中文 英语

后门无处不在

尽管担心硬件泄露,访问固件和芯片数据比你想象的更常见。

人气

由欧内斯特商场和埃德斯皮林

后门从一开始就是芯片设计的一部分。1983年的电影《战争游戏》(War Games)是最早的公开引用之一,片中一个年轻的电脑能手用一台电脑入侵了控制美国核武库的电脑。

实际上,现代后门在1965年开始大约20年的时间,从1965年开始了一个名为Multics的时间分享操作系统。[参见参考文献1]当时美国国防部正在尝试开发安全的操作系统,而且多件是结果。

“在美国空军评估多元化期间发现了第一门,”笔记Pankaj Rohatgi,工程总监Pankaj Rohatgi兰姆斯'加密研究部门。这次军队的两个先驱,保罗卡尔及尔和罗杰壳,都参与了这个项目,并分配了评估了他们作为分析的一部分的多态的安全性,所以用来使用的是“陷阱门”。使用一种名为pn1的语言。这些陷阱门用于测试系统和安全漏洞。

卡格尔和谢尔被认为是现代计算机安全之父。Schell创造了《Orange Book》,为安全性奠定了基础。(见参考2)

什么是后门?
后门已经存在了几千年。古希腊的特洛伊木马是第一个有记录的例子,这个名字至今仍等同于恶意软件。第二次世界大战时,恩尼格玛谜机(Enigma)被用于对德国军事通信进行编码和后来的破译,这是另一个例子。今天,这个术语一般指任何类型的未经授权的电子设备访问。那可能是一个隐藏的入口或者非法进入的方式。(本文主要讨论芯片及其系统,以及硬件后门问题。)

后门有多种形式。并非所有人都是狡猾的思想的工作。事实上,许多所谓的后门是设计缺陷,然后可以用来损害芯片的安全性。鉴于大型SOC的纯粹复杂性,更不用说在许多设计中增加了第三方IP的使用,也可以在额外的电路中构建,可以允许局外人控制设备。这样的情况Heldbled.

“如果我是一名攻击者,我会尽可能多地贡献许多IP块进入开源,”新企业副总裁Serge Leef说导师图形。“每个IP都带有测试禁止,证明IP可以执行它所要求的内容。因此,如果您有USB IP块,并且您在IP随附的TestBench运行它,您可以确认此IP工作为USB控制器。但还有什么呢?如果在IP中有20,000行Verilog行,则没有人类可以掌握这种复杂程度。不可用的是不可见的。开源是添加后门,陷阱门和特洛伊木马的最简单的地方。对于任何尺寸的块,永远不会找到这些。“

带有错误或受感染IP的验证IP同样可能不会显示所有的角落情况。但考虑到即使是合法的VIP也不一定能识别所有的角落案例,这通常也不会引起任何警觉。聪明的程序员可以构建那些除非被激活才会出现的极端情况。

“几家公司已经尝试用正式(验证)来解决这个问题,”Leef说。“我们认为这是希望的,因为你需要知道你在寻找什么。如果一个钥匙隐藏在某个地方,那么这个想法是你不希望他们键泄漏到公共汽车上。但是还有许多其他方法可以访问该密钥。找到特洛伊木马的唯一希望 - 在这种情况下,我正在使用木马作为广泛的术语 - 是可以识别不同行为模式的监控功能。“

他将其与分析高速公路上的交通模式进行了比较,并识别哪些汽车运行太快,这些汽车不会遵循计量灯,或者那些比其余交通的速度慢。非凡的行为通常更容易跟踪,而不是寻找后门电路,这是多年来网络安全所采用的策略。

好的和坏的
但并非所有的后门都很糟糕。有些内置于设备中以获得可靠性或测试原因。“几乎关于世界上每个芯片都有一个工厂测试能力,”Richard Newell,SoC产品集团的高级主产品架构师Microsemi。“芯片制造商必须有一种方法来测试芯片以确保它们产生的产品,因此销售给客户的产品具有高质量。”

测试能力对于质量控制至关重要。因此,实地升级是修复芯片内部的错误和更新功能以使设备变得过时。对于所有这些原因,某种后门是必要的。在20世纪90年代,PC制造商将能力添加到PC硬件中,这将使它们能够对这些计算机进行电源,而他们仍然在公司装载码头以便在公司形象中燃烧,从而节省了数千个人的时间。

但是硬件后门也可用于危及设备的固件或安全机制,允许操纵程序和数据。这与从软件代码透视图攻击编程不同,这是病毒和恶意软件的不同。这并不是说背面门不能用于加载病毒和恶意软件,但芯片后门通常用于改变芯片固件中的代码。

