从晶圆代工厂下黑手?提防集成电路的“硬件木马”

日期:04-19  点击:  属于:行业动态

黑客攻击是当下最严重的安全问题之一,随着近期攻击活动的频繁,国际上不少能源公司都深受其害,被窃取勒索机密信息。然而,同样的攻击也在威胁着人们看不到的领域,比如最近专门针对工控系统的恶意软件PIPEDREAM,就是通过PLC编程软件CODESYS的漏洞进行攻击的。

不过这类攻击主要是还是从软件层面上攻破PLC等硬件,那有没有直接在硬件层面上为黑客创造可乘之机的方法呢?自然也有,也就是我们常说的硬件木马。这类硬件木马更像是一种后门攻击,靠的就是对集成电路进行恶意篡改。

硬件木马如何下黑手

集成电路已经成为了诸多实际应用中不可或缺的组件,从智能家居、工业设备到机器学习加速器。然而随着IC的设计与生产愈发复杂,一个芯片可能包含数百亿晶体管,先进工艺所需的生产条件也不是Fabless厂商能够轻易负担的。很多时候这些工作是外包给第三方完成的,这样的流程结构造成了一些硬件安全隐患,只要流程中任意一名参与者图谋不轨,就有可能利用硬件木马触发敏感信息泄露、性能下降和IP窃取。

这类硬件木马通常分为两个部分,一个是触发器,另一个就是内部的载荷了。触发器决定硬件木马什么时候激活,载荷则负责关键的攻击工作,比如窃取隐私信息或产生错误的输出等。

就以常见的边信道攻击(SCA)为例,这种攻击可以利用IC的固有物理属性,比如时序、功耗等,获取本放在IC内部的信息,但这种攻击往往需要获取大量的数据和处理,如今不少安全性强的芯片通过阻绝这一过程,让自己免受SCA的破坏。然而在硬件木马的辅助下,可以省去处理的过程,极大减少攻击的时间。

验证硬件木马的样片 / 塔林理工大学


那么攻击者是在哪个阶段插入这些硬件木马的呢?塔林理工大学的研究人员为了验证硬件木马的可行性,打造了一个基于65nmCMOS工艺的ASIC芯片,通过ECO在其中的4个加密核(两个AES、两个PRESENT)中引入了硬件木马,“下黑手”的时间只花了不到两个小时。

芯片设计、攻击和制造的流程 / 塔林理工大学


从上图可以看出,在GDSII版图送给代工厂的途中,攻击者对其进行了篡改,改变或增加额外的逻辑,最后代工厂制造出了内含木马的芯片,并利用基于功率的边信道攻击获取了加密信息。若是芯片本身功耗就在mW级左右,终端用户基本很难察觉到来自芯片的异常。

原始和被篡改后的布局 / 塔林理工大学


ECO必须要四个先决输入,工艺库、单元库、门级网表和时序约束,对于能在代工厂内对版图动手的攻击者来说,前两项已经到手了,门级网表可以通过EDA工具从布局中提取,而时序约束只能靠一定程度的估计了。

如何杜绝硬件木马

至于杜绝硬件木马的话,目前主要方式有两种,一种是边信道分析,一种是逻辑测试。像以上的边信道攻击方式,因为会改变时序等参数,所以边信道分析可以检测出这类无功能性的硬件木马,但对于小的硬件木马存在一定的误报率。而逻辑测试的难点在于用少量的测试模式,增加对触发器的覆盖。

美国圣地亚哥大学的几位研究人员提出了一种更好的检测方式,名为AdaTest。该检测方式通过加强学习产生了一组多样的测试输入,通过迭代的方式逐步产生高回报值的测试矢量。此外,AdaTest会着重关注为硬件木马检测提供更多信息的测试样本,从而减少样本数量提高样本质量。

AdaTest的流程图 / 圣地亚哥大学


为了减小硬件开销,AdaTest能在可编程硬件上部署电路仿真,从而加速测试输入的回报值评估;其次,通过自动构建辅助电路进行测试输入生成、回报值评估和自适应采样,AdaTest中的每个计算阶段都被流水线化。与传统的逻辑测试相比,AdaTest的测试生成速度提高了两个数量级,与此同时测试样本大小减小了两个数量级,却因此实现了同样或者更高的硬件木马检测率。

由上可知,与预防硬件木马一样,植入硬件木马同样不是一件易事,所以代工厂出现这类硬件木马出现的概率比较小,但不代表不存在这样的安全威胁,毕竟人为设计失误都出现了,人为篡改也不是不可能的,设计者对这样的疏忽也不可不防。


关于我们
扫一扫,关注我们最新消息扫一扫,关注我们最新消息
联系我们
13715257064

工作时间:周一至周五 9:00-18:00

联系人:张经理

手机:18926045545

邮件:qewnja@163.com

地址:深圳市龙岗区南湾街道樟树布社区万科公园里二期

底部导航
麦诺克(深圳)有限公司成立于2000年,注册资金100万,员工40余人,是一家专注于研发和生产模块化电子器件的公司。我公司研发生产的震动位移传感器模块,CAN、USB、RS232、RS485等总线隔离模块已得到客户认可并广泛应用在工控、煤矿、医疗、安防等产品上。
麦诺克科技(深圳)有限公司 版权所有   技术支持:友点软件