当前位置:首页 > 工业控制 > 电子设计自动化
[导读]这段时间,波鸿鲁尔大学霍斯特·戈茨IT安全研究所和马克斯·普朗克网络安全与隐私保护研究所的研究人员在一项联合研究项目中发现,FPGA中隐藏了一个关键的安全漏洞,他们称这个漏洞为“ StarBleed”,攻击者可以利用此漏洞来完全控制芯片及其功能。此外,报道还称,由于该漏洞是硬件的组成部分,因此只能通过更换芯片来弥补安全风险。此次安全漏洞造成的影响有多大?给FPGA产业将带来哪些影响?

这段时间,波鸿鲁尔大学霍斯特·戈茨IT安全研究所和马克斯·普朗克网络安全与隐私保护研究所的研究人员在一项联合研究项目中发现,FPGA中隐藏了一个关键的安全漏洞,他们称这个漏洞为“ StarBleed”,攻击者可以利用此漏洞来完全控制芯片及其功能。此外,报道还称,由于该漏洞是硬件的组成部分,因此只能通过更换芯片来弥补安全风险。此次安全漏洞造成的影响有多大?给FPGA产业将带来哪些影响?

StarBleed是如何形成的

山东师范大学物理与电子科学学院讲师孙建辉向记者介绍,FPGA(field-program-gate-array)芯片,有人称之为万能芯片,它具有数字逻辑电路硬件可编程能力,应用场景涵盖军工、民用、工业等。这些应用既可以利用FPGA芯片进行快速逻辑实现,也可以重构为多媒体信息处理编解码芯片,比如多媒体SOC芯片编解码器CODEC、无线通信的基带。

在很多人看来,此次StarBleed安全漏洞正是由于FPGA的这种“万能”性,开放、灵活性强的芯片,安全漏洞也会比较多。赛灵思官网针对这个事件分析,此次研究人员研究的对象,是基于十年甚至十多年前的赛灵思6系列和7系列FPGA器件,攻击者会利用两款器件在AES-CBC模式下缺少误差扩展,同时以WBSTAR为代表的配置命令又可在认证成功前执行,使其得以成功突破器件安全屏障。

影响究竟有多大

由于FPGA的用途广泛,尤其是在军工、航天和工控这类安全性要求很高的产业需求量很大。此外,这次安全漏洞是发生在硬件的组成部分,比起软件来说修补周期较大,这些是造成此次StarBleed安全漏洞事件引起不小风波的原因。

京微齐力创始人&CEO王海力表示:“修补安全漏洞问题,一般可采用两种方法,从软件修补或者硬件修复下手。从软件下手修补相比较而言周期短、速度快、花费低。例如若是A算法被破译了,就换成B算法加密,现在FPGA针对生成的配置码流采用比较多的是AES256位加密。一般而言,这种算法是比较难以破解的。同时,如果配置码流被破解了,还可以进行软件升级完成补丁修改,总的来说更容易解决一些。”

然而,若是从硬件方面修复漏洞,往往所耗费的时间和精力都会比较多。“一般来说,在硬件方面修复漏洞,需要在硬件电路里面做一些特别的功能,去判断一些恶意攻击的行为,防止别人破解位流,或者监测不按照原有的行为来进行工作的预判电路。这些花费都会很高,因为往往需要重新设计芯片、重新流片并且重新生产。此次研究学者没有特别详细公开关键安全漏洞的机制,从侧面印证了这次StarBleed安全漏洞事件造成了较大影响,因为这个安全漏洞有可能是出在了硬件的组成部分。”王海力说道。

赛灵思发言人向记者表示:“这次安全事件发生后,美国总部第一时间给出设计建议来规避安全隐患。而且这次漏洞虽然在硬件上,但是若想通过其进行攻击也并不是件容易的事情,需要有一个前提条件,那就是必须在物理上近距离接触到这个硬件。也就是说,其一,若想进行攻击,必须有近距离的物理接触,但是这并不容易实现;其二,若想实现远程攻击,需要在接口设置为外部可以访问的情况下才可实现,如果接口不设置外部访问,就不会出现这个问题。”

巧妙利用变“废”为宝

在王海力看来,此次攻击者利用的手法其实并不是新型的手段:“早在十年前,黑客就会利用控制配置码流的技术来入侵。这么多年过去了,FPGA的安全性能在不断提升,黑客技术也在不断提升。一般来说,开放、灵活性强的芯片,安全漏洞也会比较多。这往往是相伴而生的,黑客问题肯定是无法完全避免,但正是因为有黑客的存在,也使FPGA需要不断更新迭代、修补漏洞。从某种意义上讲,这也促进了FPGA技术的发展。”

孙建辉认为,这次安全漏洞事件虽然向所有FPGA研发单位敲了一次警钟,但同时也可以反向利用这次安全漏洞,变“废”为宝。“比如我们可以基于远程无线操纵码流存储体,远程重构更新逻辑功能,并且若用户具有私有权限,甚至可以设置权限,进行授权访问码流修改权限,而恶意入侵者却被严密的安全防护网络阻挡在门外,这无疑是一件因祸得福的事情,也会促进国际FPGA硬件重构芯片的发展,以及推出新的标准或新的研发规范。”孙建辉说。

王海力表示,虽然比起国外FPGA来说,国内FPGA起步较晚,技术较为落后,但是中国还是有自己的优势的。在安全性能上,国产FPGA可以做一些自己的特色,比如在加密算法中,在一些应用领域,采用国密算法来加密,不易被破解,安全性能更高。此外,国产FPGA可以借鉴很多国外PFGA的发展经验,避开很多雷区,使国产FPGA在安全性能上能够发展得更快更好。

同时,孙建辉认为,这次StarBleed安全漏洞事件也给了国产FPGA一定的反思,让国产FPGA企业能够思考如何设计FPGA万能芯片,用什么全新的物理、电路、算法以及配置下载流程技术能够进行安全性更高的FPGA重构设计?国内企业等单位如果抓住机遇,推出最新的安全FPGA芯片,拥有国际专利、推出新标准,这无疑是一次突围的好机会。

安全性是目前最在乎的特性之一,重视的企业必将获得更好的发展。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