مقاله تروژان‌های سخت‌افزاری MAPLE

بخشی از مقاله

خلاصه

در سالهای اخیر، تروژانهای سختافزاری نظر محققین را به خود جلب کرده است. یکی از مهمترین دلایل برای اهمیت تروژانهای سختافزاری، به کار بردن آنها در مدارهای مجنمع است که در سازمانهای حساس نظامی و دولتی کاربرد دارند . تروژانها میتوانند در طول فرآیند ساخت صنایع نیمههادی وارد شده و موجب تغییرات مخرب در عملکردشان شوند و اغلب این تراشهها به سایر کشورها گسترش پیدا میکنند.

در این مقاله دو شیوه کاملاً پنهانی برای پیادهسازی تروژانهای سختافزاری معرفی و تأثیر آنها روی کارایی وسیله هدف ارزیابی میشود. به جای افزودن یک مدار اضافی به طراحی گیت هدف، تروژانهای معرفی شده توسط تغییر پلاریته ناخالصی از ترانزیستورهای موجود، در مدار درج میشوند. به طور طبیعی این تصور میرود که دستکاری مدار روی همهی لایههای اتصال - شامل تمامی لایههای فلزی و پلیسیلیسیم - ظاهر ود،ش امّا این دسته از تروژانها در مقابل اکثر روشهای آشکارسازی مقاوم هستند و کشف آنها بسیار دشوار است. همچنین، اثر بخشی این تروژانها به عنوان نمونه با کاربرد آنها در اعمال القای خطا به یک پیادهسازی ASIC از رمز سبک وزن PRINCE نشان داده شده است.

.1 مقدمه

مدارهای مجتمع - ICs - قلب تمام کارهای مدرن امروزی میباشند. تغییرات مخرب اغلب به تروژانهای سختافزاری مربوط میشوند که در طول ساخت صنایع نیمههادی وارد میشوند. درستی یک تراشه مخصوصاً تراشههایی که در سیستمهای نظامی و اطلاعاتی مورد استفاده قرار میگیرند حائز اهمیت است، حال در صورتی که تراشهها در یک کارخانه قابل اعتمادساخته شوند امّا این ریسک که تروژانهای سختافزاری بهطور زنجیرهای در تراشهها بهکار رفته باشند وجود دارد؛ کشف تعداد زیادی تراشههای جعلی در سالهای اخیر این تهدید را بیش از پیش مهم میکند، برای مثال در سال 2010 شرکت VisionTech تراشههای جعلی به فروش رسانده بود که بسیاری از این تراشهها برای سیستمهای امنیتی تعیین شده بودند، برای مثال در سیستم رادار جت F-16 و سیستم کنترل موشک بالستیک. تهدید تروژان سخت افزاری با زمان افزایش مییابد مخصوصاً با توجه به وجود جنگ سایبری این نگرانی بیشتر است

تروژانهای معرفی شده در این کار MAPLE یا MAnufacturing-Process-LEvel Trojans نامیده میشوند. آنها بر اساس دستکاری مشخصه انتقالی ولتاژ - VTC - از گیت خاص در مدار به وسیله تغییر غلظت ناخالصی یا کاهش نواحی ناخالص درون نواحی فعال از ترانزیستورهای خود هستند.

.2 تروژانهای سخت افزاری

تروژانهای سختافزاری مدار را بهوسیلهی یک تولیدکننده شخص سوم غیرقابل اطمینان تخریب میکنند، بهطوری که هدف در دستکاری رفتار خود در یک شیوه ناخواسته است .

تروژانهای سختافزاری مدارهای آلودهای هستند که میتوانند عملکرد و اطمینانپذیری سامانههای سختافزاری را تحت تأثیر قرار دهند، این مدارها میتوانند در هر مرحله از طراحی تا ساخت، در طراحی و مدار اصلی بهصورت مخفیانه جاسازی شوند تا کار تعریف شده برای آنها را انجام دهند. تروژانهای سختافزاری بسته به هدف سازنده و مدار مورد هدف میتوانند اهداف متفاوتی را دنبال نمایند.

