Аппаратный троян
Эта статья включает список общих ссылок , но в ней отсутствуют достаточные соответствующие встроенные цитаты . ( Апрель 2013 г. ) |
( Аппаратный троян HT ) – это вредоносная модификация схемы схемы интегральной . Аппаратный троянец полностью характеризуется своим физическим представлением и поведением. HT Полезная нагрузка — это вся активность, которую выполняет троянец при запуске. Как правило, трояны пытаются обойти или отключить ограждение безопасности системы: например, утечка конфиденциальной информации посредством радиоизлучения . HT также могут вывести из строя, повредить или уничтожить весь чип или его компоненты.
Аппаратные трояны могут быть представлены как скрытые «входные двери», которые вставляются при разработке компьютерного чипа с использованием готовых полупроводниковых интегральных микросхем (ASIC) (ASIC), полупроводникового ядра интеллектуальной собственности (IP Core), купленных у стороннего производителя. -авторитетный источник или вставленный внутри компании мошенническим сотрудником, действующим самостоятельно или от имени мошеннических групп с особыми интересами, или спонсируемых государством шпионажа и шпионажа. [ 1 ]
В одной статье, опубликованной IEEE в 2015 году, объясняется, как конструкция оборудования, содержащая трояна, может привести к утечке криптографического ключа, просочившегося через антенну или сетевое соединение, при условии, что для активации утечки данных применяется правильный триггер «пасхального яйца». [ 2 ]
В правительственных ИТ-отделах с высоким уровнем безопасности аппаратные трояны являются хорошо известной проблемой при покупке оборудования, такого как KVM-переключатель , клавиатуры, мыши, сетевые карты или другое сетевое оборудование. Это особенно актуально при покупке такого оборудования у ненадежных источников, которые могли установить аппаратные трояны для утечки паролей клавиатуры или обеспечения удаленного несанкционированного доступа. [ 3 ]
Фон
[ редактировать ]В условиях разнообразной глобальной экономики аутсорсинг производственных задач является распространенным способом снижения стоимости продукта. Встраиваемые аппаратные устройства не всегда производятся фирмами, которые их разрабатывают и/или продают, а также в той же стране, где они будут использоваться. Аутсорсинговое производство может вызвать сомнения в доказательствах целостности произведенного продукта (т. е. уверенности в том, что конечный продукт не имеет конструктивных модификаций по сравнению с его первоначальным дизайном). Теоретически любой, имеющий доступ к производственному процессу, может внести некоторые изменения в конечный продукт. В случае сложных продуктов бывает трудно обнаружить небольшие изменения, имеющие большие последствия.
Угроза серьезного, злонамеренного изменения конструкции может быть особенно актуальной для государственных учреждений. Разрешение сомнений в целостности оборудования является одним из способов уменьшить уязвимость технологий в военном , финансовом , энергетическом и политическом секторах экономики . Поскольку производство интегральных схем на ненадежных заводах является обычным явлением, появились передовые методы обнаружения, позволяющие обнаружить, когда злоумышленник спрятал дополнительные компоненты или иным образом саботировал работу схемы.
Характеристика аппаратных троянов
[ редактировать ]HT можно охарактеризовать несколькими методами, например, по физическому представлению, фазе активации и фазе действия. Альтернативные методы характеризуют HT по триггеру, полезной нагрузке и скрытности.
Физические характеристики
[ редактировать ]Одной из физических характеристик трояна является тип. Тип трояна может быть функциональным или параметрическим. Троянец работоспособен, если злоумышленник добавляет или удаляет какие-либо транзисторы или затворы в исходную конструкцию чипа. Другой тип трояна, параметрический троянец, изменяет исходную схему, например, утончает провода, ослабляет триггеры или транзисторы, подвергает чип воздействию радиации или использует сфокусированные ионные лучи (FIB) для снижения надежности чипа. .
Размер трояна — это его физическое расширение или количество компонентов, из которых он состоит. Поскольку троянец может состоять из множества компонентов, разработчик может распределить части вредоносной логики по чипу. Дополнительная логика может занимать микросхему везде, где необходимо изменить, добавить или удалить функцию. Вредоносные компоненты могут быть разбросаны (так называемое свободное распределение) или состоять из нескольких компонентов (так называемое плотное распределение), поэтому область, в которой вредоносная логика занимает компоновку микросхемы, невелика.
В некоторых случаях злоумышленники, приложившие большие усилия, могут перестроить компоновку, изменив расположение компонентов ИС. В редких случаях размер чипа изменяется. Эти изменения являются структурными изменениями.
