try ai
科普
编辑
分享
反馈
  • 硬件木马:深入剖析芯片背叛

硬件木马:深入剖析芯片背叛

SciencePedia玻尔百科
核心要点
  • 硬件木马是对电路的一种恶意的、永久性的修改,由执行攻击的有效载荷和激活它的触发器组成。
  • 木马的有效载荷可以改变芯片的功能,通过物理侧信道(如功耗或时序)泄露机密数据,或导致拒绝服务攻击。
  • 触发器被设计成极罕见的事件,例如特定的输入模式或物理条件,这使得它们几乎无法通过标准测试发现。
  • 检测休眠木马的物理存在通常依赖于敏感的侧信道分析,以发现功耗或信号延迟中的微小异常。
  • 全球化半导体供应链中从设计到制造的各个环节存在的漏洞,为攻击者植入木马提供了多种机会。

引言

我们的数字世界建立在信任的基石之上——即相信我们的硬件将忠实地执行指令。硬件木马粉碎了这种信任。它不是可以通过打补丁修复的软件病毒,而是一种恶意、蓄意的修改,被固化在芯片本身之中,是在计算最底层面上的一种永久性背叛。这构成了一个重大的安全挑战,因为这些“机器中的幽灵”被设计为无形的,它们潜伏着,直到被一个秘密的触发器激活。本文将直面这一阴险的威胁。首先,在“原理与机制”部分,我们将剖析硬件木马的构造,探讨其核心组件、其恶意行为的多样性以及检测其存在的巨大难度。随后,“应用与跨学科联系”部分将通过具体示例来阐释这些原理,从简单的逻辑门到对复杂物理现象的利用,揭示在硬件完整性之战中多个科学领域的融合。

原理与机制

我们现代世界的中心存在一个简单而深刻的信念:我们相信一块芯片会精确地执行指令。我们编写的软件只是一系列指令,我们相信硬件会忠实地执行这些指令,每秒数十亿次,没有偏差或怨言。硬件木马就是对这种基本信任的侵犯。它是对电路的一种恶意的、蓄意的修改,一种秘密的颠覆,被固化在芯片本身之中。它代表了计算最底层面上的一种背叛。

形式上,我们可以说任何电子元件都被设计来执行一个预期的功能,我们称之为 fintendedf_{\text{intended}}fintended​。一个正确制造的芯片完美地体现了这一功能,因此其部署后的行为 fdeployedf_{\text{deployed}}fdeployed​ 与 fintendedf_{\text{intended}}fintended​ 是相同的。硬件木马引入了一种改变,使得在特定情况下,fdeployed≠fintendedf_{\text{deployed}} \neq f_{\text{intended}}fdeployed​=fintended​。芯片说谎了。这与软件病毒(它破坏指令)或固件后门(它破坏在芯片上运行的底层代码)有着根本的不同。例如,固件后门通常可以通过安全的软件更新来移除。而硬件木马是永久性的;它是设备物理现实的一部分,无法被擦除。

要理解这个机器中的幽灵,我们必须剖析其构造,它由两个基本部分组成:​​有效载荷​​和​​触发器​​。

叛徒的构造:有效载荷与触发器

​​有效载荷​​是木马执行的恶意行为——它存在的目的。​​触发器​​是决定何时释放该有效载荷的秘密机制。这种分离是木马隐蔽性和威力的关键。在其99.999%的生命周期里,木马处于休眠状态,电路表现完美,有效载荷被隐藏。只有当触发条件满足时,背叛才会发生。

