保衛(wèi)計(jì)算機(jī)架構(gòu)的新黃金時(shí)代

　　RISC-V社區(qū)正在轉(zhuǎn)向一個(gè)全新的安全創(chuàng)新平臺(tái)，以期憑借出色的簡(jiǎn)便性最大程度地減少攻擊面，同時(shí)讓設(shè)計(jì)者能夠自行評(píng)估開源架構(gòu)的安全性。RISC-V平臺(tái)及其安全協(xié)議?？芍﹂_發(fā)人員打造全新的解決方案，從而在如今互連設(shè)備激增猶如“蠻荒西部”一般的環(huán)境中抵御像Meltdown(熔毀)和Spectre(幽靈)這類難以規(guī)避的漏洞。

　　在2018年6月舉辦的第45屆計(jì)算機(jī)架構(gòu)國(guó)際研討會(huì)上，計(jì)算機(jī)先驅(qū)David Patterson和John Hennessy在他們的圖靈講座中介紹了“計(jì)算機(jī)架構(gòu)的新黃金時(shí)代”。他們描述的黃金時(shí)代包含以下四個(gè)要素：

　　· 域特定的軟硬件協(xié)同設(shè)計(jì)

　　· 開放指令集

　　· 敏捷的芯片設(shè)計(jì)

　　· 增強(qiáng)型安全性

　　RISC-V(讀作“risk-5”)采用極具吸引力的開源指令集架構(gòu)，可推動(dòng)域特定的架構(gòu)實(shí)現(xiàn)快速發(fā)展并提高該領(lǐng)域的投入，同時(shí)，它也成為了處理器安全性的重心。

　　這里介紹一些背景信息，自2014年12月起，Microchip的現(xiàn)場(chǎng)可編程門陣列(FPGA)業(yè)務(wù)部門一直致力于推廣RISC-V。我們對(duì)RISC-V及其潛在能力的關(guān)注涉及多個(gè)層面，包括自由創(chuàng)新、掌控旗下處理器產(chǎn)品的未來(lái)發(fā)展以及降低成本。 這些層面屬于內(nèi)在因素，能夠幫助我們凸顯差異化，從而在市場(chǎng)競(jìng)爭(zhēng)中脫穎而出。對(duì)我們而言，RISC-V還意味著一個(gè)全面把握處理器安全性的代際機(jī)遇。全面把握處理器安全性是一個(gè)協(xié)作性的外在層面，能夠讓全球頂級(jí)安全專家有機(jī)會(huì)開展合作，攜手攻克大家共同面臨的計(jì)算機(jī)安全問(wèn)題。

　　我們?cè)谌姘盐誇PGA安全性的過(guò)程中能夠獲得豐富的經(jīng)驗(yàn)，這有助于我們深入了解計(jì)算中存在的硬件安全威脅，同時(shí)應(yīng)對(duì)業(yè)界在尋求這些威脅的解決方案過(guò)程中所面臨的挑戰(zhàn)。我們?cè)缭?008年就開始深入研究FPGA安全性，然后在2012年推出首款采用集成處理器子系統(tǒng)的FPGA并開始實(shí)現(xiàn)盈利。當(dāng)時(shí)，為了讓客戶能夠構(gòu)建安全應(yīng)用，我們需要?jiǎng)?chuàng)建一種從基礎(chǔ)安全硬件開始的分層方法。這樣，我們便可構(gòu)建一個(gè)可實(shí)現(xiàn)設(shè)計(jì)安全或IP保護(hù)的層，隨后客戶可以依托該層建立應(yīng)用層。在這一過(guò)程中，我們發(fā)現(xiàn)了邊信道攻擊的問(wèn)題，例如可以輕松提取密鑰的差分功耗分析(DPA)。我們因此成為了惟一部署由CRI(已被Rambus收購(gòu))提供的DPA對(duì)策的FPGA供應(yīng)商。

