價值 1500 億美元的安全漏洞：類比元件如何成為供應鏈的盲區

你的資料中心有安全開機程序，網路流量有加密，整個半導體供應鏈充滿了 ISO 認證可是有一個價值約 1500 億美元的市場區塊，沒有任何人真的在管，而且它就躲在你拼命保護的基礎設施心臟裡。

類比元件、混合訊號晶片、感測器、離散式被動元件這些負責處理真實世界電壓電流的「辛苦角色」缺乏數位晶片過去十年間建立起來的 ID 標籤基礎設施。數位 IC 現在可以用 PUF（物理不可複製函數）和安全元件綁定不可變的裝置身份，但類比元件在供應鏈中基本上是匿名的：從經銷商那裡買來，焊接在電路板上，然後期望它正常運作。這是一個非常大的假設。

威脅模型是真實存在的。仿冒的類比元件包括假電容和假電阻透過灰色市場進入供應鏈。它們不只是品質問題，更是安全問題。一顆悄悄劣化的濾波電容，或一顆特性被改動的感測器，可以在不被人察覺的情況下，慢慢破壞系統效能，甚至在關鍵基礎設施中製造安全漏洞。

美國政府定義的關鍵基礎設施電信、航空航天、國防和公用事業佔今日半導體整體市場約 20%，相當於 1500 億美元。這些部門依賴的類比和被動元件，沒有人真正為它們做過身份識別或驗證。

新興的解決方案涉及憑證式防偽系統，將物理裝置 ID 與不可變的數位憑證綁定。但要對類比元件、感測器和離散式元件實施這個方案，本質上比對數位晶片困難得多因為它們的物理特性無法像矽變異那樣輕易轉化為不可複製的指紋。這是一個艱難的問題，而且是產業界迫切需要解決的問題。