隨著人工智慧(AI)與雲端運算技術的飛躍式進展,全球數位基礎設施正面臨前所未有的安全挑戰,尤其在量子運算(Quantum Computing)技術逐漸成熟的逼近下,傳統非對稱式加密演算法面臨被破解的「量子危機」。為了因應此一變局,全球數位安全領導者Thales攜手全球遠端伺服器管理晶片(BMC)龍頭信驊科技(ASPEED),共同舉辦技術研討會,深入探討如何透過硬體安全模組(HSM)與最新的OCP Caliptra標準,在系統單晶片(SoC)層級落實「設計即安全(Secure by Design)」的願景,為次世代AI伺服器供應鏈打造堅不可摧的信任基礎。
當前全球資安局勢已從軟體防護走向硬體底層的軍備競賽。美國國家安全局(NSA)發布的商用國家安全演算法套件2.0(CNSA 2.0)明確訂定了後量子密碼學(PQC)的遷移時程,要求國家安全系統(NSS)相關設備在2030年前必須全面具備抗量子攻擊能力。
Thales大中華區暨韓國應用與數據安全業務區域副總裁許樹懷指出,量子電腦帶來的最大威脅在於「先竊取,後解密(Harvest Now, Decrypt Later)」的攻擊策略,駭客現在即可攔截並儲存加密數據,待量子電腦成熟後再進行破解。這意味著,對於生命週期長達十數年的基礎設施,如智慧電網、車聯網及高階伺服器而言,導入後量子加密技術已是刻不容緩的議題。
許樹懷進一步分析,台灣身為全球高科技製造重鎮,面對國際法規的嚴格要求,若產品無法通過高規格的安全認證,未來將難以進入歐美供應鏈市場。他以電動車充電樁為例,若設備缺乏嚴謹的身分認證機制,攻擊者極易透過韌體更新植入惡意程式,進而橫向移動滲透至車輛控制系統,造成人身安全威脅。因此,Thales提供的硬體安全模組(HSM),正可協助企業在製造過程中即注入高強度的信任根(Root of Trust,RoT),確保設備身分的不可偽造性。
矽信任根奠定零信任基礎,Caliptra成關鍵防線
信驊科技身為BMC市場領導者,率先在新一代BMC AST2700系列中,導入了開放運算計畫(OCP)推動的Caliptra安全架構。信驊科技資深經理徐源煌表示,AST2700不僅採用台積電12奈米製程,大幅提升運算效能,更關鍵的是整合了原生Caliptra,這是在晶片矽層級實現的信任根,徹底解決供應鏈中韌體被竄改的風險。
信驊科技資深經理徐源煌。
徐源煌進一步說明,傳統的安全啟動(Secure Boot)往往依賴唯讀記憶體(ROM)中的程式碼,但隨著供應鏈日益複雜,單靠軟體或韌體層級的防護已不足以應對現代化攻擊。Caliptra作為一個開源的硬體信任根標準,被設計用來提供包括量測(Measurement)、身分識別(Identity)與認證等核心功能。在AST2700晶片內部,Caliptra擁有獨立的處理器與記憶體空間,與主應用處理器實體隔離,確保即使主系統發生異常,底層的安全機制仍能維持穩定運作。
在數位世界中,確保資料完整性與來源真實性的關鍵在於非對稱式加密技術與數位簽章(Digital Signature)。如同現實生活中的身分證需要政府鋼印才能具備公信力,晶片在出廠前也需要經過一個嚴謹的「發證」程序。這正是信驊科技與Thales深度合作的關鍵環節。
結合HSM打造可信製造流程 確保供應鏈身分唯一性
信驊科技研發副總經理黃勃為表示,在晶片製造的初始階段(Provisioning),AST2700會在內部的Caliptra核心生成一組獨一無二的金鑰(公鑰與私鑰),並產生憑證簽署請求(CSR)。此時,Thales的HSM會存放憑證授權中心(CA)的私鑰,利用其受到最高級別物理保護的私鑰,對晶片的CSR進行數位簽章,生成具備信驊官方認證的裝置身分憑證。這份憑證隨後會被寫入晶片的一次性可編程記憶體(OTP)中。
OTP的特性在於「寫入即永久」,一旦資料被燒錄進去,就如同在矽晶圓上刻下不可磨滅的印記,無法被竄改或刪除。黃勃為進一步說明,這確保了AST2700晶片擁有唯一且不可抵賴的數位身分。當伺服器啟動時,Caliptra會優先執行,驗證所有後續載入的韌體簽章是否合法,形成一條完整的信任鏈(Chain of Trust)。若驗證失敗,系統將拒絕啟動,從根本上阻絕了惡意韌體運行的可能性。
迎戰CNSA 2.0合規挑戰,佈局後量子加密遷移路徑
針對後量子時代的合規需求,許樹懷指出,Thales的HSM已全面支援NIST所選定的後量子密碼演算法,包括用於數位簽章的ML-DSA(Dilithium)與用於密鑰建立的ML-KEM(Kyber)。這意味著,透過Thales HSM所建立的供應鏈安全機制,不僅符合當前的資安標準,更具備了防禦未來量子電腦攻擊的前瞻能力。對於台灣的伺服器代工廠與晶片設計業者而言,採用符合CNSA 2.0標準的加密解決方案,不僅是技術升級,更是確保產品能持續獲得國際大廠信賴的關鍵競爭力。
信驊科技在AST2700的設計上,不僅遵循了OCP Caliptra 1.0規範,更前瞻性地規劃了對CNSA 2.0演算法的支援路徑。黃勃為透露,目前的Caliptra 1.x版本已支援LMS簽章演算法,而接下來的Caliptra 2.0版本將進一步整合更先進的抗量子演算法,例如ML-DSA-87與ML-KEM,以滿足2027年後更為嚴苛的美國國家安全採購標準。這種結合矽層級信任根與抗量子加密技術的解決方案,將為雲端資料中心提供從晶片製造、韌體更新到報廢全生命週期的安全保障。
透過Thales國際級的加密技術支援,與信驊科技在BMC晶片設計上的創新,雙方共同為全球AI伺服器供應鏈建立了一道堅實的數位防線。這不僅落實了「設計即安全」的理念,更向國際市場證明,台灣供應鏈已做好準備,迎接後量子時代的資安挑戰,持續在全球雲端基礎設施中扮演不可或缺的信任核心。