Как было описано выше, все существующие методы обнаружения троянов пока недостаточно эффективны. Например, методы подхода на основе «надёжного проектирования», как правило, требуют добавления дополнительных схем, что неизбежно приводит к увеличению задержки и потребляемой мощности. Несмотря на то, что было разработано множество различных методов, разработчикам всё еще приходится определять наиболее эффективный и экономичный метод противодействия для каждого конкретного проекта, который и будет использован в первую очередь. Принятие решения о выборе метода производится на этапе проектирования (например, включение элементов, предусматриваемых методом «надёжного проектирования»). Информация о наиболее вероятных аппаратных троянах, которые могут быть внедрены в проект на определённых этапах, может быть очень важна для разработчиков, позволяя усовершенствовать свой проект и применить соответствующие методы защиты для обнаружения (или предотвращения внедрения) троянов. Обеспечение безопасности на уровне проекта вместо внедрения функций «надёжного проектирования», являющихся слишком консервативными, а также контроля всех сигналов/цепей или логических элементов, может быть менее затратным подходом. Однако на данный момент к сожалению не имеется какой-либо исчерпывающей метрики, позволяющей оценить уязвимости проекта к аппаратным троянам. Возможно, в закрытых лабораториях спецслужб такие методы и есть, но в открытой печати они не обсуждаются — Salmani и соавт. разработали несколько оригинальных методологий для оценки возможности тестирования внутренних сигналов и определения восприимчивости схемы к внедрению трояна на поведенческом уровне (Salmani и Tehranipoor, 2013) и уровне логических элементов (Salmani и соавт., 2013). Такой анализ позволяет в количественной форме определить сложность активации каждой строки кода либо сигнала, а также обеспечить наблюдения внутренних сигналов через первичные выходы.

Пересмотр проекта и устранение цепей с низкой контролепригодностью может повысить возможность обнаружения злонамеренного поведения аппаратного трояна. Однако данных таких анализов недостаточно для надёжного проектирования на уровне регистровых передач или логических элементов, поскольку для них функции схемы не учитываются во время анализа. Для некоторых модулей, критических с точки зрения безопасности (таких как блоки шифрования/ дешифрования), более высокий уровень безопасности должен быть обеспечен на этапе проектирования. Кроме того, анализ уязвимости к аппаратным троянам может быть расширен до системного и топологического уровней. На системном уровне методы «надёжного проектирования» для надежных вычислений могут быть использованы для обеспечения безопасности блоков критических вычислений. Разработчики могут определить, следует ли жертвовать некоторой площадью кристалла и производительностью схемы, чтобы сделать архитектуру системы невосприимчивой к аппаратным троянам. Анализ уязвимостей на топологическом уровне может быть очень эффективным, так как этот уровень является последним при проектировании. Ограничение доступного пространства (например, метод встроенного механизма самоаутентификации) может предотвратить внедрение аппаратных троянов ненадёжными изготовителями (модель атаки В) [Xiao и Tehranipoor, 2013]).

7.7.3. Пример конструкции микросхемы, устойчивой к аппаратным троянам

Поскольку наличие аппаратных троянов в структуре ИС очень сложно обнаружить или предотвратить, обеспечение конструктивной невосприимчивости или устойчивости к аппаратным троянам является еще одним способом защиты проектов от внедрения троянов. Невосприимчивая к аппаратным троянам конструкция, как правило, подразумевает три подхода: первый подход — пресечение активного поведения трояна. В разделе 2.2.2 нашей энциклопедии приводится несколько примеров конструкций и структур, невосприимчивых к действиям аппаратных троянов, даже если они и присутствуют в схеме. Например, надежность вычислений достигается за счет использования различных IP-ядра для выполнения одной и той же задачи. Другой подход заключается в предотвращении запуска аппаратного трояна. Поскольку для запуска большинства троянов требуется определённое условие, это также обеспечивает возможность выполнения надежных операций на аппаратной платформе при условии предотвращения запуска троянов.

Последний подход заключается в предотвращении внедрения аппаратного трояна. Несколько методов, описанных в разделе 2.2.2, направлены на то, чтобы препятствовать обратному проектированию злоумышленниками на ненадёжном заводе и предотвратить возможность внедрения специализированных аппаратных троянов. Данные методы в основном сфокусированы на модели атаки В, в то время как остальным моделям внимание практически не было уделено.

7.7.4. Перспективы появления новых видов аппаратных троянов в микросхемах