在收緊出口管制以及對人工智能芯片走私和假冒日益增長的擔(dān)憂的推動下，位置驗證作為一種以最小的努力加強供應(yīng)鏈監(jiān)管的方式越來越受到關(guān)注。

過去，這種跟蹤是通過讓一名或多名員工真正監(jiān)督晶圓廠的生產(chǎn)運行，一直跟蹤芯片到達(dá)目的地，并核算每個密封的板條箱來完成的。這是一種昂貴的方法，而且容易被濫用。很難在供應(yīng)鏈的每個階段計算數(shù)百萬個單獨的芯片，從GDSII代碼交付到晶圓廠，再到最終交付給客戶，而且由于來自多個來源的多個芯片，它變得完全笨拙。

也許更重要的是，當(dāng)技術(shù)已經(jīng)存在以做得更好時，為什么還要派人去保護(hù)供應(yīng)鏈？這個問題的答案很復(fù)雜，而且可能帶有政治色彩。但技術(shù)正在進(jìn)步和改進(jìn)。

有幾種主要方法可用于跟蹤芯片從制造到目的地的任何時刻的位置，包括：

• 芯片內(nèi)置全球定位服務(wù)技術(shù);

• 基于 ping 的技術(shù)，可向芯片發(fā)送信號并返回跟蹤站點，以及

• 地理圍欄，以限制芯片在一組邊界內(nèi)外的行為。

一個很大的優(yōu)點是，所有這些都依賴于已經(jīng)使用的相對成熟的方法，并且比中間人類型的解決方案具有更大的粒度。位置驗證可以超越芯片的運輸?shù)攸c，甚至何時使用。

“如果你有驗證技術(shù)，那么你也可以吃蛋糕，”進(jìn)步研究所技術(shù)研究員陶·布爾加說，他專門研究人工智能安全領(lǐng)域的研發(fā)?！斑@是一種減少權(quán)衡的方式，你可以將更多芯片運送到可能是半可信的國家，并確保這些芯片不會被轉(zhuǎn)移到敵對國家。”

這些方法都不是完美的——至少本身不是完美的。由芯片或多芯片封裝竊聽的全球定位系統(tǒng)可以跟蹤每一個動作，但它也可能具有侵入性，容易欺騙，并消耗寶貴的芯片資源。因此，雖然對手肯定不喜歡它，但客戶也不總是對它感到興奮。這反過來又促使了一些創(chuàng)新來幫助減輕負(fù)面影響。

“我們有一種水印技術(shù)，它依賴于 ping 相鄰系統(tǒng)，”佛羅里達(dá)大學(xué) ECE 系杰出教授、Caspia Technologies 聯(lián)合創(chuàng)始人 Mark Tehranipoor 說?！叭绻銓⒁粋€系統(tǒng)從系統(tǒng)的其余部分移開，系統(tǒng)就會知道這一點。因此，您將不得不隨身攜帶整個社區(qū)。這不是 GPS 跟蹤。這是本地驗證。這不那么侵入性，但它可以讓你表明，'嘿，我們銷售給沙特阿拉伯的任何系統(tǒng)是否出現(xiàn)在其他地方？這些系統(tǒng)總是相互通信?！昂伲阍趩?？”另一個人說，'是的，我在這里。所以你不知道他們到底在哪里，但你知道他們在一起。

沒有一種方法適合所有人
越來越明顯的是，沒有一種方法在任何地方都最有效。不同類型的芯片或系統(tǒng)之間的經(jīng)濟(jì)風(fēng)險和政治邊界可能有很大差異。因此，即使目標(biāo)相同，解決方案也會根據(jù)定位精度的需求以及確保信息正確所需的功率、性能和成本而有很大差異。

例如，Ping 技術(shù)已經(jīng)被用于數(shù)據(jù)主權(quán)目的。在基本級別，可以通過將 ping 從具有已知位置的服務(wù)器發(fā)送到 存儲數(shù)據(jù)的另一臺服務(wù)器，并測量 ping 返回的往返時間來精確定位位置。挑戰(zhàn)在于確定這些 ping 是否正確。

“這可以通過經(jīng)過身份驗證的網(wǎng)絡(luò)連接來解決，”Rambus 硅安全高級總監(jiān) Scott Best 說?！坝幸恍┙鉀Q方案說，'如果你選擇世界各地的三臺谷歌服務(wù)器，并測量每臺服務(wù)器的 ping 響應(yīng)時間，你就可以進(jìn)行三角測量并找出你在世界上的位置?；ヂ?lián)網(wǎng)只能以大約三分之二的光速傳輸 ping，這給你提供了從美國東海岸到西海岸大約 20 毫秒的時間。測量這些東西的時間出奇地短。問題是，如果你把其中一個系統(tǒng)放進(jìn)一個私有數(shù)據(jù)中心，你可以欺騙你想要的所有谷歌服務(wù)器，所以你的芯片會非常高興地想，“我只離開了谷歌服務(wù)器 5 毫秒。不，你不是，但他們正在欺騙你的芯片試圖聯(lián)系的所有 IP 地址，以找出它在哪里。但是，如果您向該組件添加一個身份驗證組件，并對網(wǎng)絡(luò)流量進(jìn)行充分身份驗證，并且您有一個像我們一樣運行完整網(wǎng)絡(luò)堆棧的安全處理器，那么您可以將這些經(jīng)過身份驗證的網(wǎng)絡(luò)測量作為啟動過程的一部分。所以現(xiàn)在你可以說，'我可靠地在這些受信任的地理位置服務(wù)器的距離內(nèi)，這樣我就可以在有限的程度上知道我在北美而不是東北亞運營。

