Читаем Кибероружие и кибербезопасность. О сложных вещах простыми словами полностью

На рис. 7.16 показан пример моделирования процесса обычной передачи 64-разрядного блока шифрованного текста и «увеличенный» вид сигнала передачи, когда передается логическая 1. UWB спецификация требует использовать для передачи частоту между 3,1 ГГц и 10,6 ГГц. Спецификация на данную конкретную реализацию UWB передатчика определяет его частоту между 4 ГГц и 6 ГГц. Передача логической 1 включает в себя от 5 до 7 импульсов амплитудой свыше 300 мкВт с по меньшей мере одним из них амплитудой свыше 900 мкВт. Реальные характеристики каждого индивидуального кристалла могут варьироваться, в зависимости от технологических разбросов процесса изготовления. Например, образец отклика схемы показан на рисунке, который был произвольно выбран из совокупности из 200 кристаллов, сгенерированной с помощью Монте-Карло моделирования Spice-уровня с разбросами техпроцесса на все параметры транзистора в 5 %, работает на частоте в 4,8 ГГц и включает в себя 5 пиков амплитудой больше 300 мкВт с наибольшим измеренным значением при 1114 мкВт.

Рис. 7.16. Пример передачи 64-разрядного шифровального блока

Puc. 7.17. Поразрядное извлечение ключа с помощью модернизированного блока, сделанного из 56 триггеров сканирования, где он хранится (а), и передача бита похищенного ключа, манипулируя амплитудой или частотой UWB передачи (Ь).(Аппаратные модификации для троянов показаны серым. ms: сигнал режима)

В работе [1] были использованы два альтернативных варианта аппаратных троянов, которые могут быть установлены в заряженную схему. Посредством несложных модификаций только на цифровой части кристалла эти аппаратные трояны создают утечку ключа шифрования, скрывая его в допустимых границах амплитуды или частоты беспроводной передачи из-за изменчивости технологического процесса; тем самым, они гарантируют, что схема продолжает соответствовать всем своим спецификациям по функционированию.

Принцип работы этих троянов простой: за раз извлекать по одному разряду из 56-битового ключа шифрования, который хранится в DES ядре, и организовывать утечку этой информации, скрывая его в одном 64-битовом блоке передаваемых данных. После передачи только 56 блоков шифрованного текста, будет полностью передан полный ключ, создавая таким образом утечку шифрованной информации.

Каждый такой аппаратный троян включает в себя две модификации. Первая модификация (см. рис. 7.18, а) является общей для обоих троянов и служит цели извлечь ключ шифрования из DES ядра. Вторая модификация (см. рис. 7.18, б) различается для каждого трояна и нацелена на манипулирование амплитудой или частотой передачи, чтобы создать утечку ключа через канал беспроводной связи.

Процесс извлечения ключа использует способность модифицированных триггеров сканирования хранить два бита, один в D-триг-гере и один в следующей за ним защелке так, что могут быть поданы следующие друг за другом векторы, чтобы обнаруживать неисправности по задержке, когда схема находится в тестовом режиме. Однако, во время обычной работы защелки являются прозрачными, по существу удерживая ту же информацию, что и D-триггеры. В экспериментальной схеме, 56-битовый ключ шифрования хранится в последовательности из 56 модернизированных триггеров сканирования, которые последовательно соединены в цепочке сканирования, как показано в верхней части рис. 7.17, а. Основная идея для извлечения ключа секретности заключается в хранении его только в защелках модернизированных триггеров сканирования и повторно использовать D триггеры для создания 56-битового блока. Изначально, когда пользователь загружает ключ, и триггеры, и защелки содержат правильные биты. Затем, каждый раз, когда передается блок данных, последний бит этого блока извлекается и скрывается в передаваемых данных, при этом вращающий блок сдвигает их содержимое на одну позицию. Мы акцентируем внимание на том, что только D триггеры блока модернизированных триггеров сканирования содержат искаженную версию ключа, в то время как следующие за ними защелки продолжают удерживать корректную версию так, что правильно создается шифрованный текст. Для этой цели достаточно простой логики управления, состоящей из нескольких вентилей, показанных па рис. 7.17, а в нижней части.