重新定義未來的可信根架構(gòu)

企業(yè)環(huán)境的快速數(shù)字化、復(fù)雜網(wǎng)絡(luò)威脅的激增、安全法規(guī)的不斷演變以及量子計(jì)算技術(shù)的崛起，在網(wǎng)絡(luò)安全領(lǐng)域掀起了層層巨浪，行業(yè)對敏捷性和彈性也提出了更高的要求。為了應(yīng)對這種情況，企業(yè)必須在網(wǎng)絡(luò)防御和合規(guī)方面保持積極主動的態(tài)度。在最新的萊迪思安全研討會上，萊迪思安全專家與來自AMI和Rambus的合作伙伴共同探討了企業(yè)如何利用先進(jìn)的安全技術(shù)駕馭新的監(jiān)管環(huán)境。討論內(nèi)容包括可信平臺模塊（TPM）技術(shù)的最新進(jìn)展、使用Caliptra創(chuàng)新推出的測量信任根（RoTM），以及將這些解決方案無縫集成到現(xiàn)場可編程門陣列（FPGA）技術(shù)實(shí)施中。

應(yīng)對不斷變化的安全法規(guī)

為幫助確保網(wǎng)絡(luò)彈性和安全性，各種監(jiān)管準(zhǔn)則已經(jīng)出臺或即將出臺。例如，2024年8月13日，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布了首批三種最終確定的后量子加密（PQC）算法。此外，美國國家安全局（NSA）也加大了應(yīng)對量子攻擊的力度，推出了商用國家安全算法套件2.0，要求國家安全系統(tǒng)所有者、運(yùn)營商和供應(yīng)商從2025年起對所有新軟件實(shí)施PQC。歐盟也推出了大量新法規(guī)，包括《數(shù)字運(yùn)行彈性法案》（DORA）和《網(wǎng)絡(luò)彈性法案》（CRA），旨在降低不斷增長的安全威脅所帶來的風(fēng)險(xiǎn)。

新興TPM技術(shù)進(jìn)展

TPM長期以來一直是硬件安全的基石。TPM是計(jì)算機(jī)主板上的一種專用芯片，旨在通過提供安全的方式來存儲加密密鑰、密碼和數(shù)字證書等敏感信息，增強(qiáng)系統(tǒng)的整體安全性。TPM標(biāo)準(zhǔn)最初由可信計(jì)算小組（Trusted Computing Group）制定，它提供了一種硬件可信根（HRoT）方案，確保系統(tǒng)的完整性。它可能是最早進(jìn)入市場的標(biāo)準(zhǔn)化HRoT之一。

然而TPM技術(shù)領(lǐng)域正面臨著重大挑戰(zhàn)。隨著物聯(lián)網(wǎng)（IoT）應(yīng)用在工業(yè)化環(huán)境中不斷擴(kuò)大，需要開發(fā)更靈活、更低功耗的HRoT實(shí)現(xiàn)方案。此外，隨著云計(jì)算和虛擬工作負(fù)載大規(guī)模發(fā)展，HRoT需要通過遠(yuǎn)程驗(yàn)證和安全訪問云資源來更好地支持零信任架構(gòu)，確保只有受信任的設(shè)備才能訪問敏感數(shù)據(jù)和系統(tǒng)。人工智能（AI）在網(wǎng)絡(luò)安全中的應(yīng)用對TPM的靜態(tài)ASSP實(shí)現(xiàn)提出了挑戰(zhàn)。HRoT必須足夠靈活，兼容未來可能的更新，從而直接在硬件層面支持基于人工智能的威脅檢測和響應(yīng)。最后，最大的挑戰(zhàn)來自量子計(jì)算機(jī)的出現(xiàn)。TPM依賴于傳統(tǒng)的非對稱加密技術(shù)，在量子攻擊面前不堪一擊。因此，迫切需要將PQC算法集成到TPM中。在FPGA等靈活的HRoT器件中集成TPM功能對于確保設(shè)備在面對新興威脅時(shí)保持安全至關(guān)重要。

隨著攻擊變得更加高級，防御環(huán)境變得更加復(fù)雜，TPM將需要持續(xù)更新，提供更強(qiáng)大的功能。

Caliptra：Ro^TM的范式轉(zhuǎn)變

開源計(jì)算的興起推動了對更具互操作性的RoTM功能的需求。RoTM是一個(gè)基本的安全概念，是指從可信、不可變的基礎(chǔ)開始，驗(yàn)證系統(tǒng)硬件和軟件組件完整性和真實(shí)性的過程。其目的是建立一個(gè)信任鏈，從一個(gè)固有可信的組件（“根”）開始，通過一系列的測量和驗(yàn)證擴(kuò)展到系統(tǒng)的其他部分。

