Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Оборудование троян ( HT ) представляет собой злонамеренная модификацию схемы из в интегральной схеме . Аппаратный троян полностью характеризуется своим физическим представлением и поведением. Полезной нагрузки из HT является вся деятельность, троянец выполняет при срабатывании. Как правило, вредоносные трояны пытаются обойти или отключить защитное ограждение системы: они могут утечь конфиденциальную информацию с помощью радиоизлучения. HT также может вывести из строя, вывести из строя или разрушить весь чип или его компоненты.

Аппаратные трояны могут быть представлены как скрытые "входные двери", которые по незнанию вставляются при разработке компьютерного чипа, с использованием готового полупроводникового ядра интеллектуальной собственности (IP Core) на интегральной микросхеме (ASIC ), которое было приобретено у источник, не пользующийся авторитетом, или вставленный внутри сотрудников мошенником, действующим самостоятельно или от имени мошеннических групп с особыми интересами, либо при слежке и шпионаже, спонсируемых государством. [1]

В одной недавней статье, опубликованной в IEEE, объясняется, как аппаратная конструкция, содержащая трояна, может привести к утечке криптографического ключа, просочившегося через антенну или сетевое соединение, при условии, что для активации утечки данных применяется правильный триггер «пасхального яйца». [2]

В государственных ИТ-отделах с высоким уровнем безопасности аппаратные трояны - это хорошо известная проблема при покупке оборудования, такого как KVM-переключатель , клавиатуры, мыши, сетевые карты или другое сетевое оборудование. Это особенно актуально при покупке такого оборудования из источников, не пользующихся авторитетом, которые могли разместить аппаратных троянов для утечки паролей клавиатуры или обеспечить удаленный несанкционированный доступ. [3]

Фон [ править ]

В условиях разнообразной глобальной экономики передача производственных задач на аутсорсинг - распространенный способ снизить стоимость продукта. Встроенные аппаратные устройства не всегда производятся фирмами, которые их разрабатывают и / или продают, или в той же стране, где они будут использоваться. Производство по аутсорсингу может вызвать сомнения в доказательствах целостности произведенного продукта (т. Е. Уверенность в том, что конечный продукт не имеет модификаций конструкции по сравнению с его первоначальным дизайном). Теоретически любой, кто имеет доступ к производственному процессу, может внести некоторые изменения в конечный продукт. Для сложных продуктов бывает трудно обнаружить небольшие изменения с большими эффектами.

Угроза серьезного злонамеренного изменения конструкции может быть особенно актуальной для государственных органов. Устранение сомнений в целостности оборудования - один из способов уменьшить технологическую уязвимость в военном , финансовом , энергетическом и политическом секторах экономики . Поскольку производство интегральных схем на ненадежных предприятиях является обычным явлением, появились передовые методы обнаружения, позволяющие обнаружить, когда злоумышленник спрятал дополнительные компоненты в схеме или иным образом нарушил ее работу.

Характеристика аппаратных троянцев [ править ]

HT можно охарактеризовать несколькими методами, такими как его физическое представление, фаза активации и фаза действия. Альтернативные методы характеризуют HT по триггеру, полезной нагрузке и скрытности.

Физические характеристики [ править ]

Одна из таких физических характеристик троянца - это его тип. Тип троянца может быть функциональным или параметрическим. Троянец функционирует, если злоумышленник добавляет или удаляет какие-либо транзисторы или вентили в исходной конструкции микросхемы. Другой тип трояна, параметрический троянец, изменяет исходную схему, например, утончает провода, ослабляет триггеры или транзисторы, подвергает чип воздействию излучения или использует сфокусированные ионные лучи (FIB) для снижения надежности чипа. .

Размер троянца - это его физическое расширение или количество компонентов, из которых он состоит. Поскольку троянец может состоять из множества компонентов, разработчик может размещать части вредоносной логики на чипе. Дополнительная логика может занимать микросхему везде, где необходимо изменить, добавить или удалить функцию. Если этого требует функция троянца, с одной стороны, вредоносные компоненты могут быть рассеяны. Это называется рассыпным распределением. С другой стороны, троянец может состоять всего из нескольких компонентов, поэтому вредоносная логика занимает небольшую область в структуре чипа. Напротив, это называется плотным распределением.

Если злоумышленник не жалеет усилий, он восстанавливает компоновку, так что размещение компонентов ИС изменяется. В редких случаях изменяется размер стружки. Эти изменения являются структурными изменениями.

