重新定义未来的可信根架构

2024年10月31日 18:51    发布者:eechina
作者:莱迪思半导体

企业环境的快速数字化、复杂网络威胁的激增、安全法规的不断演变以及量子计算技术的崛起,在网络安全领域掀起了层层巨浪,行业对敏捷性和弹性也提出了更高的要求。为了应对这种情况,企业必须在网络防御和合规方面保持积极主动的态度。在最新的莱迪思安全研讨会上,莱迪思安全专家与来自AMI和Rambus的合作伙伴共同探讨了企业如何利用先进的安全技术驾驭新的监管环境。讨论内容包括可信平台模块(TPM)技术的最新进展、使用Caliptra创新推出的测量信任根(RoTM),以及将这些解决方案无缝集成到现场可编程门阵列(FPGA)技术实施中。



应对不断变化的安全法规

为帮助确保网络弹性和安全性,各种监管准则已经出台或即将出台。例如,2024年8月13日,美国国家标准与技术研究院(NIST)发布了首批三种最终确定的后量子加密(PQC)算法。此外,美国国家安全局(NSA)也加大了应对量子攻击的力度,推出了商用国家安全算法套件2.0,要求国家安全系统所有者、运营商和供应商从2025年起对所有新软件实施PQC。欧盟也推出了大量新法规,包括《数字运行弹性法案》(DORA)和《网络弹性法案》(CRA),旨在降低不断增长的安全威胁所带来的风险。

新兴TPM技术进展

TPM长期以来一直是硬件安全的基石。TPM是计算机主板上的一种专用芯片,旨在通过提供安全的方式来存储加密密钥、密码和数字证书等敏感信息,增强系统的整体安全性。TPM标准最初由可信计算小组(Trusted Computing Group)制定,它提供了一种硬件可信根(HRoT)方案,确保系统的完整性。它可能是最早进入市场的标准化HRoT之一。

然而TPM技术领域正面临着重大挑战。随着物联网(IoT)应用在工业化环境中不断扩大,需要开发更灵活、更低功耗的HRoT实现方案。此外,随着云计算和虚拟工作负载大规模发展,HRoT需要通过远程验证和安全访问云资源来更好地支持零信任架构,确保只有受信任的设备才能访问敏感数据和系统。人工智能(AI)在网络安全中的应用对TPM的静态ASSP实现提出了挑战。HRoT必须足够灵活,兼容未来可能的更新,从而直接在硬件层面支持基于人工智能的威胁检测和响应。最后,最大的挑战来自量子计算机的出现。TPM依赖于传统的非对称加密技术,在量子攻击面前不堪一击。因此,迫切需要将PQC算法集成到TPM中。在FPGA等灵活的HRoT器件中集成TPM功能对于确保设备在面对新兴威胁时保持安全至关重要。

随着攻击变得更加高级,防御环境变得更加复杂,TPM将需要持续更新,提供更强大的功能。

Caliptra:RoTM的范式转变

开源计算的兴起推动了对更具互操作性的RoTM功能的需求。RoTM是一个基本的安全概念,是指从可信、不可变的基础开始,验证系统硬件和软件组件完整性和真实性的过程。其目的是建立一个信任链,从一个固有可信的组件(“根”)开始,通过一系列的测量和验证扩展到系统的其他部分。

在RoTM方面,由开放计算项目开发的开源芯片RoT Caliptra提供了在大规模数据中心和网络边缘计算环境中测量、存储和报告系统状态的基本功能。Caliptra集成到片上系统(SoC)设计中,可以实现安全启动过程和运行时验证,这对于维护系统完整性和检测潜在的安全漏洞至关重要。

Caliptra是RoTM演进过程中的一项重要发展,它建立了一个标准化的开源框架,用于保护可互操作的计算生态系统。通过提供芯片RoTM的开源标准化实现,它解决了一致性、灵活性、面向未来和透明度等几个关键挑战。它还提供了跨不同硬件平台的统一RoTM方法,这对于确保大规模云计算和网络边缘计算环境的安全至关重要。展望未来,Caliptra将继续成为维护不同云计算和网络边缘计算环境之间安全互操作性的关键:为各种软件和硬件平台提供一致的安全基础。

利用FPGA推动动态HRoT

莱迪思FPGA在支持TPM和Caliptra等HRoT功能方面发挥着关键作用,其多功能性和基于硬件的功能使其成为实现和增强这些技术所提供的安全功能的理想选择。例如,莱迪思MachXO3D、莱迪思MachXO5D-NX和莱迪思Mach-NX提供了一个强大的HRoT基石,具有用于自我验证的安全、不可变的唯一ID,快速安全的启动,以及特定器件原生的全套验证安全服务。



莱迪思FPGA还在HRoT产品中集成了 “加密敏捷 ”功能,为服务器平台和其他互连设备应用(如PQC扩展)提供面向未来的保护。此外,它们还为TPM和Caliptra的原型开发和新设计或功能测试提供了一个绝佳的平台。由于FPGA可以无线重新编程,因此设计人员可以快速迭代和验证设计,而无需每次都制造新的芯片。这对TPM和Caliptra等安全模块尤其有用,因为它们需要更新和改进,以满足不断变化的标准和法规的要求。

具有HRoT功能的莱迪思FPGA有一个专用的加密引擎,具有对称和非对称加密功能。此外,集成了锁定闪存的莱迪思HRoT产品可保护代码不被擦除、读取或改写,防止未经授权的访问。它们可以建立独特的器件身份,在允许数据交换之前进行验证,确保系统的核心功能和组件受到保护。此外,它们还允许在具有独特安全要求(如网络弹性标准要求)的专门应用中实施定制安全功能,以补充或增强标准TPM或Caliptra实现。对于已经使用FPGA的系统,将TPM或Caliptra功能直接集成到FPGA中还可以提高设计的效率和成本效益。

FPGA为TPM和Caliptra等重要技术提供了支持,将继续成为现代计算系统中宝贵的安全资产。通过利用FPGA的功能,企业可以构建高度安全可靠的平台,从而很好地防范各种威胁。欲了解有关FPGA及其在网络安全中的作用的更多信息,请立即联系莱迪思团队。