De zorgen over namaakchips nemen toe naarmate meer chips worden ingezet in veiligheids- en missiekritieke toepassingen, wat leidt tot betere traceerbaarheid en nieuwe en goedkope oplossingen die kunnen bepalen of chips nieuw of gebruikt zijn. Maar er glippen nog steeds enkele namaakchips door, en het probleem wordt erger waar er tekorten zijn.
De schattingen lopen sterk uiteen over de kosten van namaak in termen van verloren inkomsten en banen. In 2017 schatte DARPA de kosten op 170 miljard dollar aan verloren elektronica-inkomsten. Datzelfde jaar schatte de Semiconductor Industry Association dat namaak de chipindustrie 7.5 miljard dollar per jaar kostte. Maar dat gebeurde allemaal vóór de pandemie, die ernstige tekorten en lange wachttijden veroorzaakte in markten zoals de automobielsector en de apparatensector, met name voor chips die op volwassen knooppunten werden vervaardigd met behulp van 200 mm-technologie.
Tot nu toe zijn er geen goede schattingen van de totale kosten van die tekorten. Maar er is veel onderzoek gedaan naar de manier waarop nagemaakte chips en componenten kunnen worden geïdentificeerd en voorkomen.
Mark Tehranipoor, voorzitter van de ECE-afdeling van de Universiteit van Florida, identificeerde vijf categorieën namaakchips: gerecycled, gekloond, opnieuw gemarkeerd, overgeproduceerd en vervalst. "We weten welke het meeste goed is, en welke meer opduiken dan andere, en het hangt echt af van het type chips en de marktvraag ernaar", zei hij. “Toen we bijvoorbeeld een tekort aan chips hadden, steeg het aantal nagemaakte chips omdat er vraag naar chips was. De vervalsers wisten dat en probeerden daarom een aantal van de chips waar veel vraag naar was op de markt te brengen. Bovendien werd het merendeel van de chips waar een tekort aan was, zo niet allemaal, feitelijk vervaardigd in oudere technologieknooppunten, en niet in de allernieuwste. In feite was er geen tekort aan de nieuwste knooppuntchips. Het waren de 65nm-, 90nm- en 130nm-nodes die een tekort hadden.”
Het probleem van namaak groeit naarmate de toeleveringsketen groter wordt, en is groter dan de meeste fabrikanten vermoeden. “Als het gaat om consumptiegoederen zoals horloges of merkkleding, kan het kopen van de producten op vreemde plaatsen tegen goedkope prijzen erop duiden dat deze producten namaak zijn”, zegt Konrad Bechler, beveiligingsadviseur merkbescherming en anti-namaak bij Infineon Technologies. “Kopers van halfgeleiders realiseren zich vaak niet dat dit ook geldt voor halfgeleidercomponenten. Wanneer dit als een marginaal onderwerp wordt behandeld, kunnen nagemaakte halfgeleiders een serieus probleem worden, wat betekent dat de componenten niet voldoen aan de verwachtingen of specificaties van de fabrikant. Er zit altijd een levensbedreigend aspect aan vervalsingen. Denk maar aan een airbag die niet goed wordt geactiveerd tijdens een ongeval, of medische apparatuur zoals een automatische elektrische defibrillator die niet werkt in een levensbedreigende situatie. Dit zijn slechts twee gebruiksscenario's. Omdat halfgeleiders een integraal onderdeel zijn van ons dagelijks leven, vormen vervalsingen een ernstige bedreiging en zullen ze uiteindelijk tot sterfgevallen leiden als ze niet aan de specificaties voldoen.”