“有很多类型的后门,”Rohatgi Notes。“最明显的是,存在一些无关的过程,或者已经插入的一些额外的代码,这不是正常编程的一部分。越复杂的是,它越难以检测。最好的后门是二进制。这样它就不会出现在源代码中。还有一个概念,将背门放在加密实施中。“

加密实现会影响加密芯片的输出。它包含后门,但不能看到。这被称为Kleptography,它被定义为“安全地和潜意识地窃取信息的研究”。[参见参考文献3]

窃密攻击是指恶意开发人员使用非对称加密来实现加密后门的攻击。这样,密码学就被用来对抗密码学。我们讨论的后门并不是通往密码系统外部世界的额外通信通道,它不需要传输额外的数据。相反,后门直接嵌入在预期的通信中。因此,窃密学是隐病毒学的一个分支,是密码学在恶意软件中的应用。[见文献4,5]

观点和策略各不相同
访问后门可以允许从远程位置访问设备的硬件。被操纵的代码驻留在固件区域,这是后门允许访问的。但是在芯片中植入后门已经成为一门科学,而且是一项极具争议的科学。

“后门是一个坏主意,”罗纳德·马克斯(Ronald Rivest)说,一位学院教授麻省理工学院和加密专家。“没有人支持它。”

然而,这取决于谁在定义后门。几乎所有芯片都允许更新固件,即使系统未开启。但是在筹码中嵌入了这些后门?他们穿过隐私线吗?他们是侵入性吗?

不必要。有很多人在一次或其他人中希望有人远程访问他们的电脑来清理病毒或修复启动问题,或者没有网络连接 - 或者只是重置访问数据被损害的设备忘记了。移动设备也是如此。这是后门的主要论点。

与此同时,低成本制造可以将门打开到错误的后门。世界上有数百个低成本的成果。并非所有人都对其所有权透明。这对整个行业产生了升级,该行业将为那些费用,解除分层芯片进行比较,以比较从铸造厂的芯片的网手册对抗原始网手册。

“有值得信赖的原料,有些不是,”导师的LEEF说。“很多初创公司都会倾向于尽可能低的价格点。在频谱的另一端,大公司将送到工厂地板到孩儿晶圆批次。“

他补充说,目前正在开发新的技术来减少这种风险,比如用重复电路填充设计中的空白区域。这样一来,任何对假细胞的覆盖都会改变电子结构并触发警报。

即使在后门有正当用途的情况下,也不是所有的后门都建得很好。Newell说:“有些接入端口的实施非常糟糕,制造商只是让端口开放。”其他情况包括为每个芯片使用工厂密码,无处不在。“在这种情况下,只有在有人弄清楚工厂密码之前,它才会受到保护,这样一来,所有类似的设备现在都容易受到攻击。”

如果一个人设计成芯片,则必须如此良好地保护,即奇怪的超级编码器无法访问它。这是芯片制造的黄金法则。因此,如果它总是用于好的,那不是一个问题。在这种情况下,差异可能取决于谁访问芯片。添加新尔:“我们在他们在加工之前锁定筹码,然后加工。一旦客户将自己的数据安装到芯片上,它会禁用工厂键并将其锁定为用户键。“此时,制造商不再可访问芯片。

即使是有权衡。如果芯片用于诸如军事硬件的任务关键型应用程序中,则无法在端口锁定后无法进行故障分析。因此,解决方法是将客户解锁芯片及其钥匙,这将重新启用工厂键。但这种技术需要非常紧密控制。如果这应该落入邪恶的手中,可能是危险的,至少可以说。

1. Multics代表多路复用信息和计算服务,于1965年开始作为研究项目,对操作系统开发进行了重要影响。该系统成为霍尼韦尔以教育,政府和行业销售的商业产品。
2.橙皮书是国防部受信任的计算机系统评估标准的昵称,一本书于1985年发布的一本书。橙皮书指定的标准,用于评级不同安全系统的安全性,专门用于政府采购过程。
3. Yung,Kleptography:Crypto设备内的局外人,以及其信任影响,电子商务中盗窃的Dimacs研讨会:内容,身份和服务,2005。
4. A. Young,M. Yung,Cryptovirology FAQ,版本1.31。
5. A. Young,M. Yung,恶意加密:暴露阴道科,John Wiley&Sons,2004。

有关的故事
物联网中的恶意代码
本月的恐慌:在杜松突破



发表评论


(注意:此名称将公开显示)