eng
Выпуск #7/2016
Е.Кузнецов, А.Сауров
Аппаратные трояны. Часть 1: новые угрозы кибербезопасности
Аппаратные трояны. Часть 1: новые угрозы кибербезопасности
Просмотры: 4018
Рассмотрены потенциальные угрозы кибербезопасности, которые несут аппартные трояны. Анализируются возможные пути их несанкционированного внедрения. Приведена всесторонняя классификация аппаратных троянов.
DOI:10.22184/1993-8578.2016.69.7.16.25
DOI:10.22184/1993-8578.2016.69.7.16.25
Теги: hardware backdoor hardware trojan integrated circuit malicious modification аппаратная закладка аппаратный троян интегральная схема несанкционированная модификация
За последние десятилетия электронные системы от компьютеров до средств автоматизации, управления и контроля прочно вошли в нашу повседневную жизнь, и затрагивают все ее стороны. Построение и функционирование таких систем основано на интегральных микросхемах (ИС). ИС являются элементной базой всех современных электронных систем, обрабатывающих информацию в важнейших отраслях, включая финансовый, промышленный, оборонный и транспортный сектор. Проблема надежности и безопасности выполнения ИС своих функций тесно связана с обеспечением кибербезопасности электронных систем. В последнее время в связи с глобализацией и увеличивающейся сложностью ИС, эта проблема приобретает все большую актуальность. Без ее решения электронные системы могут не только не выполнять те функции, которые заложены в них согласно спецификации, но и выступать проводником внешних злонамеренных атак на систему.
В последние годы появились новые потенциальные угрозы безопасности в рассматриваемой сфере, основанные на аппаратных средствах, – так называемые аппаратные закладки или аппаратные трояны, которые представляют собой намеренную злоумышленную модификацию электрической схемы или ее конструкции, приводящую к некорректному функционированию электронного устройства. Подобно программной закладке (программному трояну), аппаратная закладка представляет собой своего рода черный вход в электронное устройство. При этом аппаратный троян обладает дополнительным преимуществом – он постоянно присутствует на самом низком уровне обработки информации, что ведет к сохранению угроз отказа или отклонения от нормального функционирования ИС на протяжении всего времени использования электронного устройства, причем проблему невозможно предотвратить никакими программными или аппаратными средствами защиты. Несанкционированной модификации может быть подвержен любой тип ИС и, это может быть причиной, как несущественных частичных сбоев, так и полного отказа системы. Аппаратный троян может воздействовать на систему самостоятельно, а может активироваться программным обеспечением, в которое преднамеренно заложена такая возможность. Аппаратная закладка может долгое время оставаться бездействующей и активироваться через заданное время, внешним воздействием или некоторыми определенными активными процессами в работе ИС. Спектр аппаратных закладок – их возможности, размеры, механизмы срабатывания, потребляемая мощность – огромен, что в совокупности с увеличивающейся сложностью ИС, как на физическом, так и на функциональном уровнях, предоставляют широкие возможности злоумышленнику для скрытного размещения аппаратных троянов.
Относительная простота внедрения аппаратных закладок в современную ИС не может не вызывать беспокойство. Модификации могут быть внесены в аппаратную часть ИС как на этапе разработки, так и в процессе производства, включая такие стадии как спецификация, проектирование, верификация и изготовление. Более того, аппаратная закладка может быть внесена в уже изготовленную ИС [1]. Ситуация осложняется тем, что современные тенденции в полупроводниковой промышленности характеризуются разделением разработки и изготовления ИС, причем последнее выполняется несколькими фабриками, разбросанными по всему миру, преимущественно в Азии. Привлечение сторонних соисполнителей характерно не только для изготовления ИС, но и для проектирования: разработчики пользуются сторонним программным обеспечением, широко используют готовые блоки (IP-блоки), спроектированными третьей стороной. IP-блоки часто поставляются в бинарном виде и проектируются сторонними фирмами, специализирующимися на определенных технических проектах. Поэтому аппаратный троян может быть простым изменением параграфа в спецификации, дополнительной строкой в исходном коде, написанном на языке описания аппаратуры (НDL), или же модификацией кремниевого кристалла на производственной фабрике, например, небольшим изменением топологии транзистора. Если изменение выполнено в диффузионном слое, то на чипе оно становится практически "невидимым" [2].
В настоящее время проблема аппаратных закладок всесторонне исследуется в мире. Так, политехническим институтом Нью-Йоркского Университета ежегодно проводятся соревнования между командами по внедрению и поиску специальных устройств [3], что способствует развитию технологий предупреждения внедрения и методов обнаружения аппаратных троянов. Агентство по перспективным оборонным научно-исследовательским разработкам США (DARPA) инициировала в 2007 году специальную программу по обеспечению аутентичности используемых в военных системах США микросхем и проводит НИОКР по развитию методов и технологий обнаружения аппаратных закладок [4]. Большинство других публикуемых исследований проводится университетскими группам и в основном посвящены методам предотвращения внедрения троянов при разработке ИС, а также способам их выявления в ИС после изготовления.