有效载荷:它做什么

木马的恶意可以以多种方式表现出来,从公然的破坏到微妙的间谍活动。

  • ​​功能篡改:​​ 最直接的攻击形式是改变电路的计算内容。想象一个简单的双输入与门,它是所有数字逻辑的基本构建模块。它的工作是在其两个输入 AAA 和 BBB 都为“1”时才输出“1”。一个简单的木马可以被设计成在被触发时,将此功能变为一个或门,即只要 AAA 或 BBB 中有一个为“1”就输出“1”。在更大的尺度上,处理器中的木马可以被设计来改变一条指令,例如,使“比较是否相等”指令总是返回真,从而有效地绕过密码检查。这样一个被植入木马的门的输出 YHTY_{HT}YHT​ 可以用一个布尔表达式来描述。如果正常输出是 A⋅BA \cdot BA⋅B,木马的有效载荷是 A+BA+BA+B,并且当木马激活时触发信号 TTT 为“1”,那么最终的输出逻辑可以是 YHT=(A⋅B)⋅T‾+(A+B)⋅TY_{HT} = (A \cdot B) \cdot \overline{T} + (A+B) \cdot TYHT​=(A⋅B)⋅T+(A+B)⋅T。当 T=0T=0T=0 时,输出是 A⋅BA \cdot BA⋅B;当 T=1T=1T=1 时,输出变为 A+BA+BA+B。

  • ​​信息泄露:​​ 也许更阴险的是那些不导致芯片失效,而是泄露信息的木马。芯片继续正确地进行计算,但同时通过一个隐藏的信道广播秘密数据——比如一个加密密钥。这些被称为​​侧信道​​。

    • 一个木马可能会通过微妙地调整电路性能来创建一个​​时序信道​​。例如,可以设计一个微小的电路,在它想泄露的秘密比特为“1”时,向信号路径中增加几个额外的逻辑门;当该比特为“0”时,则移除它们。这会给计算增加一个微小的、纳秒级的延迟。能够精确测量芯片处理时间的外部观察者,便可以解码这一系列延迟,从而还原出秘密比特。
    • 或者,木马可以创建一个​​功耗侧信道​​。想象芯片的一部分本应保持一个静态值,消耗非常少的功率。一个木马在被激活时,可以通过一个微小的传输门将这个稳定区域连接到一个快速切换的信号,如系统时钟。这会产生一个周期性的短路,导致芯片消耗一股可测量的额外功率。通过控制这种连接发生的时间,木马可以将秘密信息编码到芯片的功耗中,使其变成一个微小的、秘密的无线电发射器。

  • ​​拒绝服务:​​ 最后,木马的目标可能仅仅是降级或摧毁芯片。它可以被设计成引发时序故障,通过产生内部短路导致过热,或加速芯片的物理老化,从而导致过早失效。

触发器:秘密的握手

硬件木马的精妙之处在于其触发器。触发器被设计成大海捞针——一个极其罕见的事件,以至于在工厂测试期间发生的可能性微乎其微,但在攻击者所知的特定条件下则保证会发生。

  • ​​组合型触发器:​​ 最简单的触发器是输入值的一个特定的、罕见的组合。想象一个触发器,它仅在五个内部信号,比如 A,B,C,D,EA, B, C, D, EA,B,C,D,E,同时都为“1”时触发。如果这些信号是独立的,并且为“1”的概率是50%(就像抛硬币),那么在任何给定的时钟周期内,这个触发器被触发的概率是 (12)5=132(\frac{1}{2})^5 = \frac{1}{32}(21​)5=321​。但在一个真实电路中,信号并非均匀随机。如果这些信号只在非常特定的操作期间才活跃,它们为“1”的概率可能只有,比如说, 0.10.10.1。那么触发概率将骤降至 (0.1)5=1100,000(0.1)^5 = \frac{1}{100,000}(0.1)5=100,0001​。这就是隐蔽性的精髓。

  • ​​时序型触发器:​​ 为了使触发器更加难以捉摸,攻击者可以使用一个随时间变化的事件序列。这就像一个密码锁。不仅需要正确的数字,还必须按正确的顺序输入它们。例如,一个木马可以使用一个小型状态机,只有在连续四个时钟周期内看到特定的输入序列 (1,0)、然后 (0,1)、然后 (1,1)、最后 (0,0) 后,才转换到其“已触发”状态。任何偏离此序列的行为都会重置该状态机。在测试中随机出现这个精确序列的几率是微乎其微的。

  • ​​参数型触发器:​​ 有些木马被设计成在特定的物理条件下激活,比如异常的工作温度、电源电压的下降,或者在芯片老化到一定程度后。这些尤其狡猾,因为它们在实验室中可能处于休眠状态,但一旦设备部署到不同的环境中就会被激活。

寻找幽灵:检测的挑战

隐蔽的触发器和微妙的有效载荷相结合,使得检测硬件木马成为现代电子学中最重大的挑战之一。你如何找到一个被设计成不被发现的对手?

