Lattice、セキュリティ機能をFPGAに格納、レジリエンス機能を組み込む

図1　システムをセキュアにするFPGAに搭載するソフトウエアSentry　出典：Lattice Semiconductor

FPGAベンダーはこれまで、プログラムや検証のしやすさを重視した開発ツールをリリースしてきたが、Latticeはセキュリティ強化にもFPGAが有効であることを示した。同社のLUT（Look-Up Table: 主要な論理回路を集めた基本ブロック）に使われているロジックデバイスの一つMACH XO3Dは、不揮発性メモリスイッチを基本としており、大きな面積を占めるSRAMではないため2.5mm角のWLCSP（Wafer-Level Chip Scale Package）パッケージに最大9400個のLUTを集積している。

このSentryソフトウエアスタックは、同社のFPGA製品MACH XO3Dの中にプログラムしておき、システムの電源をオンしシステムが軌道し始めると同時にこのFPGAがシステムをセキュアにする（図1）。FPGA製品の中にセキュリティ機能を組み込んであるため、システム内のCPUや制御用MCU、その他のロジックなど各ICのファームウエアの暗号化情報を認証していく。さらに、システムが攻撃されたらリアルタイムでそれを検出する機能もある。加えて、不正なファームウエアを既知の良好な状態に復元するPFR（Platform Firmware Resilience）機能もある。

このFPGAには、システムの起動時にそれをセキュアに守る保護回路ともいうべきRoT（Root of Trust）や、NIST準拠の暗号化回路をプログラムされている。RoTは、システムの起動時にファームウエアの信頼性が確保されているかどうかを測定し確認、保存、通知する役割を持つ。パソコンのBIOSに近い。これらの応答はns（ナノ秒）単位で行えるため、システムの起動は極めて速いといえそうだ。

PFR回路のIPをFPGAに組み込むためのソフトウエアツールとして既存のLattice Propelを使えば、Cコードでカスタマイズもできる。RISC-Vコアも集積されており、このCPUを通してNIST SP 800-193準拠のPFR　（図2）機能もC言語で実装できる。RISC-Vコアを集積したのは、セキュリティ機能を確認、保存、通知などのシーケンスの制御や管理を行うためだという。認証をはじめとするセキュア機能はFPGAロジックにプログラムする。セキュリティ回路のサイズは6700個のLUTに相当するため、MAX XO3Dファミリの中でもロジックサイズの大きな最大9400LUTを持つ製品が向く。

図2　これまでFPGAをプログラムしたことのないユーザーでもC言語でRISC-Vコアを通してFPGAにプログラムすることができる　出典：Lattice Semiconductor

もう一つ、FPGAを出荷してから後にFPGAをボードに組み、暗号化処理や署名を終えてからシステムに組み込み、完成させるまでのサプライチェーン全体に渡りデバイスを追跡でき、偽造や複製などの保護を行う機能を持つソフトウエアがSupplyGuardだ（図3）。いわばサプライチェーンのレジリエンスのための保護サービスといえる。量産工場から出荷後にシステムの設置、運用、廃棄までのライフサイクル全体に渡っても機能する。

図3　出荷後のシステムのセキュリティを管理するSupplyGuard　出典：Lattice Semiconductor

これら二つのソフトウエアを、FPGAハードウエアに組み込むことで、ダイナミックなトラストを目指すとしている。運用の途中で外部から攻撃されても瞬時に検出し対応することができるようになる。それはマイコンベースでのスタティックなセキュリティではなく、高速対応可能なFPGAでのダイナミックなNIST準拠のPFRが稼働することを意味している。