系統網路安全與程式儲存快閃記憶體技術
- 台北訊
-
本文章概述了現今的各種編碼儲存快閃記憶體技術及其對平台網路安全與韌性的益處,並闡述了符合今後網路安全防護的基本要求。
非揮發性儲存媒體涵蓋了所有平台的重要資產,包括平台程式、執行數據、用戶數據及平台的各種狀態。因此,非揮發性儲存的內容被視為最容易受到網路攻擊的目標。這類攻擊可能試圖竊取用戶數據(隱私)、平台或網路數據(穩定性與韌性),或修改平台程式,作為進一步更複雜的攻擊向量延伸。
獨立裝置過去通常無連接網路,攻擊者必須獲得實體的存取權才能破壞系統程式。這類裝置必須經過實體操作,非揮發性(NVM)儲存的內容才會被存取。
在這些平台裝置中,非揮發性儲存有以下三種配置方式:1. 嵌入式快閃記憶體:NVM是控制器晶片的一部分。2. 外部快閃記憶體:NVM與控制器設備並排安置。3. 多晶片模組 (MCM):NVM晶片與控制器放在同一封裝內。
每種配置都有其優缺點,其中嵌入式快閃記憶體最為安全,因為攻擊者幾乎無法探測和存取嵌入式NVM的晶片。然而,嵌入式快閃記憶體無法輕易擴充儲存容量,並且在先進製程中不易實現。外部快閃記憶體則是最容易受到攻擊的,攻擊者將簡易匯流排「嗅探」設備連接到快閃記憶體上,便可以獲取資料、修改程式,並執行其他攻擊行為來危害平台與數據。
晶片模組的方法看似能限制NVM快閃記憶體設備的實體存取,並提供較好的成本結構。然而,今天拆解任何晶片封裝並存取內部連接訊號已經變得相對簡單,這使得多晶片模組的方法也和外部快閃記憶體一樣不安全。
為了減少對NVM的攻擊,一種特殊類型的快閃記憶體應運而生—「安全快閃記憶體」,其中控制器與快閃記憶體之間的介面訊號被加密,如此一來可防止傳統的探測攻擊成功。
隨著現代越來越多的設備連接到網路,安全風險已經從實體威脅擴展到遠端網路攻擊。前述的所有攻擊都需要以實體存取方式攻擊平台,也因這些平台並未連接網路,因而限制了攻擊的範圍。
然而,現今大多數設備,無論功能如何,都已經能有網路連線,主要有以下幾點關鍵因素:1. 擴展功能(透過使用網路資源)。2. 易於使用。3. 遠端管理與資訊/統計數據收集。4. 頻繁的自動韌體更新。5. 較簡單的部署與生命週期控制。
遠端韌體更新是造就網路連線需求的主要原因。所有最新標準和法規,如歐盟RED EN18031、美國CNSA 2.0及即將實施的歐盟網路韌性法案(CRA),都對此有所規範。如今,為了保持系統的韌性和保護以及使用者的安全,妥善安排韌體更新是必要且廣為接受的。
將平台設為網路連線並設置自動遠端系統更新,開啟了全新的潛在安全攻擊領域。這使得先前提到的實體保護在大多數情況下成為過時的問題,唯一的例外是開放式金融交易與身分證明卡(如護照)。
現代平台必須防範一系列不同的威脅:
未受保護或過時的更新-嘗試強制平台退回到已知存在漏洞或缺少關鍵安全功能的舊版本軟體,從而使其更容易被攻擊者利用。1. 供應鏈攻擊-在平台的製造、運輸或分發過程中,試圖插入特洛伊木馬硬體或安裝惡意軟體。2. 違規儲存(金鑰、用戶數據、憑證竊取)—未經授權的存取或危害儲存的敏感資訊。
3. 對平台韌性的威脅-企圖感染系統以進行惡意程式攻擊,利用平台韌體中的漏洞,或摧毀非揮發性記憶體中的關鍵數據,從而使平台無法使用。4. 大規模攻擊可以在無需實體存取設備的情況下發動,且可以針對數百萬台設備攻擊。因此,必須透過防護機制來對抗這些潛在攻擊。
韌體更新保護
最新的標準要求韌體更新在完整性、真實性和時效性方面進行保護,只允許完整、已簽名且較新的韌體版本取代現有版本。此外,所使用的加密簽名機制必須是量子安全的,這意味著所使用的演算法需能抵抗量子計算機的攻擊。
供應鏈保護
這個議題是歐盟ENISA在2024年發布的潛在大規模攻擊清單中的首要項目。由於電子設備生產中使用的供應鏈具分散性,對惡意行為者來說,替換關鍵元件(如NVM設備)及基本韌體程式碼,並在這些元件中加入惡意功能相對容易。這些功能可能用來發動對基礎設施的大規模攻擊。
儲存保護
如果平台在任何時候都能存取NVM中的任何資訊,則即便是臨時加載到記憶體中的惡意程式,也能掃描NVM並存取機密或敏感數據,將其傳送回攻擊者,甚至修改這些數據。必須對這些非揮發性記憶體中的數據進行存取權限限制。
平台韌性
隨著越來越多的平台上線並連接網路,確保它們保持正常運行,或者在被攻擊時能夠正常地關機,避免對系統造成損害,變得至關重要。
為此,平台需要進行強韌的內部診斷,檢查NVM內容(程式碼與數據),並在出現故障時,允許平台自動修復問題,或離線且自動關機。平台韌體韌性在NIST SP 800-193中有詳細描述。
鑑於當前的威脅,NVM封裝技術在平台資安保護中的作用已經明顯減弱,重點應該放在使用適當的NVM內建安全功能與配置來最小化和消除這些威脅。
華邦電子(Winbond)的W77Q Secure Flash是可解決上述威脅的強韌解決方案。
W77Q Secure Flash的主要特色包括:
1. 程式與數據保護:為程式與數據提供強而有力的保護,使駭客難以篡改。遵循TCG DICE驗證機制實現RoT。
2. 認證:Winbond Secure Flash採用嚴格的認證協議,確保只有授權的行為者與軟體層級才能存取。
3. 安全軟體更新與回退保護:支援遠端安全軟體更新,同時防止回退攻擊,確保只有合法的更新才能執行。為維持最高的安全性與完整性,W77Q採用了NIST Special Publication 800-208建議的量子安全Leighton-Micali簽名(LMS)演算法,保證更新軟體的真實性與完整性,提供額外的安全保障。
4. 平台韌性:依照NIST 800-193的建議,系統會自動檢測未經授權的程式變更,並能自動恢復到安全狀態,避免潛在的網路攻擊。
5. 安全供應鏈:Secure Flash在供應鏈的每個階段都保證了快閃記憶體內容的來源與完整性。W77Q實現了基於LMS-OTS的遠端驗證 (NIST 800-208)。此先進方法有效防止了平台在組裝、運輸和配置過程中的內容篡改與錯誤設置,保障平台免受網路攻擊。
Winbond W77Q Secure Flash解決了本文中討論的關鍵安全問題,為程式與數據儲存提供強而有力的保護,同時確保平台的完整性、韌性,並遵守新興的資安框架。
