|
作者:萊迪思半導體 我們的數字世界正在經歷深刻變革。云計算、人工智能(AI)和機器學習(ML),以及量子計算力的興起,正在重塑提供網絡保護和保障網絡安全的方式。更重要的是,這些變化發生在風險與行業規范不斷演進的背景下——隨著“先收集,后解密”式攻擊的盛行,商業國家安全算法套件(CNSA)2.0、零信任架構、以及安全協議和數據模型(SPDM)等標準在更新后陸續出臺。 傳統的硬件安全模型已經無法跟上這一不斷變化的形勢。面對全新的挑戰,我們不能停留在過去,現在所需的安全基礎架構要有良好的適應性、可互操作性以及韌性, 能夠隨著不斷變化的攻擊威脅和監管環境而發展。 FPGA作為信任根(RoT)的作用 FPGA正在改變硬件體系中信任根的含義。這些芯片為工程師和開發人員提供了動態且可重新配置的能力,而這是傳統的靜態芯片解決方案所不具備的。與這些靜態解決方案不同,FPGA具備以下優勢: • 敏捷性。可在部署前進行編程,并在部署后重新編程,以支持不斷發展的標準和算法,而無需進行硬件更新。 • 內置安全性。FPGA內置多種安全功能,包括安全啟動、證明和密鑰存儲。 • 長期性。FPGA具有適應性強的特點,這使其成為可能隨時間不斷演變的長生命周期系統的理想選擇,適用于數據中心、通信、人工智能基礎設施等。不斷變化的攻擊威脅和后量子加密(PQC)等新解決方案也要求安全保護架構具備適應性,以滿足最新的需求。 萊迪思的FPGA器件,如全新的MachXO5-NX TDQ系列,可作為系統信任根,將后量子加密等先進安全功能與FPGA的靈活性和處理能力相結合。這種硬件適應性與內置安全性的平衡,可以在系統從傳統安全方法過渡到準備應對后量子時代時,為其提供堅實的基礎。 利用FPGA構建新型信任架構 基于FPGA的“新型信任架構”集成了互補技術,從固件到云端提供多層安全保護。每一層都有助于強化下一層的保護,從而提供一個全面、可驗證且適應性強的安全模型。該架構的組成部分包括: • 實現后量子加密所需的平臺固件保護恢復(PFR)。固件是平臺安全的基礎,它初始化硬件并建立整個系統的信任鏈。對固件的攻擊尤其危險,因為它們在整個系統的操作系統(OS)之下運行,使得檢測和預防更加困難。 為了防范此類攻擊,AMI的Tektagon PFR框架利用基于FPGA的信任根來: 實施美國國家標準與技術研究院(NIST)SP 800-193標準,用于固件檢測、保護和恢復。 集成支持后量子加密的安全流程,使用ML-DSA/LMS和ML-KEM等算法來保護固件完整性。 支持混合簽名驗證和雙啟動工作流程,提供傳統和后量子加密雙重保護。 集成SPDM標準,支持可驗證的證明,并實現子系統之間完整性證據的實時交換。 以FPGA為基礎,此PFR解決方案提供了一個強大且可升級的安全基礎,能夠支持不斷發展的后量子加密算法,而無需用高昂的成本進行重新設計。 • 量子隨機數生成器(QRNG)。作為每個密鑰、簽名和憑證的基礎,熵是所有密碼學工作的核心。由于傳統的偽隨機數生成器(PRNG)和真隨機數生成器(TRNG)依賴于確定性算法或可能存在偏差,因此它們無法保證真正可測試的不可預測性。另一方面,QRNG利用量子現象來生成真正可測量的隨機性和可驗證的熵。在后量子加密解決方案中,純正且可驗證的熵變得尤為重要,因為這些算法具有大型密鑰和多次簽名。在后量子加密中,熵是攻擊面,而QRNG則大幅減小了這一攻擊面。 Quside的QRNG模塊可直接在啟動和運行時集成到FPGA信任根中,確保安全密鑰生成和配置。這反過來又保證了可觀察和可驗證的隨機性的生成,以滿足零信任標準和后量子生態系統要求。 • 固件可信平臺模塊。TPM是平臺信任的基石,支持安全啟動、證明、密鑰存儲和加密等功能。傳統TPM占用電路板空間、增加成本、容易引入新的攻擊向量,并使硬件系統的更新和供應鏈變得復雜化。 然而,像SecEdge SEC-TPM這樣的固件TPM(fTPM)可直接集成到FPGA信任根中,從而無需使用獨立芯片、釋放電路板空間,并通過將密鑰管理限制在一個芯片中來減少攻擊面。這有助于支持動態更新和策略執行,同時仍符合現有的TPM和安全標準。 為未來的信任架構奠定基礎 量子計算的興起、人工智能和機器學習解決方案的演進以及更先進安全框架的普及,要求工程師重新思考如何在硬件系統中建立和維護安全信任。通過結合實時適應性、韌性和全面的安全性,基于FPGA的“新型信任架構”為平臺安全提供了一個具有適應性、可測量且面向未來的基礎——無懼現在還是未來。 即刻探索萊迪思FPGA安全解決方案如何成為系統信任和安全的基礎,并立即聯系我們的團隊,開始構建更安全的未來。 |