Если аппаратный троян когда-либо был внесен в систему, то он присутствует всегда независимо от того, включена она или выключена. Потенциально он может нарушить работу всей системы, если внесен в любую из составляющих ее ИС. Воздействие аппаратных троянов может варьироваться от простых целевых атак до сложных атак, которые обеспечивают точку опоры программным атакам высокого уровня. К целевым, в частности, относятся следующие атаки:
изменение бита информации, нарушающего целостность хранимых данных;
ослабление функциональности криптографических ядер;
атаки, приводящие к утечке конфиденциальной информации.
Система может быть инфицирована несколькими аппаратными закладкам, которые совместными действиями подрывают ее безопасность.
Для полного понимания воздействия аппаратных троянов на системы и их обнаружения необходимо изучение возможностей изменения информации при внедрении закладок, а также возможных механизмов их активации. Поэтому исследования возможных угроз, которые несут трояны, разработка конструкции и методов их внедрения, механизмов активации являются необходимой частью работы в поиске способов предупреждения внедрения, выявления и противодействия аппаратным закладкам для обеспечения безопасности используемых ИС.
При рассмотрении возможных угроз безопасности, исходящих от аппаратной закладки, и определения ее влияния на информационную систему целесообразно структурировать характерные признаки троянов. Для описания таких характерных свойств было предложено несколько классификаций аппаратных троянов. Цели таких классификаций – систематизация изучения, разработка общих методов обнаружения и подходов, обеспечивающих подавление воздействия различных классов троянов, а также сравнение разных методов противодействия. На рис.1 приведена наиболее полная классификация аппаратных троянов, предложенная в статье [5]. В основе этой классификации учитываются как фазы разработки ИС, так и уровни возможного внедрения аппаратных троянов.
Разработка и изготовление ИС, как правило, включают такие этапы, как спецификация ИС, ее разработка, изготовление, тестирование и сборка. Они должны рассматриваться и как стадии, на которых злоумышленник может внедрить аппаратную закладку. На этапе спецификации (подготовки технического задания) определяются характеристики системы, в том числе используемые модели и предполагаемая функциональность ИС. После этого этапа характеристики системы реализуются на стадии проектирования в определенном целевом конструктивно-технологическом базисе с учетом функциональных и физических ограничений. На этапе производства ИС изготавливается комплект фотошаблонов, и проводится цикл изготовления кристаллов ИС на кремниевых пластинах с последующей проверкой их функциональных и физических характеристик. Далее проводится резка пластин на чипы, их корпусирование, тестирование готовых к эксплуатации ИС, испытание и приемка. На рис.2 приведены стадии производства ИС и соответствующие им оценки уровней опасности внедрения аппаратной закладки [6].
Неуязвимыми с точки зрения внедрения аппаратных троянов являются только стадии спецификации, тестирования в корпусе, а также испытания и приемки. Все остальные стадии уязвимы к внедрению аппаратных троянов, и безопасность ИС на них определяется соисполнителями, которые обеспечивают изготовление ИС и ее тестирование, а также поставщиками средств разработки, IP-блоков и библиотек. Но даже стадии, которые отмечены выше как безопасные, могут быть подвержены влиянию злоумышленника, например, возможна настройка аппаратной закладки во время тестирования или во время поставки ИС. Поэтому полный цикл производства ИС должен быть всесторонне исследован с рассмотрением как стратегий эффективной профилактики внедрения троянов, так и технологий их обнаружения.
Трояны могут внедряться в любые элементы информационной системы. Локализация трояна может ограничиваться отдельным компонентом, а может быть рассредоточена и на нескольких компонентах, таких как процессор, память, схемы входа-выхода, источники питания или схемы синхронизации. Особенность локализации определяется сложностью проекта ИС, трудностью внедрения и тем эффектом, который должен вызвать аппаратный троян. В связи с этим необходимо исследовать возможные механизмы работы аппаратных троянов, и на характерных примерах рассмотреть последствия, которые можно ожидать от их внедрения. Тем самым можно охарактеризовать угрозы, связанные с аппаратными троянами.
Аппаратные закладки являются относительно новыми угрозами кибербезопасности, при этом они существенно расширяют возможности для атаки на информационные системы. Ранее атаки ограничивались только программными средствами, сосредотачиваясь на слабых местах программного обеспечения. Средства защиты конкретного программного обеспечения разрабатывались исходя из аутентичности аппаратного обеспечения, поэтому общепринятые подходы к защите программными средствами не способны обеспечить безопасность от аппаратных троянов. С этой точки зрения аппаратные закладки представляют достаточно сложную проблему обеспечения безопасности.
