摘要：这对于安全和任务关键型应用尤其具有挑战性，因为一些最复杂的设计开发成本可能高达 1 亿美元。芯片制造商希望能够在更长的使用寿命内摊销这笔投资。但随着设备变得越来越复杂和异构，需要在总体拥有成本的背景下进行分析，其中越来越多地包括安全性。

旧芯片的性能下降会产生新的漏洞，解决这些问题需要一些复杂的权衡。

硅片在现场使用的时间越长，就越容易受到网络攻击，这引发了人们对电路的最佳寿命以及延长其寿命的影响的质疑。

这对于安全和任务关键型应用尤其具有挑战性，因为一些最复杂的设计开发成本可能高达 1 亿美元。芯片制造商希望能够在更长的使用寿命内摊销这笔投资。但随着设备变得越来越复杂和异构，需要在总体拥有成本的背景下进行分析，其中越来越多地包括安全性。

西门子数字工业软件汽车 IC 解决方案总监 Lee Harrison 表示：“随着芯片的老化，正常工作的设备和故障设备之间的界限会逐渐缩小。通常，老化过程会从零时刻开始，随着芯片的慢慢老化，时序裕度等会慢慢消失。设备安全性的很多功能都在于能够抵御攻击，尤其是旁道攻击。设备越接近故障设备，就越容易受到攻击，旁道攻击对设备功能产生实际影响的可能性就越大。”

漏洞增多是多种因素造成的。第一个因素很明显，与技术方面关系不大。设备在现场使用的时间越长，攻击者找到漏洞并加以利用的时间就越长。对于黑客可访问的芯片（例如汽车芯片）来说尤其如此。

除此之外，随着越来越多的设备相互连接并连接到互联网，无法访问的硬件变得越来越脆弱。对于多芯片设备，这可能包括封装内的连接以及无线连接。

更糟糕的是，随着电路性能下降，温度、电压和其他方面的弹性裕度也会减弱。解决方案是增加更精细的监控和安全性设计方法，但这也需要在整个半导体和电子系统供应链中共享数据，而许多公司不愿意共享可能被竞争对手看到的数据。

另一方面，黑客数量并不缺乏。对犯罪组织、国家和企业黑客、犯罪组织甚至一些独立程序员来说，对电子产品的网络攻击都是一桩大生意。他们中的许多人都对技术有着深刻的理解，并且拥有破解设备的独创性和毅力，无论是通过硬件破解软件，还是反过来。只要有足够的时间和计算资源，任何设计都可以被黑客入侵，电子蓝图可以在暗网上以加密货币出售。

Keysight总经理兼流程数据和管理业务部负责人 Simon Rance 表示：“随着时间的推移，任何类型的技术都会被黑客攻击和发现漏洞，无论是故意还是无意发现的。通常总是存在接入点，无论是从硬件角度，通常是端口（例如总线）还是软件，这些往往更容易受到攻击。你不仅可以破解软件，还可以通过软件和固件访问硬件。这是一个挑战，因为随着设备老化，它们的漏洞总会暴露出来。它们被公开分享，甚至在 Reddit 这样的网站上也是如此。”

防御未来攻击者的挑战有一个核心问题。硬件将保持不变，而攻击者的方法将不断演变。他们有充足的时间来检测漏洞，但设计师无法回头修复这些漏洞。

“这不是一个容易解决的挑战，”兰斯说。“提前预测和预防这种情况的成本很高，所以他们通常会投资于受控系统中的硬件，而安全性是他们最看重的。如果是硬件，比如芯片上的安全总线，总线数据可能会被加密，远离 CPU 或处理器。但当你开始进行这些类型的架构选择和决策时，芯片的成本就会上升。”

即使大多数电路最终都会以某种方式被黑客入侵，但这并不意味着每个电路都同样脆弱。不同类型的半导体以及 SoC 的不同组件会随着老化而更容易受到攻击。根据弗吉尼亚理工大学研究人员在 2024 年发表的一篇论文，SRAM 随着时间的推移显示出逐渐的模拟域级变化，攻击者可以模拟这种情况。