Характеристики активации [ править ]

Типичный троян основан на условиях: он запускается датчиками , внутренними логическими состояниями, определенным входным шаблоном или значением внутреннего счетчика. Троянские программы, основанные на условиях, в некоторой степени обнаруживаются с помощью трассировки питания в неактивном состоянии. Это происходит из-за токов утечки, создаваемых триггерной или счетной схемой, активирующей троян.

Аппаратные троянцы могут запускаться по-разному. Троян может быть активирован изнутри, что означает, что он отслеживает один или несколько сигналов внутри ИС . Вредоносная схема могла дождаться логики обратного отсчета, которую злоумышленник добавил в микросхему, чтобы троянец проснулся через определенный промежуток времени. Обратное активируется извне. Внутри чипа может быть злонамеренная логика, использующая антенну или другие датчики, к которым злоумышленник может добраться извне. Например, троянец может находиться внутри системы управления крылатой ракетой . Владелец ракеты не знает, что противник сможет выключить ракеты по радио .

Постоянно активный троянец может быть ограниченным проводником. Модифицированный таким образом чип вызывает ошибки или выходит из строя каждый раз при интенсивном использовании провода. Постоянно включенные цепи трудно обнаружить с помощью трассировки питания.

В этом контексте различают комбинационные трояны и последовательные трояны. Комбинационный троянец отслеживает внутренние сигналы до тех пор, пока не произойдет определенное условие. Последовательный троянец также является внутренне активируемой схемой на основе условий, но он отслеживает внутренние сигналы и ищет последовательности не для определенного состояния или условия, как это делают комбинационные трояны.

Извлечение криптографического ключа [ править ]

Извлечение секретных ключей с помощью аппаратного трояна без обнаружения трояна требует, чтобы троянец использовал случайный сигнал или саму некую криптографическую реализацию.

Чтобы избежать хранения криптографического ключа в самом трояне и его сокращения, можно использовать физическую неклонируемую функцию . [4] Физические неклонируемые функции имеют небольшой размер и могут иметь идентичный макет, в то время как криптографические свойства различны.

Характеристики действия [ править ]

HT может изменить функцию микросхемы или изменить ее параметрические свойства (например, вызвать задержку процесса). Конфиденциальная информация также может быть передана противнику (передача ключевой информации).

Аппаратные трояны периферийных устройств [ править ]

Относительно новый вектор угроз для сетей и конечных точек сети - HT, появляющийся как физическое периферийное устройство, которое предназначено для взаимодействия с конечной точкой сети с использованием протокола связи утвержденного периферийного устройства. Например, USB- клавиатура, которая скрывает все вредоносные циклы обработки от целевой сетевой конечной точки, к которой она подключена, посредством взаимодействия с целевой сетевой конечной точкой с использованием непредусмотренных USB-каналов. После того, как конфиденциальные данные извлечены из целевой сетевой конечной точки в HT, HT может обработать данные и решить, что с ними делать: сохранить их в памяти для последующего физического извлечения HT или, возможно, экс-фильтровать их в Интернет. используя беспроводную связь или использование скомпрометированной сетевую конечной точки в качестве оси поворота. [5] [6]

Потенциал угрозы [ править ]

Обычный троянец является пассивным в течение большей части времени использования измененного устройства, но активация может вызвать фатальный ущерб. Если троянец активирован, функциональность может быть изменена, устройство может быть уничтожено или отключено, это может привести к утечке конфиденциальной информации или нарушению безопасности. Трояны скрытны, что означает, что предварительное условие для активации - очень редкое событие. Традиционных методов тестирования недостаточно. Производственный дефект происходит в случайном месте, а злонамеренные изменения хорошо размещены, чтобы избежать обнаружения.

Обнаружение [ править ]

Физический осмотр [ править ]

Сначала обрезается формовочное покрытие, чтобы обнажить схему. Затем инженер многократно сканирует поверхность, шлифуя слои чипа. Есть несколько операций по сканированию схемы. Типичными методами визуального контроля являются: сканирующая оптическая микроскопия (SOM), сканирующая электронная микроскопия (SEM), [7] анализ схемы пикосекундной визуализации (PICA), визуализация с контрастированием напряжения (VCI), изменение напряжения под действием света (LIVA) или индуцированное зарядом изменение напряжения(CIVA). Чтобы сравнить план чипа, необходимо сравнить его с изображением фактического чипа. Это все еще довольно сложно. Чтобы обнаружить троянское оборудование, которое включает в себя (крипто) ключи, которые отличаются, можно сделать снимок изображения, чтобы выявить различную структуру на чипе. Единственный известный аппаратный троянец, использующий уникальные криптографические ключи, но имеющий такую ​​же структуру, - это. [8] Это свойство повышает незаметность троянца.

