Fehler, Fehler oder Cyberangriff?

Die Grenzen zwischen Fälschung, Sicherheit und Designfehlern lassen sich in fortschrittlichen Paketen und Prozessknoten immer schwieriger bestimmen, wo die Anzahl möglicher Ursachen für ungewöhnliches Verhalten exponentiell mit der Komplexität eines Geräts wächst.

Das seltsame Verhalten kann auf ein gefälschtes Teil zurückzuführen sein, einschließlich eines Teils, das einen Trojaner enthält. Oder es kann das Ergebnis eines Cyberangriffs sein. Es kann auch auf komplexe Interaktionen zwischen heterogenen Komponenten in einer bestimmten Reihenfolge zurückzuführen sein – im Grunde ein Eckfall, der einen stillen Datenfehler erzeugt. Es kann sogar durch Prozessschwankungen verursacht werden, die zu einem latenten Defekt führen können, der zu einer Unterbrechung oder einem Kurzschluss in einem oder mehreren Bereichen eines Designs führt. Unabhängig von der Ursache müssen alle Möglichkeiten erkundet werden.

Von all diesen Möglichkeiten ist Fälschung am einfachsten zu erkennen, und in diesem Bereich wurden erhebliche Fortschritte erzielt.

„In den letzten Jahren gab es keinen neuen oder aufkommenden Fälschungsansatz außer recycelt, geklont, neu markiert, überproduziert und gefälscht“, sagte Mark Tehranipoor, Vorsitzender der ECE-Abteilung an der University of Florida. „Ihre Lösung basiert also auf der Tatsache, dass eines dieser fünf Szenarien eintreten wird, und Sie entwickeln Lösungen dafür. Bei der Sicherheit geht es jedoch um die Intelligenz eines Angreifers. Wenn Sie glauben, sie herausgefunden zu haben, liegt möglicherweise eine neue Schwachstelle in den Systemen vor. Oder Sie hören in den Nachrichten, dass eine neue Schwachstelle aufgetaucht ist, an die Sie bei der Sicherheitsbewertung nie gedacht haben. Sicherheit ist ein Katz-und-Maus-Spiel. Fälschungen gibt es nicht, denn wir kennen die verschiedenen Arten von Fälschern. Das machen sie schon seit 20 Jahren.“

Mike Borza, Synopsys Wissenschaftler, stellte fest, dass die University of Florida an einer Technologie zur Authentifizierung eines Chips direkt auf dem Tester gearbeitet hat, was besonders wichtig bei Multi-Die/Multi-Chiplet-Implementierungen ist. „Dadurch können Sie einer Art von Fälschung entgehen, wenn Sie dies bei großen Mengen genau tun können“, sagte er.

Andere Ansätze umfassen PUFs (physisch nicht klonbare Funktionen), die nur ein Aspekt einer Lösung sind. „Eine PUF ist gut, wenn man den Chip identifiziert hat und ihn initialisieren konnte“, sagte Borza. „Aber man kann nicht einfach einen PUF einschalten und damit bestätigen, dass man den richtigen Chip hat, denn jeder PUF sieht ähnlich aus.“

Es gibt statistische Maßnahmen, die es ermöglichen könnten, einen PUF als schwachen Identifikator des Stempels zu verwenden, der eine authentische Kopie des Designs darstellt. Das Problem besteht darin, dass sie eine große Datenmenge benötigen, um zu modellieren, was die PUFs tun sollen, und es wirklich nicht viele Daten über PUFs über eine beträchtliche Menge an Chips gibt, etwa darüber, wie sich die PUF von einem Chiplet, einem Chip oder einem Wafer aus verändert zum nächsten.

„Die Leute haben nicht genügend Daten, um zu wissen, wie sich diese Dinge ändern, aber sie wissen, dass es einige Auswirkungen gibt“, sagte Borza. „Sie steuern diese PUF mit Hilfsdaten, weil die Hilfsdaten echte Zufallsmerkmale aufweisen, die aus einem Zufallsdatenstrom und anderswo erstellt und mit dem verknüpft werden, was sich in der PUF befindet.“ Doch bevor Sie diese Initialisierung durchführen, weist die PUF selbst systematische Variationen auf, die verwaltet werden müssen, und das schafft die Möglichkeit, etwas Einzigartiges für dieses Design zu identifizieren.“

Es gibt auch andere Probleme. Jeder Chip ist einzigartig und was für einen Chip gut funktioniert, ist für einen anderen möglicherweise nicht ideal. Infineon beispielsweise hat etwa 30,000 verschiedene Chips entwickelt, von denen einige jedoch so klein sind, dass sie zur Identifizierung nicht einzeln gekennzeichnet werden können. Best Practices können daher stark variieren.