Heterogene integratie en chiplets vergroten de dreiging. “Als iemand een ingebedde geheugenchip op een chip gaat plaatsen zodat een 3nm-processor wat ingebed geheugen kan hebben zonder van de chip af te gaan, dan wordt die ingebedde geheugenchiplet ingebouwd in een trailing-edge node”, zegt Scott Best, technisch directeur. anti-namaakproducten op Rambus. “Het is niet in 3nm gebouwd. Het is ingebouwd in iets dat is geoptimaliseerd voor ingebed geheugen, en niet voor krachtige rekenkracht. Dus je isoleert de specialisatie van de chiplets. Dit lijkt een goed idee, en dan zal de CPU-leverancier samenwerken met een geheugenleverancier. Maar hoe weet je dat er geen andere chip is gekloond of gekopieerd, en dat er niet iets kwaadaardigs in de toeleveringsketen is terechtgekomen? Dat is angstaanjagend. En ja, het is een oplosbaar probleem, maar het verandert van een elektronisch veiligheidsprobleem en wordt een veiligheidsprobleem voor de toeleveringsketen.”
Aanjagers van namaak
Er zijn verschillende redenen waarom en hoe namaak plaatsvindt. “De meest voor de hand liggende reden is kostenbesparing”, aldus Bechler. “Veel apparaatfabrikanten ervaren prijsdruk en moeten producten produceren die kostenneutraal zijn. Dit kan hen ertoe aanzetten goedkopere manieren te vinden om hun producten te ontwikkelen. Met deze mentaliteit is de kans groot dat ze nagemaakte onderdelen ontvangen. Een andere motivatie om vervalsingen te kopen is het stopzetten van specifieke componenten omdat deze het einde van hun levenscyclus hebben bereikt. Sommige fabrikanten hebben ze misschien nodig voor de reguliere productie of als reserveonderdelen. Dit komt door apparaten die zijn gecertificeerd in overeenstemming met het eindproduct, en elke wijziging in de certificering is extreem kostbaar. Lange doorlooptijden kunnen een andere motivatie zijn. Natuurlijk willen fabrikanten hun klanten bedienen en op alternatieve manieren overeenkomstige componenten verkrijgen, waar vervalsers misbruik van maken.”
Wat betreft de beste manier om dit aan te pakken, zegt Tehranipoor dat dit afhangt van het type namaakchips, omdat niet alle namaakchips hetzelfde zijn. “Er zijn gerecyclede chips die iedereen zou kunnen maken. Iedereen, waar ook ter wereld, kan chips van afgedankte PCB's halen, deze opruimen en weer op de markt brengen. Daar zijn geen enorme hoeveelheden middelen of geld voor nodig. Het feit dat recycling 80% van alle soorten vervalsingen uitmaakt, zo vaak is recycling het geval. Omdat het gemakkelijk is – iedereen kan het – hoef je geen miljoenen dollars te investeren.”
Klonen is ingewikkelder, vooral als het om reverse engineering gaat. ‘Stel dat een IP op een of andere manier illegaal wordt verkregen’, zei hij. “Dan kan je het in veel gieterijen over de hele wereld fabriceren. Het stelen van IP vereist een hoger niveau van verfijning, dus je doet het niet om de chip voor een paar dollar te verkopen. Normaal gesproken wordt dit gedaan voor chips met een hogere prijs, omdat reverse engineering duur kan zijn. En hoewel ik niet kan zeggen dat dit absoluut waar is voor elk type chip, kunnen chips, naarmate ze duurder worden, meer inspanning en een hoger niveau van verfijning vergen voordat ze nagemaakt kunnen worden.”
Het tegengaan van de vervalsers
Het stoppen van de stroom namaakchips vereist een gezamenlijke inspanning in de hele toeleveringsketen. Dit verbetert, maar de noodzakelijke maatregelen zijn nog steeds niet voor alle soorten chips getroffen.
“Er zijn oplossingen die veel acceptabeler en gemakkelijker te hanteren zijn geworden”, zei Tehranipoor. “Recycling is bijvoorbeeld eigenlijk vrij eenvoudig te detecteren. Als u een kilometerteller in uw chip plaatst, wat extreem goedkoop is, kunt u gemakkelijk zien of de chip is gebruikt of niet, en hoe lang deze is gebruikt. Steeds meer bedrijven lijken ontvankelijk te zijn voor het idee om goedkope maatregelen [zoals kilometertellers] in hun geïntegreerde schakelingen op te nemen om dit probleem aan te pakken. Hermarkering is ook eenvoudig aan te pakken met behulp van elektronische chip-ID's, maar is vooral geschikt voor grote circuits. Klonen en overproductie zijn heel moeilijk aan te pakken.”