Функциональное тестирование [ править ]

Этот метод обнаружения стимулирует входные порты микросхемы и контролирует выход для обнаружения производственных дефектов. Если логические значения выходных данных не соответствуют подлинному шаблону, то может быть обнаружен дефект или троян.

Встроенные тесты [ править ]

Методы встроенного самотестирования (BIST) и Design For Test (DFT) добавляют к микросхеме схемы (логику), предназначенные для проверки того, что микросхема в том виде, в котором она построена, выполняет свои функциональные спецификации. Дополнительная логика контролирует входной стимул и внутренние сигналы или состояния памяти, как правило, путем вычисления контрольных сумм или открытия внутренних регистров с помощью индивидуализированной техники сканирования.. Там, где DFT обычно координируется с каким-либо внешним механизмом тестирования, микросхемы с поддержкой BIST включают настраиваемые генераторы тестовых шаблонов. Функциональность BIST часто существует для выполнения проверки на высокой скорости (высокой скорости), когда невозможно использовать цепочки сканирования или другие возможности низкоскоростного DFT. Оба метода изначально были разработаны для обнаружения производственных ошибок, но также обладают обоюдоострым потенциалом для обнаружения некоторых эффектов вредоносной логики на микросхеме или для использования вредоносной логикой для скрытой проверки удаленного состояния внутри микросхемы.

Рассмотрим, как DFT распознает непреднамеренную логику. Под воздействием входов DFT подлинный чип генерирует знакомую сигнатуру, а дефектный или измененный чип отображает неожиданную сигнатуру. Подпись может состоять из любого количества данных, выводимых с чипа: всей цепочки сканирования или промежуточных результатов данных. В контексте обнаружения троянов логика DFT может рассматриваться как алгоритм шифрования: использование входных данных DFT в качестве ключа для подписи сообщения, полученного из поведения тестируемого проекта. В контексте предотвращения вторжений функции BIST или DFT обычно отключаются (посредством аппаратной реконфигурации) вне производственной среды, поскольку их доступ к внутреннему состоянию микросхемы может раскрыть ее функцию для скрытого наблюдения или подрывной атаки.

Анализ побочного канала [ править ]

Каждое электрически активное устройство излучает разные сигналы, такие как магнитные и электрические поля. Эти сигналы, вызванные электрической активностью, можно анализировать, чтобы получить информацию о состоянии и данных, которые обрабатывает устройство. Были разработаны передовые методы измерения этих побочных эффектов, и они очень чувствительны ( атака по побочным каналам ). Следовательно, можно обнаруживать тесно связанных троянцев путем измерения этих аналоговых сигналов. Измеренные значения могут использоваться в качестве подписи для анализируемого устройства. Также часто оценивается набор измеренных значений, чтобы избежать ошибок измерения или других неточностей.

См. Также [ править ]

  • FDIV
  • Аппаратный бэкдор
  • Обфускация оборудования
  • Аппаратная безопасность
  • Аварийная кнопка
  • Физическая неклонируемая функция (PUF)
  • Переключатель безопасности

Дальнейшее чтение [ править ]

