А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

С точки зрения безопасности, разработка трёхмерных ИС требует уже совершенно новой экосистемы цепочки поставок, что также связано с новыми рисками внедрения аппаратных троянов. Так как эта технология подразумевает объединение в одном корпусе нескольких кристаллов, изготавливаемых на разных заводах, в производстве трёхмерной ИС также могут одновременно участвовать как надёжные, так и ненадёжные производители. В результате появляются новые модели угроз внедрения троянов в трёхмерные микросхемы, так как одни кристаллы могут быть изготовлены надёжными производителями, а другие — ненадёжными. Для предотвращения внедрения трояна в такую трёхмерную микросхему, требуется соответствующая полная модель угрозы. Кроме того, в отличие от обычных однослойных ИС, в процессе объединения нескольких кристаллов трёхмерной ИС также производится ряд промежуточных действий, таких как компоновка и соединение при помощи вертикальных промежуточных соединений (TSV). При этом также возникают новые риски внедрения аппаратных троянов. Например, совершенно новое явление — злонамеренная модификация TSV. Относительно недавно Hasan и др., 2015 представили аппаратный троян, использующий уникальную структуру трёхмерных ИС. Недостатком трехмерных ИС является высокий нагрев средних уровней по причине длительного пути рассеивания тепла, что может приводить к значительным задержкам. Эта особенность легко может использоваться для срабатывания соответствующего трояна. Предлагаемый метод использует только эффект нагрева средних уровней трёхмерной микросхемы для запуска трояна. Это может быть предотвращено по мере усовершенствования технологии охлаждения в таких ИС. Помимо исследования триггеров такого типа, также необходимы и другие дополнительные исследования аппаратных троянов в трёхмерных микросхемах.

В данном разделе мы рассмотрим основные моменты направлений дальнейших исследований аппаратных троянов, составленный на основе предложений, изложенных в работе [1].

Стандартные (имеющиеся на открытом коммерческом рынке) компоненты (COTS) становятся значительной угрозой для многих систем критической важности, однако, к сожалению, на момент выхода этой книги этой проблеме посвящено очень мало работ. В принципе, возможно два подхода к созданию безопасной системы на основе ненадежных готовых коммерческих микросхем. Первый подход заключается в валидации микросхемы перед установкой в систему, чтобы убедиться в отсутствии троянов. Проверка подлинности готовых коммерческих микросхем является достаточно сложной задачей, поскольку такие компоненты не имеют возможности отслеживания, а подробная информация о внутренней структуре обычно недоступна. В большинстве случаев доступная для таких компонентов информация представлена только официальной документацией, такой как листы технических данных («datasheet») и спецификации. Но ведь, пользователь должен убедиться, что функции и характеристики компонента точно соответствуют указанным в документах. Возможно выполнение большого числа различных функциональных и параметрических тестов для проверки соответствия требованиям. Однако тестирование компонента неизвестного происхождения является очень сложной технической задачей и требует значительных временных затрат. Кроме того, выполнение исчерпывающего тестирования непрактично для компонентов с большой и комплексной структурой. Для получения полного списка связей и информации о внутренней структуре могут быть использованы методы разрушавшего и неразрушающего обратного проектирования. Моделирование на основе полученного списка связей также может ускорить процесс валидации. Другим способом ясно определения внутренних свойств являются структурные и функциональные анализы, выполняемые путём подключения к контактам. Некоторые функции могут быть идентифицированы, если структура была достаточно определена посредством анализа тест-шабло-нов на входах/выходах и проверки модели [Li и соавт. 2012]. Состояние любого выхода компонента также может быть рассчитано. Если расчетное состояние исследуемого выхода отличается от реального, такое несоответствие вполне может быть вызвано наличием встроенного аппаратного трояна. Второй подход заключается в создании такой безопасной архитектуры системы, которая может реализовать надежные вычисления на основе ненадежных готовых коммерческих компонентов, допуская при этом даже наличие аппаратных троянов (например, метод «SAFER PATH» [Beaumont и соавт., 2012]). Крометого, был разработан ряд методов надежных вычислений для решения проблемы ненадежного стороннего 1Р-ядра. При этом требуется ряд определённых технических улучшений метода для обеспечения возможности проверки подлинности компонентов.

Как было описано выше, все существующие методы обнаружения троянов пока недостаточно эффективны. Например, методы подхода на основе «надёжного проектирования», как правило, требуют добавления дополнительных схем, что неизбежно приводит к увеличению задержки и потребляемой мощности. Несмотря на то, что было разработано множество различных методов, разработчикам всё еще приходится определять наиболее эффективный и экономичный метод противодействия для каждого конкретного проекта, который и будет использован в первую очередь. Принятие решения о выборе метода производится на этапе проектирования (например, включение элементов, предусматриваемых методом «надёжного проектирования»). Информация о наиболее вероятных аппаратных троянах, которые могут быть внедрены в проект на определённых этапах, может быть очень важна для разработчиков, позволяя усовершенствовать свой проект и применить соответствующие методы защиты для обнаружения (или предотвращения внедрения) троянов. Обеспечение безопасности на уровне проекта вместо внедрения функций «надёжного проектирования», являющихся слишком консервативными, а также контроля всех сигналов/цепей или логических элементов, может быть менее затратным подходом. Однако на данный момент к сожалению не имеется какой-либо исчерпывающей метрики, позволяющей оценить уязвимости проекта к аппаратным троянам. Возможно, в закрытых лабораториях спецслужб такие методы и есть, но в открытой печати они не обсуждаются — Salmani и соавт. разработали несколько оригинальных методологий для оценки возможности тестирования внутренних сигналов и определения восприимчивости схемы к внедрению трояна на поведенческом уровне (Salmani и Tehranipoor, 2013) и уровне логических элементов (Salmani и соавт., 2013). Такой анализ позволяет в количественной форме определить сложность активации каждой строки кода либо сигнала, а также обеспечить наблюдения внутренних сигналов через первичные выходы.