W marcu bieżacego roku Siergiej Skorobogatow, pracownik naukowy Uniwersytetu w Cambridge, opublikował wstępną wersję referatu poświęconego testowaniu bezpieczeństwa procesorów kryptograficznych. Branżowe czasopismo podsumowało jego wnioski tak: "amerykańskie procesory wojskowe wytwarzane w Chinach mają tylną furtkę".

Dorobek naukowy Skorobogatowa, absolwenta moskiewskiego Narodowego Instytutu Badań Jądrowych, obejmuje głównie przełamywanie zabezpieczeń procesorów i nośników danych. Badał między innymi ślady informacji pozostające w pamięci RAM po obniżeniu jej temperatury oraz wycieki danych z procesorów pod wpływem różnego rodzaju zaburzeń (zasilania, impulsów optycznych). Współautorem artykułu Skorobogatowa jest Christopher Woods, właściciel firmy Quo Vadis Labs, która przekuwa wyniki badań na usługi komercyjne.

Zobacz również:

• Startuje zależna od Intela firma produkująca układy FPGA

Odkrycie, które wywołało taki oddźwięk w branżowych mediach, zostało dokonane podczas badań nad układem logicznym firmy Actel z rodzina ProASIC3 (PA3), model A3P250. Są to układy programowalne (FPGA), więc konkretna konfiguracja bramek logicznych jest implementowana nie przez producenta (jak w przypadku układów ASIC) tylko przez zamawiającego, w postaci odpowiedniego oprogramowania (firmware).

Nie są to układy ściśle "wojskowe" czyli produkowane na wyłączny użytek wojska i certyfikowane do zastosowań wojskowych. Układy tego typu wykorzystuje się w cyfrowym przetwarzaniu sygnałów, przemyśle, medycynie, telekomunikacji, samochodach, samolotach i wielu innych miejscach. Actel produkuje wersję układów PA3 o wzmocnionej wytrzymałości na warunki zewnętrzne (temperatura), które bywają wykorzystywane przez wojsko ale także przez firmy geologiczne czy naftowe (według Roberta Grahama stąd właśnie wzięło się hasło o "wojskowych czipach").

Układy PA3 zawierają szereg wbudowanych (na poziomie sprzętowym) funkcji bezpieczeństwa. Konfiguracji bramek jest bowiem często ładowana z pliku przy każdym uruchomieniu urządzenia co umożliwia łatwą aktualizację. Dla ochrony poufności i integralności konfiguracji (która stanowi wartościowy kąsek dla konkurencji) plik ten jest szyfrowany kluczem AES, znanym tylko producentowi - i oczywiście także wbudowanym na stałe w układ PA3. Poza ochroną konfiguracji bramek klucze te mogą być używane do ochrony innych danych - na przykład kluczy kryptograficznych, jeśli dany układ jest używany jako akcelerator kryptograficzny.

Układy PA3 mają tych warstw zabezpieczeń kilka - poza kluczem AES dokumentacja wymienia jeszcze mechanizmy Passkey i Permanent Lock. Actel zaimplementował każdy z nich kierując się dobrymi praktykami w zakresie ochrony przed zaawansowanymi atakami na układy tego typu - czyli na przykład różnicową analizą mocy (DPA - differential power analysis). Badacze przyznali, że w ciągu dwóch tygodni nie udało im się "wyciągnąć" z PA3 żadnych danych stosując standardowy atak DPA.

Opracowali jednak udoskonaloną metodę, którą nazwali PEA (Pipeline Emission Analysis) - według artykułu pozwala ona osiągnąć znacznie większą dokładność ulotu z układu. Szerokość pasma przy DPA mieści się między 100 a 500 MHz, podczas gdy PEA umożliwia analizę pasma o szerokości zaledwie 20 kHz oraz znacznie lepszy stosunek sygnału do szumu. Dzięki temu wydobycie z PA3 klucza AES, niemożliwe przy użyciu klasycznej techniki, stało się możliwe w czasie rzeczywistym po zastosowaniu PEA.