Трояны могут быть внедрены в ИС специализированного назначения (ASIC), в коммерческие электронные компоненты, находящиеся в свободной продаже (COTS – Commercial Off The Shelf), микропроцессоры, цифровые сигнальные процессоры или в виде программных изменений в "прошивке" ПЛИС (FPGA). Учитывая, что изменения вносятся на самый низкий уровень системы, типы нарушающего действия могут иметь разнообразный характер. Эти воздействия можно условно классифицировать как изменение функциональности, изменения спецификации, утечка информации или отказ в обслуживании. Специфические аппаратные трояны могут реализовать любое из этих нарушающих воздействий.
Аппаратные трояны, изменяющие функциональность ИС через внедрение дополнительной логической схемы или посредством выключения части существующей логики, непосредственно ставят под угрозу целостность и сохранность информационной системы. Изменение данных в памяти, воздействие на вычислительные операции или на коммуникационный канал являются характерными целями рассматриваемого внедрения. Модификации функциональности могут носить очень разнообразный характер; воздействия этого класса аппаратных троянов ограничены только ресурсами системы, воображением и умением злоумышленника. Например, в [7] представлен сценарий, в котором простая деструктивная аппаратная закладка может вставить ошибку в алгоритм на основе китайской теоремы об остатках при вычислении криптографического алгоритма с открытым ключом (RSA), что приводит к компрометации RSA- ключа. В работе [5] приводится пример модификации, в результате которой модуль обнаружения ошибок принимает входные сигналы, которые должны быть отклонены.
Непосредственные ошибки в ИС, как например Pentium FDIV (ошибка в модуле операций с плавающей запятой в оригинальных процессорах Pentium выпуска 1994 года), могут быть воспроизведены аппаратной закладкой, причем для предотвращения ее обнаружения может использоваться выборочное включение. Специальные аппаратные трояны могут разрабатываться для изменения порядка выполнения инструкций центрального процессора, утечки данных через побочные каналы, изменения содержимого программируемой постоянной памяти (PROM).
Изменение функциональности системы может быть использовано для поддержки более широких атак. Так, в работе [6] отмечено, что возможности нанесения ущерба безопасности существенно увеличиваются при совместном использовании аппаратной и программной атаки. В качестве примера приведены изменения в центральном процессоре, поддерживающие атаку на программное обеспечение. В итоге предоставление доступа к памяти и модификация программы способствуют расширению полномочий с последующим доступом в систему через черный вход и атакой с кражей пароля.
Изменяющие спецификацию аппаратные трояны характеризуются тем, что искажают параметрические свойства целевой ИС или спецификации, не относящиеся к ее функциональности. Такие параметрические свойства включают синхронизацию или временные характеристики, а также потребляемую мощность ИС. Эффект достигается путем непосредственного изменения внутренних физических свойств – топологии межсоединений и геометрии транзисторных структур. В отличие от аппаратных троянов, которые влияют на функциональность, для этого класса характерны изменения топологии линий разводки и транзисторов, и их разрушительные действия могут приводить к отказам системы [6]. Можно предположить, что в дополнение к рассматриваемым модификациям может быть включена и такая аппаратная закладка, чтобы изменение спецификации имело триггерный или активационный механизм. Для рассматриваемого класса характерны различные типы воздействий на ИС, включая ограничение вычислительных возможностей системы путем внесения в схему генератора системной частоты, модификация вычислительных блоков или ячеек входа-выхода, при которой функциональность этих узлов не изменяется, но ухудшаются пропускные и динамические характеристики. Изменение размещения вентилей или разводки схемы, функционально эквивалентное, но при этом имеющее более высокие паразитные составляющие пассивных элементов, обуславливает ухудшение рабочих характеристик при высокой нагрузочной активности и проявляется в возникновении временных ошибок. В работе [5] приведены примеры схем с перемычками в виде резистора, следствием которого становятся ошибки типа "закоротки" при некоторых режимах работы, и внесением конденсатора, приводящего к увеличению времени задержки за счет увеличения емкостной нагрузки.
