检测，保护和恢复与Mach-NX安全控制fpga

如果您一直渴望能够保护您的系统固件，并提供安全引导能力与NIST PFR兼容设计你可以发展得又快又容易，那我就要让你非常开心了。

我不想吹嘘，但我应该首先指出，在实现数据中心中使用的服务器的控制功能方面，Lattice占据了领先地位。基于闪存的Mach fpga配置提供了“即时启动”功能，使其成为平台的先启动后关闭设备。事实上，Mach fpga在当前发货服务器平台上的附加率超过80%。

不幸的是，我们生活在一个高度连接的世界，受到来自无数来源的网络攻击。网络安全已经发展成一场“军备竞赛”，黑客和其他邪恶的玩家不断试图进入和控制系统，以窃取数据和知识产权，破坏数据和崩溃系统，或向公司、机构和个人施压，要求支付赎金。可想而知，如果工厂的经理收到这样一条信息，“我们破解了你们的安全系统”，他会作何感想。我们控制了你们的服务器。除非你在未来24小时内支付比特币赎金，否则我们将关闭你的生产并删除你所有的文件。”

在“事后”尝试“补充”安全解决方案是不够的。相反，在系统的最低级别以硬件根信任(HRoT)的形式实现和维护安全性已经成为任务关键和安全关键。为了满足这一需求，Lattice首先引入了MachXO3D™FPGA系列，增强传统的Mach控制功能，各种安全功能，包括一个不变的安全引擎，提供预先验证的加密功能，如ECDSA，ECIES，AES，SHA，HMAC，TRNG，独特的安全ID和公共/公共/私钥一代。

Mach-NX系列是Lattice今年早些时候发布的第三个基于Lattice Nexus™FPGA开发平台的FPGA系列。为了获释，这些家庭如下:

• 交联™nx:广泛应用于图像、机器视觉和人工智能(AI)的视频桥接和处理。bobappios下载地址
• Certus™nx：通用FPGA适用于各种应用。bobappios下载地址
• 马赫™nx：可编程系统控件的下一代硬件安全性。

根据NIST SP 800-193的定义，平台固件弹性(PFR)包括保护、检测和恢复。保护包括保护平台的固件和关键数据免受损坏，并确保任何固件更新的真实性和完整性。检测包括加密检测损坏的平台固件和关键数据，无论是在系统首次上电时还是在系统内更新后。恢复包括启动一个可信的恢复过程，并将任何损坏的平台固件和关键数据恢复到以前的值。

Mach-NX设备完全满足PFR要求。Mach-NX可编程逻辑、384位加密引擎和安全双引导配置块的结合为设计实现提供了灵活性，并在系统部署后支持安全更新。

Mach-NX系列是处理器不可知的，支持来自所有主要供应商的处理器，包括英特尔，AMD和Abob电子竞技俱乐部RM。在本写作时，大多数PFR实施S使用256位加密，解密，公共/私钥生成等。下一代平台将使用384位加密引擎。Mach-NX FPGA支持256位bob电子竞技俱乐部和384位加密应用，今天和将来会满足需求。bobappios下载地址

Mach-NX设备配备了最先进的RISC-V硬处理器核心，可以用来配置和控制所有的安全特性。反过来,Lattice Propel™利用图形化设计环境可以快速、方便地配置和编程RISC-V子系统。

该配置包括PFR频道的数量，SPI存储器的数量，监视器的数量，处理器或可编程结构使用的GPIO引脚的分配，等等。Propel还提供了设计模板，可以轻松启动软件开发，并且它包括基于Eclipse的IDE和编译器来构建系统和包装所有硬件和软件文件。

使用Mach-NX fpga来控制和保护系统，可以实现动态、实时、端到端覆盖，从系统通电到再次断电的瞬间处理PFR保护、检测和恢复。

在上电保护的情况下，除了验证其自己的固件之外，Mach-NX还可以监视和验证与系统中发现的每个其他设备关联的固件。此认证通常比基于其他FPGA，MCU或BAMCS）的实现快2x至6倍。您的膝盖jerk反应可能是5秒和10到30秒之间的差异是没有大的交易，但这种差异在需要实现99.999％（5九）正常运行时间的情况下，这种差异变得非常大幅下来每年都可以允许。

从地下建立安全系统昂贵，耗时，资源密集，涉及大量的合规性测试和认证。Mach-NX设备在基于预先认证的IP构建块的硬件中实现了尖端安全功能，该块已经满足了强大的标准和协议合规性要求。

安全的另一个方面，我们至少应该在这里提到的是供应链，它从组件供应商开始，包括系统开发人员、系统集成商、制造商、分销商和经销商。在整个供应链中都存在攻击点，系统可能被黑客攻击，有可能被破解的固件被上传。为了解决这个问题，每个Mach-NX设备都配备了一个唯一的硬编码ID。此外,Lattice SupplyGuard™服务为客户提供工厂锁定的设备，这些设备只能使用配置位流进行编程，该配置位流已由预期客户开发、签名和加密。

Although I’ve concentrated on “Big Iron” servers in the data centers forming the heart of the cloud in this blog, there is increasing interest in deploying PFR across multiple markets, including communications, industrial, and automotive, all the way to client computers and edge devices. This means that every developer is going to be faced with the problem of addressing security concerns in the not-so-distant future. If (when) you find yourself in this position, we are ready to help.

额外资源