Logo Zephyrnet

Intelligenza generativa dei dati

Semiconduttore

La minaccia dell’insicurezza della catena di fornitura

Ripubblicato da Platone
Ripubblicato da Platone

Data:

Visualizzazioni: 42

Le preoccupazioni per i chip contraffatti crescono man mano che sempre più chip vengono utilizzati in applicazioni mission-critical e di sicurezza, richiedendo una migliore tracciabilità e soluzioni nuove ed economiche in grado di determinare se i chip sono nuovi o usati. Ma alcuni chip contraffatti continuano a circolare e il problema peggiora laddove vi sono carenze.

Le stime variano ampiamente in merito ai costi della contraffazione in termini di perdita di entrate e posti di lavoro. Nel 2017, la DARPA ha fissato il costo a 170 miliardi di dollari in mancate entrate nel settore dell’elettronica. Nello stesso anno, la Semiconductor Industry Association stimava che la contraffazione costasse all’industria dei chip 7.5 miliardi di dollari all’anno. Ma tutto ciò è accaduto prima della pandemia, che ha causato gravi carenze e lunghi tempi di attesa in mercati come quello automobilistico e degli elettrodomestici, in particolare per i chip prodotti in nodi maturi utilizzando la tecnologia da 200 mm.

Finora non esistono stime attendibili del costo totale di tali carenze. Ma sono state effettuate molte ricerche su come identificare e prevenire chip e componenti contraffatti.

Mark Tehranipoor, presidente del dipartimento ECE dell'Università della Florida, ha identificato cinque categorie di chip contraffatti: riciclati, clonati, rimarcati, sovraprodotti e contraffatti. "Sappiamo quale costituisce il maggior numero e quali compaiono più di altri, e dipende davvero dal tipo di chip e dalla domanda del mercato", ha affermato. “Ad esempio, quando si è verificata la carenza di chip, il numero di chip contraffatti è aumentato perché c’era domanda di chip. I contraffattori lo sapevano e quindi cercarono di immettere sul mercato alcuni dei chip che avevano domanda. Inoltre, la maggior parte dei chip che scarseggiavano, se non tutti, erano in realtà prodotti in nodi tecnologici più vecchi, non in quelli all’avanguardia. In effetti, i chip dei nodi più recenti non mancavano. Sono stati i nodi da 65 nm, 90 nm e 130 nm ad avere una carenza”.

Il problema della contraffazione cresce man mano che la catena di fornitura si allarga ed è più grande di quanto sospetta la maggior parte dei produttori. "Quando si tratta di beni di consumo come orologi o abiti firmati, acquistare i prodotti in posti strani a prezzi economici può suggerire che questi prodotti siano falsi", ha affermato Konrad Bechler, consulente per la sicurezza in materia di protezione del marchio e anticontraffazione presso Infineon Technologies. “Molto spesso gli acquirenti di semiconduttori non si rendono conto che ciò vale anche per i componenti semiconduttori. Trattando questo argomento come un argomento marginale, i semiconduttori contraffatti potrebbero trasformarsi in un problema serio, il che significa che i componenti non soddisfano le aspettative o le specifiche del produttore. C'è sempre un aspetto pericoloso per la vita delle contraffazioni. Basti pensare a un airbag che non si apre correttamente durante un incidente o a un'apparecchiatura medica come un defibrillatore elettrico automatizzato che non funziona in una situazione pericolosa per la vita. Questi sono solo due casi d'uso. Poiché i semiconduttori sono parte integrante della nostra vita quotidiana, le contraffazioni rappresentano una seria minaccia e alla fine porteranno alla morte se non soddisfano le specifiche”.

L’integrazione eterogenea e i chiplet aumentano la minaccia. "Se qualcuno mette un chip di memoria incorporato su un die in modo che un processore da 3 nm possa avere memoria incorporata senza staccarsi dal chip, quel chiplet di memoria incorporato sarà costruito in un nodo trailing-edge", ha affermato Scott Best, direttore tecnico, prodotti anticontraffazione a Rambus. “Non è costruito in 3 nm. È integrato in qualcosa che è stato ottimizzato per la memoria incorporata e non per il calcolo ad alte prestazioni. Quindi isoli la specializzazione dei chiplet. Sembra essere una buona idea e quindi il fornitore della CPU lavorerà con un fornitore di memoria. Ma come fai a sapere che un altro chip non sia stato clonato, copiato e che qualcosa di dannoso non sia stato inserito nella catena di approvvigionamento? È terrificante. E sì, è un problema risolvibile, ma non più un problema di sicurezza elettronica ma un problema di sicurezza della catena di approvvigionamento”.