穷举搜索的不可能性

最直接的方法——功能测试——就是简单地尝试所有可能的输入,看芯片是否会出错。然而,这完全是不可能的。一个现代芯片有数百个输入和数十亿个内部状态保持元件。可能的状态数量是超天文数字,远远超过宇宙中原子的数量。

即使使用运行数百万或数十亿个伪随机模式的自动化测试,情况也可能对防御者不利。如果一个木马的触发器在每个测试模式下的激活概率为 qqq,那么在 NNN 个独立的测试模式后它未被检测到的概率是 (1−q)N(1-q)^N(1−q)N。对于一个非常罕见的触发器,其中 q=10−5q = 10^{-5}q=10−5,即使在运行了 N=105N=10^5N=105 个模式之后,木马从未被触发的概率是 (1−10−5)105≈e−1≈0.37(1-10^{-5})^{10^5} \approx e^{-1} \approx 0.37(1−10−5)105≈e−1≈0.37。这意味着有37%的几率木马会完全不被察觉地溜走!改进测试的关键不仅仅是运行更多的模式,而是运行更智能的模式。正如一项分析所示,设计加权的测试模式以增加激活可疑罕见事件节点的概率,可以将检测概率从不到1%提高到超过20%,因为它解决了核心问题:你无法找到你无法触发的东西 [@problem_-id:4258801]。

倾听低语:侧信道能否成为救星?

如果我们无法可靠地触发木马,或许我们可以检测到它纯粹的物理存在。即使是一个休眠的木马,也是由额外的晶体管和导线构成的,而这些都具有物理属性。这就是侧信道检测的世界,在这里我们的行为更像物理学家,而不是计算机科学家,我们在寻找微弱的物理异常。

一个硬件木马,即使只有几十个门,也会给电路增加微量的寄生​​电容​​。在芯片的关键时序路径上增加的这个额外电容,意味着它充电和放电需要多花一瞬间的时间,从而引入一个微小的、皮秒级的信号延迟增加。另外,这些额外的门每次开关时都会消耗一点点额外的功率,可能在毫瓦或微瓦的量级。

这就提出了一个有趣的问题:哪种低语更容易听到,是额外的延迟还是额外的功率?人们可能直观地猜测是功率,因为它似乎更直接。然而,仔细的分析揭示了一个美妙的精微之处。一个隐蔽的木马,根据其设计,在大部分时间里是不活动的。因此,它对芯片总功耗的贡献被数十亿其他晶体管的活动所平均和稀释,使其极难被发现。而时序测量则可以集中在一条已知是关键的、特定的路径上。那条路径上的额外延迟不会被平均掉。对于低活动性的木马来说,这使得路径延迟测量可能比功率测量灵敏几个数量级。检测木马不仅仅是拥有一支好的麦克风;关键在于知道该把它精确地指向哪里。

来源:全球化世界中的信任问题

最后,我们必须问:这些木马从何而来?它们的起源在于现代半导体供应链的复杂性。一个芯片从一个想法到最终成品的旅程,是一场跨越全球、涉及数十家公司和团队的奥德赛。

这个旅程可以分为几个阶段:高层设计、详细的逻辑设计(RTL)、集成第三方知识产权(IP)模块、在代工厂进行物理制造、测试,最后是加载固件和配置。每个阶段都为攻击者提供了干预的机会。设计公司的内部人员可能将木马插入RTL代码中。提供IP模块的承包商可能在其中隐藏一个木马。制造厂的流氓员工可能篡改用于蚀刻硅片的物理掩模。一个国家实体可以利用其庞大的资源在任何这些阶段进行破坏。

了解这些阶段以及不同攻击者的能力,使得防御者能够实施针对特定阶段的控制措施。形式化验证方法可以通过数学证明设计与其规范之间的等价性,从而帮助在设计阶段关闭这个窗口。对第三方IP进行严格的来源追溯可以减轻来自承包商的风险。先进的成像和测试可以帮助发现来自代工厂的未经授权的物理改动。每一种控制都增加了攻击者的“隐藏难度”,缩小了他们可行的攻击向量集,并有望恢复我们对这些芯片仆人所寄予的那份基本信任。