Следующий класс троянов охватывает аппаратные модификации, направленные на скрытную передачу конфиденциальных данных от информационной системы злоумышленнику. Такая передача осуществляется без непосредственного участия системы и без ведома пользователя системы. Механизмы передачи могут задействовать как существующие внутренние и внешние каналы системы, так и побочные каналы. Например, в работе [6] отмечается, что утечка информации может происходить по радиочастотному, оптическому и тепловому побочным каналам. Информацию можно извлечь, анализируя потребляемую мощность ИС, ее шумовые характеристики, а также любые другие функциональные и физические характеристики. Интерфейсы RS232 и JTAG также могут быть использованы в качестве каналов утечки. Например, в работе [8] рассмотрена аппаратная закладка, которая позволяет определять ключи шифрования в беспроводной передаче по изменению амплитуды или частоты, которые возникают из-за вариаций технологии изготовления ИС. В работе [9] c использованием метода передачи сигналов с расширенным спектром информация о ключе шифрования извлекалась из изменения уровня собственных шумов КМОП ИС.
Системная модификация на самом низком уровне предоставляет широкий спектр возможностей для реализации ошибки типа "отказ в обслуживании" (DoS), которые варьируются от частичного проявления ошибки до полного и окончательного отключения системы внедрением так называемого "убивающего ключа" (kill switch) [11]. В работе [6] к этому классу отнесены трояны, которые влияют на обслуживание клиентов вычислительной системы через использование ограниченных ресурсов, таких как вычислительная способность, рабочий диапазон, мощность источника питания. Отмечается, что вносящие ошибку физические эффекты, изменение конфигурации системы или ее отключение могут быть временными или постоянными. Аппаратные закладки этого класса могут потреблять избыточную или всю энергию источника питания (аккумулятора), не позволяя системе перейти в спящий режим [11], или путем введения избыточных буферов в межсоединения ИС [12] уменьшать время работы устройства между подзарядками. Аппаратный троян может быть разработан с целью влияния на управление сигналом разрешения записи в память, перезаписывая существующее значение случайной величиной. Это ведет к побочным сбоям в работе служб или частичному и даже полному отключение системы. Ошибки "отказ в обслуживании", вызванные аппаратными троянами, могут быть связаны с преждевременным выходом устройства из строя. Так в работе [6] приведена схема, которая генерирует локальную избыточную мощность, что приводит к ускорению процесса старения ИС, сокращая срок ее службы без нарушения функциональности. Там же делается вывод, что с целью увеличения электромиграции возможно изменение химических компонентов в металлизированной разводке, причем эффект от этого может быть аналогичен увеличению напряжения питания или частоты синхронизации, что ведет к снижению времени наработки на отказ ИС.
***
Несанкционированные злоумышленные модификации ИС могут стать большой проблемой для обеспечения кибербезопасности электронных систем во всем мире, в особенности систем, задействованных в военной сфере и системах безопасности. В настоящее время военные ведомства многих стран не скрывают беспокойства в связи с расширяющимся аутсорсингом в области разработки и производства интегральных электронных компонентов, и зависимости новейших разработок от электронных компонентов, находящихся в свободной продаже. Аппаратные трояны угрожают нарушением целостности данных и функций, выполняемых любой вычислительной системой, которая содержит интегральные электронные компоненты. Суть возможных угроз заключается в функциональных и технических модификациях характеристик ИС, утечке конфиденциальной информации, а также атаках типа "отказ в обслуживании". Для предотвращения таких угроз необходима разработка комплексных методов и стратегий борьбы с аппаратными троянами, их предупреждения и выявления, а также мер противодействия им, что будет рассмотрено в последующих статьях цикла публикаций.
Статья подготовлена при финансовой поддержке Минобрнауки России в рамках выполнения государственного задания 8.527.2016/БЧ.
ЛИТЕРАТУРА
Abramovici M., Bradley P. Integrated circuit security: new threats and solutions //Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research: Cyber Security and Information Intelligence Challenges and Strategies. ACM, 2009. С. 55.
Becker G.T. et al. Stealthy dopant-level hardware trojans //Cryptographic Hardware and Embedded Systems-CHES 2013. Springer Berlin Heidelberg, 2013. С. 197–214.
Embedded System Challenge https://esc.isis.poly.ed
http://www.darpa.mil/Our_Work/MTO/Programs/Trusted_Integrated_Circuits_(TRUST).aspx
Rajendran J. et al. Towards a comprehensive and systematic classification of hardware trojans //Circuits and Systems (ISCAS), Proceedings of 2010 IEEE International Symposium on. IEEE, 2010. С. 1871–1874.
Chakraborty R.S., Narasimhan S., Bhunia S. Hardware Trojan: Threats and emerging solutions // High Level Design Validation and Test Workshop. 2009. HLDVT 2009. IEEE International. IEEE, 2009. С. 166–171.
Agrawal D. et al. Trojan detection using IC fingerprinting //Security and Privacy, 2007. SP›07. IEEE Symposium on // IEEE, 2007. С. 296–310.
Jin Y., Makris Y. Hardware Trojans in wireless cryptographic integrated circuits // Design & Test, IEEE. Iss. 99. 2013. C. 1.
