日前,龍芯牽頭發起的“筑造信創安全邊疆——龍芯CPU安全體系發布會”成功召開,龍芯中科聯手合作伙伴發布了龍芯安全模塊及SDK,并推出了龍芯CPU芯片級內生安全體系,龍芯、統信、360等諸多廠商的技術專家做了演講。
從發布會的內容看,龍芯3A4000/3B4000在CPU芯片內集成了國密算法、安全可信與訪問控制機制,實現了CPU自主設計+國密算法等可信機制。一方面使CPU性能大幅提升,同時使密碼的加解密性能有數量級的提高,而整機的成本則大幅度下降。自主可控加安全可信的結合,不光是增加了安全性,而是大大增加了安全可信機制的使用范圍。
龍芯自主設計的芯片級內生安全體系包括四個方面,分別是漏洞防范設計、硬件國密算法、安全可信模塊、安全訪問控制。龍芯掌握CPU自研能力,可以從機理的根源上防范漏洞,3A4000/3B4000對于“熔斷”和“幽靈”漏洞免疫,是國產處理器中最早發布免疫CPU型號的廠商。相比之下,個別國產ARM處理器,被媒體爆出至今仍受漏洞影響。
龍芯內置安全模塊支持硬件的國密算法、安全可信,是目前唯一通過國家商密二級型號認證的CPU。龍芯在CPU核內增加流水線級別的安全訪問控制機制。在商密、等保領域,龍芯的安全性具有明顯優勢。龍芯還聯合衛士通發布了龍芯安全模塊。該模塊獨立于處理器核工作,集成硬件加解密算法和安全可信管理功能,支持國密算法SM2/SM3/SM4,可以取代外置密碼卡,性能優良。龍芯3A4000已經通過國家商密二級型號認證,并且可以給應用廠商提供SDK做定制開發。
當下,中國PC、智能手機、服務器的CPU高度依賴英特爾、AMD、ARM等廠商,且在過去幾年,英特爾、AMD和ARM多次被暴露出存在漏洞,特別是英特爾居然還存在高危漏洞10年不改,直到被安全人員發現并在公開會議上演示后才給漏洞打補丁。以至于網友調侃,“沒被發現就是后門,被發現了就是漏洞”。在累累前科下,誰也不能保證英特爾、AMD、ARM的CPU沒有預留后門。
相關單位表示:
通過對某些國外CPU的嚴格測試,可以確認存在功能不明確的“多余”模塊,它不是一般意義的調試接口,而是由特定的CPU芯片引腳控制,可讀寫CPU內部狀態寄存器、讀寫指定存儲區域、激活特定的微代碼段執行某個處理流程、并且可以對CPU進行復位。同時,還發現其存在未公開指令,包括加解密、浮點操作在內共計二十余條,其中,有三條指令在用戶模式就可以使機器死機或重啟,作用機制直接穿透各種軟件保護措施,防護軟件不能感知;普通應用程序中嵌入一條即可使系統宕機。
在當下這種國際環境下,過度依賴外商的CPU是存在較大風險的,必須在CPU上實現國產化替代。信息安全是創新發展的重要保障,CPU是構建網絡信息系統安全防護體系的起點和根基。如果CPU存在漏洞或后門安全隱患,威脅將無法預估,甚至無從防御。
誠然,自主研發的CPU未必無懈可擊,但買來的CPU一定不安全。何況CPU自主設計最大的優勢是自己可以不斷發展和修改,不斷發現問題進行改進,實現螺旋式提升。而買國外CPU只能等外商給我們打補丁。
倪光南院士在致辭中表示:“龍芯CPU芯片中集成了安全模塊,可以在硬件層面實現國密算法、可信計算。圍繞龍芯CPU的安全模塊,實現固件、操作系統、瀏覽器等各層面的安全加固,從整體上提高安全水平。”
倪院士呼吁,核心技術自主創新面臨前所未有的機遇,中國IT企業應從追隨國外生態、追趕國外技術,轉變為建設自主生態、根據實際需要研發自主技術。
相關文章
「 支持烏有之鄉!」
烏有之鄉 WYZXWK.COM
您的打賞將用于網站日常運行與維護。
幫助我們辦好網站,宣傳紅色文化!
歡迎掃描下方二維碼,訂閱烏有之鄉網刊微信公眾號
