Hardware Root of Trust mit RISC-V-Kern

Mit der zweiten Generation seiner Sicherheits-FPGAs ermöglicht Lattice eine Secure Enclave mit 384-bit-Kryptografie. Erstmals wird ein RISC-V-Kern als Hardware-Beschleuniger eingesetzt, um Firmware schnell zu authentisieren.

Die zweite Gene­ra­tion der für sichere Anwen­dungen konzi­pierten FPGAs von Lattice Semiconductor, Mach-NX, bieten alle Leistungs­merk­male der im Jahr 2019 vorgestellten MachXO3D-Familie plus verbes­serte Sicher­heits­funk­tionen. Sie ermöglichen eine hohe Verar­bei­tungs­geschwin­dig­keit und Energie­effizienz, die für die Imple­men­tierung einer Echt­zeit-Hardware-Root-of-Trust-Funktion (HRoT) auf künftigen Servern sowie Compu­ter-, Kommu­ni­ka­tions-, Indus­trie- und Auto­mobil-Systemen benö­tigt wird. Die Mach-NX-Serie ist die dritte FPGA-Familie, die Lattice inner­halb eines Jahres auf seiner FPGA-Plattform Nexus ent­wickelt hat.

Die neuen Mach-NX-FPGAs kombinieren eine sichere Enklave – in Form einer auf 384-bit-Hardware basie­renden Krypto-Engine, die einen reprogrammierbaren Bitstrom-Schutz unterstützt – mit einem Logikzellen- (LC) und E/A-Block (Bild 1). Die sichere Enklave hilft bei der Sicherung der Firmware, und der Logik- und E/A-Block ermöglicht Steuerungsfunktionen wie z.B. Powermanagement und Lüftersteuerung. Mach-NX-FPGAs können Firmware-Updates verifizieren und auf Systemen installieren und ermöglichen es so, Systeme durch Updates konform mit den ständig weiterentwickelten Sicherheitsrichtlinien und -protokollen zu halten.

Die Parallelverarbeitungsarchitektur der Mach-NX-FPGAs und die Dual-Boot-Flash-Speicherkonfiguration ermöglichen eine Quasi-Echtzeit-Reaktion, die zur Erkennung von Angriffen und zur Wiederherstellung nach Angriffen erforderlich sind. Damit bieten die Mach-NX-FPGAs ein Leistungsniveau, das über die Fähigkeiten anderer HRoT-Plattformen wie Mikrocontroller hinausgeht.

Die Mach-NX-FPGAs werden den Lattice-Sentry-Stack unter­stützen – eine robuste Kombination aus Embedded-Software, Referenzdesigns, IP und Entwicklungswerkzeugen für die schnellere Implementierung sicherer Systeme, die mit den NIST Platform Firmware Resiliency (PFR) Guidelines (NIST SP-800-193) konform sind.

Mit der Entwicklungsumgebung Propel lassen sich mit Mach-NX-FPGAs angepasste PFR-konforme (Platform Firmware Resiliency) Hardware Root of Trust erstellen ohne viel RTL-Code schreiben zu müssen.

Die wichtigsten Leistungsmerkmale der Mach-NX-Familie sind:

• Bis zu 11 K Logikzellen und bis zu 379 E/As.
• 384-bit-Hardware-Krypto-Engine. Sie unterstützt die schnelle und einfache Implementierung modernster Kryptographie­stan­dards wie ECC 384 (Elliptic-Curve Cryptography) und Industriestandard-Sicherheitsprotokolle wie NIST SP-800-193 (National Institute of Standards and Technology, Platform Firmware Resiliency Guidelines) und MCTP-SPDM (Management Component Transport Protocol – Security Protocol and Data Model).
• End-zu-End-Lieferkettenschutz. Mach-NX-FPGAs können mit dem Lieferkettenschutz-Abo-Service SupplyGuard von Lattice überwacht werden. SupplyGuard schützt das in Lattice-FPGAs gespeicherte geistige Eigentum und verfolgt die Bausteine über ihren gesamten Lebenszyklus, angefangen bei der Herstellung, während des Transports über die globale Lieferkette, bei der Systemintegration und -montage, bei der Erstkonfiguration sowie während der gesamten Nutzungsdauer.

»Das Rennen geht weiter zwischen Hackern, die versuchen, Schwachstellen in der Firmware auszunutzen, und Entwicklern, die Serverplattformen mit den Sicherheitsmerkmalen und der Leistungs­fähig­keit entwickeln, die nötig sind, um sie abzuwehren«, sagt Patrick Moorhead, Präsident und Gründer von Moor Insights & Strategy. »Der Schutz von Systemen erfordert Echtzeit-HRoT mit Unterstützung für stärkere Kryptographie-Algorithmen wie ECC 384 sowie neue, robuste Datensicherheitsprotokolle wie SPDM. Die Mach-FPGA-Familien von Lattice ermög­lichen Herstel­lern von Servern, die ihre Plattformen gegen Cyberattacken und IP-Dieb­stahl sichern wollen, eine schnellere und einfachere Imple­men­tierung dieser Techniken.«

Esam Elashmawi, Stra­te­gie- und Marketing-Chef bei Lattice, fügt hinzu: »Die Sicherung von Systemen gegen unbefugten Firmware-Zugriff geht über die Einrichtung eines HRoT beim Booten hinaus. Zusätz­lich muss sichergestellt werden, dass die im System verbauten Kompo­nenten an keiner Stelle der globalen Lieferkette kompro­mittiert werden. In Verbin­dung mit dem zusätzlichen Schutz durch unseren Sicherheitsservice SupplyGuard können Lattice Mach-NX-FPGAs ein System während seines gesamten Lebenszyklus schützen – beginnend ab dem Zeitpunkt, an dem die Komponenten die Lieferkette durchlaufen, über die Produk­tion, den Versand und die Integration des Endprodukts, und während seiner gesamten Einsatzdauer.«

Verwandte Artikel

LATTICE Semiconductor GmbH, Lattice Semiconductor UK Ltd.