後門洞開的晶片

撰文╱John Villasenor｜譯者╱甘錫安
轉載自《科學人》2012年9月第127期

研究人員在電腦硬體內，發現了相當危險的弱點。

兩位英國資訊安全研究人員日前發表了一篇論文初稿，探討微晶片中「首次發現的實體後門」 。所謂「後門」就是漏洞，讓惡意人士有機會監控，甚至更改晶片內的資訊。這兩位研究人員分別是英國劍橋大學的斯科洛波加托夫（Sergei Skorobogatov）和倫敦庫歐瓦迪斯實驗室（Quo Vadis Labs，拉丁文「往何處去？」）的伍茲（Christopher Woods），他們認為，這個弱點將讓惡意人士可以更改我們以為安全的記憶體內容，或取得該晶片內部邏輯的相關資訊。該款晶片由美國加州的Microsemi製造，該公司發表聲明指出，他們「無法證實或否認這兩位研究人員的結論」。

這項發現涉及的晶片種類，讓他們提出的安全漏洞格外令人擔心。受到影響的ProASIC3 A3P250是一款可現場編程閘極陣列（FPGA）。FPGA的應用範圍極廣，包括通訊與網路系統，金融市場，工業控制系統，以及許多軍事系統。每個客戶設定自己的FPGA，用於執行某項獨特（而且通常有高度專屬性）的邏輯運算。如果有任何機制可以未經授權就能存取FPGA的內部組態，晶片的智慧財產就可能遭到竊取除此之外，晶片內的計算和資料也可能被惡意更改。

假設這兩位研究人員的論文通過審查，我們立刻就會想到一個重要問題：這個硬體弱點當初究竟是怎麼出現的？這個後門可能是在某個不懷好意的民族國家命令下置入，也可能是不小心造成的。可能是設計過程中的某個人員放入這個後門以便進行測試，但沒想到它後來會被發現並可能受到利用。

不論這個弱點從何而來，它應該可以提醒我們硬體安全的重要性。目前為止已經發現的網路安全弱點，絕大多數都是軟體問題，軟體可以透過網際網路更換，更新，修改和下載。相反地，硬體弱點存 於晶片的實際線路中，除非更換晶片本身，否則非常難以處理。

這當然不會是我們最後一次發現硬體的安全弱點，我們應該採取預防措施，盡量降低這類弱點可能造成的風險。

(本文由教育部補助「AI報報─AI科普推廣計畫」取得網路轉載授權)