连网装置需要更安全的记忆体

随着更多的新兴应用案例出现，揭露了记忆体技术可能成为骇客制造破坏的一个威胁管道，无论他是透过窃取资料还是发送恶意指令等方式。nv0esmc

当然，在记忆体中内建安全功能并不是什么新鲜事。例如「SD卡」(Secure Digital Memory Card)中的'S'一开始就是指「安全」(secure)，只是SD协会(SD Association)一直未真正的强调这一点。此外，电子擦除式可编程唯读记忆体(EEPROM)长久以来也已经用于需要嵌入式安全的应用，如信用卡、SIM卡和车用免钥匙进入系统等。nv0esmc

但随着不同的记忆体类型开始应用于更广泛的系统——如汽车、制造业和物联网(IoT)——对于安全的需求相对大幅增加了。但问题并不仅在于其整合安全之处，更重要的是如何加以管理，特别是在嵌入式记忆体中，这些记忆体预计将存在于装置中使用许多年，甚至可能是几十年。nv0esmc

Objective Analysis首席分析师Jim Handy去年参加储存网路产业协会(Storage Networking Industry Association；SNIA)储存开发者大会(Storage Developer Conference)时，他在一场英特尔(Intel)的议程中介绍了非挥发性双列直插式记忆体模组(NVDIMM)的韧体升级标准，以及如何解决漏洞问题。Handy告诉《EE Times》编辑，「我之前一直未曾考虑到恶意软体可能插入运算环境的众多可能之处。」nv0esmc

他说，这不仅仅可能发生在使用快闪记忆体(flash)的系统各处，例如SSD中的统一可扩展韧体介面(Unified Extensible Firmware Interface；UEFI)的启动和韧体，还有flash晶片中控制编程演算法的处理器。Handy说：「这些处理器的韧体与flash中的资料储存在一起，形成了另一个漏洞。」nv0esmc

从经济效益来看，破坏某种特定记忆体和破解内建该记忆体的电脑差不多。就像苹果(Apple)电脑比较少因为病毒和恶意软体破坏而上新闻，这是因为他们只占整个电脑市场的一小部份，所使用的记忆体出货单位较少，即使骇客要对其搞破坏似乎也不太有投资报酬率(ROI)。nv0esmc

Handy说，再从每年SRAM晶片的销售数字不高来看，显示骇客就算更努力寻找安全漏洞，最终可能取得的利润也不高。然而，如果全球推出了数十亿个单位的某种DRAM，那就可能经由行锤(row hammer)攻击而赚钱。nv0esmc

但在大多数情况下，考虑到要攻破这些技术所涉及的工作量庞大，也就不必太过于担心DRAM保护的问题。不过，一个极端的情况是窃取仍处于睡眠模式且受密码保护的笔记型电脑。他说，小偷可以在DRAM模组上使用液氮，将它们移除后放入另一个系统而取得内容。Handy说：「让DRAM维持在更低温，保持位元资料新鲜的时间就越长，而不需要随时刷新。」nv0esmc

nv0esmc

那么其他的记忆体呢？Handy说，铁电随机存取记忆体(FRAM)与EEPROM类似，也适于需要安全的应用，例如交通支付卡。而磁阻式随机存取记忆体(MRAM)和可变电阻式随机存取记忆体(RRAM)尚未落实于安全攸关应用，主要因为目前其市场较小，还不值得投入这些技术的安全应用。然而，快闪记忆体具有更多安全特性，特别是NOR Flash。nv0esmc

Handy说，「由于引擎控制器使用NOR Flash，使得汽车产业很早就切入安全领域了，而且他们还发现可以经由改变NOR Flash成份来调整引擎，以降低空气污染并提供更多动力。」但是，这很可能导致引擎在保固期满前发生故障，而使得汽车制造商陷入困境。nv0esmc

当然，在汽车系统中，记忆体受损的后果可能比调整或改装引擎更严重。当今的智慧车辆和自动驾驶车中充满着各种感测器，包括摄影机、雷达和光达，用于在车辆内外传输关键资料。例如，下一代雷达——即认知雷达，透过微控制器(MCU)控制类比雷达、储存和提取本地flash中的资料。因此，旺宏电子(Macronix)市场行销处资深处长Anthony Le表示，这必须进行身份验证，否则系统就可能被人攻破，甚至接管车辆。nv0esmc

