ハードウェア・トロイの木馬 - 百科事典

ハードウェアトロイの木馬（HT）は、集積回路の回路構造に対する悪意のある修正です。ハードウェアトロイは、その物理的な表現と行動によって完全に特徴付けられます。HTのペイロードは、トロイがトリガーされたときに実行するすべての活動です。一般的に、トロイはシステムのセキュリティフェンスを迂回したり無効にしようとします：例えば、ラジオ発射によって機密情報を漏らすことです。HTも、チップ全体またはその一部を無効にしたり、損傷したり破壊したりすることができます。

ハードウェアトロイは、以下の方法で導入されることがあります：コンピュータチップの設計中に隠して挿入される「フロントドア」、信頼できない源から購入した既製のアプリケーション特定の集積回路（ASIC）半導体知的財産コア（IPコア）を使用して、または内部で不正な従業員によって挿入される（独自に行動するか、不正な特殊利益グループのために行動するか、国家が後援するスパイ活動や諜報活動です。

2015年にIEEEが発表した論文では、トロイを含むハードウェア設計が、正しい「イースター・エッグ」トリガーが適用されるときにアンテナやネットワーク接続を通じて暗号キーを漏らす方法について説明しています。

高いセキュリティレベルの政府のIT部門では、KVMスイッチ、キーボード、マウス、ネットワークカード、その他のネットワーク機器などのハードウェアを購入する際に、ハードウェアトロイがよく知られた問題です。特に、信頼できない源からこのような機器を購入する場合、キーボードパスワードを漏らすためにハードウェアトロイを設置したり、リモートで無許可のアクセスを提供したりすることがあります。

背景
多様なグローバル経済において、生産タスクのアウトソーシングは、製品のコストを下げる一般的な方法です。エンベデッドハードウェアデバイスは、必ずしも設計および／または販売する企業によって生産されず、使用される国でもありません。アウトソーシング製造は、製造された製品の完全性に関する証拠（つまり、最終製品が元の設計と比較して設計変更がないという確信）に対する疑念を引き起こすことができます。製造プロセスにアクセスできる人は、理論的には最終製品に何らかの変更を加えることができます。複雑な製品の場合、小さな変更が大きな影響を与えることが難しいです。

深刻な、悪意のある、設計変更の脅威は、特に政府機関にとって特に重要です。ハードウェアの完全性に関する疑念を解決することで、軍事、金融、エネルギー、政治部門の経済における技術の脆弱性を減らすことができます。信頼できない工場での集積回路の製造が一般的であるため、敵が回路の機能に隠れた追加のコンポーネントを追加したり、他の方法で破壊したりする場合を検出するために、高度な検出技術が登場しました。

ハードウェアトロイの特徴
HTは、物理的な表現、アクティベーションフェーズ、行動フェーズなど、いくつかの方法で特徴付けられます。別の方法では、トリガー、ペイロード、ステルスによってHTを特徴付けます。

= 物理的特徴 =
この物理トロイの特徴の1つは、タイプです。トロイのタイプは、機能的またはパラメトリックのいずれかです。トロイが機能的である場合、敵が元のチップ設計にトランジスタやゲートを追加したり削除したりします。もう一つの種類のトロイ、パラメトリックトロイは、元の回路構造を変更します。例えば、ワイヤの薄化、フリップフロップやトランジスタの弱化、チップに放射線を照射、または焦点化イオンビーム（FIB）を使用してチップの信頼性を低下させることなどです。

トロイのサイズは、その物理的な拡張または構成するコンポーネントの数です。トロイは多くのコンポーネントで構成されるため、設計者が悪意のあるロジックの一部をチップに分布させることができます。追加のロジックは、機能を変更、追加、削除する必要がある場所にどこにでも配置できます。悪意のあるコンポーネントは、散らばっている（非公式な分布と呼ばれる）か、非常に少ないコンポーネントで構成されている（緊密な分布と呼ばれる）か、悪意のあるロジックが占めるレイアウトのエリアが小さいです。

一部の場合では、敵がコンポーネントの配置を変更するように高努力のアタッカーがリレイションを再生します。非常に稀な場合、チップの寸法が変更されます。これらの変更は構造的変更です。

= アクティベーションの特徴 =
典型的なトロイは条件ベースです：センサー、内部ロジックの状態、特定の入力パターン、または内部カウンタの値によってトリガーされます。条件ベースのトロイは、非アクティブ時には多少検出可能です。これは、トリガーやカウンターシステムによってトロイをアクティベートする際に生成される漏れ電流のためにです。