Le cause della contraffazione
Esistono vari motivi per cui e come avviene la contraffazione. "La ragione più ovvia è il risparmio sui costi", ha affermato Bechler. “Molti produttori di dispositivi subiscono la pressione sui prezzi e devono realizzare prodotti a costi neutri. Ciò potrebbe spingerli a trovare modi più economici per sviluppare i loro prodotti. Con questa mentalità, è probabile che ricevano componenti contraffatti. Un'altra motivazione per acquistare prodotti contraffatti è la cessazione della produzione di componenti specifici perché hanno raggiunto la fine del ciclo di vita. Alcuni produttori potrebbero averne bisogno per la produzione regolare o come pezzi di ricambio. Ciò è dovuto ai dispositivi certificati in base al prodotto finale e qualsiasi modifica alla certificazione è estremamente costosa. Tempi di consegna lunghi potrebbero essere un'altra motivazione. Naturalmente, i produttori vogliono servire i propri clienti e ottenere i componenti corrispondenti in modi alternativi, di cui approfittano i contraffattori”.

Per quanto riguarda il modo migliore per affrontare questo problema, Tehranipoor ha affermato che dipende dal tipo di chip contraffatti, perché non tutti i chip contraffatti sono uguali. “Ci sono chip riciclati che chiunque potrebbe fare. Chiunque, in qualsiasi parte del mondo, può rimuovere i chip dai PCB scartati, ripulirli e reimmetterli sul mercato. Ciò non richiede un'enorme quantità di risorse o denaro. Il fatto che il riciclaggio costituisca l'80% di tutti i tipi di contraffazioni dimostra quanto sia diffuso il riciclaggio. Perché è facile, chiunque può farlo, non è necessario investire milioni di dollari."

La clonazione è più complicata, soprattutto se comporta il reverse engineering. “Supponiamo che un IP venga ottenuto in qualche modo illegalmente”, ha detto. “Quindi è possibile fabbricarlo in molte fonderie in tutto il mondo. Rubare l'IP richiede un livello di sofisticazione più elevato, quindi non lo fai per vendere il chip per pochi dollari. Questo viene normalmente fatto per i chip che hanno un prezzo più alto, perché il reverse engineering potrebbe essere costoso. E anche se non posso dire che sia assolutamente vero per ogni tipo di chip, man mano che i chip diventano più costosi, potrebbero richiedere uno sforzo maggiore e un livello di sofisticazione più elevato per poter essere contraffatti”.

Contrastare i contraffattori
Fermare il flusso di chip contraffatti richiede uno sforzo concertato lungo l’intera catena di fornitura. La situazione sta migliorando, ma non sono ancora state adottate le misure necessarie per tutti i tipi di chip.

“Ci sono soluzioni che sono diventate molto più accettabili e più facili da gestire”, ha detto Tehranipoor. “Ad esempio, il riciclaggio è in realtà abbastanza facile da individuare. Se inserisci un contachilometri nel chip, che è estremamente economico, ti dirà facilmente se il chip è stato utilizzato o meno e per quanto tempo è stato utilizzato. Sempre più aziende sembrano essere ricettive all’idea di includere misure [come gli odometri] a basso costo nei loro circuiti integrati per contribuire ad affrontare questa preoccupazione. Anche la rimarcatura è facile da risolvere utilizzando gli ID dei chip elettronici, ma è particolarmente adatta per circuiti di grandi dimensioni. La clonazione e la sovrapproduzione sono molto difficili da affrontare”.

Altri indicano approcci simili. "Si è prestata molta attenzione all'ispezione visiva, ma dal punto di vista elettronico ci sono cose che si possono fare", ha affermato Mike Borza, Synopsys scienziato. “Una delle cose interessanti è che alcune tecnologie SLM hanno modi per misurare l’invecchiamento, o almeno quanto è stato utilizzato un chip, prima di riceverlo. Alcuni utilizzano contachilometri diretti, ma esistono altri tipi di contachilometri che si basano sull'invecchiamento del silicio durante l'utilizzo. Ciò significa che è possibile rilevare cambiamenti sistematici come le frequenze degli oscillatori o i parametri di sintonizzazione per i PLL. Questo genere di cose indica che un dado è stato utilizzato più di quanto ti aspetteresti all'età in cui ti è stato venduto. Tutto questo fa parte di quel programma di fiducia e garanzia per cercare di portare avanti queste tecnologie, renderle più facilmente disponibili e renderle più facili da usare”.

