Tester les puces pour la sécurité

Les chaînes d'approvisionnement et les processus de fabrication se diversifient de plus en plus, ce qui rend beaucoup plus difficile la validation de la sécurité des puces complexes. Pour aggraver les choses, il peut être difficile de justifier le temps et les dépenses nécessaires, et il y a peu d'accord sur les métriques et les processus idéaux impliqués.

Pourtant, cela est particulièrement important car les architectures de puces évoluent d'une seule puce développée par un fournisseur à une collection de puces dans un package de plusieurs fournisseurs. La capacité à identifier les risques de sécurité dès le début du flux de conception peut économiser du temps, des efforts et de l'argent à l'arrière du flux. Et en théorie, cela devrait être identique à tout autre processus de test ou de débogage. Mais la qualité, la fiabilité et la sécurité du matériel ont des antécédents très différents en termes de tests.

"Nous avons effectué des tests de qualité au cours des 50 dernières années", a déclaré Mark Tehranipoor, président du Département de génie électrique et informatique (ECE) de l'Université de Floride. « Nous avons effectué des tests de fiabilité au cours des 25 dernières années. Et maintenant, nous parlons de tests de sécurité.

L'un des principaux défis du côté de la sécurité est de clarifier exactement ce que vous testez. Bien qu'une puce puisse avoir été fabriquée selon des spécifications détaillées, sa sécurité doit être évaluée par l'état d'esprit d'un attaquant intelligent et déterminé plutôt que par des mesures prévisibles.

"Vous devez penser à l'intelligence d'un adversaire", a déclaré Tehranipoor, a-t-il déclaré. « Nous pouvons modéliser un défaut, mais il est extrêmement difficile de modéliser une intention. C'est là que la sécurité devient difficile à tester.

Quel que soit le nombre de bonnes pratiques appliquées lors de la phase de conception, le monde réel présente souvent des défis de sécurité difficiles à anticiper. "Une fois que vous êtes sur le terrain, tous les paris sont ouverts", a déclaré Adam Cron, architecte distingué chez Synopsys. "Vous êtes aux caprices de n'importe quel pirate informatique dans le monde et quelles sont ses meilleures pratiques, et quelles sont les nouveautés à venir."

Tehranipoor et Cron sont deux des auteurs d'un article récent examinant ces questions, "Assurance quantifiable : des IP aux plates-formes.” Le document répertorie plus de 20 mesures différentes pour différents aspects de la sécurité, ce qui souligne la complexité du défi. "Généralement, la mesure de la sécurité en est encore à ses balbutiements", a déclaré Cron. "Toutes les entreprises commencent tout juste à démarrer du point de vue de la mesure de la sécurité en particulier."

Trouver un consensus autour de ces mesures ne sera pas facile. "Au cours des dernières années, la communauté [de la sécurité matérielle] a parlé de développer des métriques, mais nous n'en sommes pas encore là, et nous n'allons pas y être de si tôt", a déclaré Tehranipoor. "Pourquoi? Parce qu'au moment où nous trouvons une bonne métrique pour certaines attaques, une nouvelle attaque arrive et nous sommes à nouveau en retard.

S'accorder sur les métriques
À peu près n'importe quelle métrique de sécurité pourrait être rendue non pertinente par la bonne attaque. Un appareil hypothétique certifié pour une haute sécurité pourrait être piraté par un adversaire très intelligent qui apercevrait quelque chose que d'autres n'avaient pas vu. "Si nous avons tous manqué de le regarder sous l'angle sous lequel cet attaquant particulier l'a regardé - nous pensions que c'était un très bon appareil sécurisé, mais ce type s'est présenté et il l'a regardé d'une certaine manière que nous avons tous manquée - puis tout à coup , il y a une attaque facile », a déclaré Tehranipoor.