„Wir kontaktieren unsere Kunden über Verbände wie die Component Obsoleszenz Group Deutschland (COGD), einen europäischen Verband, oder das International Institute of Obsoleszenz Management (IIOM), einen internationalen Verband mit lokalen Niederlassungen, in dem viele unserer Kunden vertreten sind.“ Mitglieder, bei denen wir das Bewusstsein für die Risiken des Kaufs auf dem freien Markt schärfen können“, sagte Konrad Bechler, Sicherheitsberater, Markenschutz und Fälschungsbekämpfung bei Infineon Technologies.

Angriffsvektoren
Auch gefälschte Chips können Sicherheitslücken verursachen, ein Problem, das mit der Einführung von Chiplets von Drittanbietern noch größer wird.

Alan Porter, Vizepräsident des Segments Elektronik und Halbleiter bei Siemens Digital Industries Software, rät Ingenieurteams, über die Permutationen nachzudenken, wenn sie mit dem Hinzufügen von Dies, Chiplets oder Interposern aus mehreren Quellen beginnen, bevor sie in ihr Gehäuse eingebaut werden. „Es können sogar unterschiedliche Substrate und unterschiedliche Materialien darin sein, was die Komplexität nur erhöht. Die Transparenz dort ist von größter Bedeutung“, sagte er. „Wichtig ist hier, dass die Aufrechterhaltung von Prozessen und Protokollen, unabhängig davon, wer sich in der Lieferkette befindet, von größter Bedeutung ist. Wenn wir uns darauf konzentrieren und tun, was wir tun müssen, um die Integrität dieser Lieferkette zu schützen, können wir vielleicht die Geopolitik und diese Bedenken abmildern. Ich sage nicht, dass wir sie loswerden können, aber wir können sie auf jeden Fall eindämmen. In einem früheren Teil meiner Karriere habe ich für einen sehr großen OEM gearbeitet, und das war Teil dessen, was wir tun mussten. Wenn man mit Unternehmen wie Foxconn zusammenarbeitet, hat angesichts der Situation sogar TSMC Bedenken. Es geht wirklich darum, durch Transparenz Vertrauen zu gewinnen und sicherzustellen, dass der Datenfluss kontrolliert wird und dass die digitalen Fußabdrücke und Dinge vorhanden sind, die verarbeitet und verfolgt werden können.“

Ein weiterer Teil davon besteht darin, Angriffe wann immer möglich zu verhindern und sie bei Bedarf zu bekämpfen.

Im Allgemeinen gibt es zwei allgemeine Ansätze zur Bekämpfung von Fälschungsangriffen. „Man ermöglicht es einem Chip, seine digitale Identität zuverlässig zu authentifizieren und diese digitale Identität natürlich vor dem einfachen Klonen zu schützen“, sagte Scott Best, Senior Director für Produktmanagement bei Rambus und Leiter der Entwicklung der Antimanipulationstechnologie. „Der andere Ansatz ermöglicht die sichere Herstellung eines Chips, selbst im Rahmen eines sogenannten ‚Zero Trust‘-Fertigungsablaufs. Dieser zweite Aspekt, bekannt als Lieferkettensicherheit, ist genauso wichtig wie die Chipsicherheit, da der Chip selbst nicht sagen kann, ob er sicher hergestellt wurde.“

Innerhalb dieser Bereiche gibt es auch etwa zwei Dutzend relevante Gegenmaßnahmen. Was verwendet wird, hängt von der Anwendung und dem Wert des Ziels ab. Beispielsweise mögen Chips in Druckerpatronen und Set-Top-Boxen an sich zwar einen geringen Wert haben, aber sie bieten einen Zugang zu milliardenschweren Unternehmen. Andere Chips sind möglicherweise komplexer, der potenzielle Schaden ist jedoch geringer. Je höher der Wert des Zielmarktes ist, desto mehr Ressourcen werden zur Abwehr von Angriffen eingesetzt.

Was jedoch wie ein Lieferkettenproblem aussieht, kann in Wirklichkeit ein Hacker sein, der eine Schwachstelle in einem Design oder System ausnutzt. Je mehr Elemente dieses Design enthält, desto schwieriger ist es, die Quelle eines Angriffs zu identifizieren.

