А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

24. Agrawal D. et al. Trojan detection using IC fingerprinting // Security and Privacy, 2007. SP>07. IEEE Symposium on // IEEE, 2007. C. 296310.

25. Jin Y., Makris Y. Hardware Trojans in wireless cryptographic integrated circuits // Design & Test, IEEE. Iss. 99. 2013. C. 1.

26. Lin L., Burleson W., Paar C. MOLES: malicious off-chip leakage enabled by side-channels // Proceedings of the 2009 International Conference on Computer-Aided Design. ACM, 2009. C. 117–122.

27. Adee S. The hunt for the kill switch // Spectrum, IEEE. 2008. T. 45. № 5. C. 34–39.

28. Wolff F. et al. Towards Trojan-free trusted ICs: Problem analysis and detection scheme // Proceedings of the conference on Design, automation and test in Europe. ACM, 2008. C. 1362–1365.

29. Karri R. et al. Trustworthy hardware: Identifying and classifying hardware trojans // Computer. 2010. T. 43. № 10. C. 39–46.

Относительная простота внедрения вышеописанных аппаратных троянов в любую современную микросхему, конечно не может не вызывать беспокойства у специалистов по кибербезопасности. Из анализа предыдущих материалов известно, что подобные злонамеренные модификации могут быть внесены в аппаратную часть ИС как на этапе разработки, так и в процессе производства, включая такие стадии как спецификация, проектирование, верификация и изготовление. Более того, подобный аппаратный троян может быть внедрен в уже изготовленную ИС [1]. Сложившаяся на момент издания книги ситуация осложняется тем, что современные тенденции в полупроводниковой промышленности характеризуются детально описанным выше разделением основных этапов процесса разработки и изготовления ИС, на так называемый подэтапы, причем последние выполняются обычно несколькими крупными фабриками, разбросанными по всему миру, преимущественно в Азии. Привлечение сторонних соисполнителей теперь характерно не только для изготовления ИС, но и для проектирования: разработчики пользуются сторонним программным обеспечением, широко используют уже готовые стандартные блоки (IP-блоки), спроектированными вообще третьей стороной. IP-блоки часто поставляются в цифровом виде и проектируются сторонними фирмами, специализирующимися на определенных технических проектах. Поэтому аппаратный троян может выглядеть как вроде бы незначительное изменением параграфа в спецификации на микросхему или, дополнительной строкой в исходном коде, написанном на языке высокого уровня описания аппаратуры (HDL), или же модификацией конструкции кремниевого кристалла, на выполненной без ведома заказчика производственной фабрике, например, небольшим изменением топологии одного из миллионов транзисторов. Как было отмечено выше, если изменение выполнено в диффузионном или имплантированном слое, то на чипе оно становится практически «невидимым» [3].

В настоящее время проблема аппаратных закладок всесторонне исследуется в мире. Так, политехническим институтом Нью-Иорк-ского Университета несколько лет проводились специальные соревнования между командами специалистов по внедрению и поиску подобных внедренных специальных устройств [4], что способствует развитию технологий предупреждения способов внедрения и методов обнаружения аппаратных троянов. Агентство по перспективным оборонным научноисследовательским разработкам США (DARPA) инициировала в 2007 году специальную программу по обеспечению аутентичности используемых в военных системах США микросхем и финансирует целый ряд НИОКР по развитию методов и новых технологий обнаружения аппаратных троянов [5]. Большинство других публикуемых исследований проводится университетскими группами и в основном посвящены методам предотвращения внедрения троянов на стадии разработки ИС, а также способам их выявления в ИС уже после изготовления.

Понятно, что если аппаратный троян когда-либо был внесен в систему, то он присутствует там всегда независимо от того, включена она или выключена. Потенциально он может нарушить работу всей системы, если внесен в любую из составляющих ее ИС. Воздействие аппаратных троянов может варьироваться от простых целевых атак до сложных комбинированных атак, которые обеспечивают «точку опоры» последующим программным атакам еще более высокого уровня. К целевым, в частности, относятся следующие атаки:

• изменение бита информации, нарушающего целостность хранимых данных;

• ослабление функциональности криптографических ядер;

• атаки, приводящие к утечке конфиденциальной информации.

Система может быть инфицирована даже не одним, а несколькими аппаратными троянами, которые совместными действиями подрывают ее безопасность.

Для полного понимания воздействия аппаратных троянов на системы и разработки методов их обнаружения необходимо изучить механизмы внесения изменения информации при внедрении троянов, а также возможных различных механизмов их активации. Поэтому исследования возможных угроз, которые несут трояны, разработка конструкции и методов их внедрения, механизмов активации являются необходимой частью работы в поиске способов предупреждения внедрения, выявления и про-тиводействия аппаратным закладкам для обеспечения безопасности используемых ИС.

Разработка и изготовление ИС, как правило, включают такие этапы, как спецификация ИС, ее разработка, изготовление, тестирование и сборка. Сегодня они должны рассматриваться и как стадии, на которых злоумышленник может внедрить свою аппаратную закладку. На этапе спецификации (подготовки технического задания) определяются характеристики системы, в том числе используемые модели и предполагаемая функциональность ИС. После этого этапа характеристики системы реализуются на стадии проектирования в определенном целевом конструктивно-технологическом базисе с учетом функциональных и физических ограничений. На этапе производства ИС изготавливается комплект фотошаблонов, и проводится цикл изготовления кристаллов ИС на кремниевых пластинах с последующей проверкой их функциональных и физических характеристик. Далее проводится резка пластин на чипы, их кор-пусирование, тестирование готовых к эксплуатации ИС, испытание и приемка. На рис. 7.5 приведены основные стадии разработки ИС и соответствующие им оценки уровней опасности внедрения аппаратных троянов [7].

Относительно неуязвимыми с точки зрения возможности внедрения аппаратных троянов являются только этапы спецификации, Рис. 7.5. Стадии производства ИС и соответствующие уровни опасности внедрения аппаратной закладки [7]

тестирования в корпусе, а также испытания и приемки. Все остальные этапы в принципе уязвимы к внедрению аппаратных троянов, и уровни безопасности ИС на них должен определяется теми соисполнителями, которые обеспечивают изготовление ИС и ее тестирование, а также поставщиками средств разработки, IP-блоков и библиотек. Для обеспечения и подтверждения высокого уровня безопасности каждый руководитель проекта обязан утвердить и выполнять специальную программу мероприятий, форма которой утверждена Министерством обороны США (состав и детальное описание будет представлено ниже). Но даже те этапы, которые отмечены выше как безопасные, также могут быть подвержены влиянию злоумышленника, например, возможна настройка аппаратной закладки даже во время тестирования или во время поставки ИС. Поэтому полный цикл проектирования и производства ИС должен быть всесторонне исследован с рассмотрением как стратегий эффективной профилактики внедрения троянов, так и технологий их обнаружения. Это является основной целью вышеуказанных программ обеспечения информации.