美国特别重视芯片供应链安全

专家们开发了几种方法来验证电子供应链中芯片的真实性和完整性，而不必将其从电路板上移除

2020年3月1日

罗伯特·阿克曼(Robert K.Ackerman)

据一些专家称，西方国家的电子供应链面临的总威胁要大于其零件被恶意篡改的威胁。当前采取的许多有助于确保质量的措施也可以阻止破坏者和造假者。但是，由于美国和大多数西方国家缺乏在短时间内供货的基础设施，更大的威胁隐现了完全阻止芯片和电路板交付的潜力。

这种威胁既适用于经济福祉、也适用于军事安全。Battelle Memorial Institute的研究负责人道格拉斯·索顿(Douglas Thornton)警告说：“只有永久获得必要的微电子元件才可以保卫我们的国家并确保进一步的经济成功” 。他表示，过去50年中，大部分经济增长都是由美国在微电子设计和制造领域的主导地位所驱动的。这两个领域都正在继续向海外转移，这对电子供应链安全构成了新的威胁。

这些威胁可能适用于新电路和旧有替换零部件的供应。在设计和实施改进措施时，减轻过时的能力将受到损害。较长的生命周期系统需要成熟的部件来实现可持续性。

“如果在世界上那些制造芯片的地区陷入冲突，我们的微电子供应链很可能会中断，而这甚至是为简单组件生产新设计所必需的，” Thornton警告说。卡车发动机控制器、无人机、导弹制导系统和士兵使用的个人电子设备等系统可能都会受到威胁。

目前，韩国三星和中国台湾半导体制造公司(TMSC)是主要的生产节点。其他许多公司的处理器也来自TMSC，有些公司则在依赖中国的代工厂供应专用芯片，例如内存。中国可以通过强烈的经济影响力以及区域冲突来抑制韩国和台湾的生产。

中国已经曾做出过努力，拒绝芯片制造商获取电子必不可少的稀土。尽管亚洲国家仍控制着80%的稀土生产，但这仍然是一个问题，一些国家正在努力缓解这一威胁。

道格拉斯·索顿表示：“与原材料相比，这具有更大的经济价值，因为它能够在供应链的许多层面上获取我们的知识产权。” “而且，它实际上并不依赖于语言环境。” 他继续说道，供应链可以在许多地方和任何方式中断。

克服这一挑战将需要在制造设施和教育方面进行大量投资。道格拉斯·索顿表示，美国政府正在通过“提高国家安全和经济竞争力的微电子创新”(MINSEC)行动以及“国防高级研究计划局(DARPA)” 的“ 电子复兴计划”来开展这项工作。他指出，英特尔继续在美国建立和升级其代工厂，但是国内公司投资是个案，而不是常规。

一种可能的替代方法是使用“可信铸造计划”模型。桑顿说，在这种模型下，制造的零件将基于一系列的保管或控制而具有一定程度的隐含保证和来源，供应链的每个人、每个部分和每个动作都将得到保护。

但是，道格拉斯·索顿指出，对于配备计算机中央处理单元的电子产品类型，“可信铸造计划”目前远远落后于最新技术水平。尽管是美国国防部的计划，但它仍无法建立能够生产专门用于作战人员的电子设备的制造实体。

而且供应链不一定都是被敌对行动打断。中国台湾和韩国都座落在太平洋火山带上，都容易受到地震的影响。大型震颤使制造工厂停工的后果可能与民族国家的干预相同。Thornton引用了十年前发生的自然灾害，越南曾发生自然灾害，越南制造的硬盘驱动器供应受到影响。

桑顿表示，克服这一挑战并非易事。他说：“今天我们的电子供应链状况是我们仍然有时间看到明天将面临的风险的状态。” “我们在未来三年内做出的决定将真正推动我们的微电子设计和制造生态系统，我们在该地区的经济竞争力以及我们持续获得消费品和国防产品的相关性。

“还不算太晚，”他继续说道。“但是，如果我们等待太久，那就太迟了。”

一种方法是美国政府建立或补贴国内现代制造厂。这将超出可信赖的代工厂方法，因为政府将需要不断投资于该能力。桑顿承认，这在经济学上很难解决，但是可能会出现新的或创新的经济方法来建立可信赖的代工厂模式。

