紫光安全芯通过“CC EAL 6+”认证,哪些经验可以复制?
7月1日紫光集团官方微信消息称,紫光国微旗下的紫光同芯THD89芯片,成为国内首款通过国际SOGISCCEAL6+认证(简称6+级)的产品,刷新中国芯片安全认证最高等级记录。自该消息发布,紫光国微的股票,连续三天涨停。
7月1日紫光集团官方微信消息称,紫光国微旗下的紫光同芯THD89芯片,成为国内首款通过国际SOGIS CC EAL 6+认证(简称6+级)的产品,刷新中国芯片安全认证最高等级记录。自该消息发布,紫光国微的股票,连续三天涨停。
那么,通过国际SOGIS CC EAL 6+认证到底意味着什么?其认证的背后又有哪些难点?中国芯片企业从紫光同芯“过级”的背后可以获得哪些启示?
SOGIS CC EAL 6+认证意味着什么?
CC认证是什么?CCRA是什么?SOGIS CC EAL 6+认证意味着什么?
1993年6月,美国政府同加拿大及欧共体共同起草单一的通用准则(CC标准),并将其推到国际标准,这项标准主要用来评估信息系统、信息产品的安全性。CCRA是《信息技术安全评估准则互认协议》的简称。目前,包括美国和加拿大在内的30 多个国家已经签署《信息技术安全评估准则互认协议》(CCRA),SOGIS则是CCRA成员中的高级官方组织。
据了解,与传统CC认证相比,SOGIS针对于特定应用领域的安全要求更加严格,认证机构评审工作更细致,认证周期耗时更长,安全防护级别更高,安全认证更具权威性。CC EAL认证级别分为1-7级,级别越高意味着安全等级越高。不过,出于芯片安全性能与实用性考虑,7级对于芯片厂商来说不具备应用价值,很少有企业会做这一级别的认证。因此,EAL 6+级是安全芯片领域目前公认的最高安全等级。现下,只有英飞凌、NXP以及三星等少数几家国际大厂通过了CC EAL 6+认证。
或许正是因为看到了THD89芯片过“6+”级,让资本市场闻到了更多市场空间被芯片打开的“味道”。从了解来看,这次通过认证的THD89为量产产品,可适用IoT、SE、车联网等行业,目前已被诸多大银行、运营商和系统商采用。而拿到“6+”认证相当于THD89有了国际市场的通行证,它在包括CCRA 成员在内的全球大部分国家和地区被广泛认可。这样一来,THD89就可以进入很多原来无法或难以进入的海外高安全领域,比如银行卡、居民证件、电子护照、电子驾照、电子印章、车载安全单元等等领域。7月3日东兴证券,对其的评价是刷新了我国芯片安全认证最高等级记录,产品安全等级可以与NXP,ST和三星比肩。东兴证券当天给出的推荐级别是“强烈推荐”。
过“6+”级紫光同芯做了哪些准备?
“紫光同芯从2001年开始专注于安全芯片研发,从身份识别、移动通信到金融支付,20年时间芯片出货量超过百亿颗。”紫光同芯常务副总裁丁义民在接受采访时透露,2010年紫光同芯进入支付行业,从那时开始关注到安全级别与安全认证。也是从那时开始组建安全精英团队、建设安全评测实验室,购置大量的安全攻击设备,希望以更强大的“矛”来检验“盾”的安全能力。
紫光同芯微电子有限公司常务副总裁丁义民
2015年紫光同芯初探国际CC EAL认证,用了六个月的时间拿下国际CC EAL 4+安全认证,其后,又在短时间内以国内首家的“身份”,再度斩获国际CC EAL 5+安全认证、国际SOGIS 互认的CC EAL 5+。
“而要通过CC EAL 6+认证,需要投入更多精力。”丁义民说。相比之前的SOGIS CC EAL 5+,国际SOGIS CC EAL 6+的检测标准更为严苛,增加了对芯片代码复杂度的评估和安全策略模型形式化的验证,更加深入全面的对产品的安全性进行了评估,整体认证难度很大。
如何确保芯片的安全性“达标”?