Parte di questo è legato all'I/O del chip, ma gran parte si concentra sull'infrastruttura del clock. Borza ha affermato che c'è molto in termini di monitor PVT e monitoraggio delle prestazioni, che le persone utilizzano per determinati tipi di chip. "Se pensi a un grande acceleratore AI, che in realtà è una serie di cose molto simili, puoi reindirizzare il consumo di energia in un'area di un chip se diventa troppo caldo quando trasferisco il carico in una parte diversa del chip, perché funzionalmente è ancora equivalente. Hai questo reindirizzamento dei dati da elaborare. È una forma di bilanciamento del carico per ragioni termiche."


Fig. 1: Il NIST ha sviluppato un modo per inserire atomi di alluminio di pochi nanometri nel silicio per creare un nuovo tag ID per circuiti integrati critici. Quando sondato con le onde radio, produce una risposta unica. Fonte: NIST

Sfide della catena di approvvigionamento
Mettere in sicurezza la catena di fornitura stessa è più complesso. "Nella sicurezza della supply chain, si sta trasformando ciò che chiamiamo fiducia fisica in fiducia elettronica", ha affermato Rambus' Best. “Quindi da qualche parte là fuori nel mondo c’è un HSM (modulo di sicurezza hardware) con air gap che firma le immagini del firmware, crea materiale chiave e si autentica con l’attrezzatura di tester che ha i fili collegati a un chip durante l’ordinamento dei wafer. La fiducia di quella scatola fisica ora viene trasformata crittograficamente in fiducia su quel chip in quella fase di ordinamento del wafer. Quando quel chip lascia il tipo wafer, viene mal maneggiato da dozzine di persone, e poi si presenta settimane dopo presso l'impianto di prova finale, come fai a sapere che è lo stesso chip? Ora puoi testarlo, perché l'HSM era offline sotto sicurezza fisica, biometria, cani da guardia. Era sotto supervisione di chiave e serratura. E ora che compaiono i wafer, quella fiducia fisica è stata trasformata in fiducia crittografica. Questa è la natura della sicurezza della catena di approvvigionamento. Lavoriamo anche su questo. Infatti, quando consegniamo i prodotti ai nostri clienti anticontraffazione, li aiutiamo a gestire la catena di fornitura di tali chip, perché la produzione eccessiva è un problema. Questo è il modo più semplice per clonare un chip. Ne ordini 100,000. La favola ne guadagna 120,000. Quindi 100,000 escono dalla porta principale e gli altri 20,000 escono dalla porta sul retro, e sono completamente compatibili”.

Anche se non è realistico presumere che tutti i chip contraffatti possano essere bloccati, il volume può certamente essere ridotto. "Quando si pensa alla collaborazione nella catena di fornitura, si osserva un ecosistema molto vasto in cui mancano molti stakeholder", ha affermato Alan Porter, vicepresidente per il segmento dell'elettronica e dei semiconduttori presso Siemens Digital Industries Software. “È importante promuovere la trasparenza e garantire una buona comunicazione tra tutte le parti interessate dell'ecosistema, siano essi produttori, fornitori o distributori. Queste persone hanno bisogno di soluzioni e tecnologie che li aiutino a identificare i rischi e anche ad agire tempestivamente per mitigarli”.

Porter ha affermato che i giocatori dell'ecosistema possono connettersi in un mercato affidabile, dove possono conoscere e acquisire diversi componenti. Questo approccio è attualmente immaturo, ma le aziende si rendono conto che devono farlo funzionare. Questo è uno dei motivi principali per cui Siemens ha acquisito Supplyframe nel 2021.

Una catena di fornitura sicura è un aspetto importante di qualsiasi programma anticontraffazione. "Una catena di fornitura sicura approvata dal produttore del componente originale (OCM) conferma l'origine di un prodotto, l'integrità del lotto e la qualità della sua gestione, stoccaggio e spedizione", ha affermato Bechler. “Acquistare i prodotti solo direttamente da OCM, o da uno dei distributori autorizzati OCM, è il modo migliore per evitare spiacevoli sorprese. Per i prodotti fuori produzione, i clienti devono anche verificare con l'OCM per vedere se esiste un distributore che fornisce stoccaggio a lungo termine. Se non esiste un distributore di questo tipo, i FAE competenti sanno meglio come adattare i progetti a costi ragionevoli. A volte sono necessarie sostituzioni immediate e talvolta un nuovo progetto riduce addirittura la distinta base (BOM)”.