Lin L., Burleson W., Paar C. MOLES: malicious off-chip leakage enabled by side-channels // Proceedings of the 2009 International Conference on Computer-Aided Design. ACM, 2009. С. 117–122.
Adee S. The hunt for the kill switch // Spectrum, IEEE. 2008. Т. 45. № 5. С. 34–39.
Wolff F. et al. Towards Trojan-free trusted ICs: Problem analysis and detection scheme //
Proceedings of the conference on Design, automation and test in Europe. ACM, 2008.
С. 1362–1365.
Karri R. et al. Trustworthy hardware: Identifying and classifying hardware trojans //Computer. 2010. Т. 43. № 10. С. 39–46.
В последние годы появились новые потенциальные угрозы безопасности в рассматриваемой сфере, основанные на аппаратных средствах, – так называемые аппаратные закладки или аппаратные трояны, которые представляют собой намеренную злоумышленную модификацию электрической схемы или ее конструкции, приводящую к некорректному функционированию электронного устройства. Подобно программной закладке (программному трояну), аппаратная закладка представляет собой своего рода черный вход в электронное устройство. При этом аппаратный троян обладает дополнительным преимуществом – он постоянно присутствует на самом низком уровне обработки информации, что ведет к сохранению угроз отказа или отклонения от нормального функционирования ИС на протяжении всего времени использования электронного устройства, причем проблему невозможно предотвратить никакими программными или аппаратными средствами защиты. Несанкционированной модификации может быть подвержен любой тип ИС и, это может быть причиной, как несущественных частичных сбоев, так и полного отказа системы. Аппаратный троян может воздействовать на систему самостоятельно, а может активироваться программным обеспечением, в которое преднамеренно заложена такая возможность. Аппаратная закладка может долгое время оставаться бездействующей и активироваться через заданное время, внешним воздействием или некоторыми определенными активными процессами в работе ИС. Спектр аппаратных закладок – их возможности, размеры, механизмы срабатывания, потребляемая мощность – огромен, что в совокупности с увеличивающейся сложностью ИС, как на физическом, так и на функциональном уровнях, предоставляют широкие возможности злоумышленнику для скрытного размещения аппаратных троянов.
Относительная простота внедрения аппаратных закладок в современную ИС не может не вызывать беспокойство. Модификации могут быть внесены в аппаратную часть ИС как на этапе разработки, так и в процессе производства, включая такие стадии как спецификация, проектирование, верификация и изготовление. Более того, аппаратная закладка может быть внесена в уже изготовленную ИС [1]. Ситуация осложняется тем, что современные тенденции в полупроводниковой промышленности характеризуются разделением разработки и изготовления ИС, причем последнее выполняется несколькими фабриками, разбросанными по всему миру, преимущественно в Азии. Привлечение сторонних соисполнителей характерно не только для изготовления ИС, но и для проектирования: разработчики пользуются сторонним программным обеспечением, широко используют готовые блоки (IP-блоки), спроектированными третьей стороной. IP-блоки часто поставляются в бинарном виде и проектируются сторонними фирмами, специализирующимися на определенных технических проектах. Поэтому аппаратный троян может быть простым изменением параграфа в спецификации, дополнительной строкой в исходном коде, написанном на языке описания аппаратуры (НDL), или же модификацией кремниевого кристалла на производственной фабрике, например, небольшим изменением топологии транзистора. Если изменение выполнено в диффузионном слое, то на чипе оно становится практически "невидимым" [2].
В настоящее время проблема аппаратных закладок всесторонне исследуется в мире. Так, политехническим институтом Нью-Йоркского Университета ежегодно проводятся соревнования между командами по внедрению и поиску специальных устройств [3], что способствует развитию технологий предупреждения внедрения и методов обнаружения аппаратных троянов. Агентство по перспективным оборонным научно-исследовательским разработкам США (DARPA) инициировала в 2007 году специальную программу по обеспечению аутентичности используемых в военных системах США микросхем и проводит НИОКР по развитию методов и технологий обнаружения аппаратных закладок [4]. Большинство других публикуемых исследований проводится университетскими группам и в основном посвящены методам предотвращения внедрения троянов при разработке ИС, а также способам их выявления в ИС после изготовления.
Если аппаратный троян когда-либо был внесен в систему, то он присутствует всегда независимо от того, включена она или выключена. Потенциально он может нарушить работу всей системы, если внесен в любую из составляющих ее ИС. Воздействие аппаратных троянов может варьироваться от простых целевых атак до сложных атак, которые обеспечивают точку опоры программным атакам высокого уровня. К целевым, в частности, относятся следующие атаки:
изменение бита информации, нарушающего целостность хранимых данных;
ослабление функциональности криптографических ядер;
атаки, приводящие к утечке конфиденциальной информации.
