А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

1. Требуются определенные физические различия процессорных элементов, чтобы исключить вероятность наличия одинаковых или схожих аппаратных троянов. Авторы отметили, что этого можно достичь, используя уникальные описания на уровне регистровых передач одинаковых спецификаций процессорных элементов, созданных разными разработчиками при помощи разных инструментов проектирования. Такие микросхемы с различными описаниями могут быть затем изготовлены на разных предприятиях с использованием разных технологических процессов, геометрий и библиотек ячеек. Выполнения данного требования очень сложно достичь для неотслеживаемых готовых коммерческих компонентов.

2. Метод обеспечивает защиту только процессорных (обрабатывающих) элементов. При этом системные элементы других типов, такие как память или шины данных не защищены от трояна. Поэтому наличие эффективных и комплексных решений для проверки подлинности готовых коммерческих компонентов и/или обеспечения безопасности системы при использовании таких компонентов всё ещё необходимо.

Практически все методы обнаружения аппаратных троянов подразумевают наличие эталонной модели. Для существующих методов обнаружения троянов в основном требуются два вида эталонных моделей: эталонный проект или эталонная ИС. Эталонные проекты, как правило, требуются для методов обнаружения троянов до реализации в кремнии для валидации уровня регистровых передач/списка связей IP-ядра или проектов ИС типа SoC. Для верификации и проверки подлинности IP-ядра сторонних производителей требуется некий эталон их функций или характеристик. Кроме того, часть методов обнаружения троянов после реализации в кремнии требует наличия эталонных проектов (на уровне логических элементов или топологии). Метод разрушающего обратного проектирования подразумевает наличие эталонного списка связей или топологического чертежа для сравнения. При функциональном тестировании также требуются эталонные проекты для генерации тестовых шаблонов и определения правильности ответов. Возможность получения эталонного проекта зависит от трех факторов: Поставщик IP-ядра, разработчик ИС типа SoC, а также используемые ими сторонние инструменты разработки. Во всех моделях угроз за исключением модели В (А, С, D, Е, F и G) имеются ненадежные стороны, участвующие в разработке проекта. Таким образом, наличие идеального эталонного проекта не представляется возможным в большинстве сценариев. С другой стороны, поскольку разработчики ИС типа SoC являются надёжными в моделях А и F, они имеют возможность создания эталонного проекта ИС только при условии, что сторонние IP-ядра также являются надёжными или могут быть верифицированы. Если разработчик ИС типа SoC ненадёжен, то теоретически невозможно создать полный эталонный проект, так как этап проектирования обычно уже близок к завершению. Поэтому мы можем утверждать, что эталонный проект не может быть получен для моделей С, D, Е и G.

Эталонная ИС представляет собой изготовленный компонент с подлинной функциональностью. Наличие эталонной ИС требуется для большинства методов обнаружения после реализации в кремнии, в частности, для методов анализа сторонних каналов. Большинство методов анализа сторонних каналов требуют наличия эталонной ИС для сравнения различной информации о сторонних каналах, включая задержку, потребляемую мощность, температуру, электромагнитное излучение и т. д. Одно из требований для определения эталонной ИС заключается в том, что проект, передаваемый изготовителю, должен быть надёжным. Это подразумевается только моделями В и F. При наличии эталонного проекта, эталонная ИС может быть получена несколькими методами. Самый простой способ — полное обратное проектирование (реинжениринг) партии готовых ИС для определения эталонных ИС на основе информации об эталонном проекте. Могут также быть использованы как неразрушающие, так и разрушающие методы обратного проектирования, описываемые в Разделе 2.2.1.

Хотя при неразрушающем обратном проектировании исследуемая ИС остаётся целой, однако разрушающее обратное проектирование может обеспечить лучшее разрешение. Оба типа обратного проектирования являются дорогостоящими и трудоемкими процессами, что приводит к значительным расходам. Другой подход подразумевает производство небольшого количества ИС на другом, надёжном заводе. Такие ИС могут считаться эталонными. Однако ИС, изготовленные на различных заводах, могут иметь различия по причине использования различных библиотек стандартных ячеек. Это неизбежно приведёт к различию сигналов на сторонних каналах. Более того, ИС одного проекта на различных заводах могут быть изготовлены с использованием различных производственных технологий, что также может привести к различию физических характеристик. Поэтому ИС, изготовленные отдельно, не во всех случаях могут использоваться в качестве эталонных ИС для анализа сигналов на сторонних каналах.

Также были разработаны несколько методов обнаружения троянов, не требующих наличия эталонной модели. Narasimhan и соавт., 2011 предложили временной автореферентный подход, при котором производится сравнение текущей сигнатуры ИС в двух разных временных окнах, что позволяет полностью исключить влияние рабочих шумов, однако данный метод имеет несколько недостатков. Он применим только для последовательных троянов, которые имеют различные состояния в своих конечных автоматах, а возможное изменение логического состояния трояна — еще одна проблема во время тестирования. Liu и соавт., 2014 используют встраиваемые в кристалл элементы контроля процесса, обеспечивающие мониторинг изменений процесса для каждой ИС, а затем статистически определяют надёжную область для обнаружения трояна путём анализа сторонних каналов. Zhang и соавт., 2013 попытались установить зависимость между сигналами на сторонних каналах в ИС путём определения характеристик на уровне логических элементов, а затем вычислить расчетное значение сигнала стороннего канала из других измеренных сигналов. Затем проводилось сравнение расчетного значения с реальным измеренным значением. Несмотря на то, что данные методы устраняют необходимость эталонной ИС путем моделирования, эффективность сильно зависит от точности модели и, таким образом, влияет на уровень достоверности обнаружения троянов. Поэтому эталонная модель по-прежнему является значительной проблемой для методов обнаружения.

Поскольку от интегральных схем всё чаще требуется более высокая функциональность, более высокая рабочая частота, а также меньшая мощность, многие разработчики ИС постепенно начинают использовать технологию трёхмерных (3D) интегральных схем, в которых различные горизонтальные уровни соединяются при помощи вертикальных промежуточных соединений (TSV). Разработчики трёхмерных ИС обещают объединение в одной микросхеме не только КМОП-компонентов, но и элементов, выполняющих нестандартные функции (принцип «more than Мооге», «больше, чем закон Мура»), Множество функциональных элементов с малой площадью обеспечивает одновременное повышение производительности и снижение затрат. В корпусах трёхмерных ИС может даже размещаться несколько кристаллов из разных материалов (кремний и арсенид гелия) в разных функциональных узлах (Cadence, 2011).