Infineon fornisce costantemente informazioni ai clienti sul rischio derivante dall'acquisto di componenti sul mercato aperto o da fonti discutibili. "Per sensibilizzare le autorità governative, formiamo regolarmente le dogane negli Stati Uniti, nell'UE e nella Grande Cina, fornendo loro le conoscenze su come identificare e sequestrare spedizioni sospette", ha affermato Bechler. “Collaboriamo anche con diverse associazioni come la SIA (Semiconductor Industry Association), o organizzazioni economiche governative, per aumentare la consapevolezza sul rischio della contraffazione”.

Ma tutti i punti devono essere collegati. "Abbiamo cercato modi per fornire la tracciabilità e la provenienza dei dati necessari per collegare questi punti, più o meno come una catena di prove di tipo CSI", ha affermato Porter. “Qui è dove capisci dove sono state le cose, fino alle materie prime per comprendere l'intero processo. Non vuoi che i tuoi materiali siano diamanti insanguinati. Vuoi avere una buona responsabilità sociale. Anche se questo non è direttamente legato alla contraffazione, anche i materiali possono essere contraffatti. Anche l'industria del cotone finisce nei guai perché dice di avere cotone di prima qualità, e in qualche modo il cotone spazzatura entra nella loro catena di approvvigionamento e i loro prodotti non sono dei migliori. La stessa cosa può accadere nei semiconduttori. Puoi ottenere materie prime corrotte. Quindi questo problema spazia dalle materie prime, alla fabbricazione dei prodotti, fino al tracciamento della logistica dal punto A al punto B”.

Anche il software può essere danneggiato. Tutto deve essere tracciato e contabilizzato, utilizzando tecnologie come i registri blockchain.

"Esiste un intero mercato di dispositivi contraffatti, che comprende di tutto, dai dispositivi buoni recuperati da vecchie apparecchiature che vengono rivendute, ai dispositivi grigi che sono usciti furtivamente dalla fabbrica", ha affermato Lee Harrison, direttore del marketing del prodotto. per il gruppo Tessent presso Siemens Digital Industries Software. “Questi non sono dispositivi buoni al 100%. Sono essenzialmente dei fallimenti, ma finiscono comunque nel mercato nero. Siamo davvero concentrati nel fornire tutta la tecnologia di sicurezza integrata per garantire che anche all'interno dello stesso impianto di produzione, i dispositivi vengano forniti e dotati di un ID. Ciò garantisce loro la tracciabilità fino al punto in cui finiscono in un veicolo. E se mai avessi bisogno di sostituire un determinato componente, un'ECU o un circuito all'interno del veicolo, avrai la tracciabilità di dove sono andati."

Inoltre, quando un dispositivo è considerato a fine vita, quando la tecnologia di sicurezza integrata è attiva, può essere effettivamente spento e non può essere riutilizzato. "C'è molto lavoro da fare in questo settore", ha osservato Harrison. “Utilizzando elementi come una Root of Trust, è possibile fornire una completa tracciabilità end-to-end nella catena di fornitura. Il mercato automobilistico è sicuramente in prima linea in questo perché i pezzi di ricambio e le parti aftermarket andavano bene nei veicoli del passato, e anche di oggi. Ma mentre ci muoviamo verso una guida più autonoma, vuoi davvero salire su un’auto che qualcuno ha appena portato in un garage in una strada secondaria e ha sostituito una ECU, e non hai idea da dove provenga? Lo stesso vale per il software. Esistono già numerose normative coinvolte per assicurarsi di disporre di tutti gli elementi giusti in modo da poter garantire che la versione del software che finisce sul veicolo sia la versione giusta per quel veicolo e che non sia stata manomessa .”

Costo contro rischio
Harrison ha osservato che altri segmenti dell’industria elettronica stanno recuperando terreno. “Se guardiamo all'IoT, probabilmente è leggermente indietro rispetto all'industria automobilistica. Ma il desiderio è enorme, perché questi fornitori di semiconduttori stanno perdendo denaro, quindi è nel loro interesse concentrarsi sulla prevenzione della contraffazione”.

Per il fornitore di chip è sempre una questione di costi/rischio. "Diciamo che l'azienda X vende molti chip analogici", ha affermato Tehranipoor. “Alcuni di loro vendono per cinque centesimi al pezzo. Mettereste una soluzione anticontraffazione da un centesimo in una parte da cinque centesimi? La risposta è chiaramente no. Molte aziende eseguono le proprie analisi dei rischi per decidere se includere una soluzione anticontraffazione nel chip”.