应用与跨学科联系

在经历了硬件设计基本原理的旅程之后,我们可能会对硅的坚实、有形特性产生一种安全感。我们相信,一个电路一旦被制造出来,就会忠实地、不间断地执行其指定的功能。但如果蓝图本身在硅片被蚀刻之前就被破坏了呢?如果一个微观的、恶意的代理潜伏在我们处理器的核心深处,等待一个特定的信号来唤醒并大搞破坏呢?这就是硬件木马的阴暗世界。

这种威胁不仅仅是理论上的幻想;它源于我们现代全球化电子产业的结构。一家公司可能在一个国家设计尖端芯片,使用另一个国家的软件工具,并在第三个国家进行制造。在这个复杂的供应链的任何一点,攻击者都可能改变芯片的设计。一个尤其明显的漏洞出现在当一个设备,比如关键电网控制器中的FPGA,从外部未加密的存储芯片中加载其配置——即其逻辑本身。拥有临时物理接触权限的攻击者可以简单地重写该存储器,植入他们自己的恶意设计,FPGA将在下次上电时忠实地加载并执行它。硬件本身成了攻击的载体。

现在让我们来探索这些硅间谍惊人的独创性和多样性,从简单的逻辑门到物理现实的结构本身。

木马的构造:触发器和有效载荷

每个硬件木马,无论多么复杂,都可以通过其两个核心组件来理解:一个触发器和一个有效载荷。触发器是“唤醒”木马的机制,而有效载荷是它一旦被唤醒后执行的恶意行为。设计木马的艺术在于使触发器变得如此特定和罕见,以至于在标准测试中几乎不可能偶然遇到,但在只有攻击者知道的条件下却保证会发生。

最简单的触发器是组合型的,当一个特定的、罕见的输入模式出现时激活。想象一个2位比较器,一个基本的构建模块,实现在一个可编程逻辑阵列(PLA)中。这个电路应该输出两个数是否相等。攻击者可以制造一个木马,导致等式检查失败,但仅限于两个输入都是数字'2'的单一特定情况。对于所有其他255种可能的输入组合,电路工作得完美无缺。一个聪明的攻击者甚至可能不添加新的逻辑;他们可以简单地切断一个对应于该特定情况的内部连接,这种破坏行为几乎不可能通过视觉或非穷举测试检测到。另一个技巧是劫持未使用的资源。一个用于在多个数据输入之间进行选择的多路复用器,其某些输入可能被木马重新利用来监听一个秘密的“密码”。只有当一个特定的功能性输入发生并且提供了正确的密码时,木马才会激活其有效载荷,例如,通过反转电路的输出。

更阴险的是时序型触发器。这些木马不是由单个事件唤醒的,而是由一个“秘密握手”——一个在多个时钟周期内发生的一系列特定事件序列来唤醒。考虑一个简单的1位比较器。一个木马可以被实现为一个小型状态机,它保持休眠状态,观察输入。它可能被编程为仅在看到序列 (A=0,B=1)(A=0, B=1)(A=0,B=1),接着是 (A=1,B=1)(A=1, B=1)(A=1,B=1),最后是 (A=0,B=0)(A=0, B=0)(A=0,B=0) 在三个连续时钟周期上出现后才激活。任何偏离这个序列的行为都会重置木马,使其回到休眠状态。只有在完成这个秘密序列后,它才会苏醒并改变比较器的输出。这个原理在复杂系统中可以扩展到可怕的程度。一个总线仲裁器,即多核处理器的交通警察,可能被一个木马攻破,该木马等待一个来自不同主控的独特的四周期总线请求序列。一旦观察到这个不大可能的序列,木马就可以锁定仲裁器,拒绝所有总线访问,从而有效地使整个系统变砖。通过随机测试找到这样一个触发器,就像一次猜一个字符来猜一个长密码一样。