Le directeur technique et fondateur de Texplained, Olivier Thomas, a déclaré que tout test de sécurité des circuits intégrés doit prendre en compte trois classes d'attaques : non invasives, semi-invasives et totalement invasives. Mais les tests pour ce dernier sont souvent insuffisants. « Tester les deux premières classes est généralement assez bien fait, car cela ne nécessite pas trop d'équipement, de ressources et de temps. Mais en ce qui concerne la classe entièrement invasive, les évaluations, si elles sont menées, sont vraiment loin de ce dont les pirates ou les groupes organisés sont capables », a-t-il déclaré.

De plus, le large éventail de façons dont toute puce peut être attaquée présente un défi fondamental. "Je dois me demander si cette puce va divulguer des informations via la broche, via le logiciel, via le micrologiciel, via le JTAG, ou peut-elle me les donner via l'alimentation, ou EM, ou la synchronisation, ou optique, ou laser », a déclaré Tehranipoor. "Il y a tellement de façons, et il n'y a pas de métrique unique pour toutes, parce que le laser est fondamentalement différent de la puissance, la puissance est fondamentalement différente de l'EM. Alors, combien de métriques différentes allons-nous avoir ? »

Pourtant, a déclaré Cron, il existe une réelle pression pour un système de notation des produits de consommation ainsi que des solutions de haute sécurité. Cela s'apparente à une liste UL pour les appareils grand public, probablement avec un horodatage pour indiquer à quel point la sécurité d'une puce est à jour. "Vous saurez qu'au moment où il a été vérifié, vous avez atteint un certain niveau, et il n'y aura pas de niveaux infinis", a-t-il déclaré. "Mais si vous achetez le même produit et qu'il est en rayon depuis deux ans, vous devez vous demander : 'Est-il toujours bon ?'"

Une gamme d'approches
En attendant, il existe plusieurs façons d'avoir une idée de la sécurité d'une puce. L'un implique la notation de la Joint Interpretation Library (JIL). "Le score JIL vous indique à quel point il est" coûteux "de déterminer initialement une attaque (identification) et à quel point il est coûteux de procéder ensuite à l'attaque (exploitation)", a déclaré Maarten Bron, directeur général de Riscure. "Cette méthode a été initialement développée pour exprimer la sécurité des cartes à puce (cartes bancaires, cartes de transport en commun, cartes SIM), et a récemment gagné en popularité dans le domaine des MCU et des SoC."

Cron a noté que le NIST a des normes pour certifier le cryptage ou l'IP cryptographique, et l'architecte RTL de Synopsys peut examiner l'analyse de puissance différentielle. "Mais il n'y a toujours pas de métrique en soi", a-t-il déclaré. « Ces outils vous donnent des domaines où vous devriez chercher. Mais que vous regardiez ou non, ou que vous détectiez ou non, pendant que vous regardez, la chose que le pirate va regarder, qui peut dire ?

Scott Best, directeur principal des produits de sécurité chez Rambus, a déclaré que même si chaque fabricant de puces approche cela avec les meilleures intentions du monde, ils font tous les choses différemment. "Il n'y a pas de norme unique adoptée pour la pratique commerciale à l'échelle de l'industrie", a-t-il déclaré. « Dans le secteur de la défense des États-Unis, certaines directives préliminaires sont réunies pour l'assurance quantifiée microélectronique (MQA), par exemple dans le cadre du RAMP programme."

La diversité des méthodes d'évaluation utilisées aujourd'hui, selon Thomas de Texplained, comprend des analyses par des chercheurs qui publient lors de conférences et en ligne, des analyses indépendantes demandées par les équipementiers et les intégrateurs à la recherche de plus d'informations que celles proposées par les fournisseurs, et des évaluations de sécurité Critères communs qui se concentrent uniquement sur sur certains types d'attaques "et ne sont donc pas totalement exhaustives".

Mais cela n'a pas diminué le besoin de ce type de normalisation. "Il y a deux grands moteurs commerciaux clés ici", a déclaré Jason Oberg, CTO chez Cycuité. « L'un est évidemment la normalisation. Il est très clair que si vous pouvez cocher une case, quelqu'un est plus susceptible d'acheter. Si vous vendez sur un certain marché, et si vous devez le faire, c'est ce que la normalisation peut aider à faire avancer. L'autre composante est vraiment motivée par la demande des clients pour "Je veux un produit sécurisé". Ou peut-être qu'ils ont eu cette crise là où cela leur est réellement arrivé. Et si vous pensez à définir le processus systématique lorsque vous avez des exigences de sécurité qui sont définies à l'avance, une partie de ces exigences de sécurité est en fait régie par des normes.