Anderen wijzen op soortgelijke benaderingen. “Er is veel aandacht besteed aan visuele inspectie, maar elektronisch zijn er dingen die je kunt doen”, zegt Mike Borza, Synopsys wetenschapper. “Een van de interessante dingen is dat sommige SLM-technologieën manieren hebben om veroudering te meten, of in ieder geval hoeveel een chip is gebruikt, voordat je hem ontvangt. Bij sommige zijn directe kilometertellers betrokken, maar er zijn ook andere soorten kilometertellers die gebaseerd zijn op de manier waarop het silicium veroudert naarmate het wordt gebruikt. Dit betekent dat u systematische veranderingen kunt detecteren, zoals oscillatorfrequenties of de afstemmingsparameters voor PLL's. Dat soort dingen geven aan dat een dobbelsteen meer is gebruikt dan je zou verwachten op de leeftijd waarop hij aan jou wordt verkocht. Dit maakt allemaal deel uit van dat vertrouwens- en zekerheidsprogramma om te proberen deze technologieën mee te nemen, ze gemakkelijker beschikbaar te maken en gemakkelijker te gebruiken te maken.”
Een deel hiervan is gekoppeld aan de I/O van de chip, maar een groot deel hiervan is gericht op de klokinfrastructuur. Borza zei dat er veel is op het gebied van PVT-monitoren en prestatiemonitoring, die mensen gebruiken voor bepaalde soorten chips. “Als je denkt aan een grote AI-versneller, wat eigenlijk een reeks dingen is die allemaal erg op elkaar lijken, kun je het energieverbruik naar een bepaald deel van een chip omleiden als het te heet wordt als ik de belasting naar een ander deel overbreng. van de chip, omdat deze functioneel nog steeds gelijkwaardig is. U moet deze omleiding van de gegevens verwerken. Het is een vorm van load-balancing om thermische redenen.”
Fig. 1: NIST heeft een manier ontwikkeld om aluminiumatomen een paar nanometer in het silicium te plaatsen om een nieuw ID-label voor kritische IC's te creëren. Wanneer het wordt onderzocht met radiogolven, produceert het een unieke reactie. Bron: NIST
Supply chain uitdagingen
Het beveiligen van de supply chain zelf is complexer. “Op het gebied van de beveiliging van de toeleveringsketen transformeer je wat wij fysiek vertrouwen noemen in elektronisch vertrouwen”, aldus Rambus' Best. “Dus ergens in de wereld is er een HSM (hardware security module) met luchtopening die firmware-images ondertekent, sleutelmateriaal creëert en authenticeert met testerapparatuur die draden op een chip heeft tijdens het sorteren van wafers. Het vertrouwen van die fysieke doos wordt nu cryptografisch omgezet in vertrouwen op die chip bij die wafelsorteerstap. Als die chip de wafelsoort verlaat, door tientallen mensen verkeerd wordt behandeld en weken later opduikt in de laatste testfaciliteit, hoe weet je dan dat het dezelfde chip is? Nu kun je het testen, want de HSM was offline onder fysieke beveiliging, biometrie, waakhonden. Het stond onder toezicht achter slot en grendel. En nu de wafers verschijnen, is dat fysieke vertrouwen getransformeerd in cryptografisch vertrouwen. Dat is de aard van supply chain-beveiliging. Ook daar werken wij aan. Wanneer we producten leveren aan onze klanten die zich bezighouden met de bestrijding van namaak, helpen we hen de toeleveringsketen van die chips te beheren, omdat overproductie een probleem is. Dat is de gemakkelijkste manier om een chip te klonen. Je bestelt er 100,000. De fabriek verdient 120,000. Dus 100,000 gaan via de voordeur naar buiten en de overige 20,000 gaan via de achterdeur naar buiten, en ze zijn volledig compatibel.”
