Penulis: Tim Morin (Technical Fellow, unit bisnis FPGA, Microchip Technology Inc.)
Kapan masalah cyber security (keamanan siber) menjadi masalah physical security (keamanan fisik)? Atau dengan kata lain, kapan semikonduktor harus dilengkapi dengan aneka tamper detector?
Bagi perusahaan-perusahaan yang membangun sistem senjata generasi berikutnya untuk Angkatan Bersenjata Amerika Serikat atau angkatan bersenjata lainnya, jawabannya jelas. Mereka harus berasumsi bahwa peralatan akan tertinggal dan kemudian diotak-atik. Semikonduktor yang dilengkapi dengan aneka tamper detector memberikan para rekayasawan berbagai perkakas untuk memenuhi persyaratan DoD (Department of Defense — Departemen Pertahanan) dan juga digunakan secara luas untuk memungkinkan penjualan ke militer negara asing.
Bagaimana dengan pasar-pasar di luar pertahanan yang lebih luas? Beberapa orang berpikir bahwa mereka hanya membutuhkan cyber security karena keamanan “fisik” mereka sudah terjaga melalui berbagai pagar, gerbang, penjaga, kamera, firewall, serta karyawan mereka sendiri yang membangun dan/atau membuat sistem mereka. Itu mungkin sudah cukup. Namun, kita harus bertanya pada diri sendiri, dalam kondisi apa saja seseorang (bisa jadi seorang karyawan) dapat memiliki akses ke sebuah peralatan dan apa saja yang dapat mereka lakukan terhadapnya, sehingga fungsi peralatan tersebut dapat dieksploitasi atau rahasia-rahasia dapat diekstraksi?
Perusahaan kemudian harus menjawab pertanyaan: “Apakah rantai pasokan kami dikelola dengan aman? Apakah peralatan atau kiriman kami pernah ‘hilang’? Bagaimana peralatan dapat dinonaktifkan? Siapa yang menyervis peralatan dan bagaimana peralatan ditingkatkan?” Jawaban atas pertanyaan “Siapa memiliki akses ke sebuah peralatan selama masa hidup peralatan tersebut dan apa saja yang dapat mereka lakukan dengan peralatan tersebut?” akan membantu mendorong proses-proses pengambilan keputusan suatu organisasi.
Berikut adalah isu-isu keamanan utama yang perlu dipertimbangkan:
Manufaktur - bangun papan PCB, rakit dan uji
- Selama pemrograman perangkat non-volatile, apakah para perusahaan menggunakan image yang di-hash dan di-sign? Apakah ada log yang dapat diaudit tentang apa yang telah disediakan, jumlah papan yang telah disediakan, dan jumlah papan yang gagal dalam outgoing test? Apakah para log ini di-hash dan di-sign?
- Apakah porta debug dinonaktifkan?
Pengiriman ke pelanggan
- Dapatkah organisasi dapat mempertanggungjawabkan jumlah unit yang dikirim dan unit yang diterima oleh pelanggan? Sebagian besar pelanggan akan langsung mengatakan “Hei, barangnya kurang satu!”. Namun, bagaimana jika pelanggan terlewat karena alasan apa pun? Perusahaan harus berasumsi bahwa ada satu unit yang berada di luar sana.
- Dapatkah suatu perusahaan dan para pelanggannya memverifikasi integritas peralatan yang dikirimkan? Bisakah mereka memverifikasi bahwa peralatan tidak diotak-atik selama dalam perjalanan?
Penggunaan peralatan
- Apakah ada segel-segel anti-tamper pada peralatan?
- Apakah hanya teknisi resmi yang bisa menyervis peralatan?
- Apakah pembaruan jarak jauh diperbolehkan?
- Jika ya, apakah para image terverifikasi utuh dan asli?
- Apakah ada mekanisme untuk mencegah berbagai roll back?
- Ketika peralatan dinonaktifkan, apakah dinolkan (di-wipe)? Dibuat tidak bisa beroperasi? Dihancurkan?