攻击的性质:破坏、间谍活动与毁灭

一旦被触发,木马会做什么?有效载荷与攻击者的动机一样多种多样。

最直接的攻击之一是​​拒绝服务(DoS)​​。正如在总线仲裁器木马中所见,其目标就是让系统停止工作。另一种方法是找到触发器上的异步“紧急覆盖”输入——PRESET 和 CLEAR 引脚。一个木马可以被设计成在接收到其触发信号时激活这些引脚,将一个计数器或寄存器强制置于一个无意义或非法的状态,使其无法恢复,从而有效地使组件崩溃。

也许更危险的是​​功能修改​​或微妙的破坏。木马不会让系统崩溃;它让系统产生错误的答案,通常是以一种对攻击者有利的方式。这种攻击的一个主要目标是算术单元。例如,进位选择加法器是一种巧妙的设计,它通过并行计算两个结果来加速加法:一个假设进位输入为'0',另一个假设进位输入为'1'。然后一个多路复用器根据实际的进位输入选择正确的结果。木马可以瞄准这个多路复用器。对于一对非常特定的输入数字——比如说 0xAA 和 0x55——它可以强制多路复用器选择错误的结果。加法会完成而没有任何明显的错误,但总和会是微妙地不正确,从而在系统中传播一个无声的错误。在金融系统中,这可能导致资金被错误地转移;在导航系统中,这可能导致灾难性的航向偏差。

第三类,也许是最具戏剧性的有效载荷是​​信息泄露​​。在这里,木马不是破坏者,而是间谍。其目标是从芯片中窃取秘密数据,如加密密钥或专有知识产权。一种方法是创建一个隐蔽信道。一个嵌入在移位寄存器中的木马可以被设计成在接收到一个秘密输入模式时触发。触发后,它会将一个敏感内部寄存器的当前状态复制到自己的隐藏内存中。然后,在接下来的几个时钟周期内,它会逐位泄露这些秘密数据。它可以通过将秘密比特与寄存器输出的合法最高有效位进行异或运算来实现这一点。对于外部观察者来说,输出比特看起来就像一个有噪声或随机的信号,但对于知道泄露何时发生的攻击者来说,这是系统最深层秘密的广播。

机器中的幽灵:利用物理领域

最先进的木马离开了干净、二元的数字逻辑世界,进入了混乱、模拟的物理领域。它们利用硅的物理特性来创造出具有无与伦比隐蔽性的攻击。

考虑常见的开漏总线,多个设备可以共享一条通信线路。要发送'0',设备将线路拉至地;否则,一个上拉电阻将线路保持在高电压,代表'1'。木马可以通过在所谓的静默'1'状态期间传输数据来创建一个隐蔽信道。为了发送一个秘密比特,它可以使用一个特殊的晶体管将总线电压非常轻微地拉低。这个电压降经过精心计算,小到不会被总线上的其他设备解释为逻辑'0',但对于由攻击者设计的敏感接收器来说,这是一个可测量的下降。通过巧妙地调制这个“高”电压,木马可以广播一串秘密数据流,对任何监控总线的数字逻辑来说都是完全不可见的。

这种物理层利用的顶峰可能是亚稳态木马。在数字系统中,我们遵循时钟的节拍生活。但是当一个信号在时钟“滴答”的精确瞬间发生变化时会发生什么?试图读取它的触发器可能会变得不确定,进入一种奇异的、准模拟的状态,称为亚稳态——就像一枚硬币完美地立在其边缘上。这种状态本质上是不稳定的,最终会解析为'0'或'1',但所需的时间是概率性的。一个异常狡猾的木马可以被设计成仅当一个同步器的触发器进入亚稳态并且保持该状态异常长的时间时才触发。这样的事件极其罕见,受半导体物理学的指数概率支配。木马不是由数字序列触发的,而是由量子层面上的一次掷骰子触发的。它的激活将与一个随机的“软”错误无法区分,使其成为机器中完美的幽灵——一种统计上保证最终会发射,但其方式看起来仅仅是一次意外的武器。

从简单的门级操纵到对深奥物理现象的利用,对硬件木马的研究揭示了硬件与软件之间、确定性逻辑与概率物理之间的界限远比我们想象的要模糊。它开辟了一个迷人而关键的跨学科领域,在这里,数字设计、计算机体系结构、材料科学和密码学在一个为我们数字世界的可信度而进行的高风险军备竞赛中汇合。