另一种方法是“零信任”模型，该模型与可信赖的代工厂模型的不同之处在于可以公开传输元素。这将需要采用技术来混合可能在美国本土的商业铸造厂中建造的设计。它将通过混合或加密在供应链的各个点插入签名。收到零件后，可以与设计的安全性一起验证该零件与原始设计没有变化的事实。

这些制造厂的员工无需经过审核，因为混合的设计可以防止其被盗。桑顿(Thornton)指出，这种方法对于经济竞争力以及持续获取至关重要。对手窃取集成处理器设计的能力将受到限制。

桑顿还表示，在不受信任的模型中使用已建立的代工厂，可以为政府制造设备，同时还可以改善规模经济，劳动力培训和政府继续按照小型企业创新研究计划进行投资。这也将允许较小的公司制造和测试其设计。

然而，拒绝芯片服务并不是对电子供应链的唯一威胁。长期以来，专家一直担心以多种方式篡改芯片，这仍然是一个问题。

故意使设备过早死亡的组件的早期故障代表了潜在的主要威胁。错误的芯片设计或制造可能会使设备在短暂的使用期限后失效。

集成处理器市场可能会受到有恶意的承包商在海外制造的芯片的影响。可以将它们设计为将智力资本甚至金融交易转移给与承包商有联系的人员。至少，假冒版本会产生利润，否则将归合法的发明者所有。

假冒芯片会带来自己的风险。它们通常不是按照原始设备要求的标准制造的，因此，即使芯片通过了性能测试，表明它们的功能正常，也更有可能由于诸如极端温度之类的常规环境原因而失败。例如，作为重要基础架构一部分的SCADA系统可能在严寒或异常炎热的天气中遭受灾难性故障。这不是蓄意的破坏行为，而是奸商销售假冒设备的结果。

替换旧系统中的芯片可能需要在二级市场上购买，并且这些芯片可能是伪造的，甚至可能被对手破坏而制造。“设计芯片时，它具有许多抽象层次，” Thornton说道。“仅因为受信任的供应商正在构建某种与国防部相关的部分，或者可能是由许多IP [集成处理器]块组成的双重用途部分，所以其中一些可能来自不受信任的实体。因此，到那时，可能会从IP级别注入到供应链中，从而被编码为现代芯片。”

许多公司已经实施了旨在检测或防止电路篡改的安全方法。一种伪造检测方法使用X射线查看确切的芯片图案，尽管伪造者放置的匹配管芯可能会使该方法无效。

桑顿的公司专注于读取二阶效应以确定芯片是否受到影响。他解释说，这涉及芯片性能的以下要素，这些要素是由器件的设计产生的，但不一定是设计的意图。

这些元素生成签名，以允许对组件进行分类，从而可以检测对这些组件的基线的修改。例如，芯片可能消耗特定数量的功率，该功率由其内部布局、正在使用的栅极以及其他性能因素确定。可以以数学方式处理该功率消耗的高分辨率数据流以生成签名，该签名进而允许按日期和锁定代码以及原厂对零件进行分类。

桑顿认为，这种方法还有助于找出克隆的零件和假冒产品。一个零件的包装看起来可能与真实零件相同，而克隆或伪造的零件甚至可能符合设备的规格。在设备上进行功能测试不会找到其虚假的起源，但是分析其次要功能可以检测出芯片内部元件的差异。他指出，这些测量只需几毫秒即可完成。

他继续说，这种方法也可以应用于电路板。这将显示是否已添加、删除或替换了任何组件。即使是电容器之类的无源器件(Thornton将其描述为较常见的伪造部件，这些部件在使用初期可能会失效并具有破坏性结果)，也可以使用辅助方法在电路板上进行验证。

甚至这些安全措施可能还不够。Thornton提出了一个问题，即单个芯片设计人员将后门嵌入现代处理器甚至支持芯片中。可以远程触发它以发起独立于软件缓解能力的网络攻击。他建议设计人员可以通过后门访问保存数据的多种类型的平台，然后可以将其窃取或锁定在勒索软件攻击中，“规模尚待观察”。

桑顿补充说，一个民族国家破坏芯片或嵌入恶意软件的潜力是一个近期威胁，它受到各国对这些能力进行投资的能力的增强，并补充说：“投资回收期可以用数十年来衡量。”