CC EAL 6+认证包含脆弱性分析与渗透性测试,安全策略模型验证等理论评估,功能保障测试和生命周期安全评估等几个维度的检测评估。脆弱性分析与渗透性测试是抗攻击能力的测试,直接检验了芯片的安全性。安全策略模型验证等理论评估,则从理论上检验安全机制的有效性和正确性。功能保障测试则检验了芯片测试的深度和全面性。生命周期安全评估是对产品设计、生产、交付所经历的所有环节进行安全评估。
所以,为了通过“6+”认证,芯片厂商必须要在更多维度升级:比如,从安全实验室以及安全攻击设备上,构建起国际先进水平的芯片安全测评能力,有了具备国际水平的实验室,芯片厂商就可以在实验室内进行安全芯片的攻防演练,模拟出高于认证强度的攻击,这样就可以在提交认证前自行评估产品安全性,不断反思与创新,逐步完善产品的安全设计。
丁义民介绍,紫光同芯始终跟踪国际领先的安全攻击方法和分析算法,比如采用深度学习的算法进行芯片的安全评测。在技术积累方面,紫光同芯在密码算法安全、随机数安全、防故障注入设计等方面申请了国内外多项专利。
最后,无论是脆弱性分析、渗透性测试,安全策略模型验证等理论评估,功能保障测试和生命周期安全评估等各个维度的检测评估,紫光同芯的产品都经受住了CC EAL6+安全认证的检验。
紫光同芯过级带给业内同行哪些启示?
为什么紫光同芯在国内企业中率先过级?这背后有哪些经验国内芯片企业可以复制?在采访时,丁义民提及了不少关键信息,记者梳理这些信息,希望能对中国芯片设计企业从低端走向高端具有启示意义。
启示一,筑牢理论根基。在接受采访时,丁义民多次提及关注国际动态,跟踪国际论文,进行理论积累,他认为安全芯片的设计需要理论积累与突破,需要理论的支撑来形成自己的方法学,建立自己的系统安全理论,只有先进的设计理念,才能设计出更优性能的安全芯片。
为此他谈及盔甲防御的例子:“我们抵御入侵,可以穿很厚的盔甲进行防御,但是如果盔甲穿得太厚,有可能影响行动能力,动不了也有可能被桎梏而死,毕竟,我们防护措施加多了之后,就有可能影响到产品性能。要想拥有更安全的能力,穿上盔甲是一个方式,同样强健身体也是一方面,身体强大了抵御能力就会变得更强大,它是一个系统工程。”
与此同时,“芯片设计和互联网应用设计不一样,互联网应用设计可以采用敏捷式开发,不断试错不断迭代。但是芯片设计周期很长,试错成本很高,如果第一步错了,后面弥补起来很难,其结果也会相差十万八千里。首先要从理论上、数学上验证它走得通,才能继续往下走,确保每一步都正确,这也就是为什么理论如此重要的原因。”
启示二,立足前沿技术与未来视野。为什么会想到采用人工智能的算法模型来模拟强威胁攻击?丁义民表示,威胁攻击充满了不确定性,安全芯片要想建立完整牢固的安全能力,应对这些不确定性攻击,它的方法更接近于统计学,很接近于AI模型训练,就好像训练AI具备识别图片能力一样,你需要让它学习,建立知识图谱,不断训练,最后才能让它具备真正强大的防攻击能力。
启示三,在“试错”中积累经验。企业内部要建立知识库,犯过的错误不要重犯,走过的每一次弯路、犯过的每一次错误都是宝贵财富,如果这个方向错了,至少知道这条路、这个方向不能走,这就是错误的价值。
据丁义民透露,事实上,紫光同芯的“6+”过级也并非一帆风顺,技术上最具挑战的是安全策略模型验证。最初,几名技术骨干经过一段时间的封闭开发,有了初始版本,就兴冲冲的交给实验室审核,结果几乎被全盘否定,这意味着之前的工作要重头再来。于是同事们又重新梳理思路,重写代码和文档,并与实验室密切沟通,完成了第二版,得到了实验室和认证机构初步认可,在此基础上进行完善,最终达到了认证要求。
启示四,板凳要“坐”十年冷。做芯片设计需要持之以恒并有坐冷板凳的耐心,北京大学张海霞曾透露美国芯片工程师的年龄一般在50-60岁,而丁义民表示他在欧洲参加国际会议遇到的很多芯片专家的年龄甚至在60-70岁,所以芯片人才的长成,需要长时间的积累。
“欧洲企业安全芯片起步比中国企业早很多年,欧洲厂商用20年走过的路,我们用5-6年时间完成,已经很不容易了。”丁义民表示,目前,欧洲、美国企业推出一代产品的时间,中国企业可以做出二到三代产品,如果有更多人才加入到芯片领域,中国的芯片产业是能够尽快提速的,不过我们仍需要有坐十年冷板凳的恒心和决心。