С точки зрения безопасности, разработка трёхмерных ИС требует уже совершенно новой экосистемы цепочки поставок, что также связано с новыми рисками внедрения аппаратных троянов. Так как эта технология подразумевает объединение в одном корпусе нескольких кристаллов, изготавливаемых на разных заводах, в производстве трёхмерной ИС также могут одновременно участвовать как надёжные, так и ненадёжные производители. В результате появляются новые модели угроз внедрения троянов в трёхмерные микросхемы, так как одни кристаллы могут быть изготовлены надёжными производителями, а другие — ненадёжными. Для предотвращения внедрения трояна в такую трёхмерную микросхему, требуется соответствующая полная модель угрозы. Кроме того, в отличие от обычных однослойных ИС, в процессе объединения нескольких кристаллов трёхмерной ИС также производится ряд промежуточных действий, таких как компоновка и соединение при помощи вертикальных промежуточных соединений (TSV). При этом также возникают новые риски внедрения аппаратных троянов. Например, совершенно новое явление — злонамеренная модификация TSV. Относительно недавно Hasan и др., 2015 представили аппаратный троян, использующий уникальную структуру трёхмерных ИС. Недостатком трехмерных ИС является высокий нагрев средних уровней по причине длительного пути рассеивания тепла, что может приводить к значительным задержкам. Эта особенность легко может использоваться для срабатывания соответствующего трояна. Предлагаемый метод использует только эффект нагрева средних уровней трёхмерной микросхемы для запуска трояна. Это может быть предотвращено по мере усовершенствования технологии охлаждения в таких ИС. Помимо исследования триггеров такого типа, также необходимы и другие дополнительные исследования аппаратных троянов в трёхмерных микросхемах.

7.7. Перспективы развития методов выявления троянов

В данном разделе мы рассмотрим основные моменты направлений дальнейших исследований аппаратных троянов, составленный на основе предложений, изложенных в работе [1].

7.7.1. Определение подлинности приобретенных на рынке коммерческих микросхем

Стандартные (имеющиеся на открытом коммерческом рынке) компоненты (COTS) становятся значительной угрозой для многих систем критической важности, однако, к сожалению, на момент выхода этой книги этой проблеме посвящено очень мало работ. В принципе, возможно два подхода к созданию безопасной системы на основе ненадежных готовых коммерческих микросхем. Первый подход заключается в валидации микросхемы перед установкой в систему, чтобы убедиться в отсутствии троянов. Проверка подлинности готовых коммерческих микросхем является достаточно сложной задачей, поскольку такие компоненты не имеют возможности отслеживания, а подробная информация о внутренней структуре обычно недоступна. В большинстве случаев доступная для таких компонентов информация представлена только официальной документацией, такой как листы технических данных («datasheet») и спецификации. Но ведь, пользователь должен убедиться, что функции и характеристики компонента точно соответствуют указанным в документах. Возможно выполнение большого числа различных функциональных и параметрических тестов для проверки соответствия требованиям. Однако тестирование компонента неизвестного происхождения является очень сложной технической задачей и требует значительных временных затрат. Кроме того, выполнение исчерпывающего тестирования непрактично для компонентов с большой и комплексной структурой. Для получения полного списка связей и информации о внутренней структуре могут быть использованы методы разрушавшего и неразрушающего обратного проектирования. Моделирование на основе полученного списка связей также может ускорить процесс валидации. Другим способом ясно определения внутренних свойств являются структурные и функциональные анализы, выполняемые путём подключения к контактам. Некоторые функции могут быть идентифицированы, если структура была достаточно определена посредством анализа тест-шабло-нов на входах/выходах и проверки модели [Li и соавт. 2012]. Состояние любого выхода компонента также может быть рассчитано. Если расчетное состояние исследуемого выхода отличается от реального, такое несоответствие вполне может быть вызвано наличием встроенного аппаратного трояна. Второй подход заключается в создании такой безопасной архитектуры системы, которая может реализовать надежные вычисления на основе ненадежных готовых коммерческих компонентов, допуская при этом даже наличие аппаратных троянов (например, метод «SAFER PATH» [Beaumont и соавт., 2012]). Крометого, был разработан ряд методов надежных вычислений для решения проблемы ненадежного стороннего 1Р-ядра. При этом требуется ряд определённых технических улучшений метода для обеспечения возможности проверки подлинности компонентов.

7.7.2. Общий подход к анализу уязвимостей в микросхемах