Décalage à gauche
C'est pourquoi l'accent est de plus en plus mis sur la sécurité plus tôt dans les conceptions, et il est toujours préférable de tester le plus tôt possible, comme pour toute autre partie du processus de conception de puces. Il améliore l'efficacité et minimise les coûts.

"Attrapez le problème de sécurité plus tôt et cela vous coûtera 10 fois moins cher", a déclaré Tehranipoor. "Va à gauche. Ne le faites pas après le silicium si vous pouvez le faire au niveau de la mise en page. Ne le faites pas au niveau de la mise en page si vous pouvez le faire au niveau de la porte. Ne le faites pas au niveau de la porte si vous pouvez le faire au niveau RTL.

L'exécution d'une validation de sécurité pré-silicium permet une résolution beaucoup plus rapide de tout problème susceptible de survenir et devient de plus en plus une partie attendue du processus. "À un moment donné, avoir un processus d'approbation de sécurité pré-silicium basé sur la simulation deviendra un enjeu de table pour les fabricants de puces de sécurité", a déclaré Bron de Riscure. "En d'autres termes, je peux voir cela devenir un désavantage concurrentiel pour les entreprises qui ne le font pas."

Lang Lin, Ansys chef de produit principal, a noté que les tests ont également d'autres avantages. "En simulation, vous n'avez pas l'environnement bruyant auquel est confrontée la puce post-silicium", a-t-il déclaré. "Vous vivez dans un monde numérique, un monde virtuel, vous pouvez donc voir clairement où se trouve le chemin de fuite de la simulation, ce qui n'est peut-être pas aussi clair dans le silicium."

Cependant, il est crucial de garder à l'esprit que du point de vue de la sécurité, une conception et sa mise en œuvre sont deux choses très différentes. « Un algorithme cryptographique peut être sécurisé sur le papier (la 'conception'), mais sa mise en œuvre peut donner lieu à canal latéral fuite qui rend le produit global peu sûr », a déclaré Bron. "Ce que j'aime dans la notion de sécurité pré-silicium, c'est qu'elle permet aux développeurs d'intégrer la sécurité dans leur conception, de concevoir des vulnérabilités à partir de leur conception et de voir comment cette sécurité se répercute sur la mise en œuvre de la conception."

Anticiper les environnements complexes
La complexité a toujours été un grand défi pour les experts en sécurité, et il devient encore plus difficile de protéger une puce si elle est incluse dans une conception hétérogène avec plusieurs composants qui ne sont pas développés par la même société. Cela rend les tests d'autant plus importants, et la façon dont ces tests sont effectués peut faire une grande différence.

Les puces devraient idéalement être testées dans le pire des cas, avec toutes les contre-mesures désactivées - "sans redondance, sans mesures de sécurité, etc., de sorte que la puce fonctionne dans les pires conditions de sécurité et nous voyons les fonctionnalités de sécurité purement matérielles", a déclaré Peter Laackmann, ingénieur émérite de la division Connected Secure Systems (CSS) chez Infineon. "Cela signifie que si vous apportez la puce dans un autre environnement, la situation ne devrait pas empirer."

Pourtant, les environnements complexes peuvent introduire des vulnérabilités par d'autres moyens. Par exemple, considérez un portefeuille cryptographique qui est piraté malgré la présence d'une puce de sécurité, car cette puce de sécurité se trouve être contrôlée par un microcontrôleur standard. "Avec des problèmes électriques sur le microcontrôleur standard, les portefeuilles matériels ont été cassés avec succès, bien qu'ils aient des puces de sécurité certifiées selon les critères communs à l'intérieur qui n'ont pas du tout été endommagées", a déclaré Laackman.