　　之后，我們將在FPGA安全性方面的經(jīng)驗(yàn)應(yīng)用到了處理器安全狀態(tài)上。結(jié)果發(fā)現(xiàn)，在幾十年前處理器安全性尚未引起市場(chǎng)關(guān)注之時(shí)，處理器的基礎(chǔ)硬件層就已經(jīng)建立。當(dāng)時(shí)的指令集架構(gòu)(ISA)通過(guò)對(duì)脆弱的系統(tǒng)進(jìn)行不完善的修補(bǔ)來(lái)應(yīng)對(duì)安全計(jì)算不斷增長(zhǎng)的需求。我們當(dāng)然也敏銳地意識(shí)到邊信道的問(wèn)題，尤其是微架構(gòu)邊信道問(wèn)題，因?yàn)橥ㄟ^(guò)這些邊信道，可以利用編程人員已屏蔽的處理器實(shí)現(xiàn)功能來(lái)泄漏信息。隨著Spectre和Meltdown漏洞的公布，整個(gè)計(jì)算行業(yè)開始意識(shí)到微架構(gòu)邊信道問(wèn)題帶來(lái)的威脅，因此亟需重建計(jì)算機(jī)架構(gòu)的硬件基礎(chǔ)。

　　正如我所指出的那樣，我們立即發(fā)現(xiàn)了RISC-V作為重建計(jì)算硬件基礎(chǔ)平臺(tái)的潛力，而發(fā)現(xiàn)者并非只有我們。在最早的一場(chǎng)RISC-V專題研討會(huì)上，LowRISC和Shakti處理器項(xiàng)目組發(fā)表了以安全性為主要內(nèi)容的演講，自此之后，安全性一直是RISC-V的重要主題。這兩個(gè)示例重點(diǎn)說(shuō)明了RISC-V支持的協(xié)作范圍。Shakti處理器項(xiàng)目由印度政府提供資助，對(duì)一些國(guó)家/地區(qū)而言，這是使用RISC-V贏得某種技術(shù)獨(dú)立的一次良機(jī)，而LowRISC則由快速發(fā)展的開源硬件運(yùn)動(dòng)提供支持。RISC-V行業(yè)的活動(dòng)在不斷增加，安全相關(guān)的內(nèi)容也隨之快速增長(zhǎng)，在2018年12月的首屆RISC-V峰會(huì)中，55場(chǎng)會(huì)議中有13場(chǎng)涉及到安全性。

　　2018年RISC-V峰會(huì)13場(chǎng)安全會(huì)議的其中一個(gè)會(huì)議室

　　除了成為整個(gè)安全性會(huì)議的焦點(diǎn)之外，還有很多跡象表明，RISC-V ISA正在成為處理器安全性的重心。

　　· DARPA正不斷投資于RISC-V和安全性，并選擇RISC-V作為其硬件集成系統(tǒng)安全(SSITH)計(jì)劃的評(píng)估平臺(tái)。

　　· 在RISC-V基金會(huì)，有超過(guò)30個(gè)成員擁有安全RISC-V產(chǎn)品，或者在為安全工作組做貢獻(xiàn)。

　　· 基金會(huì)有兩個(gè)技術(shù)工作組(加密和可信執(zhí)行環(huán)境)正致力于創(chuàng)建RISC-V ISA擴(kuò)展。

　　· RISC-V基金會(huì)設(shè)立了安全性常務(wù)委員會(huì)，負(fù)責(zé)確認(rèn)和協(xié)調(diào)多個(gè)方面的安全相關(guān)活動(dòng)，包括將RISC-V作為理想的安全工具進(jìn)行推廣，以及就物聯(lián)網(wǎng)(IoT)和嵌入式設(shè)備的最佳安全實(shí)踐達(dá)成共識(shí)。

　　有30多個(gè)RISC-V基金會(huì)的成員擁有安全產(chǎn)品，或者參與了由基金會(huì)推動(dòng)的安全活動(dòng)。(由RISC-V基金會(huì)提供)