Hoewel het onrealistisch is om aan te nemen dat alle namaakchips kunnen worden gestopt, kan het volume zeker worden verminderd. “Als je denkt aan samenwerking in de toeleveringsketen, kijk je naar een heel groot ecosysteem, en ze missen veel belanghebbenden”, zegt Alan Porter, vice-president voor het elektronica- en halfgeleidersegment bij Siemens Digital Industries-software. “Het is belangrijk om de transparantie te bevorderen en ervoor te zorgen dat er goede communicatie is tussen alle belanghebbenden in het ecosysteem, of het nu fabrikanten, leveranciers of distributeurs zijn. Die mensen hebben oplossingen en technologieën nodig om hen te helpen de risico’s te identificeren, en ook tijdig actie te ondernemen om die risico’s te beperken.”
Porter zei dat ecosysteemspelers verbinding kunnen maken op een vertrouwde marktplaats, waar ze verschillende componenten kunnen leren kennen en verwerven. Deze aanpak is momenteel nog onvolwassen, maar bedrijven realiseren zich dat ze dit moeten laten werken. Dit is een van de belangrijkste redenen waarom Siemens Supplyframe in 2021 heeft overgenomen.
Een veilige toeleveringsketen is een belangrijk facet van elk anti-namaakprogramma. “Een beveiligde toeleveringsketen die is goedgekeurd door de oorspronkelijke onderdelenfabrikant (OCM) bevestigt de herkomst van een product, de partij-integriteit en de kwaliteit van de hantering, opslag en verzending ervan”, aldus Bechler. “Het kopen van producten uitsluitend rechtstreeks bij OCM, of bij een van de geautoriseerde distributeurs van OCM, is de beste manier om onaangename verrassingen te voorkomen. Voor producten die niet meer leverbaar zijn, moeten klanten ook contact opnemen met de OCM om te zien of er een distributeur is die langdurige opslag aanbiedt. Als zo'n distributeur niet bestaat, weten deskundige FAE's het beste hoe ontwerpen tegen redelijke kosten kunnen worden aangepast. Soms zijn er drop-in vervangingen, en soms zal een nieuw ontwerp zelfs de stuklijst (BOM) verlagen.”
Infineon verstrekt klanten voortdurend informatie over de risico's van het kopen van componenten op de open markt of bij twijfelachtige bronnen. “Om het bewustzijn bij overheidsinstanties te creëren, trainen we regelmatig de douane in de VS, de EU en in Groot-China, waardoor ze kennis krijgen over hoe ze verdachte zendingen kunnen identificeren en in beslag kunnen nemen”, aldus Bechler. “We werken ook samen met verschillende verenigingen zoals de SIA (Semiconductor Industry Association) of economische overheidsorganisaties om het bewustzijn over het risico van vervalsingen te vergroten.”
Maar alle punten moeten met elkaar verbonden zijn. "We hebben gekeken naar manieren om de traceerbaarheid en herkomst van de gegevens te bieden die nodig zijn om die punten met elkaar te verbinden, min of meer als een CSI-achtige bewijsketen", aldus Porter. “Hier begrijp je waar het allemaal is geweest, helemaal terug tot aan de grondstoffen om het hele proces te begrijpen. Je wilt niet dat je materialen bloeddiamanten zijn. Je wilt een goede maatschappelijke verantwoordelijkheid hebben. Hoewel dit niet direct verband houdt met namaak, kunt u ook materialen namaken. Zelfs de katoenindustrie komt in de problemen omdat ze zeggen dat ze premium katoen hebben, en op de een of andere manier komt er afvalkatoen in hun toeleveringsketen terecht en zijn hun goederen niet de beste. Hetzelfde kan gebeuren in halfgeleiders. Je kunt grondstoffen krijgen die beschadigd zijn. Deze kwestie gaat dus helemaal van de grondstoffen, via de vervaardiging van de producten, en vervolgens zelfs de logistiek tussen punt A naar punt B.”
Software kan ook beschadigd raken. Alles moet worden bijgehouden en verantwoord, met behulp van technologieën zoals blockchain-grootboeken.
