W literaturze wyróżnia się dwie grupy ataków sprzętowych - z użyciem metod inwazyjnych i nieinwazyjnych [45]. Pierwsza związana jest z fizyczną ingerencją w strukturę np. układu scalonego. Konsekwencją takiego działania jest naruszenie integralności obudowy układu sca-lonego lub osłony urządzenia. Próba ataku inwazyjnego lub jego dokonanie może zostać łatwo wykryte podczas wizualnej inspekcji. Druga grupa ataków dotyczy aktywacji podukładu w obwodzie scalonym, matrycy FPGA lub obwodzie drukowanym, którego umieszczenie od-było się w sposób nieautoryzowany. Przeprowadzenie ataku jest zewnętrznie niezauważalne dla osób nadzorujących urządzenie. W obu przypadkach następuje ingerencja w układ z za-miarem zmiany sposobu jego funkcjonowania. Szczególnym rodzajem ataku inwazyjnego jest wpływanie na jeden z czynników zewnętrzne wykorzystywanych przez urządzenie. Przykła-dem jest oddziaływanie na temperaturę zewnętrzną (używaną jako jedna ze składowych przy tworzeniu wartości losowych). Duża zmienność temperatury otoczenia wykorzystywana jest przez zewnętrzne sensory jako jedno ze źródeł podczas formowania wartości zalążkowych dla generatorów pseudolosowych. Próba utrzymania temperatury na tym samym poziomie może skutkować powieleniem tej samej wartości zalążkowej.
Metody nieinwazyjne stanowią poważniejsze zagrożenie ze względu na ich trudną wykry-walność (uwarunkowaną dodatkowo specyfiką ataku i warunków w jakich pracują urządzenia).
Do głównych celów ataków sprzętowych zalicza się [45]:
42
4.1 Zakres bezpieczeństwa sprzętowego 43
• zmiana parametrów układu,
• wprowadzenie dodatkowych szkodliwych funkcji,
• częściową lub całkowitą dezaktywację systemu wbudowanego,
• kradzież danych poufnych,
• nielegalne kopiowanie struktury układu elektronicznego,
• nielegalny dostęp do usługi elektronicznej świadczonej za pośrednictwem systemu wbu-dowanego,
• osłabienie bezpieczeństwa wybranych modułów kryptograficznych.
W sytuacji kiedy dokonywany jest atak inwazyjny najczęściej trwale niszczone są elementy struktury odpowiedzialne za ochronę przed działaniem czynników zewnętrznych w jakich urzą-dzenie pracuje. Mechaniczne usuwanie obudowy układów ASIC lub osłon zabezpieczających urządzenia mobilne może powodować dodatkowe uszkodzenia.
Zastosowanie specjalistycznych mikroskopów inspekcyjnych przedstawionych na rysunku 4.1 pozwala na poznanie pełnej struktury obwodu scalonego. Możliwe staje się skopiowanie gotowych rozwiązań technologicznych. Dodatkowo specjalne zaplecze może zostać użyte do identyfikacji istniejących w układzie obwodów zabezpieczających. Jeśli układ scalony posiada obudowę wówczas konieczne jest jej usunięcie (narzędziami mechanicznymi lub środkami che-micznymi) dla zapewnienia dostępu sond pomiarowych mikroskopu inspekcyjnego. Usunięcie zewnętrznej obudowy w niektórych typach układów scalonych wymaga użycia tylko precyzyj-nych szczypiec i skalpela. Metody inwazyjne wiążą się z większymi nakładami finansowymi i czasowymi w porównaniu do trudniej wykrywalnych metod nieinwazyjnych. Kopiowanie fizycznych rozwiązań konkurencji jest trudne do udowodnienia, a samo zagadnienie ochro-ny własności intelektualochro-nych w urządzeniach elektroniczochro-nych staje się odrębochro-nym obszarem naukowym [46–49]. Eliminacja powłok zabezpieczających nie wymaga znaczących nakładów finansowych. Najbardziej kosztowny etap dotyczy zakupu oraz uruchomienia specjalistyczne-go zaplecza laboratoryjnespecjalistyczne-go. Redukcja kosztów przy zakupie specjalistycznej aparatury osią-gana jest przez zakup z tzw. grupy po leasingowej [45]. Ośrodki badawcze podczas zmiany profilu swojej działalności mogą wyprzedawać nieużywaną i wysłużoną aparaturę w niskiej cenie. Urządzenia inspekcyjne po przekroczonym okresie eksploatacji katalogowej są częścio-wo sprawne i nadal przydatne do przeprowadzania ataków. Stacje do mikropomiarów nawet po kilku latach eksploatacji nadają się do dalszego użytkowania. Możliwość dokonywania fi-zycznej nieautoryzowanej ingerencji w układzie scalonym uzależniona jest od poziomu wiedzy
4.1 Zakres bezpieczeństwa sprzętowego 44
Rysunek 4.1: Usunięcie obudowy układu scalonego i zastosowanie stacji do mikro pomiarów w identyfikacji struktury obwodu [45].
eksperckiej oraz od dostępnych zasobów finansowych. Dokonanie wizualnej identyfikacji po-szczególnych modułów pozwala na ich niezależną analizę i interpretacje funkcji jakie mogą pełnić w układzie. Obserwując powierzchnie osoba projektująca layout układów w technologii CMOS może dokonać rozróżnienia takich elementów jak pamięć, magistrala danych, procesor, dedykowane generatory, etc. W literaturze przedmiotu nie została opisana uniwersalna meto-da zabezpieczania warstwy sprzętowej systemów wbudowanych przed atakami sprzętowymi.
