Czy sprzęt gwarantuje bezpieczeństwo?

Przełamanie zabezpieczeń procesorów kryptograficznych firmy Actel wywołało obawy o produkowane w Chinach układy dla wojska i infrastrukturę krytyczną w Ameryce oraz Europie.

Trzeba wspierać naukę

Odkrycie furtki w układzie PA3 było możliwe dzięki technice PEA. Gospodarki oparte na wiedzy muszą wspierać otwarte badania naukowe nad nowymi technikami atakowania zabezpieczeń sprzętowych i programowych. Nawet jeśli stoi to w sprzeczności z krótkoterminowym interesem części producentów (patrz: amerykańska ustawa DMCA) czy rządów (patrz: kryminalizacja mętnie zdefiniowanych "narzędzi hakerskich" w proponowanej dyrektywie o cyberprzestępczości).

W maju w Cryptology ePrint Archive ukazał się referat Siergieja Skorobogatowa poświęcony testowaniu bezpieczeństwa procesorów kryptograficznych. Branżowe czasopismo Business Insider tak podsumowało jego wnioski: "amerykańskie procesory wojskowe, wytwarzane w Chinach, mają tylną furtkę".

Dorobek naukowy Skorobogatowa, absolwenta moskiewskiego Narodowego Instytutu Badań Jądrowych, obecnie pracownika naukowego Uniwersytetu w Cambridge, obejmuje przełamywanie zabezpieczeń procesorów i nośników danych. Badał ślady informacji w pamięci RAM po obniżeniu jej temperatury i wycieki danych z procesorów pod wpływem różnego rodzaju zaburzeń. Współautorem artykułu Skorobogatowa jest Christopher Woods, właściciel firmy Quo Vadis Labs, która przekuwa wyniki badań na usługi komercyjne.

Odkrycia dokonano podczas badań nad układem logicznym firmy Actel z rodziny ProASIC3 (PA3), model A3P250. Są to układy programowalne (FPGA), więc konkretna konfiguracja bramek logicznych jest implementowana nie przez producenta, tylko przez zamawiającego, w postaci odpowiedniego oprogramowania (firmware).

Nie są to układy produkowane na wyłączny użytek wojska i certyfikowane do zastosowań wojskowych. Układy wykorzystuje się w cyfrowym przetwarzaniu sygnałów w przemyśle, telekomunikacji, samochodach, samolotach i wielu innych miejscach. Actel, znaczący gracz na rynku układów FPGA, oferuje między innymi wersję układów PA3 o wzmocnionej wytrzymałości na warunki zewnętrzne. Są one wykorzystywane przez wojsko, firmy geologiczne czy naftowe.

Teoretycznie zabezpieczone

PA3 zawierają wiele wbudowanych na poziomie sprzętowym funkcji bezpieczeństwa. Dla ochrony poufności i integralności danych plik firmware, zawierający konfigurację bramek, jest szyfrowany kluczem AES, znanym tylko producentowi i także wbudowanym na stałe w układ PA3. Klucze mogą być wykorzystane do ochrony innych danych, na przykład kluczy kryptograficznych, jeśli układ jest używany jako akcelerator kryptograficzny.

Układy PA3 mają kilka warstw zabezpieczeń. Poza kluczem AES, w dokumentacji wymienione są jeszcze mechanizmy Passkey i Permanent Lock. Actel zaimplementował każdy z nich, kierując się dobrymi praktykami w zakresie ochrony przed zaawansowanymi atakami na układy tego typu, np. różnicową analizą mocy. Badacze przyznali, że w ciągu dwóch tygodni nie udało im się "wyciągnąć" z PA3 żadnych danych, stosując standardowy atak DPA.

Opracowali jednak udoskonaloną metodę, którą nazwali PEA (Pipeline Emission Analysis). Szerokość pasma przy DPA mieści się między 100 a 500 MHz, podczas gdy PEA umożliwia analizę pasma o szerokości 20 kHz i znacznie lepszy stosunek sygnału do szumu. Dzięki temu wydobycie z PA3 klucza AES stało się możliwe w czasie rzeczywistym.

Technikę zastosowano do badania części wbudowanego w układ interfejsu JTAG (Joint Test Action Group), używanego powszechnie w branży mikroprocesorowej jako standardowy interfejs testowy. Autorzy zastosowali wobec niego fuzzing - technikę popularną w testowaniu aplikacji, polegającą na obserwowaniu reakcji na losowe, pozornie bezsensowne komendy. W ten sposób udało się odkryć jeszcze jeden nieudokumentowany "zamek" zbliżony do Passkey. Po wydobyciu klucza przeprogramowanie układu oraz odczytanie firmware było już proste.

Czy certyfikowane = bezpieczne?

Układy do zastosowań krytycznych podlegają często dodatkowej certyfikacji prowadzonej przez jednostki cywilne i wojskowe. Jedną z metodyk są wspólne kryteria oceny zabezpieczeń IT (Common Criteria - ISO/IEC 15408). Tak certyfikuje się blankiety elektronicznych dokumentów tożsamości czy karty kryptograficzne używane do składania podpisu elektronicznego.

Większość profili Common Criteria przewiduje testy pod kątem ataków takich jak opisane przez Skorobogatowa. Wykonywane są one na konkretnym, już spersonalizowanym egzemplarzu; o wiele trudniej jest wtedy znaleźć coś, co zostało celowo w układzie ukryte. Stąd certyfikacja obejmuje także bezpieczeństwo produkcji oraz personalizacji, m.in. gwarancje producenta odnośnie użycia maski zgodnej z projektem.

Tylne wrota

Actel zamieścił w dokumentacji kategoryczne twierdzenie o braku możliwości odczytania konfiguracji przez interfejs JTAG lub inny. Odkrycie interfejsu, który to umożliwia, może podważyć zaufanie do producenta.

Pojawiają się spekulacje na temat potencjalnego "wzbogacenia" układu w tylną furtkę w dalekowschodniej fabryce. Ułatwiałoby to tamtejszym firmom kopiowanie rozwiązań firm amerykańskich czy europejskich, nie mówiąc już o kradzieży kluczy kryptograficznych czy przejmowaniu kontroli nad sterowaną przez elektronikę infrastrukturą krytyczną.

Wśród publikacji dostępnych w bibliotece IEEE można znaleźć ponad 120 nowych prac poświęconych tylnym furtkom w układach logicznych. Trudno się dziwić, gdy infrastruktura krytyczna, medycyna i wojska NATO zaczynają polegać na elektronice wytwarzanej przez Chiny, największego konkurenta sojuszu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200