Robert Ruiz, directeur du marketing produit chez Synopsys, a déclaré que l'utilisation de ports PCIe ou USB pour tester les défauts peut également introduire des vulnérabilités. "Cette technique elle-même ouvre en quelque sorte la puce, sinon l'ensemble du système, au piratage, car vous donnez essentiellement aux pirates des points d'entrée dans le système via un port de plug-in standard... donc ces nouvelles techniques, elles améliorent l'efficacité sur la conception et la fabrication, mais ils peuvent en fait ouvrir un peu la porte », a-t-il déclaré.

Validation en cours
Il est essentiel de tester les puces, à la fois seules et dans le cadre de l'emballage. "Une matrice doit toujours être testée de manière isolée en premier, et les fabricants de puces le font", a déclaré Bron. "Le test de tous les composants" ensemble "est ce que les méthodes d'évaluation comme les Critères communs abordent très bien, et nous voyons des fabricants de puces qui comprennent suffisamment bien ces processus d'évaluation pour pouvoir en tirer profit lors de la conception de puces/de boîtiers."

Dans le même temps, rien de fait avant le silicium n'élimine le besoin de validation après coup. "Vous ne construiriez pas simplement un véhicule sans calculer les fonctions nécessaires et la sécurité nécessaire, et en le testant simplement par la suite", a déclaré Laackmann. « Ainsi, les tests sont toujours obligatoires pour le matériel et pour les logiciels, et aussi en combinaison. Mais vous pouvez gagner du temps et rendre vos résultats plus fiables si vous avez des tests pré-silicium à l'avance.

Tester des échantillons d'ingénierie ou des échantillons commerciaux finaux peut offrir des avantages significatifs, même s'il est trop tard pour résoudre certains problèmes potentiels. "Certaines vulnérabilités de sécurité découvertes de cette manière peuvent encore être (partiellement) atténuées dans le micrologiciel", a déclaré Bron. "D'autres ne le peuvent pas, et ce sont généralement des opportunités d'apprentissage pour rendre la prochaine génération de puces plus sûre."

Augmentation de la demande de sécurité
L'intérêt pour la sécurité est à la hausse, stimulé par les clients ayant de plus grandes préoccupations en matière de sécurité pour tout, des cartes à puce aux applications automobiles. "La priorité est basée sur l'application", a déclaré Lin d'Ansys. "Pour les applications avec des données secrètes, avec des données confidentielles, bien sûr, la sécurité est prioritaire par rapport aux autres métriques."

À l'avenir, il sera possible de tester les problèmes de sécurité spécifiques qui sont les plus importants pour une application ou un utilisateur spécifique. « Vous direz : 'Ma candidature est la suivante', a déclaré Tehranipoor. "Et l'outil sera automatiquement assez intelligent pour dire, 'D'accord, j'ai compris - je vais choisir x, y et z, je vais l'optimiser pour vous pour ça - et je vais donner vous un rapport basé sur cette optimisation.

Ce type de spécificité est essentiel pour la sécurité, qui ne peut être réduite à une métrique simple et universelle. "Et nous allons y arriver", a-t-il déclaré. « Nous n'en sommes pas encore là. Mais nous y arriverons. »

Intelligence de données générative

Voler à bord de l'Air Koryo de la Corée du Nord

Titres spéciaux autrichiens « Oui à l'Europe » 2024

Dernières informations

Tesla lance un taux de prêt TAEG de 0.99 % à durée limitée sur les commandes de modèles Y aux États-Unis

Ford réduit ses commandes de batteries car il perd plus de 100,000 XNUMX $ par véhicule électrique vendu

Liste de surveillance des prospects du repêchage de la NFL 2025: sécurités

Un Boeing 777 de KLM effectue un atterrissage d'urgence à Ankara après un signal d'incendie dans la cargaison

BlockDAG dévoile la 26e version de développement pour renforcer le réseau pour une évolutivité améliorée avec 100 millions de dollars de liquidités

BlockDAG mène la charge de crypto soutenue par les influenceurs Youtube avec une prévente de 24.9 millions de dollars, surpassant TON et IMX