将安全性分层到任何系统的挑战之一是对于性能的影响。针对车用flash和其他记忆体，真正的问题就在于启动时间。Le说：「安全性并不会增加任何功耗。相较于MCU和处理器，flash消耗的功率非常少。」当MCU必须进行大量的系统检查和认证时，旺宏的解决方案则可用于解决启动周期的问题。nv0esmc

以成本和品质来看，NOR Flash在汽车领域均得到了验证。但在接下来的五到十年，RRAM和FRAM等记忆体将陆续进入汽车领域的利基市场——甚至在某些情况下取代EEPROM，不过它们还需要一些时间来证明。nv0esmc

SSD的安全性nv0esmc

当然，NAND无处不在，它很快地从用于混合储存阵列的高成本储存介质开始变得更实惠，All-Flash阵列也日益普及。但SNIA安全技术工作组主席Eric Hibbard表示，为了避免资料被窃取，确保SSD的安全性就像也能选择擦除资料一样，原因就在于超容量快取(OP)。nv0esmc

为了延长SSD的使用寿命，供应商可能对其进行超容量快取，以确保相同的记忆体单元不至于因为过多的覆写而磨损。他说：「当你想让资料消失时，问题就来了。」假设1TB SSD可能进行超容量快取，使实际储存容量达到1.3TB，但是当你想以覆写方式清除硬碟时，只能清理掉1TB的内容。nv0esmc

Hibbard表示，使用者越来越习惯以加密方式保护SSD上的资料。Hibbard说：「当运用flash技术时，我们看到越来越多导入了加密技术，因为它基本上是一种确保资料在这些SSD上写入后也能删除的可靠方法。」nv0esmc

他说，这种加密擦除的途径并非依靠覆写来删除SSD中的资料。「基本上是摧毁了资料的加密密钥，但实际上并不会触及任何记忆体单元。它是一种近乎即时的处理机制。」nv0esmc

Hibbard说，这种加密擦除技术可用于储存阵列，以及处理内部的所有硬碟，或是用于实际的自加密介质。「控制器和硬碟之间的关系基本上取决于验证身份的密钥。」如果没有这些功能，就必须摧毁整个介质，以避免资料无法完全清除。nv0esmc

加密变得更加容易了，因为它是在硬体中实现的。他说：「你会看到加密晶片实际安装在控制器板上，或者实际嵌入于此磁碟的加密机制。」此外，它并不会影响性能——无论加密是否添加到硬碟或控制器中，几乎都不影响I/O。nv0esmc

现代车辆中的先进驾驶辅助系统(ADAS)只是许多需要更进一步确保记忆体技术安全的众多新兴用例之一nv0esmc

自加密硬碟(例如由Virtium制造的产品)包括使用先进加密标准(AES)的专用加密引擎，无需采用软体在主机上运行。nv0esmc

如何有效管理安全性以及如何更新装置，将因为记忆体所在位置而改变，汽车和物联网就是很好的例子，因为它们都具有分布式和连接本质。工业级flash记忆体制造商Swissbit AG最近展示了用于现场控制和管理记忆体的网路策略伺服器概念。透过将双因素验证绑定到单个IP地址，开机载入程式将仅在定义的网路中运行。例如，如果从制造设施中移除一款装置，就表示不存在安全风险。赛普拉斯半导体(Cypress Semiconductor ) Flash业务行锁总监Sandeep Krishnegowda指出，管理记忆体的安全性和用户权限的发展历史比机上盒(STB)更久远，这是远端管理装置的一项早期案例。nv0esmc

还有一些变化就是一些新兴用例的生命周期。具有记忆体功能的装置预计可持续使用长达十年或更长时间，无论是现场监测作物还是嵌入自驾车中的感测器。例如，Krishnegowda表示，赛普拉斯等记忆体供应商需要在产品生命周期内添加演算法。「您需要提供某种类型的远端升级，才能管理其中一些加密演算法或更新。」nv0esmc

他并预期，装置将可透过空中传输(OTA)的方法，经由云端进行配置。「如果你可以从云端管理其中一些升级，那么它就是一种新的商业模式。」nv0esmc

编译：Susan Hongnv0esmc

(参考原文：Connected Devices Need More Secure Memory，by Gary Hilson）nv0esmc