位置验证成为芯片更大的关注点

在收紧出口管制以及对人工智能芯片走私和假冒日益增长的担忧的推动下，位置验证作为一种以最小的努力加强供应链监管的方式越来越受到关注。

过去，这种跟踪是通过让一名或多名员工真正监督晶圆厂的生产运行，一直跟踪芯片到达目的地，并核算每个密封的板条箱来完成的。这是一种昂贵的方法，而且容易被滥用。很难在供应链的每个阶段计算数百万个单独的芯片，从GDSII代码交付到晶圆厂，再到最终交付给客户，而且由于来自多个来源的多个芯片，它变得完全笨拙。

也许更重要的是，当技术已经存在以做得更好时，为什么还要派人去保护供应链？这个问题的答案很复杂，而且可能带有政治色彩。但技术正在进步和改进。

有几种主要方法可用于跟踪芯片从制造到目的地的任何时刻的位置，包括：

• 芯片内置全球定位服务技术;

• 基于 ping 的技术，可向芯片发送信号并返回跟踪站点，以及

• 地理围栏，以限制芯片在一组边界内外的行为。

一个很大的优点是，所有这些都依赖于已经使用的相对成熟的方法，并且比中间人类型的解决方案具有更大的粒度。位置验证可以超越芯片的运输地点，甚至何时使用。

“如果你有验证技术，那么你也可以吃蛋糕，”进步研究所技术研究员陶·布尔加说，他专门研究人工智能安全领域的研发。“这是一种减少权衡的方式，你可以将更多芯片运送到可能是半可信的国家，并确保这些芯片不会被转移到敌对国家。”

这些方法都不是完美的——至少本身不是完美的。由芯片或多芯片封装窃听的全球定位系统可以跟踪每一个动作，但它也可能具有侵入性，容易欺骗，并消耗宝贵的芯片资源。因此，虽然对手肯定不喜欢它，但客户也不总是对它感到兴奋。这反过来又促使了一些创新来帮助减轻负面影响。

“我们有一种水印技术，它依赖于 ping 相邻系统，”佛罗里达大学 ECE 系杰出教授、Caspia Technologies 联合创始人 Mark Tehranipoor 说。“如果你将一个系统从系统的其余部分移开，系统就会知道这一点。因此，您将不得不随身携带整个社区。这不是 GPS 跟踪。这是本地验证。这不那么侵入性，但它可以让你表明，'嘿，我们销售给沙特阿拉伯的任何系统是否出现在其他地方？这些系统总是相互通信。“嘿，你在吗？”另一个人说，'是的，我在这里。所以你不知道他们到底在哪里，但你知道他们在一起。

没有一种方法适合所有人
越来越明显的是，没有一种方法在任何地方都最有效。不同类型的芯片或系统之间的经济风险和政治边界可能有很大差异。因此，即使目标相同，解决方案也会根据定位精度的需求以及确保信息正确所需的功率、性能和成本而有很大差异。

例如，Ping 技术已经被用于数据主权目的。在基本级别，可以通过将 ping 从具有已知位置的服务器发送到 存储数据的另一台服务器，并测量 ping 返回的往返时间来精确定位位置。挑战在于确定这些 ping 是否正确。

“这可以通过经过身份验证的网络连接来解决，”Rambus 硅安全高级总监 Scott Best 说。“有一些解决方案说，'如果你选择世界各地的三台谷歌服务器，并测量每台服务器的 ping 响应时间，你就可以进行三角测量并找出你在世界上的位置。互联网只能以大约三分之二的光速传输 ping，这给你提供了从美国东海岸到西海岸大约 20 毫秒的时间。测量这些东西的时间出奇地短。问题是，如果你把其中一个系统放进一个私有数据中心，你可以欺骗你想要的所有谷歌服务器，所以你的芯片会非常高兴地想，“我只离开了谷歌服务器 5 毫秒。不，你不是，但他们正在欺骗你的芯片试图联系的所有 IP 地址，以找出它在哪里。但是，如果您向该组件添加一个身份验证组件，并对网络流量进行充分身份验证，并且您有一个像我们一样运行完整网络堆栈的安全处理器，那么您可以将这些经过身份验证的网络测量作为启动过程的一部分。所以现在你可以说，'我可靠地在这些受信任的地理位置服务器的距离内，这样我就可以在有限的程度上知道我在北美而不是东北亚运营。