Система может быть инфицирована несколькими аппаратными закладкам, которые совместными действиями подрывают ее безопасность.
Для полного понимания воздействия аппаратных троянов на системы и их обнаружения необходимо изучение возможностей изменения информации при внедрении закладок, а также возможных механизмов их активации. Поэтому исследования возможных угроз, которые несут трояны, разработка конструкции и методов их внедрения, механизмов активации являются необходимой частью работы в поиске способов предупреждения внедрения, выявления и противодействия аппаратным закладкам для обеспечения безопасности используемых ИС.
При рассмотрении возможных угроз безопасности, исходящих от аппаратной закладки, и определения ее влияния на информационную систему целесообразно структурировать характерные признаки троянов. Для описания таких характерных свойств было предложено несколько классификаций аппаратных троянов. Цели таких классификаций – систематизация изучения, разработка общих методов обнаружения и подходов, обеспечивающих подавление воздействия различных классов троянов, а также сравнение разных методов противодействия. На рис.1 приведена наиболее полная классификация аппаратных троянов, предложенная в статье [5]. В основе этой классификации учитываются как фазы разработки ИС, так и уровни возможного внедрения аппаратных троянов.
Разработка и изготовление ИС, как правило, включают такие этапы, как спецификация ИС, ее разработка, изготовление, тестирование и сборка. Они должны рассматриваться и как стадии, на которых злоумышленник может внедрить аппаратную закладку. На этапе спецификации (подготовки технического задания) определяются характеристики системы, в том числе используемые модели и предполагаемая функциональность ИС. После этого этапа характеристики системы реализуются на стадии проектирования в определенном целевом конструктивно-технологическом базисе с учетом функциональных и физических ограничений. На этапе производства ИС изготавливается комплект фотошаблонов, и проводится цикл изготовления кристаллов ИС на кремниевых пластинах с последующей проверкой их функциональных и физических характеристик. Далее проводится резка пластин на чипы, их корпусирование, тестирование готовых к эксплуатации ИС, испытание и приемка. На рис.2 приведены стадии производства ИС и соответствующие им оценки уровней опасности внедрения аппаратной закладки [6].
Неуязвимыми с точки зрения внедрения аппаратных троянов являются только стадии спецификации, тестирования в корпусе, а также испытания и приемки. Все остальные стадии уязвимы к внедрению аппаратных троянов, и безопасность ИС на них определяется соисполнителями, которые обеспечивают изготовление ИС и ее тестирование, а также поставщиками средств разработки, IP-блоков и библиотек. Но даже стадии, которые отмечены выше как безопасные, могут быть подвержены влиянию злоумышленника, например, возможна настройка аппаратной закладки во время тестирования или во время поставки ИС. Поэтому полный цикл производства ИС должен быть всесторонне исследован с рассмотрением как стратегий эффективной профилактики внедрения троянов, так и технологий их обнаружения.
Трояны могут внедряться в любые элементы информационной системы. Локализация трояна может ограничиваться отдельным компонентом, а может быть рассредоточена и на нескольких компонентах, таких как процессор, память, схемы входа-выхода, источники питания или схемы синхронизации. Особенность локализации определяется сложностью проекта ИС, трудностью внедрения и тем эффектом, который должен вызвать аппаратный троян. В связи с этим необходимо исследовать возможные механизмы работы аппаратных троянов, и на характерных примерах рассмотреть последствия, которые можно ожидать от их внедрения. Тем самым можно охарактеризовать угрозы, связанные с аппаратными троянами.
Аппаратные закладки являются относительно новыми угрозами кибербезопасности, при этом они существенно расширяют возможности для атаки на информационные системы. Ранее атаки ограничивались только программными средствами, сосредотачиваясь на слабых местах программного обеспечения. Средства защиты конкретного программного обеспечения разрабатывались исходя из аутентичности аппаратного обеспечения, поэтому общепринятые подходы к защите программными средствами не способны обеспечить безопасность от аппаратных троянов. С этой точки зрения аппаратные закладки представляют достаточно сложную проблему обеспечения безопасности.
Трояны могут быть внедрены в ИС специализированного назначения (ASIC), в коммерческие электронные компоненты, находящиеся в свободной продаже (COTS – Commercial Off The Shelf), микропроцессоры, цифровые сигнальные процессоры или в виде программных изменений в "прошивке" ПЛИС (FPGA). Учитывая, что изменения вносятся на самый низкий уровень системы, типы нарушающего действия могут иметь разнообразный характер. Эти воздействия можно условно классифицировать как изменение функциональности, изменения спецификации, утечка информации или отказ в обслуживании. Специфические аппаратные трояны могут реализовать любое из этих нарушающих воздействий.