ハードウェアトロイは、異なる方法でトリガーできます。トロイは内部でアクティベートされることができます。これは、IC内部の1つまたは複数の信号を監視することを意味します。悪意のある回路構造は、攻撃者がチップに追加したカウントダウンロジックを待つことができます。その結果、トロイは特定の時間間隔後に目覚めます。対照的に、外部でアクティベートされることがあります。チップ内部に悪意のあるロジックがあり、攻撃者がチップの外部から到達できるアンテナや他のセンサーを使用して、例えば、巡航ミサイルの制御システムにトロイが含まれていることがあります。ミサイルの所有者は、敵がラジオでロケットをオフにできることを知りません。

常にオンのトロイは、リダクションワイヤです。このように修正されたチップは、ワイヤが強く使用されるたびにエラーを生成したり、失敗したりします。常にオンの回路は、電力トレースを使用して検出するのが難しいです。

この文脈では、組み合わせトロイとシーケンシャルトロイが区別されます。組み合わせトロイは、特定の条件が発生するまで内部信号を監視します。シーケンシャルトロイは、内部信号を監視し、組み合わせトロイのように特定の状態や条件ではなくシーケンスを探す内部でアクティベートされる条件ベースの回路です。

暗号キーの抽出
トロイを検出しないで秘密のキーを抽出するには、トロイがランダムなシグナルや暗号実装を使用する必要があります。

トロイ自体に暗号キーを保存しないで、減少を防ぐために、物理不可複製機能（PUF）を使用できます。物理不可複製機能は小さく、同じレイアウトを持つことができますが、暗号学的性質は異なります。

= 行動の特徴 =
HTは、チップの機能を変更したり、チップのパラメトリック特性（例えば、プロセス遅延を引き起こす）を変更したりすることができます。また、機密情報を敵に送信することもできます。

= 周辺デバイスのハードウェアトロイ =
ネットワークやネットワークエンドポイントに対する比較的新しい脅威ベクトルは、ネットワークエンドポイントと相互作用するために設計された物理的な周辺デバイスとして現れるHTです。例えば、ターゲットネットワークエンドポイントと通信するために認証された周辺デバイスの通信プロトコルを使用して、悪意のある処理サイクルを隠してターゲットネットワークエンドポイントから漏らすUSBキーボードが含まれます。ターゲットネットワークエンドポイントから敏感なデータがHTにエキストラリズムされた後、HTはデータを処理し、データに対して何をすることを決定します：HTの後の物理的なリトリーブのためにメモリにデータを保存したり、無線を使用してデータをインターネットにエキストラリズムしたり、侵害されたネットワークエンドポイントをハブとして使用してデータをエキストラリズムしたりすることができます。

脅威の可能性
一般的なトロイは、変更されたデバイスが使用されている時間のほとんどをパッシブ状態で過ごします。トロイがアクティベーションされると、デバイスの機能が変更され、デバイスが破壊されたり無効化されたり、デバイスが機密情報を漏らしたり、HTがデバイスのセキュリティと安全性を低下させることができます。トロイはステルスであり、トロイの検出を避けるためのアクティベーションの前提条件は非常に稀なイベントです。伝統的なテスト技術は十分ではありません。製造不良はランダムな位置で発生し、悪意のある変更は検出を避けるようによく配置されています。

検出
= 物理的な検査 =
まず、成型コートを切って回路を明らかにします。次に、エンジニアはチップの層を研ぎながら表面を繰り返しスキャンします。回路をスキャンするためのいくつかの操作があります。典型的な視覚検査方法は、スキャン光学顕微鏡（SOM）、スキャン電子顕微鏡（SEM）、ピコ秒イメージ回路分析（PICA）、電圧対比画像（VCI）、光誘導電圧変化（LIVA）または電荷誘導電圧変化（CIVA）です。チップのフロアプランと実際のチップの画像を比較する必要があります。これはまだ非常に挑戦的です。トロイハードウェア（暗号）キーが異なる場合、画像差分を撮影してチップ上の異なる構造を明らかにすることができます。唯一知られているハードウェアトロイは、ユニークな暗号キーを使用していますが、同じ構造を持っています。この性質は、トロイの検出不能性を高めます。

= 機能的テスト =
この検出方法は、チップの入力ポートを刺激し、出力を監視して製造不良を検出します。出力の論理値が本物のパターンに一致しない場合、欠陥またはトロイが見つかることができます。