在高價值芯片中，例如用于人工智能的芯片中，可以添加安全層以加密方式對 ping 進(jìn)行簽名并盡快發(fā)回。

“實時位置跟蹤意味著你有辦法確定你的位置，有很多方法可以做到這一點，”Synopsys 首席安全技術(shù)專家兼科學(xué)家 Mike Borza 說。“幾乎所有這些都涉及某種無線電或網(wǎng)絡(luò)技術(shù)，可以讓您了解它們的位置，這意味著設(shè)備中嵌入了一些東西，它一直試圖找出您在哪里，并且以低功耗進(jìn)行。這會影響您需要將哪些技術(shù)整合到芯片中，否則您可能不需要這些技術(shù)，只是為了能夠定位它此刻的運行位置。

它還需要適當(dāng)?shù)幕A(chǔ)設(shè)施才能使其發(fā)揮作用?！斑@意味著人們可以繪制每個頻譜中的所有固定無線事物，包括藍(lán)牙設(shè)備和 ZigBee 設(shè)備，”Borza 說?！澳愦蛩阆窆雀鑾啄昵澳菢永L制所有 Wi-Fi 熱點地圖嗎？該數(shù)據(jù)庫現(xiàn)在已經(jīng)過時了，需要更新。但是，如果這些技術(shù)被用來定位設(shè)備并了解其運行位置——人們也在談?wù)摰乩韲鷻冢虼嗽O(shè)備在移動到特定區(qū)域時停止運行——那么您將面臨巨大的成本。它會縮短電池壽命，增加功耗，并且需要大量的軟件。這是那些想繼續(xù)經(jīng)營這些東西的人很容易擊敗的事情之一。

它還增加了芯片的成本。英飛凌密碼學(xué)和產(chǎn)品安全高級總監(jiān) Erik Wood 在 2020 年進(jìn)行了一項差距分析，以弄清楚嵌入位置跟蹤需要什么，在英飛凌分包商的設(shè)施中使用隔離的安全室在那里進(jìn)行最終編程和測試。

“出于各種原因，這將需要一個 2 美元的微控制器，并將其變成 5 美元的微控制器，”伍德說。“你必須有一個最低數(shù)量。您必須保證容量充分利用。而且使用那個房間和那些機器的比率要高得多，所以這沒有實際意義。因此，我們最終所做的是建立并依賴我們基于芯片的安全性，這樣我們就可以相信該設(shè)備可以通過加密方式識別為英飛凌原產(chǎn)的來源芯片。它可以完成所有這些步驟，然后如果客戶愿意并關(guān)心它，他們可以向后看，向他們保證，即使他們沒有看到芯片上的書面記錄，他們也可以放心，在書面記錄期間，該設(shè)備沒有受到任何損害。

英飛凌目前為客戶提供加密原產(chǎn)地證明。

“我們所做的是在我們的源頭、工廠放置一個加密密鑰，然后在整個供應(yīng)鏈中保護(hù)設(shè)備，這樣當(dāng)最終用戶 OEM 獲得該設(shè)備時，”伍德說。“他們真正接管信任根的唯一方法是上網(wǎng)并獲得所謂的 CSR，這是一種證書令牌，它出來了，使他們能夠接管安全性，加載新策略，加載新密鑰，并進(jìn)行我們所說的入學(xué)考試，它會檢查所有非易失性內(nèi)存，以確保沒有任何不打算存在的東西?！?/p>

地理圍欄更進(jìn)一步。位置驗證僅確認(rèn)芯片的大致位置。如果芯片位于批準(zhǔn)區(qū)域之外，地理圍欄可以限制或禁用芯片的功能。

“[驗證]并沒有真正增加新的攻擊面，”布爾加說。“地理圍區(qū)是一件非常不同的事情。當(dāng)然，如果你正在創(chuàng)建遠(yuǎn)程關(guān)閉芯片的能力，這可能會產(chǎn)生新的安全漏洞。無論哪個機構(gòu)能夠關(guān)閉芯片，即使分配數(shù)據(jù)不一致，也可能會單方面關(guān)閉芯片。如果這不是問題，因為你有一個多方系統(tǒng)，你可能仍然在為不受信任的參與者創(chuàng)建一種訪問和使用它的方法。