Аппаратные трояны, изменяющие функциональность ИС через внедрение дополнительной логической схемы или посредством выключения части существующей логики, непосредственно ставят под угрозу целостность и сохранность информационной системы. Изменение данных в памяти, воздействие на вычислительные операции или на коммуникационный канал являются характерными целями рассматриваемого внедрения. Модификации функциональности могут носить очень разнообразный характер; воздействия этого класса аппаратных троянов ограничены только ресурсами системы, воображением и умением злоумышленника. Например, в [7] представлен сценарий, в котором простая деструктивная аппаратная закладка может вставить ошибку в алгоритм на основе китайской теоремы об остатках при вычислении криптографического алгоритма с открытым ключом (RSA), что приводит к компрометации RSA- ключа. В работе [5] приводится пример модификации, в результате которой модуль обнаружения ошибок принимает входные сигналы, которые должны быть отклонены.
Непосредственные ошибки в ИС, как например Pentium FDIV (ошибка в модуле операций с плавающей запятой в оригинальных процессорах Pentium выпуска 1994 года), могут быть воспроизведены аппаратной закладкой, причем для предотвращения ее обнаружения может использоваться выборочное включение. Специальные аппаратные трояны могут разрабатываться для изменения порядка выполнения инструкций центрального процессора, утечки данных через побочные каналы, изменения содержимого программируемой постоянной памяти (PROM).
Изменение функциональности системы может быть использовано для поддержки более широких атак. Так, в работе [6] отмечено, что возможности нанесения ущерба безопасности существенно увеличиваются при совместном использовании аппаратной и программной атаки. В качестве примера приведены изменения в центральном процессоре, поддерживающие атаку на программное обеспечение. В итоге предоставление доступа к памяти и модификация программы способствуют расширению полномочий с последующим доступом в систему через черный вход и атакой с кражей пароля.
Изменяющие спецификацию аппаратные трояны характеризуются тем, что искажают параметрические свойства целевой ИС или спецификации, не относящиеся к ее функциональности. Такие параметрические свойства включают синхронизацию или временные характеристики, а также потребляемую мощность ИС. Эффект достигается путем непосредственного изменения внутренних физических свойств – топологии межсоединений и геометрии транзисторных структур. В отличие от аппаратных троянов, которые влияют на функциональность, для этого класса характерны изменения топологии линий разводки и транзисторов, и их разрушительные действия могут приводить к отказам системы [6]. Можно предположить, что в дополнение к рассматриваемым модификациям может быть включена и такая аппаратная закладка, чтобы изменение спецификации имело триггерный или активационный механизм. Для рассматриваемого класса характерны различные типы воздействий на ИС, включая ограничение вычислительных возможностей системы путем внесения в схему генератора системной частоты, модификация вычислительных блоков или ячеек входа-выхода, при которой функциональность этих узлов не изменяется, но ухудшаются пропускные и динамические характеристики. Изменение размещения вентилей или разводки схемы, функционально эквивалентное, но при этом имеющее более высокие паразитные составляющие пассивных элементов, обуславливает ухудшение рабочих характеристик при высокой нагрузочной активности и проявляется в возникновении временных ошибок. В работе [5] приведены примеры схем с перемычками в виде резистора, следствием которого становятся ошибки типа "закоротки" при некоторых режимах работы, и внесением конденсатора, приводящего к увеличению времени задержки за счет увеличения емкостной нагрузки.
Следующий класс троянов охватывает аппаратные модификации, направленные на скрытную передачу конфиденциальных данных от информационной системы злоумышленнику. Такая передача осуществляется без непосредственного участия системы и без ведома пользователя системы. Механизмы передачи могут задействовать как существующие внутренние и внешние каналы системы, так и побочные каналы. Например, в работе [6] отмечается, что утечка информации может происходить по радиочастотному, оптическому и тепловому побочным каналам. Информацию можно извлечь, анализируя потребляемую мощность ИС, ее шумовые характеристики, а также любые другие функциональные и физические характеристики. Интерфейсы RS232 и JTAG также могут быть использованы в качестве каналов утечки. Например, в работе [8] рассмотрена аппаратная закладка, которая позволяет определять ключи шифрования в беспроводной передаче по изменению амплитуды или частоты, которые возникают из-за вариаций технологии изготовления ИС. В работе [9] c использованием метода передачи сигналов с расширенным спектром информация о ключе шифрования извлекалась из изменения уровня собственных шумов КМОП ИС.