　　基金會(huì)安全常務(wù)委員會(huì)最顯著的貢獻(xiàn)是演講人計(jì)劃?；饡?huì)內(nèi)部和外部的演講人每月一次受邀就安全相關(guān)的各種主題發(fā)表演講。來(lái)自Data61的一位演講人Gernot Heiser提供了一個(gè)框架，此框架有可能指出RISC-V計(jì)算機(jī)安全性范例的呈現(xiàn)方式。Gernot和他在Data61的同事在早些時(shí)候?qū)ξ⒓軜?gòu)邊信道進(jìn)行了深入研究，并于2016年撰寫了一篇論文(A Survey of Microarchitectural Timing Attacks and Countermeasures on Contemporary Hardware)來(lái)描述基于攻擊的分類法。

　　他們提出了一種稱為“擴(kuò)充”指令集架構(gòu)(aISA)的抽象概念，可將軟硬件之間的協(xié)議擴(kuò)展到傳統(tǒng)ISA以外，作為對(duì)比，傳統(tǒng)ISA有意將時(shí)間和微架構(gòu)的所有概念抽象化。相比之下，aISA加入了一些機(jī)制，允許應(yīng)用程序二進(jìn)制接口(ABI)對(duì)處理器系統(tǒng)的微架構(gòu)狀態(tài)施加更多控制。例如，這可能包含高速緩存刷新或分支預(yù)測(cè)邏輯運(yùn)算，以提供針對(duì)高速緩存時(shí)序信道這類威脅的安全保障。

　　在我們定義并實(shí)現(xiàn)aISA后，就有機(jī)會(huì)創(chuàng)建我提到的RISC-V安全協(xié)議棧，這種協(xié)議棧起源于正式指定的協(xié)議棧要素的已正式驗(yàn)證實(shí)現(xiàn)中。該協(xié)議棧從硬件和基礎(chǔ)ISA開始，一直擴(kuò)展到實(shí)現(xiàn)aISA的層。而其中最重要的是安全微內(nèi)核，它現(xiàn)在可以通過(guò)aISA訪問(wèn)微架構(gòu)狀態(tài)，并且能夠?qū)嵤┑钟⒓軜?gòu)邊信道攻擊的對(duì)策。

　　安全未來(lái)——正式指定且經(jīng)過(guò)正式驗(yàn)證的RISC-V安全協(xié)議棧

　　RISC-V革命已經(jīng)開始，社區(qū)最初意識(shí)到的諸多未來(lái)可能已經(jīng)變?yōu)楝F(xiàn)實(shí)，包括重建計(jì)算機(jī)安全的基礎(chǔ)。Microchip與RISC-V基金會(huì)的成員合作，致力于推動(dòng)這項(xiàng)技術(shù)的發(fā)展，我們對(duì)此深感自豪，而在RISC-V產(chǎn)品領(lǐng)域的領(lǐng)導(dǎo)地位和未來(lái)前景同樣令我們驕傲。我們期待與社區(qū)深化合作創(chuàng)新，充分利用當(dāng)前面臨的代際機(jī)遇。

　　Ted Speers是Microchip的技術(shù)研究員，負(fù)責(zé)為低能耗、安全、可靠的FPGA和SoC FPGA定義發(fā)展路線圖。他于1987年加入Microsemi(已被Microchip收購(gòu))，負(fù)責(zé)過(guò)程工程和產(chǎn)品工程，之后于2003年開始擔(dān)任現(xiàn)職。Ted是35項(xiàng)美國(guó)專利的共同發(fā)明人。在加入Microsemi之前，他就職于LSI Logic。他擁有康奈爾大學(xué)化學(xué)工程學(xué)士學(xué)位。自2016年成立以來(lái)，Ted一直是RISC-V基金會(huì)董事會(huì)的成員。

（轉(zhuǎn)載）