= 内蔵テスト =
組み込み自己テスト（BIST）およびテスト設計（DFT）技術は、チップに機能仕様を実装しているかを確認するために意図して回路（ロジック）を追加します。追加のロジックは、入力刺激や内部信号やメモリ状態を監視するために設計されています。一般的には、チェックサム計算やカスタマイズされたスキャン技術を通じて内部レジスタを暴露することによって行われます。DFTは通常、外部テストメカニズムと連携して動作しますが、BISTが有効化されたチップはカスタムテストパターン生成器を統合しています。BIST機能は、スキャンチェーンや他の低速度のDFT機能を使用できない場合に高速（高速）検証を行うために存在します。両方の方法はもともと製造不良を検出するために開発されましたが、悪意のあるロジックのチップ上の影響の一部を検出したり、悪意のあるロジックが隠密にチップ内の状態を検査するために利用される可能性がある二重刃の可能性があります。

DFTが意図しないロジックを認識する方法を考えてみましょう。DFT入力によって駆動された本物のチップは一般的なシグネチャを生成しますが、欠陥や変更されたチップは予期しないシグネチャを表示します。シグネチャは、チップからのデータ出力の数に依存します：全体のスキャンチェーンまたは中間データ結果です。トロイ検出の文脈では、DFTロジックは暗号アルゴリズムとして見ることができます：テスト中の設計の動作から派生したメッセージをシグネチャするために、DFT入力を使用してキーをシグネチャします。侵入回避の文脈では、BISTやDFT機能は製造環境外でハードウェア再構成によって通常無効化されます。なぜなら、これらの機能がチップの内部状態にアクセスできるため、チップの機能が隠密な監視や破壊的攻撃にさらされる可能性があるからです。

= サイドチャンネル分析 =
電気的に活動しているすべてのデバイスは、磁界や電界のような異なる信号を放出します。これらの信号は、電気活動によって引き起こされ、デバイスの状態や処理しているデータに関する情報を得るために分析できます。これらの副作用を測定する高度な方法が開発され、非常に感度が高い（サイドチャンネル攻撃）です。したがって、これらのアナログ信号の測定値を使用して、非常に密接に結びついたトロイを検出することができます。測定値は、分析されたデバイスのシグネチャとして使用できます。測定値のセットが評価されることは一般的であり、測定エラーや他の不確実性を避けるためにです。

参考リソース
FDIV
ハードウェアバックドア
ハードウェアオブフューズ
ハードウェアセキュリティ
キルスイッチ
物理不可複製機能（PUF）
セキュリティスイッチ
インテル管理エンジン

参考書籍
Mainak BangaとMichael S. Hsiao：Hardware Trojanの識別のための地域ベースのアプローチ、ブラッドリー電気およびコンピュータエンジニアリング学科、バージニア工科大学、Host'08、2008
A. L. D’SouzaとM. Hsiao：Regionベースのモデルを使用したシーケンシャル回路のエラーダイアグノーズ、IEEE VLSIデザインカンファレンスプロセス、2001年1月、pp. 103–108。
C. Fagot、O. Gascuel、P. Girard、C. Landrault：Efficient LFSRシードの計算のための組み込み自己テスト、Europeanテストワークショッププロセス、1999年、pp 7–14
G. Hetherington、T. Fryars、N. Tamarapalli、M. Kassab、A. Hassan、J. Rajski：Logic BIST for large industrial designs、ITC、1999年、pp. 358–367
W. T. Cheng、M. Sharma、T. Rinderknecht、C. Hill：Signature Based Diagnosis for Logic BIST、ITC 2006、2006年10月、pp. 1–9
Rajat Subhra Chakraborty、Somnath Paul、Swarup Bhunia：On-Demand Transparency for Improving Hardware Trojan Detectability、電気およびコンピュータエンジニアリング学科、ケースウェスタンリザーブ大学、クリーブランド、OH、USA
Yier Jin、Yiorgos Makris：Hardware Trojan Detection Using Path Delay Fingerprint、電気工学学科、イェール大学、ニューヘイブン
Reza Rad、Mohammad Tehranipoor、Jim Plusquellic：Power Supply Transient Signalsを使用してハードウェアトロイに対する感度分析、1st IEEE International Workshop on Hardware-Oriented Security and Trust (HOST'08)、2008
Dakshi Agrawal、Selcuk Baktir、Deniz Karakoyunlu、Pankaj Rohatgi、Berk Sunar：Trojan Detection using IC Fingerprinting、IBM T.J. Watson Research Center、ヨークタウン・ヘイツ、電気およびコンピュータエンジニアリング学科、ワーストン工科大学、マサチューセッツ州、2006年11月10日
P. Song、F. Stellari、D. Pfeiffer、J. Culp、A. Weger、A. Bonnoit、B. Wisnieff、T. Taubenblatt：MARVEL - Malicious Alteration Recognition and Verification by Emission of Light、IEEE Int. Symp. on Hardware-Oriented Security and Trust (HOST)、pp. 117–121、2011
Xiaoxiao Wang、Mohammad Tehranipoor、Jim Plusquellic：