在RoTM方面，由開放計(jì)算項(xiàng)目開發(fā)的開源芯片RoT Caliptra提供了在大規(guī)模數(shù)據(jù)中心和網(wǎng)絡(luò)邊緣計(jì)算環(huán)境中測量、存儲和報(bào)告系統(tǒng)狀態(tài)的基本功能。Caliptra集成到片上系統(tǒng)（SoC）設(shè)計(jì)中，可以實(shí)現(xiàn)安全啟動過程和運(yùn)行時(shí)驗(yàn)證，這對于維護(hù)系統(tǒng)完整性和檢測潛在的安全漏洞至關(guān)重要。

Caliptra是RoTM演進(jìn)過程中的一項(xiàng)重要發(fā)展，它建立了一個(gè)標(biāo)準(zhǔn)化的開源框架，用于保護(hù)可互操作的計(jì)算生態(tài)系統(tǒng)。通過提供芯片RoTM的開源標(biāo)準(zhǔn)化實(shí)現(xiàn)，它解決了一致性、靈活性、面向未來和透明度等幾個(gè)關(guān)鍵挑戰(zhàn)。它還提供了跨不同硬件平臺的統(tǒng)一RoTM方法，這對于確保大規(guī)模云計(jì)算和網(wǎng)絡(luò)邊緣計(jì)算環(huán)境的安全至關(guān)重要。展望未來，Caliptra將繼續(xù)成為維護(hù)不同云計(jì)算和網(wǎng)絡(luò)邊緣計(jì)算環(huán)境之間安全互操作性的關(guān)鍵：為各種軟件和硬件平臺提供一致的安全基礎(chǔ)。

利用FPGA推動動態(tài)HRoT

萊迪思FPGA在支持TPM和Caliptra等HRoT功能方面發(fā)揮著關(guān)鍵作用，其多功能性和基于硬件的功能使其成為實(shí)現(xiàn)和增強(qiáng)這些技術(shù)所提供的安全功能的理想選擇。例如，萊迪思MachXO3D?、萊迪思MachXO5D?-NX和萊迪思Mach?-NX提供了一個(gè)強(qiáng)大的HRoT基石，具有用于自我驗(yàn)證的安全、不可變的唯一ID，快速安全的啟動，以及特定器件原生的全套驗(yàn)證安全服務(wù)。

萊迪思FPGA還在HRoT產(chǎn)品中集成了 “加密敏捷 ”功能，為服務(wù)器平臺和其他互連設(shè)備應(yīng)用（如PQC擴(kuò)展）提供面向未來的保護(hù)。此外，它們還為TPM和Caliptra的原型開發(fā)和新設(shè)計(jì)或功能測試提供了一個(gè)絕佳的平臺。由于FPGA可以無線重新編程，因此設(shè)計(jì)人員可以快速迭代和驗(yàn)證設(shè)計(jì)，而無需每次都制造新的芯片。這對TPM和Caliptra等安全模塊尤其有用，因?yàn)樗鼈冃枰潞透倪M(jìn)，以滿足不斷變化的標(biāo)準(zhǔn)和法規(guī)的要求。

具有HRoT功能的萊迪思FPGA有一個(gè)專用的加密引擎，具有對稱和非對稱加密功能。此外，集成了鎖定閃存的萊迪思HRoT產(chǎn)品可保護(hù)代碼不被擦除、讀取或改寫，防止未經(jīng)授權(quán)的訪問。它們可以建立獨(dú)特的器件身份，在允許數(shù)據(jù)交換之前進(jìn)行驗(yàn)證，確保系統(tǒng)的核心功能和組件受到保護(hù)。此外，它們還允許在具有獨(dú)特安全要求（如網(wǎng)絡(luò)彈性標(biāo)準(zhǔn)要求）的專門應(yīng)用中實(shí)施定制安全功能，以補(bǔ)充或增強(qiáng)標(biāo)準(zhǔn)TPM或Caliptra實(shí)現(xiàn)。對于已經(jīng)使用FPGA的系統(tǒng)，將TPM或Caliptra功能直接集成到FPGA中還可以提高設(shè)計(jì)的效率和成本效益。

FPGA為TPM和Caliptra等重要技術(shù)提供了支持，將繼續(xù)成為現(xiàn)代計(jì)算系統(tǒng)中寶貴的安全資產(chǎn)。通過利用FPGA的功能，企業(yè)可以構(gòu)建高度安全可靠的平臺，從而很好地防范各種威脅。欲了解有關(guān)FPGA及其在網(wǎng)絡(luò)安全中的作用的更多信息，請立即聯(lián)系萊迪思團(tuán)隊(duì)。