在高价值芯片中，例如用于人工智能的芯片中，可以添加安全层以加密方式对 ping 进行签名并尽快发回。

“实时位置跟踪意味着你有办法确定你的位置，有很多方法可以做到这一点，”Synopsys 首席安全技术专家兼科学家 Mike Borza 说。“几乎所有这些都涉及某种无线电或网络技术，可以让您了解它们的位置，这意味着设备中嵌入了一些东西，它一直试图找出您在哪里，并且以低功耗进行。这会影响您需要将哪些技术整合到芯片中，否则您可能不需要这些技术，只是为了能够定位它此刻的运行位置。

它还需要适当的基础设施才能使其发挥作用。“这意味着人们可以绘制每个频谱中的所有固定无线事物，包括蓝牙设备和 ZigBee 设备，”Borza 说。“你打算像谷歌几年前那样绘制所有 Wi-Fi 热点地图吗？该数据库现在已经过时了，需要更新。但是，如果这些技术被用来定位设备并了解其运行位置——人们也在谈论地理围栏，因此设备在移动到特定区域时停止运行——那么您将面临巨大的成本。它会缩短电池寿命，增加功耗，并且需要大量的软件。这是那些想继续经营这些东西的人很容易击败的事情之一。

它还增加了芯片的成本。英飞凌密码学和产品安全高级总监 Erik Wood 在 2020 年进行了一项差距分析，以弄清楚嵌入位置跟踪需要什么，在英飞凌分包商的设施中使用隔离的安全室在那里进行最终编程和测试。

“出于各种原因，这将需要一个 2 美元的微控制器，并将其变成 5 美元的微控制器，”伍德说。“你必须有一个最低数量。您必须保证容量充分利用。而且使用那个房间和那些机器的比率要高得多，所以这没有实际意义。因此，我们最终所做的是建立并依赖我们基于芯片的安全性，这样我们就可以相信该设备可以通过加密方式识别为英飞凌原产的来源芯片。它可以完成所有这些步骤，然后如果客户愿意并关心它，他们可以向后看，向他们保证，即使他们没有看到芯片上的书面记录，他们也可以放心，在书面记录期间，该设备没有受到任何损害。

英飞凌目前为客户提供加密原产地证明。

“我们所做的是在我们的源头、工厂放置一个加密密钥，然后在整个供应链中保护设备，这样当最终用户 OEM 获得该设备时，”伍德说。“他们真正接管信任根的唯一方法是上网并获得所谓的 CSR，这是一种证书令牌，它出来了，使他们能够接管安全性，加载新策略，加载新密钥，并进行我们所说的入学考试，它会检查所有非易失性内存，以确保没有任何不打算存在的东西。”

地理围栏更进一步。位置验证仅确认芯片的大致位置。如果芯片位于批准区域之外，地理围栏可以限制或禁用芯片的功能。

“[验证]并没有真正增加新的攻击面，”布尔加说。“地理围区是一件非常不同的事情。当然，如果你正在创建远程关闭芯片的能力，这可能会产生新的安全漏洞。无论哪个机构能够关闭芯片，即使分配数据不一致，也可能会单方面关闭芯片。如果这不是问题，因为你有一个多方系统，你可能仍然在为不受信任的参与者创建一种访问和使用它的方法。