Jest to otwarty problem wymagający pogłębionych badań z pogranicza inżynierii kompute-rowej i obszarów interdyscyplinarnych.
Firma IBM zaproponowała podział na sześć poziomów bezpieczeństwa sprzętowego syste-mów wbudowanych [45, 50]. Klasyfikacja ta została dokonana z uwzględnieniem takich czyn-ników jak: złożoność struktury układu, wymagany poziom wiedzy specjalistycznej oraz przy-bliżony koszt aparatury koniecznej do przeprowadzania ataku. Zgodnie z [50] wyróżnia się 6 poziomów dla warstwy sprzętowej:
1. Poziom zerowy: brak technik zabezpieczających w module sprzętowym; moduł posia-da swobodny dostęp do swojej struktury umożliwiający tym samym dokonanie nieau-toryzowanych modyfikacji.
2. Poziom niski: zastosowano proste techniki zabezpieczające, które mogą zostać pomi-nięte przy pomocy podstawowej aparatury laboratoryjnej np. stacji lutowniczej, i urzą-dzeń pomiarowych. Całkowita wysokość nakładów finansowych potrzebnych na prze-prowadzenie ataku nie przekracza $1000.
4.1 Zakres bezpieczeństwa sprzętowego 45
3. Poziom średnio-niski: moduł wykazuje odporność na proste ataki wymagające ni-skich nakładów finansowych. Przeprowadzenie skutecznego ataku wymaga zastosowania minimalnego zakresu wiedzy eksperckiej oraz specjalistycznych umiejętności. Całkowity koszt pozwalający na przeprowadzenie ataku nie przekracza $10 000.
4. Poziom średni: skuteczność ataku uzależniona jest od wiedzy eksperckiej oraz specja-listycznych informacji z zakresu funkcjonowania układu. Przeprowadzenie ataku musi zostać dokonane w warunkach specjalistycznego laboratorium układów mikroelektro-nicznych. Poniesione nakłady finansowe przekraczają $100 000.
5. Poziom średnio-wysoki: do przeprowadzenia ataku konieczna jest dogłębna analiza wszystkich mechanizmów zabezpieczających zintegrowanych w układzie. W analizie me-chanizmów zabezpieczających konieczne jest wykorzystanie wysoko specjalistycznej apa-ratury z dedykowanym zapleczem laboratoryjnym. Aparatura oraz zaplecze jest trudno osiągalne, a ich zakup utrudniony ze względu na specjalistyczny rynek oraz ograniczenia zarezerwowane dla wybranych instytucji. Obsługa aparatury wymaga specjalistycznej wiedzy w zakresie zaawansowanych technik pomiarowych. Szacowane nakłady finansowe oscylują w granicach $1 000 000. Skuteczność ataku zależy od dobrze skoordynowanej współpracy wielu ekspertów posiadających specjalistyczną wiedzę z zakresu wykorzy-stywanego zaplecza laboratoryjnego, struktury modułu, funkcji jego przeznaczenia oraz zastosowanych mechanizmów ochrony. Do ataków takich należy zaliczyć nieautoryzo-wane modyfikacje dokonynieautoryzo-wane bezpośrednio w layoucie układów ASIC.
6. Poziom wysoki: układ wykazuje całkowitą odporność na wszystkie znane ataki sprzę-towe. Nie istnieje możliwość ominięcia lub dezaktywacji mechanizmów zabezpieczają-cych. Nie istnieje również możliwość fizycznego zniszczenia układu. Aby dokonać nie-autoryzowanego ataku zespół ekspertów z różnych dziedzin (elektroniki, informatyki, inżynierii komputerowej, telekomunikacji, fizyki, matematyki) musi opracować nowe nieznane do tej pory skuteczne scenariusze ataków. Konieczne jest zaopatrzenie la-boratorium w specjalistyczną aparaturę przy jednoczesnym założeniu nieograniczonego budżetu finansowego. Badania nad możliwościami przeprowadzenia skutecznego ataku mogą wiązać się z koniecznością konstrukcji nowej dedykowanej aparatury która jesz-cze nie została zbudowana przez żaden zespół badawczy na świecie, a jej użycie może okazać się kluczowe dla przeprowadzenia ataku. Skuteczność przeprowadzeniu ataku jest niepewna mimo nieograniczonych środków finansowych, odpowiedniego zaplecza laboratoryjnego oraz zasobów ludzkich. Należy zaznaczyć, że tak zaawansowane ataki przeprowadzone mogą zostać przeprowadzone tylko przez rządowe agencje wojskowe i wywiadowcze.