Tuttavia, Tehranipoor desidera che gli OEM di semiconduttori sappiano che la contraffazione è più facile da individuare di quanto possano immaginare se tutte le misure preventive vengono applicate nelle prime fasi del processo di progettazione. "Immagina di avere un piccolo IP di autenticazione da inserire nel chip e che quell'IP sarà responsabile di dirti se il chip verrà riciclato, clonato o rimarcato", ha affermato. “Per un chip superiore a qualche milione di porte, è facile farlo, ne vale la pena. Dà a tutti tranquillità. Il problema quando si passa ai chip più piccoli è l’analisi del rapporto rischio-costo. Cosa può fare un’azienda al riguardo? Niente in realtà, perché potrebbero non avere nemmeno i dati per dirti quanto rischio stanno correndo. Quanto dovrebbero investire nella lotta alla contraffazione? È difficile da dire. Dopotutto, si preoccupano dei profitti e del margine di profitto. Se non raggiungono il loro margine, non lo faranno. Se esiste una vulnerabilità che non è stata risolta, accadrà. È una questione di tempo e risorse che l'aggressore metterà a disposizione. A volte i progettisti sanno che esistono queste vulnerabilità, a volte no. Molti dei chip oggi vengono spediti con bug noti al loro interno. Si potrebbe sostenere che lo stesso vale anche per le vulnerabilità nel chip. Risolverli potrebbe ritardare il team di produzione e ciò costerebbe all’azienda un sacco di soldi”.

Anche la sicurezza è relativa. "Non esiste una cosa sicura", ha detto Tehranipoor. “La sicurezza è come l’attacco di un orso. Se un orso ti attacca e siete in cinque, tutto ciò che devi fare è assicurarti di non essere l'ultimo. Una volta che l'orso avrà catturato il primo, gli altri quattro saranno salvi. A volte le aziende considerano la sicurezza in questo modo. Posso sentirmi un po' più sicuro in modo da non essere io quello che finisce all'improvviso nelle notizie?' Quando si tratta di molte vulnerabilità hardware, non esiste nulla di sicuro. Non ci sono parametri per darti questa sicurezza.

Anche così, Tehranipoor ha osservato che ci sono due approcci che le aziende produttrici di chip possono adottare: determinare il modello di minaccia e condurre un’analisi dei costi di rischio. "Spesso in un'azienda di semiconduttori viene posta questa semplice domanda: 'Qual è l'attacco più semplice che si può risolvere e che presenta il rischio maggiore per i profitti e la reputazione dell'azienda?' Non è necessario trovare l'attacco più difficile che presenti il ​​minor rischio, perché in tal caso l'azienda dovrà spendere una notevole quantità di denaro per ottenere in cambio un guadagno minimo. Come puoi assicurarti di eliminare tutti i frutti a portata di mano, il che significa che avrai risolto il 95% del problema di sicurezza?

Conclusione
L’ecosistema elettronico è costruito su una catena di fornitura molto sicura che può essere ricondotta al produttore in qualsiasi momento, ma esistono anche numerosi fornitori non autorizzati che operano al di fuori della catena di fornitura autentica.

"I produttori garantiscono con contratti e controlli che la catena di fornitura sia costantemente protetta", ha affermato Bechler di Infineon. “Tuttavia, poiché il prezzo è sempre una differenziazione chiave per i produttori di dispositivi, ci sono momenti in cui non acquistano da distributori autorizzati. Quando ciò accade, a causa di una struttura dei prezzi più bassa, la loro sicurezza potrebbe essere compromessa dalle contraffazioni. È fondamentale che ogni parte della catena di fornitura, dai produttori di chip ai fornitori di software e dispositivi, fino ai consumatori, acquisti da fonti e distributori autorizzati per mantenere sicura la catena di fornitura dell’elettronica”.

Alcune applicazioni sono più sensibili di altre in termini di contraffazione. “Per un’applicazione mission-critical come il lancio di un missile o di una navetta spaziale, è necessario eseguire una valutazione approfondita dell’integrità, ha affermato Tehranipoor. “Una delle missioni multimilionarie della Russia è fallita più volte perché contenevano un chip di memoria contraffatto. Questo chip di memoria contraffatto da 500 dollari ha fallito una missione così importante. Questo è il rischio di cui stiamo parlando. Maggiore è la criticità della missione, più seriamente dobbiamo prendere in considerazione l’integrità dei dispositivi elettronici che utilizziamo”.

spot_img

L'ultima intelligenza

spot_img

Copyright @ 2024 Plato Technologies Inc.