Schwerpunkte

Sicherheits-FPGAs

Hardware Root of Trust mit RISC-V-Kern

10. Dezember 2020, 08:24 Uhr   |  WEKA FACHMEDIEN, Newsdesk

Hardware Root of Trust mit RISC-V-Kern
© Lattice Semiconductor

Mehr Logik, verbesserte Kryptografie und einen Beschleuniger auf RISC-V-Basis bieten die neuen Sicherheits-FPGAs Mach-NX von Lattice Semiconductor.

Mit der zweiten Generation seiner Sicherheits-FPGAs ermöglicht Lattice eine Secure Enclave mit 384-bit-Kryptografie. Erstmals wird ein RISC-V-Kern als Hardware-Beschleuniger eingesetzt, um Firmware schnell zu authentisieren.

Die zweite Gene­ra­tion der für sichere Anwen­dungen konzi­pierten FPGAs von Lattice Semiconductor, Mach-NX, bieten alle Leistungs­merk­male der im Jahr 2019 vorgestellten MachXO3D-Familie plus verbes­serte Sicher­heits­funk­tionen. Sie ermöglichen eine hohe Verar­bei­tungs­geschwin­dig­keit und Energie­effizienz, die für die Imple­men­tierung einer Echt­zeit-Hardware-Root-of-Trust-Funktion (HRoT) auf künftigen Servern sowie Compu­ter-, Kommu­ni­ka­tions-, Indus­trie- und Auto­mobil-Systemen benö­tigt wird. Die Mach-NX-Serie ist die dritte FPGA-Familie, die Lattice inner­halb eines Jahres auf seiner FPGA-Plattform Nexus ent­wickelt hat.

Blöcke im Mach-NX-FPGA
© Lattice Semiconductor

Bild 1. Schematische Darstellung der Blöcke im Mach-NX-FPGA mit der Secure Enclave, den Logikzellen, Schnittstellen und dem RISC-V-Kern.

Die neuen Mach-NX-FPGAs kombinieren eine sichere Enklave – in Form einer auf 384-bit-Hardware basie­renden Krypto-Engine, die einen reprogrammierbaren Bitstrom-Schutz unterstützt – mit einem Logikzellen- (LC) und E/A-Block (Bild 1). Die sichere Enklave hilft bei der Sicherung der Firmware, und der Logik- und E/A-Block ermöglicht Steuerungsfunktionen wie z.B. Powermanagement und Lüftersteuerung. Mach-NX-FPGAs können Firmware-Updates verifizieren und auf Systemen installieren und ermöglichen es so, Systeme durch Updates konform mit den ständig weiterentwickelten Sicherheitsrichtlinien und -protokollen zu halten.

Die Parallelverarbeitungsarchitektur der Mach-NX-FPGAs und die Dual-Boot-Flash-Speicherkonfiguration ermöglichen eine Quasi-Echtzeit-Reaktion, die zur Erkennung von Angriffen und zur Wiederherstellung nach Angriffen erforderlich sind. Damit bieten die Mach-NX-FPGAs ein Leistungsniveau, das über die Fähigkeiten anderer HRoT-Plattformen wie Mikrocontroller hinausgeht.

Die Mach-NX-FPGAs werden den Lattice-Sentry-Stack unter­stützen – eine robuste Kombination aus Embedded-Software, Referenzdesigns, IP und Entwicklungswerkzeugen für die schnellere Implementierung sicherer Systeme, die mit den NIST Platform Firmware Resiliency (PFR) Guidelines (NIST SP-800-193) konform sind.

Mit der Entwicklungsumgebung Propel lassen sich mit Mach-NX-FPGAs angepasste PFR-konforme (Platform Firmware Resiliency) Hardware Root of Trust erstellen ohne viel RTL-Code schreiben zu müssen.

Die wichtigsten Leistungsmerkmale der Mach-NX-Familie sind:

  • Bis zu 11 K Logikzellen und bis zu 379 E/As.
  • 384-bit-Hardware-Krypto-Engine. Sie unterstützt die schnelle und einfache Implementierung modernster Kryptographie­stan­dards wie ECC 384 (Elliptic-Curve Cryptography) und Industriestandard-Sicherheitsprotokolle wie NIST SP-800-193 (National Institute of Standards and Technology, Platform Firmware Resiliency Guidelines) und MCTP-SPDM (Management Component Transport Protocol – Security Protocol and Data Model).
  • End-zu-End-Lieferkettenschutz. Mach-NX-FPGAs können mit dem Lieferkettenschutz-Abo-Service SupplyGuard von Lattice überwacht werden. SupplyGuard schützt das in Lattice-FPGAs gespeicherte geistige Eigentum und verfolgt die Bausteine über ihren gesamten Lebenszyklus, angefangen bei der Herstellung, während des Transports über die globale Lieferkette, bei der Systemintegration und -montage, bei der Erstkonfiguration sowie während der gesamten Nutzungsdauer.
Tabelle zum Vergleich von Mach-NX mit MachX
© Lattice Semiconductor

Bild 2. Im Vergleich zu den Vorgängern bieten die neuen Mach-NX-FPGAs mehr Platz für Logik, eine auf 384 bit erweiterte Kyptografie und einen auf einem RISC-V-Kern basierenden Beschleuniger.

»Das Rennen geht weiter zwischen Hackern, die versuchen, Schwachstellen in der Firmware auszunutzen, und Entwicklern, die Serverplattformen mit den Sicherheitsmerkmalen und der Leistungs­fähig­keit entwickeln, die nötig sind, um sie abzuwehren«, sagt Patrick Moorhead, Präsident und Gründer von Moor Insights & Strategy. »Der Schutz von Systemen erfordert Echtzeit-HRoT mit Unterstützung für stärkere Kryptographie-Algorithmen wie ECC 384 sowie neue, robuste Datensicherheitsprotokolle wie SPDM. Die Mach-FPGA-Familien von Lattice ermög­lichen Herstel­lern von Servern, die ihre Plattformen gegen Cyberattacken und IP-Dieb­stahl sichern wollen, eine schnellere und einfachere Imple­men­tierung dieser Techniken.«

Esam Elashmawi, Stra­te­gie- und Marketing-Chef bei Lattice, fügt hinzu: »Die Sicherung von Systemen gegen unbefugten Firmware-Zugriff geht über die Einrichtung eines HRoT beim Booten hinaus. Zusätz­lich muss sichergestellt werden, dass die im System verbauten Kompo­nenten an keiner Stelle der globalen Lieferkette kompro­mittiert werden. In Verbin­dung mit dem zusätzlichen Schutz durch unseren Sicherheitsservice SupplyGuard können Lattice Mach-NX-FPGAs ein System während seines gesamten Lebenszyklus schützen – beginnend ab dem Zeitpunkt, an dem die Komponenten die Lieferkette durchlaufen, über die Produk­tion, den Versand und die Integration des Endprodukts, und während seiner gesamten Einsatzdauer.«

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

LATTICE Semiconductor GmbH, Lattice Semiconductor UK Ltd.