„Wenn es um Sicherheit geht, sind Sie immer im Rückstand, weil der Angreifer, der zufällig sehr intelligent ist und über viele Ressourcen verfügt, möglicherweise eine Schwachstelle entdeckt, die Sicherheitsingenieure nicht finden konnten“, sagte Tehranipoor. „Manchmal müssen Unternehmen Ihr Design mit bekannten Fehlern schnell zur Fertigung und auf den Markt bringen. Der Angreifer hatte reichlich Gelegenheit, den Chip anzugreifen und die Schwachstellen aufzudecken, aber leider hatten die Designer nicht ausreichend Gelegenheit, das Problem zu beheben.“

Hardwarebasierte Angriffe lassen sich typischerweise in drei Kategorien einteilen:

Nicht-invasiv – Meist kostengünstige Angriffe, die versuchen, die digitale Identität eines Chips so schnell und kostengünstig wie möglich zu extrahieren. Dazu gehört auch „einfacher Diebstahl“, der eine wirksame Möglichkeit darstellt, die Integrität der Lieferkette des Chips zu gefährden.
Halbinvasiv – Etwas ausgefeiltere Angriffe, die ausgeführt werden, wenn sich ein nicht-invasiver Angriff für einen Gegner als nicht erfolgreich erweist. Halbinvasive Angriffe übersteigen oft das Budget von „Garage-Hackern“, liegen aber immer noch im Rahmen dessen, was ein Universitätslabor tun und dann eine Arbeit darüber veröffentlichen könnte.
Vollinvasiv – teure, ausgefeilte Angriffe, die es auf einen Chip auf Transistorebene abgesehen haben. Diese Art von Angriff übersteigt in der Regel das Budget eines Universitätslabors, liegt aber durchaus im Rahmen der Möglichkeiten kommerzieller Labore und staatlich finanzierter Akteure.

Innerhalb dieser Bereiche gibt es auch etwa zwei Dutzend relevante Gegenmaßnahmen. Was verwendet wird, hängt von der Anwendung und dem Wert des Ziels ab. Beispielsweise mögen Chips in Druckerpatronen und Set-Top-Boxen an sich zwar einen geringen Wert haben, aber sie bieten einen Zugang zu milliardenschweren Unternehmen. Andere Chips sind möglicherweise komplexer, der potenzielle Schaden ist jedoch geringer. Je höher der Wert des Zielmarkts ist, desto mehr Ressourcen werden für einen Angriff eingesetzt.

„Es gibt etwa zwei Dutzend Gegenmaßnahmentechniken, die die in diese Kategorien fallenden Angriffe abschwächen“, erklärte Best. „Aber mit zunehmender Komplexität und Kosten der Angriffe steigen auch die Gegenmaßnahmen. Daher sind viele Gegenmaßnahmen gegen vollständig invasive Angriffe nur in den sichersten Chips enthalten, etwa dort, wo große kommerzielle Einnahmequellen beeinträchtigt werden könnten oder wenn die Sicherheit verbündeter Truppen auf dem Spiel steht.“

Allerdings ist jeder Chip einzigartig und was für einen Chip gut funktioniert, ist für einen anderen möglicherweise nicht ideal. Infineon beispielsweise hat etwa 30,000 verschiedene Chips entwickelt, von denen einige jedoch so klein sind, dass sie zur Identifizierung nicht einzeln gekennzeichnet werden können. Best Practices können daher stark variieren.

Abwechslung und andere Herausforderungen
Größere Prozessvariationen an Spitzenknoten machen es schwieriger zu verstehen, woher ein Angriff kommt, und dieses Problem verschärft sich, wenn verschiedene Chips oder Chiplets im gleichen Design vorhanden sind.

Das Halbleiter-Ökosystem befasst sich seit langem mit Variationen auf statistischer Basis, was Designteams hilft, die Wahrscheinlichkeit eines Problems zu verstehen, das von einer bestimmten Fertigungscharge oder einem bestimmten Wafer herrührt. Aber es gibt so viele neue Prozesse und Unterschiede von einer führenden Gießerei zur nächsten, dass es fast unmöglich ist, jede Abweichung statistisch zu identifizieren.