“如今，这些设备的功率、性能、面积和热量都得到了充分验证，”Rance 说道。 “设计这些设备的人知道，如果热量稍微超出范围，就会影响系统功能和系统应用，而且可能会被利用。如果你将某物加热到一定程度，它会导致其他设备关闭。或者，你可以将其冻结，这通常会给你提供某些设备的后门访问权限。功率是时序中的另一个因素。无论是电磁脉冲还是任何此类因素，不同类型的因素都可能导致设备内或设备间同步的数据时序紊乱。这并不一定会暴露危险或问题，但它可能会使信息失衡，以至于无法按预期执行。”

在先进节点，薄膜和导线更容易受到老化效应的影响，例如随时间而变的介电击穿和电迁移，因此漏洞级别可能会上升。在最先进的节点，安全性需要密切关注时钟速度和局部温度。这就是为什么安全关键电路（例如汽车中的一些电路）往往位于更大、更旧的节点上的原因。

“晶体管的尺寸必须更大，金属互连的尺寸也必须更大，”哈里森说。“这是在更小的几何工艺和裕度之间的权衡。“更先进的节点总是更容易受到攻击，因为技术本身就更容易受到攻击。当你转向更小的节点时，你必须更加注意这一点，并将其基本考虑在你的物理设计中。”

不随时间推移而变化的设计可能并不比那些不断修补和更新的设计更安全。这对可编程逻辑来说是一个优势，因为它可以在现场更新。相比之下，ASIC“从一开始就达到了最佳状态”，Synopsys的科学家 Mike Borza 说。“修复发现的任何安全缺陷的所有方法都将围绕软件构建。因此从某种意义上说，随着攻击越来越先进，攻击者对系统的了解越来越多，他们利用系统的方法数量也会随着时间的推移而增加。”

性能退化在这里扮演着重要角色。Rambus 技术总监 Scott Best 表示，性能退化分为三种。电迁移是广为人知的现象，可以通过不超过电源和信号线的最大值，或实施随机掩蔽等侧通道对策来解决。然而，其他类型的性能退化，例如影响 pFET 和 nFET 的退化，可能会积累影响阈值电压的电荷。

“这乍一看似乎并不重要，但很多设计都精确到一英寸或一微米，”Best 说道。“如果你真的有探测器，感觉就像是工艺的转变。”

这些变化并不是在所有组件上都同样明显。2018 年，几所大学和 imec 发表的一篇论文发现，工作量对组件的性能下降有重大影响，这反过来又使它们容易受到攻击。虽然内存尤其容易受到攻击，但 Borza 表示，内存并不是唯一一个随着时间的推移越来越容易受到攻击的方面。

“内存是会老化的主要因素之一，但其他会老化的因素包括各种振荡器，甚至数据路径，”他说。“传输数据路径所需的时间会发生变化。这些变化并不大，有时变化非常小，但变化大到可以检测到它们随时间的变化。只要你有这种能力，就有可能有人利用它。”

安全高级副总裁 Peter Laackmann观察到，未受保护的芯片的老化可以模拟用于突破标准微控制器低端安全性的技术的影响。

“对非安全（也即所谓的‘安全强化’）微控制器而言，最重要的威胁之一是‘故障诱导攻击’，”Laackmann 说道。“利用这种攻击，攻击者试图在芯片内部的数据处理、存储或传输中引入错误。如果安全芯片执行了错误的计算或数据检索，攻击者就可以绕过访问权限。此外，如果攻击者在正确的时间成功修改加密计算，秘密私钥可能会被泄露。”

SoC 固有的漏洞也延伸到了小芯片上。但由于系统中集成了多个芯片，因此还存在额外的威胁。

“芯片封装设计暴露的一点是，从物理上讲，它更大，并且需要通过‘开’和‘关’芯片互连将芯片连接在一起，”Borza 说道。“无论是垂直堆叠，还是平面架构，还是两者结合，都有可能有人能够探测到互连层，并能够拦截或修改芯片之间移动的数据。这就是这种设计的风险或暴露程度增加的原因，但基本原理保持不变。”