“Er bestaat een hele markt voor nagemaakte apparaten, waaronder alles, van goede apparaten die zijn teruggevonden uit oude apparatuur die opnieuw wordt verkocht, tot grijze apparaten die uit de fabriek zijn geslopen”, zegt Lee Harrison, directeur productmarketing. voor de Tessent-groep bij Siemens Digital Industries Software. “Dit zijn geen 100% goede apparaten. Het zijn feitelijk mislukkingen, maar ze belanden toch op de zwarte markt. We zijn echt gefocust op het leveren van alle ingebouwde beveiligingstechnologie om ervoor te zorgen dat zelfs binnen de fabriek zelf de apparaten worden ingericht en een ID krijgen. Hierdoor zijn ze traceerbaar tot waar ze in een voertuig terechtkomen. En als je ooit een bepaald onderdeel, een ECU of een printplaat in het voertuig moet vervangen, kun je traceren waar ze naartoe zijn gegaan.”
Bovendien, wanneer wordt gedefinieerd dat een apparaat het einde van zijn levensduur heeft bereikt en de ingebouwde beveiligingstechnologie aanwezig is, kan het effectief worden uitgeschakeld en kan het niet meer worden gebruikt. 'Er wordt op dat gebied veel werk verzet,' merkte Harrison op. “Met zaken als een Root of Trust kun je zorgen voor een volledige end-to-end traceerbaarheid in de supply chain. De automarkt loopt hierin absoluut voorop, omdat vervangingsonderdelen en aftermarket-onderdelen in het verleden, en zelfs vandaag de dag, prima in voertuigen aanwezig waren. Maar wil je, nu we richting meer autonoom rijden gaan, echt in een auto stappen waar iemand hem net naar een garage in een achterafstraatje heeft gebracht en een ECU heeft vervangen, en je geen idee hebt waar die vandaan komt? Hetzelfde geldt voor de software. Er zijn al een groot aantal regels van toepassing om ervoor te zorgen dat u over alle juiste elementen beschikt, zodat u kunt garanderen dat de softwareversie die op het voertuig terechtkomt, de juiste versie voor dat voertuig is en dat er niet mee is geknoeid .”
Kosten versus risico
Harrison merkte op dat andere segmenten van de elektronica-industrie hun achterstand net aan het inhalen zijn. “Als we naar IoT kijken, ligt dit waarschijnlijk iets achter bij dat van de auto-industrie. Maar de wens is enorm, omdat deze leveranciers van halfgeleiders geld verliezen. Het is dus in hun belang om zich te concentreren op de preventie van namaak.”
Voor de chipaanbieder is het altijd een kwestie van kosten versus risico. “Laten we zeggen dat bedrijf X veel analoge chips verkoopt”, zegt Tehranipoor. “Sommige worden voor vijf cent per stuk verkocht. Zou u een anti-namaakoplossing van één cent in een deel van vijf cent stoppen? Het antwoord is duidelijk nee. Veel bedrijven voeren hun eigen risicoanalyse uit om te beslissen of ze een oplossing tegen namaak in de chip willen opnemen.”
Toch zou Tehranipoor willen dat OEM's van halfgeleiders wisten dat namaak gemakkelijker te detecteren is dan ze zich kunnen voorstellen als alle preventieve maatregelen al vroeg in het ontwerpproces worden toegepast. “Stel je voor dat je een klein authenticatie-IP-adres in de chip moet plaatsen, en dat IP-adres zal verantwoordelijk zijn om je te vertellen of de chip zal worden gerecycled, gekloond of opnieuw gemarkeerd”, zei hij. “Voor een chip van meer dan een paar miljoen poorten is het gemakkelijk te doen, het is de moeite waard. Het geeft iedereen gemoedsrust. Het probleem als we naar kleinere chips gaan, is de risico-kostenanalyse. Wat kan een bedrijf eraan doen? Niets eigenlijk, omdat ze misschien niet eens over gegevens beschikken om u te vertellen hoeveel risico ze nemen. Hoeveel moeten ze investeren in de strijd tegen namaak? Het is moeilijk te zeggen. Ze geven tenslotte om hun bedrijfsresultaten en de winstmarge. Als ze hun marge niet halen, zullen ze het niet doen. Als er een kwetsbaarheid bestaat die niet is opgelost, zal dit gebeuren. Het is een kwestie van tijd en middelen die de aanvaller erin zal steken. Soms weten ontwerpingenieurs dat deze kwetsbaarheden bestaan, en soms ook niet. Veel van de chips worden tegenwoordig verzonden met bekende bugs erin. Je zou kunnen stellen dat dit ook geldt voor kwetsbaarheden in de chip. Als je ze repareert, kan het productieteam vertraging oplopen, en dat gaat het bedrijf veel geld kosten.”