„Jedes Mal, wenn wir einen Knotenpunkt durchgehen, ist es eine Herausforderung, herauszufinden, was an diesem Knoten neu ist und was anders ist“, sagte Borza. „Auf einer hohen Ebene kann man planen, was man sehen wird, aber wenn man auf die niedrigeren Ebenen gelangt, fängt man an, Dinge zu sehen, die anders sind oder denen man noch nie zuvor begegnet ist. Eines der Dinge, die die Halbleiterindustrie besser als fast jeder andere gelöst hat, ist der Umgang mit Unbekannten auf dem Weg in eine neue Ära der Fertigung mit neuer Dichte. Daher wird es Möglichkeiten geben, dies zu analysieren. Eine weitere Möglichkeit besteht darin, Zufallszahlen zu generieren. Ich suche nach einer Quelle potenzieller Entropie, die man für diesen Zweck nutzen kann, und Menschen im digitalen Design sind es nicht gewohnt, auf diese Weise über dieses Problem nachzudenken. Sie betrachten es nicht als etwas Wünschenswertes. Für sie ist das etwas völlig Unerwünschtes, aber für uns ist es die Möglichkeit, mehr und qualitativ hochwertigere Zufallsdaten zu erhalten.“

Eine Möglichkeit, dies zu erreichen, besteht darin, vom Inneren des Chips oder der Verpackung aus zu arbeiten, und das funktioniert bei einer Vielzahl von Problemen, von Variationen bis hin zur Identifizierung gefälschter Chips. „Wenn Sie ein Gerät haben, das aus Chiplets besteht, wird es letztendlich komplexer“, sagte Lee Harrison, Leiter der Produktmarketing-Tessent-Gruppe bei Siemens Digital Industries Software. „Eingebettete Analysetechnologie ist in der Lage, einen Fingerabdruck oder ein Token zu überwachen und zu erstellen, um eine Bescheinigung anzuwenden. Das bedeutet, dass wir beim Einschalten keinen bestimmten Schlüssel in den Chiplets codieren, der dann geändert und gefälscht werden kann, sondern die Bescheinigung verwenden und mit diesem Monitor einen digitalen Fingerabdruck erstellen, der verschwindet, sobald das Gerät ausgeschaltet wird. Aber dann wird es beim Einschalten erneut ausgeführt. Bei diesem Token handelt es sich im Grunde um den Fingerabdruck, der von jedem Chiplet auf dem Hauptchip erfasst wird. Dann authentifiziert der Root of Trust es, sodass die Gesamtsignatur aller Chiplets korrekt ist und das Gerät das ist, was es vorgibt zu sein.“

Lösungen und Zukunftssorgen
Rambus' Best wies darauf hin, dass einige Gegenmaßnahmen darauf abzielen, die Integrität des Designs bereits in den frühesten Entwicklungsphasen zu schützen, auch wenn EDA-Tools vom Designteam verwendet werden. „Zum Beispiel hat das RAMP-Programm in den USA mit großen Tool-Anbietern zusammengearbeitet, um ihre Plattformen zu ‚cloudifizieren‘, sodass Designteams einen Engineering-Ablauf nutzen können, der zuverlässig vor Insider-Angriffen geschützt ist, z. B. wenn bösartige Tools oder Malware infiziert werden.“ die Integrität der EDA-Software selbst“, sagte Best.

Im Großen und Ganzen sind die Technologien und Techniken zur Fälschungsbekämpfung jedoch nicht in EDA-Tools enthalten. „Die meisten Gegenmaßnahmen zur Fälschungsbekämpfung erfordern eine spezifische technische Absicht und sind nicht automatisch Teil des Designablaufs eines Chips“, sagte er und wies darauf hin, dass jede Situation einzigartig sei. „Viel hängt vom Wert dessen ab, was geschützt wird – handelt es sich um die Einnahmen aus einem einzelnen Chip oder um die gesamte jährliche Einnahmequelle einer OEM-Plattform? Stehen nationale Sicherheitsbedenken auf dem Spiel? Außerdem genau, wie der Chip verifiziert wird. Wenn beispielsweise ein Chip hergestellt wird und die Ausrüstung in Echtzeit Zugriff auf eine cloudbasierte Online-Datenbank hat, kommt es häufig vor, dass ein Chip als authentisch verifiziert wird. Das vereinfacht die meisten Überlegungen erheblich, da die „Geheimcodes“, die einen Chip in den letzten Phasen der Herstellung aktivieren, zurückgehalten werden können, wenn die Herkunft des Chips nicht sofort bestätigt werden kann.“