Характеристики активации
[ редактировать ]Типичный троянец основан на условиях: он запускается датчиками , внутренними логическими состояниями, определенным шаблоном ввода или значением внутреннего счетчика. Трояны, основанные на состоянии, в некоторой степени обнаруживаются по следам питания, когда они неактивны. Это происходит из-за токов утечки, генерируемых триггерной или противодействующей схемой, активирующей троянца.
Аппаратные трояны могут запускаться разными способами. Троянец может быть активирован изнутри, то есть он отслеживает один или несколько сигналов внутри микросхемы . Вредоносная схема может ожидать логики обратного отсчета, которую злоумышленник добавил в чип, чтобы троянец просыпался через определенный промежуток времени. Противоположность активируется извне. Внутри чипа может быть вредоносная логика, использующая антенну или другие датчики, к которым злоумышленник может добраться снаружи чипа. Например, троянец мог оказаться внутри системы управления крылатой ракеты . Владелец ракеты не знает, что противник сможет отключить ракеты по радио .
Постоянно включенный троянец может представлять собой сокращенный провод. Модифицированный таким образом чип выдает ошибки или выходит из строя каждый раз, когда провод интенсивно используется. Постоянно включенные цепи трудно обнаружить с помощью трассировки питания.
В этом контексте комбинационные трояны и последовательные различают трояны. Комбинационный троянец отслеживает внутренние сигналы до тех пор, пока не произойдет определенное условие. Последовательный троян также представляет собой внутреннюю активируемую схему, основанную на условиях, но он отслеживает внутренние сигналы и ищет последовательности, а не для конкретного состояния или условия, как это делают комбинационные трояны.
Извлечение криптографического ключа
[ редактировать ]Для извлечения секретных ключей с помощью аппаратного троянца без его обнаружения необходимо, чтобы троянец использовал случайный сигнал или какую-либо криптографическую реализацию.
Чтобы избежать хранения криптографического ключа в самом троянце и сокращения, физическую неклонируемую функцию . можно использовать [ 4 ] Физические неклонируемые функции имеют небольшой размер и могут иметь идентичную структуру, но при этом различаются криптографические свойства.
Характеристики действия
[ редактировать ]HT может изменить функцию чипа или изменить его параметрические свойства (например, вызвать задержку процесса). Конфиденциальная информация также может быть передана злоумышленнику (передача ключевой информации).
Аппаратные трояны периферийных устройств
[ редактировать ]Относительно новым вектором угрозы для сетей и сетевых конечных точек является HT, представляющий собой физическое периферийное устройство, предназначенное для взаимодействия с конечной точкой сети с использованием утвержденного протокола связи периферийного устройства. Например, USB -клавиатура, которая скрывает все вредоносные циклы обработки от конечной точки целевой сети, к которой она подключена, путем взаимодействия с конечной точкой целевой сети с использованием непредназначенных каналов USB. Как только конфиденциальные данные будут отфильтрованы из конечной точки целевой сети в HT, HT может обработать данные и решить, что с ними делать: сохранить их в памяти для последующего физического извлечения HT или, возможно, отправить их в Интернет. использование беспроводной сети или использование скомпрометированной конечной точки сети в качестве опорной точки. [ 5 ] [ 6 ]
Потенциальная угроза
[ редактировать ]Обычный троянец пассивен большую часть времени использования измененного устройства, но активация может привести к фатальному повреждению. Если троян активирован, его функциональность может быть изменена, устройство может быть уничтожено или отключено, оно может привести к утечке конфиденциальной информации или нарушению безопасности. Трояны скрытны, а это означает, что условием для активации является очень редкое событие. Традиционных методов тестирования недостаточно. Производственный сбой происходит в случайном месте, а вредоносные изменения хорошо расположены, чтобы избежать обнаружения.
Обнаружение
[ редактировать ]Физический осмотр
[ редактировать ]Сначала разрезается формовочный слой, чтобы обнажить схему. Затем инженер неоднократно сканирует поверхность, одновременно шлифовая слои чипа. Существует несколько операций по сканированию схемы. Типичными методами визуального контроля являются: сканирующая оптическая микроскопия (СОМ), сканирующая электронная микроскопия (СЭМ), [ 7 ] пикосекундный анализ схемы визуализации (PICA), визуализация контраста напряжения (VCI), изменение напряжения, индуцированное светом (LIVA) или изменение напряжения, индуцированное зарядом (CIVA). Чтобы сравнить план чипа, необходимо сравнить его с изображением реального чипа. Это все еще довольно сложно сделать. Чтобы обнаружить троянское оборудование, которое включает в себя разные (крипто) ключи, можно выполнить анализ изображений, чтобы выявить различную структуру на чипе. Единственный известный аппаратный троян, использующий уникальные криптоключи, но имеющий одинаковую структуру. [ 8 ] Это свойство повышает необнаружимость трояна.