Veiligheid is ook relatief. “Er bestaat niet zoiets als veilig”, zei Tehranipoor. “Veiligheid is als een beeraanval. Als een beer je aanvalt en je bent met z’n vijven, hoef je er alleen maar voor te zorgen dat je niet de laatste bent. Zodra de beer de eerste vangt, zijn de andere vier veilig. Soms kijken bedrijven op die manier naar beveiliging. Kan ik mezelf wat veiliger maken, zodat ik niet degene ben die plotseling in het nieuws komt?' Als het gaat om veel hardwarekwetsbaarheden, bestaat er niet zoiets als veilig. Er zijn geen cijfers die je dat vertrouwen kunnen geven.”
Toch merkte Tehranipoor op dat er twee benaderingen zijn die chipbedrijven kunnen volgen: het bepalen van het dreigingsmodel en het uitvoeren van een risico-kostenanalyse. “Vaak wordt hen in een halfgeleiderbedrijf deze simpele vraag gesteld: 'Wat is de gemakkelijkste aanval die je kunt oplossen en die het meeste risico met zich meebrengt voor de bedrijfsresultaten en reputatie?' Het is niet nodig om de moeilijkste aanval met het minste risico te vinden, omdat het bedrijf dan een aanzienlijke hoeveelheid geld moet uitgeven om er een minimale winst voor terug te krijgen. Hoe zorg je ervoor dat je al het laaghangende fruit uit de weg ruimt, waardoor je 95% van het veiligheidsprobleem opgelost krijgt?”
Conclusie
Het elektronische ecosysteem is gebouwd op een zeer veilige toeleveringsketen die op elk moment kan worden herleid tot aan de fabrikant, maar er zijn ook tal van niet-geautoriseerde leveranciers die buiten de authentieke toeleveringsketen functioneren.
“Fabrikanten zorgen er met contracten en audits voor dat de toeleveringsketen voortdurend wordt beveiligd”, zegt Bechler van Infineon. “Omdat prijsstelling echter altijd een belangrijk onderscheid is voor apparaatfabrikanten, zijn er momenten waarop ze niet bij geautoriseerde distributeurs kopen. Wanneer dit gebeurt, kan hun veiligheid vanwege een lagere prijsstructuur in gevaar komen door vervalsingen. Het is essentieel dat elk onderdeel van de toeleveringsketen, van chipfabrikanten tot leveranciers van software en apparaten en consumenten, koopt bij geautoriseerde bronnen en distributeurs om de toeleveringsketen van elektronica veilig te houden.”
Sommige toepassingen zijn gevoeliger dan andere als het om namaak gaat. “Voor een missiekritische toepassing zoals het lanceren van een raket of een space shuttle moet men een grondige integriteitsbeoordeling uitvoeren, aldus Tehranipoor. “Eén van de miljoenendollarmissies van Rusland mislukte verschillende keren omdat er een nagemaakte geheugenchip in zat. Deze nagemaakte geheugenchip van $ 500 slaagde niet in zo'n belangrijke missie. Dat is het risico waar we het over hebben. Hoe belangrijker de missie is, hoe serieuzer we de integriteit moeten nemen van de elektronische apparaten die we installeren.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
- BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
- Bron: https://semiengineering.com/the-threat-of-supply-chain-insecurity/