Dennoch gibt es einige grundlegende Best Practices, die in jedes COTS-Design einbezogen werden sollten. „Zum Beispiel sollte jeder Chip eine eindeutige Geräteidentität enthalten, wobei das Authentifizierungsprotokoll für diesen Chip kryptografisch mit dem digitalen Identitätswert verknüpft ist“, sagte er. „In ähnlicher Weise sollte jeder Chip einen ‚sicheren Lebenszyklus‘ nutzen, sodass ein Chip in einem frühen Herstellungslebenszyklus einfach anders funktioniert als wenn er im ‚Missionsmodus‘ im System eines Kunden eingesetzt wird.“

Darüber hinaus wies Bechler von Infineon auf weitere Fragen hin, die aufgeworfen werden sollten. „Wie gut können diese Tools sein? Können sie erkennen, dass recycelte Komponenten als neu verkauft werden? Interessant ist hier die Definition von Fälschung und eine der Definitionen besagt, dass recycelte und erneuerte Komponenten als neu verkauft werden. Das heißt, wir haben auch autorisierte Lieferanten, die eine Langzeitlagerung anbieten. Die Frage ist also, wie die Werkzeuge den Unterschied zwischen Alt- und Originalteilen und recycelten Teilen finden können.“

Zusammenfassung
Je komplexer die Designs werden, desto komplexer wird auch die Sicherheit.

„Wir durchlaufen diese Integrationsebenen immer wieder auf und ab, und 3D-IC ist eine Möglichkeit, die Dichte zu erhöhen, aber es ist auch eine Möglichkeit, den Chip aufzulösen“, sagte Borza von Synopsys, „entweder weil man über andere Funktionen verfügt, die vom Putten profitieren.“ Sie können unterschiedliche Technologien im selben Paket zusammenfassen oder Funktionen aufteilen, die Sie in vielen integrierten Paketen immer wieder wiederverwenden können. Das schafft eine Chance. Es ist einfacher, das integrierte Paket zurückzuentwickeln oder anzugreifen, als einen integrierten Schaltkreis anzugreifen. Es ist nicht so einfach, wie ein Produkt auf Platinenebene anzugreifen, aber es ist einfacher, als den Chip anzugreifen. Manche Arten von 3D-Verpackungen sind sehr schwer zu durchdringen, aber im Allgemeinen weiß man, sobald man von einem Chip zum nächsten wechseln muss, dass es einen Weg zwischen ihnen gibt, und das schafft die Möglichkeit. Jemand weiß, dass es einen Weg gibt, nach dem man suchen muss.“

Die Herausforderung wird dann zu dem, was ein Problem verursacht hat. War es ein Chiplet eines Drittanbieters, ein Designfehler oder ein Herstellungs- oder Verpackungsproblem? Die Antwort darauf zu finden, wird immer schwieriger.

Weiterführende Literatur
Sicherheitsrisiken von Chiplets werden unterschätzt
Das Ausmaß der Sicherheitsherausforderungen für kommerzielle Chiplets ist erschreckend.
Sicherheit wird für KI/ML-Chips und -Tools zu einem viel größeren Problem
Fehlende Standards, sich ändernde Algorithmen und Architekturen sowie schlecht definierte Metriken öffnen die Tür für Fehlverhalten.

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://semiengineering.com/bug-flaw-or-cyberattack/

Generative Datenintelligenz

Das Cybersecurity-Update für Singapur macht Cloud-Anbieter aufmerksam

Andrew Tate investiert 6 Millionen US-Dollar in Gamestop, während der Meme-Aktienwahn die Wall Street weiterhin schockiert

Neueste Intelligenz

Microsoft Windows DWM Zero-Day steht vor einem Massen-Exploit

Die britische Marine will sechs Schiffe kaufen, da sie in das „goldene Zeitalter“ des Schiffbaus eintritt

Xsolla veröffentlicht vierteljährlichen Einblicke-Bericht über die Zukunft des Gamings und der Spieleentwicklung: Eine vorläufige Analyse der Kennzahlen und bevorstehenden Trends für das Frühjahr 2024 –...

Kanadas vorgeschlagene Kryptovorschriften für Investmentfonds 2024

Umfrage hält Gesundheitswarnungen für Glücksspielanzeigen für unzureichend

4 Tech-Hotspots in Kanada, die Ihr Unternehmen kennen sollte