Функциональное тестирование
[ редактировать ]Этот метод обнаружения стимулирует входные порты микросхемы и контролирует выходные данные для обнаружения производственных дефектов. Если логические значения вывода не соответствуют подлинному шаблону, возможно, обнаружен дефект или троян.
Встроенные тесты
[ редактировать ]Методы встроенного самотестирования (BIST) и Design For Test (DFT) добавляют к чипу схему (логику), предназначенную для проверки того, что чип в том виде, в каком он построен, реализует свою функциональную спецификацию. Дополнительная логика отслеживает входные стимулы и внутренние сигналы или состояния памяти, как правило, путем вычисления контрольных сумм или путем открытия внутренних регистров с помощью специальной техники сканирования . В то время как DFT обычно координируется с каким-либо внешним механизмом тестирования, чипы с поддержкой BIST включают в себя специальные генераторы тестовых таблиц. Функциональность BIST часто существует для выполнения быстрой (высокоскоростной) проверки там, где невозможно использовать цепочки сканирования или другие низкоскоростные возможности ДПФ. Оба метода изначально были разработаны для обнаружения производственных ошибок, но также имеют обоюдоострый потенциал для обнаружения некоторых эффектов вредоносной логики на чипе или для использования злонамеренной логикой для скрытой проверки удаленного состояния внутри чипа.
Рассмотрим, как ДПФ распознает непреднамеренную логику. Под управлением входных сигналов DFT настоящий чип генерирует знакомую подпись, а дефектный или измененный чип отображает неожиданную подпись. Подпись может состоять из любого количества выходных данных чипа: всей цепочки сканирования или промежуточного результата данных. В контексте обнаружения троянских программ логику DFT можно рассматривать как алгоритм шифрования: использование входных данных DFT в качестве ключа для подписи сообщения, полученного на основе поведения тестируемой конструкции. В контексте предотвращения вторжений функции BIST или DFT обычно отключаются (путем аппаратной реконфигурации) за пределами производственной среды, поскольку их доступ к внутреннему состоянию чипа может подвергнуть его функцию скрытому наблюдению или подрывной атаке.
Анализ побочных каналов
[ редактировать ]Каждое электрически активное устройство излучает различные сигналы, такие как магнитные и электрические поля. Эти сигналы, вызванные электрической активностью, можно проанализировать, чтобы получить информацию о состоянии и данных, которые обрабатывает устройство. Были разработаны усовершенствованные методы измерения этих побочных эффектов, и они очень чувствительны ( атака по побочным каналам ). Следовательно, можно обнаружить тесно связанные трояны путем измерения этих аналоговых сигналов. Измеренные значения можно использовать в качестве подписи анализируемого устройства. Также часто оценивается набор измеренных значений, чтобы избежать ошибок измерения или других неточностей. [ 9 ]
См. также
[ редактировать ]- ФДИВ
- Аппаратный бэкдор
- Аппаратная обфускация
- Аппаратная безопасность
- Аварийный выключатель
- Физическая неклонируемая функция (PUF)
- Переключатель безопасности
- Intel Management Engine
Дальнейшее чтение
[ редактировать ]- Майнак Банга и Майкл С. Сяо: региональный подход к идентификации аппаратных троянов, Департамент электротехники и компьютерной инженерии Брэдли, Технологический институт Вирджинии, Host'08, 2008 г.
- А. Л. Д'Суза и М. Сяо: Диагностика ошибок последовательных схем с использованием региональной модели, Материалы конференции IEEE VLSI Design Conference, январь 2001 г., стр. 103–108.
- К. Фагот, О. Гаскюэль, П. Жирар и К. Ландро: О расчете эффективных начальных значений LFSR для встроенного самотестирования, Proc. Европейского испытательного семинара, 1999, стр. 7–14.
- Г. Хетерингтон, Т. Фрайарс, Н. Тамарапалли, М. Кассаб, А. Хассан и Дж. Райски: Логика BIST для крупных промышленных образцов, реальные проблемы и тематические исследования, ITC, 1999, стр. 358–367.
- В. Т. Ченг, М. Шарма, Т. Риндеркнехт и К. Хилл: Диагностика на основе сигнатур для логики BIST, ITC 2006, октябрь 2006 г., стр. 1–9
- Раджат Субхра Чакраборти, Сомнатх Пол и Сваруп Бхуния: Прозрачность по требованию для улучшения обнаруживаемости аппаратных троянов, факультет электротехники и информатики, Университет Кейс Вестерн Резерв, Кливленд, Огайо, США
- Йер Джин и Йоргос Макрис: Обнаружение аппаратных троянов с использованием отпечатков пальцев с задержкой пути, факультет электротехники Йельского университета, Нью-Хейвен
- Реза Рад, Мохаммад Техранипур и Джим Плюскеллик: Анализ чувствительности к аппаратным троянам, использующим переходные сигналы источника питания, 1-й международный семинар IEEE по аппаратно-ориентированной безопасности и доверию (HOST'08), 2008 г.