یک تروژان ممکن است باعث غیرفعال شدن مدار، تمام شدن منابع حیاتی و کمیابی همچون پهنای باند، توان محاسباتی و توان باتری شود - انکار سرویس - ، تغییر عملکرد سامانه و موجب بروز خطاهای ظریفی شود که ممکن است بهسادگی قابل کشف نباشند؛ برای مثال، یک تروژان ممکن است باعث شود یک ماژول کشف خطا ورودیهایی که باید رد کند را بپذیرد، یا ایجاد یک کانال جانبی پنهان که از طریق آن، اطلاعات محرمانه محافطت شده که توسط مدار پردازش شده است به بیرون درز کند، ارسال اطلاعات ازطریق کانال جانبی میتواند از طریق رسانههایی همچون فرکانس رادیویی، نور، دما، توانمصرفی و زمانبندی صورت پذیرد.

مکانیزم تحریک تروژانها بهگونهای است که برخی تروژانها طوری طراحی شدهاند که همیشه روشن باشند؛ بقیه ممکن است تا زمان تحریک شدنشان توسط شرایط تعریف شده برای محرک خاموش بمانند. تروژانهای تحریکشونده ممکن است توسط رویدادهای خارجی فعال شوند - به معنی بهکار بردن یک ترکیب خاص از ارزشهای منطق به ورودیهای مدار - ، محرک خارجی میتواند یک ورودی وارد شده توسط کاربر باشد - شامل دکمههای فشاری، کلیدها یا کلمات کلیدی و عبارات خاصی در جریان داده ورودی - و یا خروجی یک بخش دیگر سامانه، و یا توسط حوادث داخلی فعال شوند، یک تروژان تحریکشونده داخلی، توسط یک اتفاق که در درون وسیله هدف رخ میدهد، تحریک میشود - برای مثال، یک شمارنده رسیدن به یک مقدار مشخص، یک شمارنده در طرح میتواند یک تروجان را در یک زمان از پیش تعیین شده تحریک نماید که به آن بمب زمانی گفته میشود.

تروژانها میتوانند توسط طیف وسیعی از شرایط فیزیکی از جمله تداخل الکترومغناطیسی، رطوبت، ارتفاع، فشارجو، دما و غیره تحریک شوند. همچنین یک تروژان میتواند با رسیدن به یک حالت خاص از ماشین حالت فعال شود - . بهطور کلی، طراحی تروژانها بهگونهای است که مخفیانه باشند، بهطوری که، بهوسیله روشهایی مانند آزمون[4]، بازرسی نوری [5]، تحلیل کانال جانبی [2] قابل تشخیص نباشند.

.3 تروژان MAPLE

شبیه هر تروژان دیگری، بهکار بردن تروژان MAPLE دو مهاجم را درگیر میکند: سازنده بداندیش که گیتهای درون مدار را دستکاری میکند، و مهاجم واقعی که تروجان را در یک نمونه ساخته شده از مدار رها میکند. این دو مهاجم به یک وجود فیزیکی یکسان احتیاج ندارند. سازنده بداندیش ممکن است اطلاعات درباره نقاط ضعف قرار داده شده را برای یک مهاجم افشا کند و او برای مثال کلید مخفی را با روشهای رمزشکنی، بازیابی کند.

تکنیکهای پیادهسازی تروژان MAPLE که در ادامه شرح داده خواهد شد، به منظور درج در یک IC برای تسهیل حملههای خطا بسیار کارآمد است. این دسته از تروژانها مبتنی بر تغییر یک ویژگی الکتریکی گیت منطقی هستند، به طوری که فلز، لایه پلیسیلیسیم و نواحی فعال - نواحی که در آن ماسکهای ایجادکننده ناخالصی تعریف شدهاند و شامل نواحی سورس و درین میباشد. - بدون تغییر باقی میماند و این به پنهانی بودن تروجان بسیار کمک میکند زیرا تغییر در لایههای فوق میتواند به طور قابل اعتمادی توسط آشکارسازی شناسایی شود.

در شیوههای درج آنها پنهانی بودن بسیار حائز اهمیت است بدین معنی که کشف آنها توسط روشهای آشکارسازی سخت باشد .