虽然老化是不可避免的，但这并不意味着无法解决。正如英飞凌的 Laackman 所观察到的，20 世纪 90 年代的微控制器通常依靠传感器来检测不适当的环境条件，例如异常的电源电压、温度、时钟频率或激光照射。

当今攻击者可用的技术不断进步，要求传感器实现必须更加稳健。

“当你监控硅片时，你需要注意的是，如果你的监视器能慢慢看到硅片的退化，这是可以接受的。这是你期望看到的曲线，”哈里森说。“但是，如果你突然看到异常或峰值，你就知道这不是自然老化过程的一部分。这是对硅片本身的攻击。通过监控硅片的一般老化过程，你还可以监控一定数量的侧信道攻击。”

功能监控也是防止黑客利用时间优势的关键安全措施。由于监控器可通过软件配置，Borza 指出，设计人员能够更新其配置文件并更改所收集数据类型，并监视随时间推移而出现的新型攻击。

正如 Laackman 所说，优先考虑安全性的架构必须作为认证安全控制器的“内在基础”。 “作为针对物理攻击以及自然或加速老化造成的潜在威胁的对策，现代认证安全微控制器（如英飞凌提供的微控制器）必须建立在安全设计原则之上。 在安全性方面，这意味着无论物理影响来自何处，芯片的任务都是检测错误并启动对策或警报。 现代认证安全控制器通常使用硬件加密加速器，包括内部数据屏蔽和大量使用随机化功能，以及执行加密实现的内部软件。 这些措施确保存在针对侧信道分析方法的高效屏障，以有效保护芯片免受攻击，包括加速和自然老化。”

另一种方法是建立三重模块冗余，可以测量和比较故障。

“TMR，或者只是进行计算冗余，通常是一种减轻 RAD 硬件设计中单事件干扰的方法，”Rambus 的 Best 说道。“这不仅在卫星中非常重要，在陆地汽车领域也同样重要。汽车内部有一些安全关键系统需要锁步核心——并排的功能冗余。您可以在两个不同的处理器核心中以锁步方式执行相同的计算，并且它们会一直相互监视以确保它们保持锁步。现在，如果对手试图利用老化效应攻击您的芯片，那么事实证明这些冗余有助于减轻这些攻击，因为现在您的对手必须使他们的攻击像防御一样冗余，而这可能出乎意料地困难。”

安全设计的一部分是了解攻击者的工作方式。正如哈里森所解释的那样，侧通道是通过对设备施加压力或改变环境参数使其脱离稳定状态来实现的。这可以通过诸如峰值电压或温度等技术来实现，并观察它是否允许访问安全通道。

然而，设计这种弹性时需要权衡利弊。“这显然会影响设备内部的整体功能时序，”哈里森说。“如果你有足够的余量，那么你就必须非常非常努力地攻击设备，使其进入不稳定状态。但随着设备老化，当你接近这些余量时，设备可能非常非常接近故障。例如，该时序路径中两个功能触发器之间的时间越来越长。”

随着芯片老化，它们更容易受到攻击，尤其是侧信道攻击。这是因为芯片会随着时间的推移而退化，但也因为随着使用时间的增加，黑客有更多机会找到弱点。

安全设计方法包括主动监控电压和温度峰值等活动，这可以帮助抵御这些攻击，但也可能会影响性能和功耗。因此，虽然在设计中为温度和电压留出合理的余量很重要，但任何设备都不可能在其使用寿命内完全安全。挑战在于找到正确的平衡点。

*声明：本文系原作者创作。文章内容系其个人观点，我方转载仅为分享与讨论，不代表我方赞成或认同，如有异议，请联系后台。

想要获取半导体产业的前沿洞见、技术速递、趋势解析，关注我们！

来源：半导体产业纵横一点号