В то время как важность обеспечения безопасности готовых коммерческих компонентов значительно возросла, лишь немногие исследователи занимаются изучением данной проблемы. Один из подходов под названием «SAFER PATH» («путь безопасности») заключается в том, что для контроля безопасности вычислительной системы, несколько процессорных элементов должны одновременно установить разрешение на выполнение компьютерной программы (Beaumont и соавт., 2012). Вместо разработки и использования единственного надёжного процессора, авторы предлагают использование определённого числа готовых коммерческих процессоров, дополненных небольшим набором надёжной логики. Затем такая комбинация может быть использована в качестве надёжного процессора, имеющего защиту от воздействия аппаратных троянов. Данный подход значительно упрощает процесс сертификации и позволяет использовать преимущества самых современных готовых коммерческих компонентов. Однако данный метод также имеет несколько недостатков:

1. Требуются определенные физические различия процессорных элементов, чтобы исключить вероятность наличия одинаковых или схожих аппаратных троянов. Авторы отметили, что этого можно достичь, используя уникальные описания на уровне регистровых передач одинаковых спецификаций процессорных элементов, созданных разными разработчиками при помощи разных инструментов проектирования. Такие микросхемы с различными описаниями могут быть затем изготовлены на разных предприятиях с использованием разных технологических процессов, геометрий и библиотек ячеек. Выполнения данного требования очень сложно достичь для неотслеживаемых готовых коммерческих компонентов.

2. Метод обеспечивает защиту только процессорных (обрабатывающих) элементов. При этом системные элементы других типов, такие как память или шины данных не защищены от трояна. Поэтому наличие эффективных и комплексных решений для проверки подлинности готовых коммерческих компонентов и/или обеспечения безопасности системы при использовании таких компонентов всё ещё необходимо.

7.6.2. Обнаружение аппаратных троянов без эталонной модели

Практически все методы обнаружения аппаратных троянов подразумевают наличие эталонной модели. Для существующих методов обнаружения троянов в основном требуются два вида эталонных моделей: эталонный проект или эталонная ИС. Эталонные проекты, как правило, требуются для методов обнаружения троянов до реализации в кремнии для валидации уровня регистровых передач/списка связей IP-ядра или проектов ИС типа SoC. Для верификации и проверки подлинности IP-ядра сторонних производителей требуется некий эталон их функций или характеристик. Кроме того, часть методов обнаружения троянов после реализации в кремнии требует наличия эталонных проектов (на уровне логических элементов или топологии). Метод разрушающего обратного проектирования подразумевает наличие эталонного списка связей или топологического чертежа для сравнения. При функциональном тестировании также требуются эталонные проекты для генерации тестовых шаблонов и определения правильности ответов. Возможность получения эталонного проекта зависит от трех факторов: Поставщик IP-ядра, разработчик ИС типа SoC, а также используемые ими сторонние инструменты разработки. Во всех моделях угроз за исключением модели В (А, С, D, Е, F и G) имеются ненадежные стороны, участвующие в разработке проекта. Таким образом, наличие идеального эталонного проекта не представляется возможным в большинстве сценариев. С другой стороны, поскольку разработчики ИС типа SoC являются надёжными в моделях А и F, они имеют возможность создания эталонного проекта ИС только при условии, что сторонние IP-ядра также являются надёжными или могут быть верифицированы. Если разработчик ИС типа SoC ненадёжен, то теоретически невозможно создать полный эталонный проект, так как этап проектирования обычно уже близок к завершению. Поэтому мы можем утверждать, что эталонный проект не может быть получен для моделей С, D, Е и G.

Эталонная ИС представляет собой изготовленный компонент с подлинной функциональностью. Наличие эталонной ИС требуется для большинства методов обнаружения после реализации в кремнии, в частности, для методов анализа сторонних каналов. Большинство методов анализа сторонних каналов требуют наличия эталонной ИС для сравнения различной информации о сторонних каналах, включая задержку, потребляемую мощность, температуру, электромагнитное излучение и т. д. Одно из требований для определения эталонной ИС заключается в том, что проект, передаваемый изготовителю, должен быть надёжным. Это подразумевается только моделями В и F. При наличии эталонного проекта, эталонная ИС может быть получена несколькими методами. Самый простой способ — полное обратное проектирование (реинжениринг) партии готовых ИС для определения эталонных ИС на основе информации об эталонном проекте. Могут также быть использованы как неразрушающие, так и разрушающие методы обратного проектирования, описываемые в Разделе 2.2.1.