台灣作為矽島,半導體產業已與我們畫上密不可分的等號,從電腦運算、手機、5G、AIoT甚至是元宇宙應用,晶片都扮演者極其重要的角色,安全性更不可忽視。資策會如何以第三方協力機構角色,協助台灣晶片供應鏈與國際資安標準接軌,讓 Security by Design 能從晶片設計階段就開始切入,提升整體晶片安全性。

奔馳在路肩的車子,定睛看發現,駕駛正優雅地拿著一本書籍翻閱著,原來這是一輛 Level 4 自駕車等級的電動車。但一眨眼功夫,這輛電動車已和行駛在路上的其他車撞成一團,號誌燈也不聽使喚地閃呀閃….
「或許你以為這是類似電影《玩命關頭》中的危機場景,但在未來卻可能真實發生」,資策會資安科技研究所(資安所)所長何玲玲説,一顆晶片的無心漏洞,就能讓有心人有機可趁。
看不見的危機:忽略晶片資安究竟有多嚴重
根據麥肯錫報告顯示,到 2030 年每輛車的半導體含量將來到 1,220 美元、相比 2022 年的 600 美元成長 2 倍有餘,表示未來車用晶片數量會越來越多,凸顯出車用產業、乃至於整個半導體產業都需要更加關注資安議題。
在半導體設計過程中,因未檢測到的漏洞或通過韌體造成的損壞,都可能引發晶片故障、拒絕服務或敏感資訊外洩。何玲玲指出,隨著各類新科技應用將使用愈來愈多晶片,若沒有徹底把關晶片軟硬體的資訊安全,類似電影般失控的車損場景、油水電輸送權遭移轉等意外事件將會真實上演。

我們與晶片資安的距離:如何以三大軸線畫出防線
半導體是台灣產業的重中之重,何玲玲也認為傾全力資源挹注於此,將能引起更有效率的外溢影響力,「萬物聯網時代,每個設備都可能有數個晶片存在」,她說,若能從源頭設計時佈下資安的天羅地網,那麼終端設備的安全性就能提高、被駭客入侵的機率也相對變小。
對此,何玲玲也指出資策會作為第三方顧問角色,積極結合半導體、資安領域的業者還有相關的公協會、聯盟及學界能量,將軟體安全領域所累積的能量應用到晶片硬體設計製程與產業供應鏈,提出三大主軸策略,以期為國內半導體在晶片資安上盡一份心力。
一、自主檢測技術開發》研發晶片安全惡意邏輯檢測技術 資策會資安所團隊針對晶片矽前、矽後階段有進行相關檢測技術研發,以矽後階段的旁通道攻擊檢測技術為例,何玲玲所長說明這是一種採用如同「隔空抓鑰」概念的檢測技術,在不拆除晶片的情況下,從外部量測電流、電磁、電壓的方式,來判斷晶片是否具有金鑰外洩的風險,並最終提出檢測報告,協助業者來判斷產品的抗攻擊能力,而相關的檢測技術也已導入晶片檢測實驗室,開始提供台灣業者相關檢測服務。
二、產品檢測對接國際》建立檢測實驗室對接國際資安標準 資策會資安所成立台灣首座晶片安全聯合檢測實驗室,透過產官學所長,推動晶片與資通訊產品的安全檢驗測,未來還要通過SESIP認證,讓國內送檢的產品能做到「在地檢測,全球通行」。
何玲玲指出,過去若要做全球生意,晶片產品都要送到國外檢測,取得安全認證,但往往花費大、耗時長,若能直接在台灣以國際標準的規格檢測,將有助廠商節省時間、經費,也能協助產品在外銷上更容易滿足全球市場在資安規格的需求。而在推動晶片安全檢驗測生態的過程中,也希望藉由產品實測經驗,培訓、累積台灣晶片安全檢測人才。
三、促進供應鏈安全管理》導入 BSIMM 安全軟體成熟度模型 此外,為促進半導體業與資通訊產品的供應鏈安全,何玲玲指出,資安所也積極協助 IC 設計或 IC 製造業者導入安全軟體成熟度模型(BSIMM),經由完整的資安框架導入與自評,除瞭解自己的資安指數外,也能與所處相同產業比較,瞭解做好與不足之處,藉此調整資安資源的部署,或擷取競業的成功經驗、截長補短強化自審資安防護體質,達成供應鏈安全的目標。

發揮第三方機構角色,做百工百業資安守門員
「資安所還有許多成長空間」,何玲玲謙虛地說,即便有這三大軸線作為佈局半導體資安防護的金鐘罩,後續還需努力著手於自動化、主動化的技術開發,以提升檢測硬體產品遭駭的效率與精準度,同時,如何降低相關人員進入資安檢測門檻、推動晶片資安檢測生態圈等也是資安所下一步要挑戰的課題。
過去在經濟部支持下,資安所逐步累積不少資安技術;而在數位發展部成立接棒後,也將進一步發揮這些技術價值,鎖定應用場景為產業進行更精準的資安優化與協助,半導體正是其中一例,何玲玲表示,「資安即國安,資策會資安所責無旁貸要發揮資安技術能力與推動生態聯防」,未來還將挑戰更多資安應用場景,做百工百業資安防護的重要守門員。
(*本文同步刊登於INSIDE)