大數據、人工智慧、物聯網迎來「大人物」時代降臨,不論是電腦運算、手機、電動車、5G、AIoT乃至元宇宙應用,萬物聯網凸顯硬體端晶片資安的重要性與迫切性。財團法人資訊工業策進會資安科技研究所(資策會資安所)副主任高傳凱以「打雷」妙喻晶片安全,一旦遭雷擊有極高機率置之死地,不怕一萬只怕萬一,有鑑於此,資策會三箭推動台廠晶片資安升級,實踐國際合規能「在地檢測、全球通行」可能性。
想像一下,未來坐在自駕車上,人們可優雅化妝或閱讀書報,不過一旦驅動自駕程式的晶片資安遭駭客破壞入侵,那麼電影《玩命關頭》的危機場景就可能真實上演。若覺得「未來式」離生活太遠,不妨把時間軸往回推,不少國際知名大廠的手機、通訊晶片漏洞消息時有所聞,一旦駭客利用相關漏洞發動攻擊,恐有數億台裝置受到波及。
姑且不論「敵人」動機為何,從晶片資安角度出發,隨著物聯網應用日漸普及,驅動電動車、智慧家庭、智慧工業等應用核心的晶片早已佈滿在人們的生活周遭,在半導體設計過程中,若有未檢測到的漏洞或通過韌體造成的損壞,都有可能引發晶片故障、拒絕服務或敏感資訊外洩。換言之,一個無心的漏洞,便足以讓有心人有機可趁。
◎一切信任根本 建立避雷防護措施
高傳凱直言:「晶片安全問題不像一般物聯網常見的弱密碼問題,可透過提高人民安全意識來提升,必須從產品基因中便注入良好DNA。」這道理就好比民眾之所以不擔心,甚至忽略雷擊所產生的影響,關鍵就在於政府早已建置完善避雷防護措施,同理,資策會以第三方協力機構角色,協助台廠供應鏈接軌國際資安標準,讓資安從晶片設計階段便導入,從源頭提升晶片安全。
有時危機才能帶來轉機,回顧晶片資安事件所引發的巨災,2018年彭博報導,美超微賣給蘋果、Amazon等將近30家美國企業的伺服器,製造過程中即遭受攻擊,外傳是遭中國解放軍控管的駭客植入間諜晶片,竊取機密資訊,儘管美超微電腦第一時間出面澄清,但當下已導致Amazon、蘋果公司股價近乎腰斬;除此之外,英特爾與AMD也被發現有資安漏洞,不僅民生應用端恐遭衝擊,甚至波及國防、國家安全、交通,使全球開始了解並重視資安議題。
換言之,晶片資安是大人物時代一切信任的根本,當國際開始對晶片安全性提出質疑時,不僅歐美各國紛紛制定安全標準與規範,晶片業者也需在供應鏈中提出相關安全驗證配套,才能在各個市場搶佔商機。
◎接軌國際標準 推聯合檢測實驗室
高傳凱指出,目前國際間通用的晶片資安標準主要有CC、PSA、SESIP三種,考量台灣是晶片出口大國,但礙於在國際政治地位考量,CC認證無法在台執行,而PSA又是私人公司Arm所推出的晶片產品安全認證標準,資策會轉而尋求以經濟體為單位的SESIP,超前部署推動在地檢測全球通行概念。
「對台灣業者來說,過去只能送國外做CC驗證,但費時費力且價格昂貴,隨著晶片安全意識抬頭,政府致力於推動資安品質升級,先通過國內晶片安全標準,再拿國外安全認證,不僅降低接軌國際門檻,也讓台灣晶片與安全晶片畫上等號,保持國際輸出競爭力。」高傳凱說。
美國麻省塔夫斯大學歷史系教授米勒在他所撰寫的《晶片戰爭》一書中點出,全球最先進晶片有9成都是在台灣生產,凸顯台灣在晶片資安的聲量與話語權。即便已看到晶片安全認證商機,然而高進入門檻的晶片安全實驗室,包括人才稀有、設備昂貴、技術艱深等眾多因素交雜,導致一般資安實驗室望而卻步。
為打破眼前困境,資策會自產官學研界借將,自主研發晶片安全惡意邏輯檢測技術,協助廠商提早察覺晶片是否隱藏後門,並成立晶片安全聯合檢測實驗室,提供儀器設備、晶片安全指引、人才教育等服務項目,協助產業界擴充晶片安全檢測能量。
今年11月底,資策會與國際晶片安全標準制定組織,同時也是發布SESIP標準的GlobalPlatform組織簽訂MOU,共同發展台灣晶片安全產業標準,後續也將爭取SESIP驗證能推行在地檢測、國際取證的機制,減少廠商國外送檢的時間與成本,從點線面建構台灣晶片安全認驗證生態系。