Jika jawaban untuk setidaknya salah satu pertanyaan di atas “tidak”, maka organisasi harus sangat mempertimbangkan semikonduktor yang dilengkapi dengan anti-tamper countermeasure sehingga mereka dapat menyesuaikan respons mereka terhadap berbagai skenario pengotak-atikan yang kemungkinan dihadapi suatu peralatan selama siklus hidupnya. Misalnya, suatu produk FPGA harus memiliki beberapa fitur anti-tamper yang dapat digunakan untuk mengeluarkan respons ancaman yang telah disesuaikan (Gambar 1). Contohnya termasuk:
- Tamper flag digital dengan jumlah yang memadai.
- Beberapa analog windowed voltage detector yang memberikan trip point tinggi dan rendah untuk setiap pasokan tegangan kritis (Vdd, Vdd18, Vdda25).
- Sebuah digital windowed temperature yang memberikan suhu tinggi dan rendah dari die.
- Nilai mentah tegangan dan suhu dari detektor suhu yang built-in.
- Sebuah system controller slow clock yang menunjukkan suatu kondisi brownout dari system controller.
- Sebuah bus digital (setidaknya 5 bit) yang menunjukkan sumber dari suatu reset perangkat (pin DEVRST, input makro tamper, pengawas system controller, security lock tamper detector yang telah diaktifkan, reset lainnya).
Gambar 1. Atribut desain dan keamanan data perangkat Microchip PolarFire FPGA dan PolarFire SoC FPGA.
Deteksi dan Respons terhadap Tamper
Ada banyak jenis tamper flag yang harus tersedia saat mencontohkan desain FPGA dari makro tamper. Masing-masing memiliki tujuannya sendiri dan bisa dilihat pada Tabel 1.
Respons sama pentingnya dengan deteksi. Setelah suatu perusahaan memutuskan untuk bertindak karena tamper yang tidak sah pada satu peristiwa, serangkaian peristiwa, atau lainnya, respons yang dikeluarkan harus disesuaikan dengan perkembangan peristiwa dari waktu ke waktu. Atau perusahaan dapat bertindak keras dan langsung menonaktifkan bagian tersebut. Contohnya termasuk:
Menonaktifkan IO
Menonaktifkan semua IO pengguna. IO diatur ulang ke keadaan yang ditentukan oleh aneka SEU immune configuration bit mereka. Yang khusus (JTAG, SPI, XCVR, dan lainnya) maupun IO yang tidak dikonfigurasi oleh bit-bit konfigurasi, tidak termasuk. IO dinonaktifkan selama IO_DISABLE dinyatakan.
Penguncian keamanan
Semua kunci pengguna disetel ke status/kondisi terkunci.
Reset
Kirim suatu sinyal reset ke system controller untuk memulai siklus power-down dan power-up.
Pengenolan
Hapus dan verifikasi salah satu atau semua konfigurasi elemen penyimpanan. Memori volatile internal seperti LSRAM, uSRAM, dan RAM system controller dibersihkan dan diverifikasi. Setelah pengenolan selesai, sertifikat pengenolan dapat diambil menggunakan instruksi slave JTAG/SPI untuk mengonfirmasi bahwa proses pengenolan berhasil. Respons tamper ini tidak tersedia saat mode System Controller Suspend diaktifkan. Pengguna dapat memilih pengenolan ke dua status berbeda:
- Seperti baru – perangkat kembali ke keadaan sebelum dikirim.
- Tidak dapat dipulihkan – perusahaan sekalipun tidak dapat memperoleh akses ke bagian dalam perangkat.
Setelah Pengenolan selesai, suatu sertifikat pengenolan dapat diekspor melalui porta JTAG/SPI khusus yang memberikan jaminan kepada entitas eksternal bahwa perangkat benar-benar telah dinolkan.
Cyber security sendiri tidak cukup dalam lingkungan yang sangat kompetitif saat ini. Peralatan yang dibuat suatu perusahaan dapat jatuh ke tangan para pesaing dan pelaku jahat. Produk semikonduktor harus dilengkapi dengan beragam fitur anti-tamper yang dapat perusahaan gunakan untuk melakukan kustomisasi terhadap respons mereka akan berbagai ancaman ini. Pelajari lebih lanjut di www.microchip.com/en-us/products/fpgas-and-plds.
Tabel 1. Sejumlah tamper flag yang sebaiknya tersedia pada makro tamper desain FPGA.