- Дакши Агравал , Сельчук Бактир, Дениз Каракоюнлу, Панкадж Рохатги и Берк Сунар: Обнаружение троянов с использованием IC-отпечатков пальцев, Исследовательский центр IBM TJ Watson, Йорктаун-Хайтс, Электротехника и компьютерная инженерия, Вустерский политехнический институт, Вустер, Массачусетс, 10 ноября 2006 г.
- П. Сонг, Ф. Стеллари, Д. Пфайффер, Дж. Калп, А. Вегер, А. Боннуа, Б. Висниефф, Т. Таубенблатт: MARVEL - Распознавание и проверка вредоносных изменений по излучению света, IEEE Int. Симп. по аппаратно-ориентированной безопасности и доверию (HOST), стр. 117–121, 2011 г.
- Сяосяо Ван, Мохаммад Техранипур и Джим Плюскеллик: Обнаружение вредоносных включений в защищенном оборудовании, проблемы и решения, 1-й международный семинар IEEE по аппаратно-ориентированной безопасности и доверию (HOST'08), 2008 г.
- Мирон Абрамович и Пол Брэдли: Безопасность интегральных схем – новые угрозы и решения
- Чжэн Гонг и Марк X. Маккес: Побочные каналы аппаратных троянов, основанные на физических неклонируемых функциях - теория и практика информационной безопасности. Безопасность и конфиденциальность мобильных устройств в беспроводной связи, 2011 г., Конспекты лекций по информатике 6633, P294-303.
- Василиос Маврудис, Андреа Черулли, Петр Свенда, Дэн Цврчек, Душан Клинец, Джордж Данезис. Прикосновение зла: криптографическое оборудование высокой надежности из ненадежных компонентов. 24-я конференция ACM по компьютерной и коммуникационной безопасности, Даллас, Техас, 30 октября — 3 ноября 2017 г.
- Синьму Ван, АППАРАТНЫЕ ТРОЯНСКИЕ АТАКИ: АНАЛИЗ УГРОЗ И ДЕШЕВЫЕ МЕРЫ ПРОТИВОДЕЙСТВИЯ С ПОМОЩЬЮ БЕЗЗОЛОТОГО ОБНАРУЖЕНИЯ И БЕЗОПАСНОГО ПРОЕКТИРОВАНИЯ, УНИВЕРСИТЕТ CASE WESTERN RERESERVE.
Ссылки
[ редактировать ]- ^ Обнаружение аппаратных троянов с помощью отслеживания информационного потока GateLevel, Вэй Ху и др., публикация IEEE, 2015 г.
- ^ Обнаружение аппаратных троянов с помощью отслеживания информационного потока GateLevel, Вэй Ху и др., публикация IEEE, 2015 г.
- ^ Создание троянского оборудования дома, BlackHat Asia, 2014 г.
- ^ Цзэн Гонг и Марк X. Маккес «Аппаратные троянские побочные каналы, основанные на физических неклонируемых функциях», WISTP 2011, LNCS 6633, стр. 293-303 дои : 10.1007/978-3-642-21040-2_21
- ^ Дж. Кларк, С. Леблан, С. Найт, Компрометация через аппаратное троянское устройство на базе USB, Компьютерные системы будущего (2010) (в печати). doi : 10.1016/j.future.2010.04.008
- ^ Джон Кларк, Сильвен Леблан, Скотт Найт, «Аппаратное троянское устройство, основанное на непредусмотренных USB-каналах», Сетевая и системная безопасность, Международная конференция, стр. 1–8, 2009 г. Третья Международная конференция по сетевой и системной безопасности, 2009 г. дои : 10.1109/NSS.2009.48
- ^ Обмен, Сьюзен. «Сканирующая электронная микроскопия (СЭМ)» . Университет Вайоминга.
- ^ Цзэн Гонг и Марк X. Маккес «Аппаратные троянские побочные каналы, основанные на физических неклонируемых функциях», WISTP 2011, LNCS 6633, стр. 293-303 дои : 10.1007/978-3-642-21040-2_21
- ^ Техранипур, Мохаммед; Кушанфар, Фариназ (2010). «Обзор таксономии и обнаружения аппаратных троянов». IEEE Проектирование и тестирование компьютеров . 27 :10–25. дои : 10.1109/MDT.2010.7 . S2CID 206459491 .