布尔加说，出于这个原因，地理围栏提案仍然存在争议，而验证被认为在短期内更可行。但所有选项都摆在桌面上。

根据总部位于华盛顿的智库新美国安全中心的一份报告，“片上治理机制可以帮助保护功能广泛的人工智能和超级计算系统的开发和部署，其中片上机制可以防止或为未经授权的行为者使用出口管制的人工智能芯片设置界限。

移动目标 可以运往哪里
的东西是复杂的、多变的，而且往往是模糊的。

“为先进人工智能芯片制定出口管制的工业安全局将芯片运送到颁发许可证或不需要许可证的目的地，”布尔加说，“你可以将芯片发送到某些国家，而不能发送到其他国家，或者你需要一个没有颁发的许可证，然后芯片离开运输港后，真的没有办法找到它。你可以进行亲自检查，但这些检查并没有真正发生。

人工智能政策与战略研究所的报告表明，从马来西亚和新加坡等国家转移的人工智能芯片已被移交给中国并出售给那里的初创公司。“这是一种基于荣誉的系统，”布尔加说。

这种灰色市场的诡计也为其他问题打开了大门。“供应链一直对我拥有的系统中的芯片是否真实感兴趣，”Rambus 的 Best 说。“我能证明它是真实的吗？我能否追查可追溯性，以便我知道它是如何到达这里的，并且它不是从系统中偷来的、重新制造的并交给我的？如果它以某种对抗性的方式被修改，我可以监控可追溯性吗？好吧，现在你有一个转移问题。如果该系统在加拿大被拾取并空运到朝鲜，现在它在那里运行怎么办？我们能察觉到这一点吗？他们不太关心可追溯性。他们很乐意将该芯片用于私有数据中心。

未来的
不确定性美国政府已表示有兴趣进行位置验证，作为其更广泛的人工智能和半导体安全战略的一部分。《芯片安全法》包括验证条款，但正在讨论的修正案将允许公司使用面对面检查作为替代方案。

“人工智能行动计划发出了一个明确的信号，特别指出位置验证是政府应该进一步探索的事情，”布尔加说。“这是政府前进方向的信号。发生这种情况并非巧合，因为新政府的政策非常注重出口管制，但也注重出口促进。

位置核查似乎符合支持美国技术出口同时解决国家安全问题的趋势政策方向。“很多人对此感到兴奋，因为这是一种低提升的干预措施，”他说。“关于如何使芯片更安全，还有其他建议，但这些建议需要更多的研发，而且尚不清楚它们是否可行，尤其是在短期内。位置验证更突出的是，它不会产生太多缺点，并且只是极大地提高了了解芯片最终去向的能力，这可以服务于专家控制和出口促进目标。

尽管如此，仍存在重大的隐私问题和安全交付芯片的替代方法。然而，值得注意的是位置验证和跟踪技术的普遍性。

“如果你读到政府、银行或保险公司在定位服务方面做某事，这是一个很大的问题，”是德科技董事总经理 Maarten Bron 说。“但是，一旦你安装了 Instagram，你被问到的第一个问题是，'可以使用你的位置吗？你甚至不假思索地按下了'是'。因此，由于定位服务而对入侵的感知也与谁询问您的位置有关。

这也引发了关于他们何时提问的问题。“如果你看看数据中心，供应链还包括生命周期结束，因为在某个时候存储机架将不得不退役，”布隆说。“如果有一定比例的磁盘出现故障，则必须停用机架。如何擦除数据？通常，您现在看到的是加密擦除，因此数据的加密密钥会被清除。这可以让你假设数据永远消失了。但是，如果有人使用聚焦离子束或其他方法能够重建用于保护数据的密钥呢？突然之间，你又重新开始营业了。芯片中存在某些唯一标识符，并且 Microsoft 和 Google 会在生命后添加场熵。但是，如果这些安全资产可以从芯片中提取，理论上您可以欺骗 CPU 或 GPU，使其具有完全不同的寿命。因此，这不仅仅是它何时进入供应链的问题。这也与它何时从数据中心退役并被其他东西取代有关。