布爾加說，出于這個原因，地理圍欄提案仍然存在爭議，而驗證被認(rèn)為在短期內(nèi)更可行。但所有選項都擺在桌面上。

根據(jù)總部位于華盛頓的智庫新美國安全中心的一份報告，“片上治理機制可以幫助保護(hù)功能廣泛的人工智能和超級計算系統(tǒng)的開發(fā)和部署，其中片上機制可以防止或為未經(jīng)授權(quán)的行為者使用出口管制的人工智能芯片設(shè)置界限。

移動目標(biāo) 可以運往哪里
的東西是復(fù)雜的、多變的，而且往往是模糊的。

“為先進(jìn)人工智能芯片制定出口管制的工業(yè)安全局將芯片運送到頒發(fā)許可證或不需要許可證的目的地，”布爾加說，“你可以將芯片發(fā)送到某些國家，而不能發(fā)送到其他國家，或者你需要一個沒有頒發(fā)的許可證，然后芯片離開運輸港后，真的沒有辦法找到它。你可以進(jìn)行親自檢查，但這些檢查并沒有真正發(fā)生。

人工智能政策與戰(zhàn)略研究所的報告表明，從馬來西亞和新加坡等國家轉(zhuǎn)移的人工智能芯片已被移交給中國并出售給那里的初創(chuàng)公司。“這是一種基于榮譽的系統(tǒng)，”布爾加說。

這種灰色市場的詭計也為其他問題打開了大門。“供應(yīng)鏈一直對我擁有的系統(tǒng)中的芯片是否真實感興趣，”Rambus 的 Best 說。“我能證明它是真實的嗎？我能否追查可追溯性，以便我知道它是如何到達(dá)這里的，并且它不是從系統(tǒng)中偷來的、重新制造的并交給我的？如果它以某種對抗性的方式被修改，我可以監(jiān)控可追溯性嗎？好吧，現(xiàn)在你有一個轉(zhuǎn)移問題。如果該系統(tǒng)在加拿大被拾取并空運到朝鮮，現(xiàn)在它在那里運行怎么辦？我們能察覺到這一點嗎？他們不太關(guān)心可追溯性。他們很樂意將該芯片用于私有數(shù)據(jù)中心。

未來的
不確定性美國政府已表示有興趣進(jìn)行位置驗證，作為其更廣泛的人工智能和半導(dǎo)體安全戰(zhàn)略的一部分?！缎酒踩ā钒炞C條款，但正在討論的修正案將允許公司使用面對面檢查作為替代方案。

“人工智能行動計劃發(fā)出了一個明確的信號，特別指出位置驗證是政府應(yīng)該進(jìn)一步探索的事情，”布爾加說?！斑@是政府前進(jìn)方向的信號。發(fā)生這種情況并非巧合，因為新政府的政策非常注重出口管制，但也注重出口促進(jìn)。

位置核查似乎符合支持美國技術(shù)出口同時解決國家安全問題的趨勢政策方向?！昂芏嗳藢Υ烁械脚d奮，因為這是一種低提升的干預(yù)措施，”他說?！瓣P(guān)于如何使芯片更安全，還有其他建議，但這些建議需要更多的研發(fā)，而且尚不清楚它們是否可行，尤其是在短期內(nèi)。位置驗證更突出的是，它不會產(chǎn)生太多缺點，并且只是極大地提高了了解芯片最終去向的能力，這可以服務(wù)于專家控制和出口促進(jìn)目標(biāo)。

盡管如此，仍存在重大的隱私問題和安全交付芯片的替代方法。然而，值得注意的是位置驗證和跟蹤技術(shù)的普遍性。

“如果你讀到政府、銀行或保險公司在定位服務(wù)方面做某事，這是一個很大的問題，”是德科技董事總經(jīng)理 Maarten Bron 說?！暗?，一旦你安裝了 Instagram，你被問到的第一個問題是，'可以使用你的位置嗎？你甚至不假思索地按下了'是'。因此，由于定位服務(wù)而對入侵的感知也與誰詢問您的位置有關(guān)。

這也引發(fā)了關(guān)于他們何時提問的問題。“如果你看看數(shù)據(jù)中心，供應(yīng)鏈還包括生命周期結(jié)束，因為在某個時候存儲機架將不得不退役，”布隆說?！叭绻幸欢ū壤拇疟P出現(xiàn)故障，則必須停用機架。如何擦除數(shù)據(jù)？通常，您現(xiàn)在看到的是加密擦除，因此數(shù)據(jù)的加密密鑰會被清除。這可以讓你假設(shè)數(shù)據(jù)永遠(yuǎn)消失了。但是，如果有人使用聚焦離子束或其他方法能夠重建用于保護(hù)數(shù)據(jù)的密鑰呢？突然之間，你又重新開始營業(yè)了。芯片中存在某些唯一標(biāo)識符，并且 Microsoft 和 Google 會在生命后添加場熵。但是，如果這些安全資產(chǎn)可以從芯片中提取，理論上您可以欺騙 CPU 或 GPU，使其具有完全不同的壽命。因此，這不僅僅是它何時進(jìn)入供應(yīng)鏈的問題。這也與它何時從數(shù)據(jù)中心退役并被其他東西取代有關(guān)。