安全晶片
實體安全晶片守護最後一哩路
設備安全性等級不足的常見狀況是原生缺陷,根源來自採用的開發套件本身漏洞或設計不良,典型的案例如只沿用RSA 1024、SHA-1加密演算法建立憑證,防護能力過於薄弱,駭客組織可能僅透過自動化攻擊工具即可破解。大量運用的開放原始碼套件也可能潛藏風險,製造商若為了加快開發速度,未經檢查直接套用,極可能存在漏洞卻不自知。
當前駭客的顯學為旁路攻擊(Side-channel attack, SCA),又稱為側通道攻擊,無須破壞侵入硬體,藉由測量電磁輻射、電壓與電流變化,針對執行AES、ECC等演算法運算的硬體進行攻擊 ,即有機會猜到加密金鑰而隔空竊取。此手法在實體攻擊中技術門檻較高,但極難防範,再加上設備製造商多為成本考量,才讓駭客有機可趁。他指出,若要對抗這類威脅,銓安智慧科技設計的硬體安全晶片將可有效保護最後一哩路。
銓安智慧(IKV)總經理鄭嘉信
點對點傳輸安全重要性倍增 恩智浦滿足全方位IoT資安需求
恩智浦(NXP)半導體市場行銷經理蘇士維指出,以往在各類的產品設計上,安全問題相對較不被重視。但是由於萬物聯網的趨勢,假若企業系統、生產設備受到駭客攻擊,將造成生產上的損失,因此現今物聯網相關設備的資訊安全需求便開始受到重視。以恩智浦的客戶需求來說,如何避免IP被竊取就是其中一項重要的考量。另一方面,物聯網的興起不僅使企業資安備受重視,時常安裝於居家的監視器,也是容易被駭客入侵的設備之一。
蘇士維進一步提到,其實資訊安全很少會去談絕對安全,只有相對的安全;資訊安全也分了相當多等級,需要用到多高等級的資訊安全防護則取決於客戶的需求。然而現今,網路攻擊事件越來越多,在未來更可能成為一個可用金錢購得的武器或工具;也就是說,假若一間企業可以透過「駭客攻擊服務」來損害同行競爭對手的產品或是商譽,相對而言企業對於資訊安全的投入也會逐漸提升。
物聯網產品對於資訊安全的要求有以下四點:
1.資料完整性:傳輸的過程不能有任何資料被修改、竄改。
2.真實性:裝置與裝置之間要能互相認證,並且若在傳遞過程中資料被竊取,對方也必須無法解密。
3.可用性:裝置必須承受得住一些破壞,不能因為破壞就使得資料被竊取。
4.保密性:傳遞的過程就算資料被竊取,也不能被解密然後知道裡面傳的是甚麼資訊。
要實現以上要求,便需要投入成本維護;目前恩智浦便致力於推出能符合安全要求同時價格也趨近於客戶理想範圍的產品。舉例而言,A71安全元件(SE)便是一款針對物聯網設備安全的解決方案。蘇士維也強調,假若客戶生產的物聯網產品不需要用到A71如此高階的安全晶片,該公司亦提供認證晶片。客戶可以依照產品需求與預算,達到最為理想的資訊安全防護等級。
恩智浦(NXP)半導體市場行銷經理蘇士維指出,資訊安全分了許多等級,需要多高等級的防護則看企業需求。
量子電腦掀資安危機 演算法/安全晶片雙管齊下
在金融科技(Fintech)與物聯網(IoT)應用發展下,網路資料量越來越龐大,內涵的價值也越來越高,使得駭客攻擊事件層出不窮。2018年6月韓國比特幣交易所Coinrail即遭駭客入侵,竊取價值4000萬美元的加密貨幣。而未來量子電腦(Quantum Computing)發展成熟後,其強大的運算效能將引起更大的資安威脅,使得後量子演算法與安全晶片成為業界投注的焦點。
近年來量子電腦發展加速,預估其運算效能發展至2000量子位元(qubit)以上,即可在幾秒內破解現有的公鑰密碼系統,包括比特幣等加密貨幣的數位簽章。為防範量子電腦所帶來的資安威脅,相關單位如Google已積極投入後量子密碼演算法開發,而英飛凌(Infineon)也將後量子演算法導入其安全晶片中。因應此趨勢,美國政府也已公開程序來制定可防抵抗量子電腦攻擊的後量子密碼國家標準。
不過,光從演算法著手可能仍無法有效防範攻擊,銓安智慧科技(IKV-Tech)創辦人兼總經理鄭嘉信表示,軟體具有可調整彈性因此也較容易被篡改,且軟體是由人所設計的,必然帶有漏洞且無法避免,因此須搭配安全晶片保障伺服器與交易環境安全。安全晶片內含加密金鑰、演算法與加密引擎,加解密過程都在硬體中進行,以避免在不安全的伺服器環境中進行交易。
事實上安全晶片並非新興技術,其過去主要被運用在軍事與金融體系中,而近幾年隨著物聯網涵蓋的面向越趨廣泛,包括工業製造、智慧交通以及智慧醫療等,對於資訊安全越來越敏感,相關單位也希望能將硬體安全機制導入物聯網裝置中。
然而,鄭嘉信坦言,要將安全晶片導入物聯網裝置中,成本是很大的挑戰。由於安全晶片需要非常多技術與元件,包括密碼學(Cryptography)、防篡改技術(Tamper Resistant)、安全作業系統 (Secure COS) 以及各種侵入式或非侵入式攻擊的感應器(Sensors),開發與製造過程所費不貲。而物聯網涵蓋的情境多元,晶片設計須因應不同應用場景做調整,須耗費更多的成本,導致目前裝置業者採用意願不高。
針對此問題,目前歐盟提出相關對策,要求業者公開經第三方驗證的產品安全規格,讓消費者能了解自己所購買的聯網裝置屬於哪個安全評估等級,同時也能審視產品是否確實達到安全規範,盼能藉此逐步提升物聯網裝置的安全等級。而鄭嘉信也指出,目前荷蘭、德國等國的智慧電表中都已搭載安全晶片。
根據美國官方所引用的說法,2026-2031年時量子電腦的運算效能才足以威脅現有的公鑰密碼系統,但銓安研發長、台大數學系兼任教授陳君明表示,由於產品有一定的更換周期,因此業者在開發或採購可能使用5年以上的裝置時,須特別考量其資訊安全等級,以避免裝置暴露於資安風險中。