Lattice Semiconductor представила второе поколение своих ПЛИС для обеспечения повышенной безопасности (аппаратный Root-of-Trust) в режиме реального времени. Новинка предназначена для серверов и промышленных аппаратных платформ, где требуется обеспечить усиленную защиту информации.
Lattice уже выпускала подобное решение в 2019 году (Mach FPGA), новое решение (Mach-NX FPGA) является его дальнейшим и имеет ряд архитектурных особенностей:
- 384-бит алгоритм шифрования с перепрограммируемой потоковой защитой;
- Поддержка eSPI;
- Протоколы безопасности для обмена данными между устройствами (MCTP-SPDM);
- 32-бит ядро RISC-V со специально разработанной микропрограммой для управления логическими ячейками (до 8400 ячеек).
В одной ПЛИС Mach-NX объединены 384-битный криптографический движок, пользовательские логические ячейки и блок ввода-вывода. March-NX может проверять и устанавливать обновления прошивок, чтобы поддерживать защищаемые системы в актуальном состоянии. Архитектура позволяет параллельно обрабатывать запросы, что увеличивает быстродействие системы и значительно снижает время реакции на обнаружение атак и восстановление после них. По словам Lattice, проверка прошивок может занимать менее 5 секунд, что делает их решение одним из самых быстрых, построенных на базе FPGA или MCU.
Mach-NX поддерживают стек решений Lattice Sentry, в который входят настраиваемое встроенное ПО, эталонные архитектуры и проекты, инструменты для разработки и внедрения систем, соответствующих требованиям NIST Platform Firmware Resiliency (NIST SP-800-193). Кроме того, Lattice представила среду разработки индивидуальных решений Propel, в которой для проектирования используется графический интерфейс, облегчающий написание кода.
Mach-NX также включает в себя флеш-память (UFM) для хранения пользовательских криптографических ключей и других задач. Весь ее объем (1064 Кбайт) зашифрован и при отключении двойной загрузки объем может быть увеличен до 2669 Кбайт. Блоки, обеспечивающие безопасность системы, генератор случайных чисел (TRNG) и неизменяемый идентификатор (уникален для каждого выпускаемого устройства) позволяют обрабатывать протоколы ECC (включая ECDSA и ECDH, 384 бит). Поддерживается протокол шифрования AES с длинной ключа до 256 бит.
March-NX поддерживает двойную загрузку, что позволяет в случае сбоя или при выявлении скомпрометированной прошивки загрузиться с «золотого образа», который находится в памяти и продолжить работу. Решение от Lattice Semiconductor представляет собой готовый коммерческий продукт, который может быть настроен и доработан под нужды конкретного заказчика, что позволяет выпускать гибкие решения для обеспечения безопасности.
