А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Пересмотр проекта и устранение цепей с низкой контролепригодностью может повысить возможность обнаружения злонамеренного поведения аппаратного трояна. Однако данных таких анализов недостаточно для надёжного проектирования на уровне регистровых передач или логических элементов, поскольку для них функции схемы не учитываются во время анализа. Для некоторых модулей, критических с точки зрения безопасности (таких как блоки шифрования/ дешифрования), более высокий уровень безопасности должен быть обеспечен на этапе проектирования. Кроме того, анализ уязвимости к аппаратным троянам может быть расширен до системного и топологического уровней. На системном уровне методы «надёжного проектирования» для надежных вычислений могут быть использованы для обеспечения безопасности блоков критических вычислений. Разработчики могут определить, следует ли жертвовать некоторой площадью кристалла и производительностью схемы, чтобы сделать архитектуру системы невосприимчивой к аппаратным троянам. Анализ уязвимостей на топологическом уровне может быть очень эффективным, так как этот уровень является последним при проектировании. Ограничение доступного пространства (например, метод встроенного механизма самоаутентификации) может предотвратить внедрение аппаратных троянов ненадёжными изготовителями (модель атаки В) [Xiao и Tehranipoor, 2013]).

Поскольку наличие аппаратных троянов в структуре ИС очень сложно обнаружить или предотвратить, обеспечение конструктивной невосприимчивости или устойчивости к аппаратным троянам является еще одним способом защиты проектов от внедрения троянов. Невосприимчивая к аппаратным троянам конструкция, как правило, подразумевает три подхода: первый подход — пресечение активного поведения трояна. В разделе 2.2.2 нашей энциклопедии приводится несколько примеров конструкций и структур, невосприимчивых к действиям аппаратных троянов, даже если они и присутствуют в схеме. Например, надежность вычислений достигается за счет использования различных IP-ядра для выполнения одной и той же задачи. Другой подход заключается в предотвращении запуска аппаратного трояна. Поскольку для запуска большинства троянов требуется определённое условие, это также обеспечивает возможность выполнения надежных операций на аппаратной платформе при условии предотвращения запуска троянов.

Последний подход заключается в предотвращении внедрения аппаратного трояна. Несколько методов, описанных в разделе 2.2.2, направлены на то, чтобы препятствовать обратному проектированию злоумышленниками на ненадёжном заводе и предотвратить возможность внедрения специализированных аппаратных троянов. Данные методы в основном сфокусированы на модели атаки В, в то время как остальным моделям внимание практически не было уделено.

В соответствии с классификацией аппаратных троянов (Tehranipoor и Wang, 2012), аппаратные трояны могут быть внедрены на любом этапе разработки, от спецификации до сборки и помещения в корпус. Помимо стороннего поставщика IP-ядра и завода изготовления, в процессе также могут участвовать сторонние организации, выполняющие тестирование и сборку ИС. Тем не менее, практически во всех работах рассматриваются аппаратные трояны и меры противодействия, направленные на трояны, внедряемые на этапе проектирования либо изготовления. Только в нескольких работах рассматриваются потенциальные угрозы внедрения аппаратных троянов во время проектирования спецификации, при использовании инструментов проектирования (EDA), а также в ходе испытаний после изготовления и на этапе сборки в корпус.

Типичные аппаратные трояны обычно внедряются для выполнения злонамеренных действий при определенных условиях. Исследователями было предложено несколько новых типов триггеров и вредоносных схем аппаратных троянов, как описано в разделе 2.1. Например, были созданы трояны, радикальным образом ускоряющие износ компонента (Шияновский и соавт., 2010). Трояны на основе легирования являются более незаметными, поскольку не связаны с внедрением дополнительных схем в исходную структуру. Возникают риски троянских атак с использованием развивающихся в настоящее время наноразмерных устройств. Кроме того, стремление к использованию большего числа транзисторов, а также к объединению большего числа функций в ИС, приводят к внедрению технологии трехмерных интегральных схем. Новые трёхмерные ИС могут изменить существующие архитектуры цепей и цепочку поставок ИС, а также привести к возникновению новых угроз аппаратных троянов. Таким образом, необходима разработка дополнительных моделей атаки для трёхмерных микросхем (аналогично моделям, описанным в главе 3). Что касается методов противодействия, существующие методы для двумерных ИС могут быть адаптированы для трёхмерных ИС.

Например, методы обнаружения троянов на основе функциональных тестов должны рассматриваться на двух уровнях: до объединения и после объединения кристаллов в корпус. Существующие методы функционального тестирования применимы к тестированию до объединения (проверка непосредственно на пластине). Тестирование после объединения (комплексный тест после помещения кристалла в корпус) необходимо для обнаружения потенциальных аппаратных троянов.

В заключение этого раздела следует сказать, что аппаратные трояны представляют актуальную тему для исследований, которая в течение последнего десятилетия привлекла значительное внимание. Исследователи добились значительного прогресса в данной области. Путём вышеизложенного анализа комплексных моделей угроз аппаратных троянов, а также всех предыдущих исследований, было выявлено несколько неисследованных проблем, по которым необходимо активизировать дальнейшие исследования аппаратных троянов.

Если проблемы обеспечения информационной безопасности специалистам давно и достаточно хорошо известны, то проблема обеспечения контроля безопасности в микроэлектронике для отечественных разработчиков — проблема новая и пока на страницах научно-технической печати она не обсуждается.

Целью данноого раздела является анализ зарубежного опыта в области обеспечения безопасности каналов поставок микросхем, изготовленных на зарубежных полупроводниковых производствах и предназначенных для комплектации радиоэлектронных систем ответственного назначения. Здесь в обобщенном виде рассмотрим основы государственной политики США и стран НАТО, концепции, методы, нормативные требования и основные технические средства обеспечения безопасности (достоверности) в современном микроэлектронном производстве.