  • Майнак Банга и Майкл С. Сяо: региональный подход к идентификации аппаратных троянов, Департамент электротехники и вычислительной техники Брэдли, Технологический институт Вирджинии, Host'08, 2008 г.
  • А.Л. Д'Суза и М. Сяо: Диагностика ошибок последовательных цепей с использованием региональной модели, Труды конференции по проектированию СБИС IEEE, январь 2001 г., стр. 103–108.
  • К. Фагот, О. Гаскуэль, П. Жирар и К. Ландро: Расчет эффективных семян LFSR для встроенного самотестирования, Proc. Of European Test Workshop, 1999, стр. 7–14.
  • Г. Хетерингтон, Т. Фрайарс, Н. Тамарапалли, М. Кассаб, А. Хассан и Дж. Райски: Logic BIST для крупных промышленных образцов, реальные проблемы и тематические исследования, ITC, 1999, стр. 358–367
  • WT Cheng, M. Sharma, T. Rinderknecht и C. Hill: Signature Based Diagnosis for Logic BIST, ITC 2006, октябрь 2006 г., стр. 1–9
  • Раджат Субхра Чакраборти, Сомнат Пол и Сваруп Бхуниа: Прозрачность по запросу для улучшения обнаруживаемости аппаратных троянов, Департамент электротехники и информатики, Университет Кейс Вестерн Резерв, Кливленд, Огайо, США
  • Йер Джин и Йоргос Макрис: Обнаружение аппаратных троянов с помощью отпечатка задержки пути, факультет электротехники Йельского университета, Нью-Хейвен
  • Реза Рад, Мохаммад Тегеранипур и Джим Плюсскеллик: Анализ чувствительности к аппаратным троянам с использованием переходных сигналов источника питания, 1-й международный семинар IEEE по аппаратно-ориентированной безопасности и доверию (HOST'08), 2008 г.
  • Дакши Агравал, Сельчук Бактир, Дениз Каракоюнлу, Панкадж Рохатги и Берк Сунар: Обнаружение троянов с использованием отпечатков пальцев IC, IBM TJ Watson Research Center, Yorktown Heights, Электротехника и компьютерная инженерия Вустерский политехнический институт, Вустер, Массачусетс, 10 ноября 2006 г.
  • П. Сонг, Ф. Стеллари, Д. Пфайфер, Дж. Калп, А. Вегер, А. Бонной, Б. Виснифф, Т. Таубенблатт: MARVEL - Распознавание и проверка вредоносных изменений с помощью излучения света, IEEE Int. Symp. по аппаратно-ориентированной безопасности и доверию (HOST), стр. 117–121, 2011 г.
  • Xiaoxiao Wang, Mohammad Tehranipoor и Jim Plusquellic: Detecting Malicious Inclusions in Secure Hardware, Challenges and Solutions, 1st IEEE International Workshop on Hardware-Oriented Security and Trust (HOST'08), 2008
  • Мирон Абрамовичи и Пол Брэдли: Безопасность интегральных схем - новые угрозы и решения
  • Чжэн Гун и Марк X. Маккес: Аппаратные побочные каналы троянских программ, основанные на физических неклонируемых функциях - теория и практика информационной безопасности. Безопасность и конфиденциальность мобильных устройств в беспроводной связи 2011, Конспект лекций по информатике 6633, P294-303.
  • Василиос Мавроудис, Андреа Черулли, Петр Свенда, Дэн Цврчек, Душан Клинец, Джордж Данезис. Прикосновение зла: высоконадежное криптографическое оборудование из ненадежных компонентов. 24-я конференция ACM по компьютерной и коммуникационной безопасности, Даллас, Техас, 30 октября - 3 ноября 2017 г.
  • Синьму Ван, АТАКИ НА ОБОРУДОВАНИЕ TROJAN: АНАЛИЗ УГРОЗ И НИЗКИЕ ПРОТИВОДЕЙСТВИЯ С ПОМОЩЬЮ БЕСПЛАТНОГО ОБНАРУЖЕНИЯ И БЕЗОПАСНОГО ДИЗАЙНА, ПРИМЕР УНИВЕРСИТЕТА ЗАПАДНОГО РЕЗЕРВА.

Ссылки [ править ]

  1. ^ Обнаружение аппаратных троянов с помощью GateLevel InformationFlow Tracking, Вэй Ху и др., Публикация IEEE, 2015 г.
  2. ^ Обнаружение аппаратных троянов с помощью GateLevel InformationFlow Tracking, Вэй Ху и др., Публикация IEEE, 2015 г.
  3. ^ Создание троянского оборудования дома, BlackHat Asia 2014
  4. ^ Zeng Gong и Marc X. Makkes "Аппаратные побочные каналы троянских программ, основанные на физических неклонируемых функциях", WISTP 2011, LNCS 6633, стр. 293-303 doi : 10.1007 / 978-3-642-21040-2_21
  5. ^ Дж. Кларк, С. Леблан, С. Найт, Компрометация через USB-аппаратный троян, Future Generation Computer Systems (2010) (в печати). DOI : 10.1016 / j.future.2010.04.008
  6. ^ Джон Кларк, Сильвен Леблан, Скотт Найт, «Аппаратное троянское устройство, основанное на непреднамеренных USB-каналах», Безопасность сети и системы, Международная конференция, стр. 1-8, 2009 г. Третья международная конференция по сетевой и системной безопасности, 2009 г. doi : 10.1109 / NSS.2009.48
  7. ^ Swapp, Сьюзен. «Сканирующая электронная микроскопия (СЭМ)» . Университет Вайоминга.
  8. ^ Zeng Gong и Marc X. Makkes "Аппаратные побочные каналы троянских программ, основанные на физических неклонируемых функциях", WISTP 2011, LNCS 6633, стр. 293-303 doi : 10.1007 / 978-3-642-21040-2_21

Внешние ссылки [ править ]

  • Лекция по аппаратным троянам - Университет Флориды
  • Сайт Trust-Hub