开始构建安全系统不仅昂贵、费时、需要投入大量资源,并且还涉及诸多合规测试和认证。Mach-NX器件实现了基于预验证IP模块的领先硬件安全特性,并且遵循可靠的标准和协议要求。
在此我们需要提及安全性的另一个方面,就是供应链。它始于组件供应商,包括了系统开发人员、系统集成商、制造商、分销商和经销商。整个供应链中存在大量攻击点,不法分子可能利用这些攻击点上传受感染的固件,从而入侵系统。为了解决这个问题,每片Mach-NX器件都配备了唯一的硬编码ID。此外莱迪思的Supply Guard™服务还为客户提供工厂锁定的器件,只能使用目标客户开发、签名和加密的配置位流进行编程。
尽管我在文中多次提及构成云端数据中心的大型服务器,但是PFR在通信、工业、汽车以及客户端计算机和网络边缘设备等各领域的部署必将是大势所趋。这意味着每个开发人员都要在不久的将来面临解决安全问题的考验。如果你有这方面的需求,我们将随时提供帮助。
其他资源:
Mach-NX新闻稿
Mach-NX白皮书