Technikę tę zastosowano także do badania interfejsu JTAG (Joint Test Action Group), używanego powszechnie w branży mikroprocesorowej jako standardowy interfejs testowy. Autorzy zastosowali wobec niego fuzzing - technikę popularną w testowaniu aplikacji i polegającą na obserwowaniu reakcji interfejsu na losowe, pozornie bezsensowne komendy. W ten sposób udało im się odkryć jeszcze jeden "zamek", zbliżony do Passkey, ale nieudokomentowany przez producenta. Wydobycie z układu klucza do tego mechanizmu - określonego przez autorów jako "tylna furtka" (Backdoor) - umożliwiało całkowite przeprogramowanie układu oraz odczytanie firmware.

Autorzy podkreślili, że Actel w dokumentacji zamieścił dość kategoryczne twierdzenie o braku możliwości odczytania konfiguracji przez interfejs JTAG lub jakikolwiek inny. Odkrycie interfejsu, który to jednak umożliwia - nawet przy pomocy klucza znanego tylko Actelowi - może podważyć zaufanie do producenta.

W swoim oświadczeniu producent zaprzeczył jakoby w PA3 były jakiekolwiek "funkcje zaprojektowane w celu obchodzenia zabezpieczeń". Nasuwa się jednak pytanie czy Actel w ogóle wiedział o tej funkcji? I stąd wzięły się właśnie późniejsze spekulacje na temat potencjalnego "wzbogacenia" układu w tylną furtkę już w dalekowschodniej fabryce. Nie jest to niemożliwe i ułatwiałoby tamtejszym firmom kopiowanie rozwiązań tworzonych przez firmy amerykańskie czy europejskie, nie mówiąc już o kradzieży kluczy kryptograficznych czy przejmowaniu kontroli nad sterowaną przez elektronikę infrastrukturą krytyczną.

Wśród publikacji dostępnych w prestiżowej bibliotece IEEE można znaleźć ponad 120 stosunkowo nowych prac poświęconych tylnym furtkom w układach logicznych. Trudno się temu dziwić w sytuacji gdy infrastruktura krytyczna, medycyna i wojsko krajów NATO zaczyna w dużej mierze polegać na elektronice wytwarzanej przez największego konkurenta.

Tu trzeba jednak przypomnieć, że układy do zastosowań krytycznych podlegają przeważnie dodatkowej certyfikacji prowadzonej przez jednostki cywilne i wojskowe. Jedną z metodyk takiej certyfikacji są Wspólne Kryteria oceny zabezpieczeń informatycznych (Common Criteria - ISO/IEC 15408), według których certyfikuje się na przykład blankiety elektronicznych dokumentów tożsamości (paszportów, dowodów osobistych) czy karty kryptograficzne używane do składania podpisu elektronicznego.

Większość profili Common Criteria przewiduje testowanie pod kątem ataków takich jak opisane przez Skorobogatowa (testy takie jak "abuse of functionality", "information leakage", "physical tampering"). Ale testy są wykonywane w laboratorium na konkretnymm już spersonalizowanym egzemplarzu i o wiele trudniej jest w takich warunkach znaleźć coś, co zostało celowo w układzie ukryte. Stąd certyfikacja obejmuje także bezpieczeństwo procesu produkcji oraz personalizacji - czyli, między innymi, jak producent gwarantuje, że wykonana zostanie dokładnie taka maska układu jaką przewiduje projekt.

Trzeba jednak pamiętać, że odkrycie furtki w układzie PA3 było możliwe tylko przez zastosowanie udoskonalonej techniki (PEA) bo standardowa (DPA) okazała się nieskuteczna. Stąd gospodarki oparte na wiedzy - jeśli chcą takimi pozostać - muszą wspierać otwarte badania naukowe nad nowymi technikami atakowania zabezpieczeń sprzętowych i programowych. Nawet jeśli często stoi to w sprzeczności z krótkoterminowymi interesem części producentów (patrz amerykańska ustawa DMCA) czy rządów (patrz kryminalizacja mętnie zdefiniowanych "narzędzi hakerskich" w proponowanej dyrektywie o cyberprzestępczości).