龍芯發(fā)布CPU安全體系 從底層防范漏洞

　　日前，龍芯牽頭發(fā)起的“筑造信創(chuàng)安全邊疆——龍芯CPU安全體系發(fā)布會(huì)”成功召開(kāi)，龍芯中科聯(lián)手合作伙伴發(fā)布了龍芯安全模塊及SDK，并推出了龍芯CPU芯片級(jí)內(nèi)生安全體系，龍芯、統(tǒng)信、360等諸多廠(chǎng)商的技術(shù)專(zhuān)家做了演講。

　　從發(fā)布會(huì)的內(nèi)容看，龍芯3A4000/3B4000在CPU芯片內(nèi)集成了國(guó)密算法、安全可信與訪(fǎng)問(wèn)控制機(jī)制，實(shí)現(xiàn)了CPU自主設(shè)計(jì)+國(guó)密算法等可信機(jī)制。一方面使CPU性能大幅提升，同時(shí)使密碼的加解密性能有數(shù)量級(jí)的提高，而整機(jī)的成本則大幅度下降。自主可控加安全可信的結(jié)合，不光是增加了安全性，而是大大增加了安全可信機(jī)制的使用范圍。

　　龍芯自主設(shè)計(jì)的芯片級(jí)內(nèi)生安全體系包括四個(gè)方面，分別是漏洞防范設(shè)計(jì)、硬件國(guó)密算法、安全可信模塊、安全訪(fǎng)問(wèn)控制。龍芯掌握CPU自研能力，可以從機(jī)理的根源上防范漏洞，3A4000/3B4000對(duì)于“熔斷”和“幽靈”漏洞免疫，是國(guó)產(chǎn)處理器中最早發(fā)布免疫CPU型號(hào)的廠(chǎng)商。相比之下，個(gè)別國(guó)產(chǎn)ARM處理器，被媒體爆出至今仍受漏洞影響。

　　龍芯內(nèi)置安全模塊支持硬件的國(guó)密算法、安全可信，是目前唯一通過(guò)國(guó)家商密二級(jí)型號(hào)認(rèn)證的CPU。龍芯在CPU核內(nèi)增加流水線(xiàn)級(jí)別的安全訪(fǎng)問(wèn)控制機(jī)制。在商密、等保領(lǐng)域，龍芯的安全性具有明顯優(yōu)勢(shì)。龍芯還聯(lián)合衛(wèi)士通發(fā)布了龍芯安全模塊。該模塊獨(dú)立于處理器核工作，集成硬件加解密算法和安全可信管理功能，支持國(guó)密算法SM2/SM3/SM4，可以取代外置密碼卡，性能優(yōu)良。龍芯3A4000已經(jīng)通過(guò)國(guó)家商密二級(jí)型號(hào)認(rèn)證，并且可以給應(yīng)用廠(chǎng)商提供SDK做定制開(kāi)發(fā)。

　　當(dāng)下，中國(guó)PC、智能手機(jī)、服務(wù)器的CPU高度依賴(lài)英特爾、AMD、ARM等廠(chǎng)商，且在過(guò)去幾年，英特爾、AMD和ARM多次被暴露出存在漏洞，特別是英特爾居然還存在高危漏洞10年不改，直到被安全人員發(fā)現(xiàn)并在公開(kāi)會(huì)議上演示后才給漏洞打補(bǔ)丁。以至于網(wǎng)友調(diào)侃，“沒(méi)被發(fā)現(xiàn)就是后門(mén)，被發(fā)現(xiàn)了就是漏洞”。在累累前科下，誰(shuí)也不能保證英特爾、AMD、ARM的CPU沒(méi)有預(yù)留后門(mén)。

　　相關(guān)單位表示：

　　通過(guò)對(duì)某些國(guó)外CPU的嚴(yán)格測(cè)試，可以確認(rèn)存在功能不明確的“多余”模塊，它不是一般意義的調(diào)試接口，而是由特定的CPU芯片引腳控制，可讀寫(xiě)CPU內(nèi)部狀態(tài)寄存器、讀寫(xiě)指定存儲(chǔ)區(qū)域、激活特定的微代碼段執(zhí)行某個(gè)處理流程、并且可以對(duì)CPU進(jìn)行復(fù)位。同時(shí)，還發(fā)現(xiàn)其存在未公開(kāi)指令，包括加解密、浮點(diǎn)操作在內(nèi)共計(jì)二十余條，其中，有三條指令在用戶(hù)模式就可以使機(jī)器死機(jī)或重啟，作用機(jī)制直接穿透各種軟件保護(hù)措施，防護(hù)軟件不能感知;普通應(yīng)用程序中嵌入一條即可使系統(tǒng)宕機(jī)。

　　在當(dāng)下這種國(guó)際環(huán)境下，過(guò)度依賴(lài)外商的CPU是存在較大風(fēng)險(xiǎn)的，必須在CPU上實(shí)現(xiàn)國(guó)產(chǎn)化替代。信息安全是創(chuàng)新發(fā)展的重要保障，CPU是構(gòu)建網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)體系的起點(diǎn)和根基。如果CPU存在漏洞或后門(mén)安全隱患，威脅將無(wú)法預(yù)估，甚至無(wú)從防御。

　　誠(chéng)然，自主研發(fā)的CPU未必?zé)o懈可擊，但買(mǎi)來(lái)的CPU一定不安全。何況CPU自主設(shè)計(jì)最大的優(yōu)勢(shì)是自己可以不斷發(fā)展和修改，不斷發(fā)現(xiàn)問(wèn)題進(jìn)行改進(jìn)，實(shí)現(xiàn)螺旋式提升。而買(mǎi)國(guó)外CPU只能等外商給我們打補(bǔ)丁。

　　倪光南院士在致辭中表示：“龍芯CPU芯片中集成了安全模塊，可以在硬件層面實(shí)現(xiàn)國(guó)密算法、可信計(jì)算。圍繞龍芯CPU的安全模塊，實(shí)現(xiàn)固件、操作系統(tǒng)、瀏覽器等各層面的安全加固，從整體上提高安全水平。”

　　倪院士呼吁，核心技術(shù)自主創(chuàng)新面臨前所未有的機(jī)遇，中國(guó)IT企業(yè)應(yīng)從追隨國(guó)外生態(tài)、追趕國(guó)外技術(shù)，轉(zhuǎn)變?yōu)榻ㄔO(shè)自主生態(tài)、根據(jù)實(shí)際需要研發(fā)自主技術(shù)。

× 烏有之鄉(xiāng) WYZXWK.COM

您的打賞將用于網(wǎng)站日常運(yùn)行與維護(hù)。
幫助我們辦好網(wǎng)站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉(xiāng)網(wǎng)刊微信公眾號(hào)