IP-Schutz für FPGAs
Sicherheit für die ganze Wertschöpfungskette
Mit dem Software-Stack »Sentry« und dem Service »SupplyGuard« bietet Lattice einen End-zu-End-Schutz. Damit sollen Fälschungen, die Überbauung und das Einschleusen von Trojanern wirkungsvoll verhindert werden.
Der Sentry-Stack von Lattice ist eine Kombination aus Embedded-Software, Referenzdesigns, IP und Entwicklungstools für die vereinfachte Implementierung sicherer Systeme, die mit den NIST Platform Firmware Resiliency (PFR) Guidelines (NIST SP-800-193) konform sind.
Der SupplyGuard-Service von Lattice erweitert den vom Sentry-Stack gebotenen Systemschutz um werksseitig gesperrte Geräte, die gegen Angriffe wie Cloning und Einschleusen von Malware immun sind; damit lässt sich die schnell veränderliche Lieferkette vor allen aktuellen Herausforderung schützen.
Laut Patrick Moorhead, Präsident und Gründer von Moor Insights & Strategy, »haben 5G, Edge Computing und IoT zur Folge, dass in immer kürzeren Zeitabständen immer mehr Geräte miteinander vernetzt werden, dadurch nehmen Sicherheitsbedenken unter den High-Tech-OEMs zu, ganz gleich, welche Märkte sie bedienen. Entwickler müssen darauf vertrauen können, dass ihre Hardware-Plattformen vor Cyberattacken und IP-Diebstahl sicher sind. Sie benötigen Sicherheitslösungen, die einen umfassenden Schutz während der gesamten Betriebsdauer eines Produkts im Feld unterstützen; das bedeutet, dass die Lösung in der Lage sein muss, sich dynamisch an ein veränderliches Bedrohungsszenario anzupassen«.
Deepak Boppana, Sr. Director, Product and Segment Marketing, Lattice: »Mit den validierten IPs, vor-verifizierten Referenzdesigns und Hardware-Demos von Sentry können Entwickler die PFR-Lösung schnell anpassen, indem sie den mit der RISC-V- und Propel-Designumgebung erzeugten C-Code entsprechend modifizieren; dadurch lässt sich die Time-to-Market von zehn Monaten auf nur sechs Wochen verkürzen«.
Angriffsziel Firmware
In der National Vulnerability Database des US-amerikanischen National Institute of Standards and Technology (NIST) wird berichtet, dass die Zahl der Firmware-Schwachstellen zwischen 2016 und 2019 um über 700 Prozent gestiegen ist. Der Schutz von Systemen gegen unbefugten Firmware-Zugriff erfordert eine dynamische, kontinuierliche Echtzeit-Hardware-Plattformsicherheit für alle vernetzten Geräte. Dazu gehört die Sicherung der Komponenten-Firmware vor unberechtigtem Zugriff und die Fähigkeit des Systems, einen Angriff automatisch zu erkennen, davor zu schützen und schnellstmöglich wieder in den Normalbetrieb überzugehen.
TPM- und Mikrocontroller-basierte Sicherheitansätze arbeiten mit serieller Datenverarbeitung und können nicht die Echtzeit-Leistungsfähigkeit bieten, die parallel verarbeitende Ansätze auf FPGA-Basis bieten.
»Lattice hat seinen SupplyGuard-Service entwickelt, um seinen Kunden bei der sicheren Bereitstellung ihrer Geräte zu unterstützen, ihre Gesamtkosten zu senken und den Sicherheitsanforderungen einer sich ständig verändernden und zunehmend risikoreichen Lieferkettenumgebung gerecht zu werden«, sagte Eric Sivertson, Vice President of Security Business, Lattice.
Die wichtigsten Leistungsmerkmale des Sentry-Software-Stacks:
- Hardware-Sicherheitsfunktionen – der Sentry-Stack bietet eine vorverifizierte, NIST-konforme PFR-Implementierung, die eine strenge Echtzeitkontrolle von Zugriffen auf die gesamte System-Firmware während und nach dem Systemstart erzwingt. Wenn eine kompromittierte Firmware erkannt wird, kann Sentry automatisch einen Rücksprung auf eine vorherige, nicht-kompromittierte Firmware-Version durchführen, so dass der sichere Systembetrieb ohne Unterbrechung fortgesetzt wird.
- Konformität mit den neuesten NIST-SP-800-193-Standard- und CAVP-Zertifizierungen (Cryptographic Algorithm Validation Program) – der Stack ermöglicht die Implementierung einer Hardware-RoT (Root of Trust) durch die Unterstützung der kryptografisch gesicherten FPGA-Familie MachXO3D von Lattice.
- Benutzerfreundlichkeit – Entwickler können die validierten IPs von Sentry einfach per Drag-and-Drop einfügen und den darin enthaltenen RISC-V-C-Referenzcode in der Lattice Propel-Entwicklungsumgebung modifizieren, selbst wenn sie über keine Erfahrung in der FPGA-Entwickliung verfügen.
- Schnelle Markteinführung – der Sentry-Stack umfasst vorverifizierte und getestete Anwendungsdemos, Referenzdesigns und Entwicklungsboards, die die Entwicklungsdauer von PFR-Anwendungen von zehn Monaten auf nur sechs Wochen verkürzen können.
Schutz und Sicherheit in der Wertschöpfungskette
Der Schutz der Wertschöpfungskette mit SupplyGuard umfasst:
- Robuste Sicherheit während des gesamten Geräte-Lebenszyklus – SupplyGuard ist ein abonnierter Service, der OEMs und ODMs ein beruhigendes Gefühl der Sicherheit bietet, indem er gesperrte Lattice-FPGAs während ihres gesamten Lebenszyklus verfolgt, von der Herstellung über den Transport entlang der globalen Wertschöpfungskette, die Systemintegration und -montage bis zur Erstkonfiguration und den Einsatz. SupplyGuard trägt durch folgende Maßnahmen zur Sicherheit von OEMs bei:
- Nur autorisierte Hersteller können das OEM-Design fertigen, unabhängig von ihrem Standort.
- Bereitstellen einer sichere Schlüssel-Infrastruktur für OEMs, um die Aktivierung ihres IPs auf nicht autorisierten Komponenten zu verhindern und das Klonen und Überbauen von Produkten zu unterbinden.
- Sichern der Geräte gegen das Herunterladen und Installieren von Trojanern, Malware oder anderer unautorisierter Software. Dadurch sind Plattformen und Systeme auch vor »Entführung« von Geräten und sonstigen Cyberattacken geschützt.
- Flexible, kostengünstige Implementierung – SupplyGuard ist in hohem Maße anpassbar und erfüllt dadurch die spezifischen Sicherheits- und Lieferkettenanforderungen von OEMs in allen von Lattice bedienten Branchen.
