Модифицированная схема для предачи ключа принимает похищенный бит и изменяет сигнал передачи одним из двух способов. Первый вариант (Тип-1), показанный слева на рис. 7.18, б, манипулирует амплитудой передачи; когда похищенный бит равен 1, дополнительный формирователь усиливает легитимный сигнал передачи перед тем, как он достигает стробирующего генератора, тем самым слегка увеличивая амплитуду передачи. На рис. 7.18, а показано соответствующее воздействие на сигнал, передаваемый вариантом экспериментальной схемы на рисунке. В этом случае, амплитуда увеличивается от 1114 мкВт до 1235 мкВт, но частота остается прежней 4,8 ГГц. Второй вариант (Тип-П), показанный справа на рис. 7.18, б, манипулирует частотой передачи; когда бит похищенного ключа равен 1, исходный буфер шунтируется, а альтернативный буфер используется для задержки выходного сигнала генератора импульсов, тем самым немного увеличивая частоту передачи. На рис. 7.18, b показано соответствующее воздействие на сигнал, передаваемый вариантом экспериментальной схемы, используемой на рис. 7.17. В этом случае, частота увеличивается от 4,8 ГГц до 5,2 ГГц, но амплитуда остается на уровне 1105 мкВт. В обоих случаях, когда похищенный бит равен 0, в передаваемом сигнале внешне не происходит никаких изменений.

Рис. 7.18. Различие передачи зараженной трояном типа-1 схемой в зависимости от значения бита похищенного ключа (а), и различие передачи, зараженной трояном типа-П схемой, в зависимости от значения бита похищенного ключа (Ъ)

Затраты на общее увеличение площади, вызванные каждым из этих троянов составляют всего лишь примерно 0,02 % от цифровой части кристалла. На рис. 7.18 предполагается, что элементы хранения, содержащие секретный ключ, являются модернизированными триггерами сканирования, которые соединены последовательно и уже присутствуют в конструкции для структурного производственного тестирования. Если этого нет, то в схему обязательно нужно добавить отдельный 56-битовый «вращающий» блок, сделанный из простых защелок, для хранения и переобразования ключа с тем, чтобы он мог быть передан побитовым способом. Даже в этом случае, затраты на увеличение площади в худшем случае значительно меньше 0,4 %, а вызываемое увеличение мощности в худшем случае (когда ключ формирует последовательность чередующихся 0 и 1) составляет 0,25 %.

Рассмотрим, как происходит извлечение секретной информации, на рис. 7.19 показана форма импульса мощности передачи инфицированного трояном кристалла по типу-1 и типу-П соответственно, когда бит похищенного ключа, передаваемый вместе с легитимным сигналом, равен 1, и когда он равен 0. В кристалле, инфицированном трояном типа-1, различие в значении бита похищенного ключа отражается как разность в 120 мкВт в максимальной амплитуде. Подобным образом, в кристалле инфицированном трояном типа-П, различие в значении бита похищенного ключа отражается, как разность в 0,4 ГГц по частоте. Обе эти разницы находятся в пределах, допускаемых разбросом параметров технологического процесса и флуктуациями условий работы, и не будут вызывать каких-либо подозрений. Хотя атакующий заранее не знает точных уровней амплитуды или частоты в каждом из этих случаев, но факт, что эта разница всегда присутствует, является достаточным для извлечения секретного ключа. Всё, что требуется сделать атакующему, — это прослушивать беспроводной канал, чтобы увидеть эти две разные амплитуды или уровни частоты, которые соответствуют биту похищенного ключа, равному 1, и биту похищенного ключа, равному 0, соответственно. Раз эти два уровня известны, прослушивание 56 последовательных блоков передачи обнаруживает похищаемую версию из 56 разрядов ключа шифрования. Используя эту информацию, атакующему необходимо самое большее 56 попыток (т. е. все возможные комбинации извлеченных 56 битов) для дешифровки передаваемого зашифрованного текста.

7.5.2. Существующие методы обнаружения троянов в криптографических микросхемах

Механизм, посредством которого вышерассмотренные примеры двух аппаратных троянов создают утечку секретной информации по беспроводным каналам, позволяют им ускользнуть от обнаружения не только с помощью обычного производственного тестирования, но также и от ранее предложенных методов обнаружения троянов.