Системная модификация на самом низком уровне предоставляет широкий спектр возможностей для реализации ошибки типа "отказ в обслуживании" (DoS), которые варьируются от частичного проявления ошибки до полного и окончательного отключения системы внедрением так называемого "убивающего ключа" (kill switch) [11]. В работе [6] к этому классу отнесены трояны, которые влияют на обслуживание клиентов вычислительной системы через использование ограниченных ресурсов, таких как вычислительная способность, рабочий диапазон, мощность источника питания. Отмечается, что вносящие ошибку физические эффекты, изменение конфигурации системы или ее отключение могут быть временными или постоянными. Аппаратные закладки этого класса могут потреблять избыточную или всю энергию источника питания (аккумулятора), не позволяя системе перейти в спящий режим [11], или путем введения избыточных буферов в межсоединения ИС [12] уменьшать время работы устройства между подзарядками. Аппаратный троян может быть разработан с целью влияния на управление сигналом разрешения записи в память, перезаписывая существующее значение случайной величиной. Это ведет к побочным сбоям в работе служб или частичному и даже полному отключение системы. Ошибки "отказ в обслуживании", вызванные аппаратными троянами, могут быть связаны с преждевременным выходом устройства из строя. Так в работе [6] приведена схема, которая генерирует локальную избыточную мощность, что приводит к ускорению процесса старения ИС, сокращая срок ее службы без нарушения функциональности. Там же делается вывод, что с целью увеличения электромиграции возможно изменение химических компонентов в металлизированной разводке, причем эффект от этого может быть аналогичен увеличению напряжения питания или частоты синхронизации, что ведет к снижению времени наработки на отказ ИС.
***
Несанкционированные злоумышленные модификации ИС могут стать большой проблемой для обеспечения кибербезопасности электронных систем во всем мире, в особенности систем, задействованных в военной сфере и системах безопасности. В настоящее время военные ведомства многих стран не скрывают беспокойства в связи с расширяющимся аутсорсингом в области разработки и производства интегральных электронных компонентов, и зависимости новейших разработок от электронных компонентов, находящихся в свободной продаже. Аппаратные трояны угрожают нарушением целостности данных и функций, выполняемых любой вычислительной системой, которая содержит интегральные электронные компоненты. Суть возможных угроз заключается в функциональных и технических модификациях характеристик ИС, утечке конфиденциальной информации, а также атаках типа "отказ в обслуживании". Для предотвращения таких угроз необходима разработка комплексных методов и стратегий борьбы с аппаратными троянами, их предупреждения и выявления, а также мер противодействия им, что будет рассмотрено в последующих статьях цикла публикаций.
Статья подготовлена при финансовой поддержке Минобрнауки России в рамках выполнения государственного задания 8.527.2016/БЧ.
ЛИТЕРАТУРА
Abramovici M., Bradley P. Integrated circuit security: new threats and solutions //Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research: Cyber Security and Information Intelligence Challenges and Strategies. ACM, 2009. С. 55.
Becker G.T. et al. Stealthy dopant-level hardware trojans //Cryptographic Hardware and Embedded Systems-CHES 2013. Springer Berlin Heidelberg, 2013. С. 197–214.
Embedded System Challenge https://esc.isis.poly.ed
http://www.darpa.mil/Our_Work/MTO/Programs/Trusted_Integrated_Circuits_(TRUST).aspx
Rajendran J. et al. Towards a comprehensive and systematic classification of hardware trojans //Circuits and Systems (ISCAS), Proceedings of 2010 IEEE International Symposium on. IEEE, 2010. С. 1871–1874.
Chakraborty R.S., Narasimhan S., Bhunia S. Hardware Trojan: Threats and emerging solutions // High Level Design Validation and Test Workshop. 2009. HLDVT 2009. IEEE International. IEEE, 2009. С. 166–171.
Agrawal D. et al. Trojan detection using IC fingerprinting //Security and Privacy, 2007. SP›07. IEEE Symposium on // IEEE, 2007. С. 296–310.
Jin Y., Makris Y. Hardware Trojans in wireless cryptographic integrated circuits // Design & Test, IEEE. Iss. 99. 2013. C. 1.
Lin L., Burleson W., Paar C. MOLES: malicious off-chip leakage enabled by side-channels // Proceedings of the 2009 International Conference on Computer-Aided Design. ACM, 2009. С. 117–122.
Adee S. The hunt for the kill switch // Spectrum, IEEE. 2008. Т. 45. № 5. С. 34–39.
Wolff F. et al. Towards Trojan-free trusted ICs: Problem analysis and detection scheme //
Proceedings of the conference on Design, automation and test in Europe. ACM, 2008.
С. 1362–1365.
Karri R. et al. Trustworthy hardware: Identifying and classifying hardware trojans //Computer. 2010. Т. 43. № 10. С. 39–46.
Отзывы читателей