برای تغییر ویژگیهای الکتریکی گیت، غلظت ناخالصی و نواحی ناخالص در نواحی فعال از یک ترانزیستور بهکار برده شده است. بهطوری که تروژانهای مورد بحث در هر یک از سطح تولید یا چینش هستند و همچنین تغییرات مطرح شده در ویژگیهای الکتریکی، آنها را به رده تروژانهای پارامتری نزول میدهد

تروژانها از لحاظ نوع به دو دسته عملکردی و پارامتری تقسیم میشوند. تروژانهای عملکردی تروژانهایی هستند که با افزودن یا حذف دروازه یا ترانزیستور به مدار محقق شدهاندامّا. تروژانهای پارامتری تروژانهاییاند که با تغییر خصوصیات فیزیکی سیمها و منطق موجود پیادهسازی میشوند، تغییراتی همچون باریک کردن سیمها، ضعیف کردن ترانزیستورها یا هر تغییری در هندسه فیزیکی طراحی شده برای خرابکاری در اطمینان پذیری مدار

در اینجا برای شرح تنیکهای پیادهسازی تروژان، از یک وارونگر بهعنوان گیت منطقی هدف استفاده شده است. یک وارونگر CMOS، متشکل از دو ترانزیستور p-MOS و n-MOS است که در آنها اتصالات درین توسط یک لایه فلزی برقرار میشود، گیت هر دو ترانزیستور به هم متصل شده و ولتاژ ورودی به گیت مشترک داده میشود و خروجی از درین مشترک گرفته میشود. این دو ترانزیستور در حالت مکمل هم عمل میکنند. هنگامی که ورودی ولتاژ بالا باشد، ترانزیستور n-MOS گره خروجی را به زمین وصل میکند در حالی که ترانزیستور p-MOS قطع است و هنگامی که ورودی ولتاژ پایین باشد، ترانزیستور p-MOS گره خروجی را به منبع تغذیه وصل میکند و همزمان ترانزیستور n-MOS قطع میشود.

یک ترانزیستور p-MOS از چاه نوع N تشکیل شده است، و ناخالصی نوع p - مثبت - در پایههای درین و سورس استفاده میشود. امّا در ترانزیستور n-MOS نواحی نفوذی از ناخالصی نوع n تشکیل میشود که در زیربنای نوع p قرار میگیرد.

.4 دستکاری غلظت ناخالصی

در این روش از درج تروژان سختافزاری، Vin و Vout یا مشخصه انتقالی ولتاژ - VTC - از گیت منطقی هدف توسط تغییر غلظت ناخالصی در نواحی کانال - محل عبور الکترونها - تغییر یافته است. غلظت ناخالصی ترانزیستورهای p-MOS و n-MOS یکی از عوامل اصلی برای تعیین ولتاژ آستانه ترانزیستورها، یعنی ولتاژ بین گیت و سورس که باید به گیت اعمال شود تا کانال تشکیل و ترانزیستور روشن شود، و در نتیجه VTC از گیت منطقی هدف است. سازنده بداندیش میتواند یک گیت تروژان ایجاد کند، به عنوان مثال، یک وارونگر با یک VTC که توسط کاهش غلظت ناخالصی دستکاری شده است. این موضوع در شکل 1 نشان داده شده است.

همانطور که در شکل 2 دیده میشود، ولتاژ آستانه ترانزیستورها در یک وارونگر افزایش یافته و وارونگر کاهش نوسانی ولتاژ را نشان میدهد. این یک تغییر در تعویض ولتاژ آستانه ایجاب میکند. این نوع از تغییر گیت TrojanConce نامیده میشود و سوئیچ آستانه از گیت تروژان را با Vm نشان داده می شود. سوئیچ آستانه را به عنوان ولتاژ ورودی تعریف کرده که در آن ولتاژ خروجی در حدود 0/5 ولت است، اگرچه TrojanConce یک کاهش نوسانی ولتاژ خروجی را نمایش میدهد، تغییر در Vm تأثیر قابل توجهای روی گیت تحریک شونده توسط تروجان دارد که در بخش 6 بیان شده است.