无线加密集成电路中的硬件木马：威胁与检测

### 无线加密集成电路中的硬件木马：威胁与检测 #### 1. 硬件木马在无线加密集成电路中的威胁 在无线加密集成电路（IC）中，硬件木马带来了严重的安全威胁。硬件木马能够通过精心隐藏在合法数据传输范围内的额外结构，公开传输敏感信息，如加密密钥。这些木马在传输密钥时，仅需对密钥进行存储和转换，以逐位传输，其面积开销仍远低于芯片数字部分的 0.4%，在最坏情况下，功率增加仅为 0.25%。 攻击者通过监听无线信道，观察传输信号的振幅或频率差异，就能提取出秘密密钥。例如，在 I 型和 II 型硬件木马感染的芯片中，被盗密钥位值的差异分别反映在最大振幅 120μW 的差异和 0.4GHz 的频率差异上。这些差异处于工艺变化和操作条件波动允许的范围内，不易引起怀疑。攻击者只需监听 56 个连续传输块，就能获得加密密钥 56 位的旋转版本，最多尝试 56 次即可解密传输的密文。 #### 2. 现有硬件木马检测方法的局限性 传统的制造测试和现有的硬件木马检测方法难以检测到这些硬件木马。以下是几种常见检测方法及其局限性： - **功能、结构和增强测试**：硬件木马不改变电路数字部分的功能。在正常操作和测试模式下，电路均能正常运行。使用标准工业 ATPG 工具生成的测试向量，在木马感染的电路上模拟测试时，所有测试均能通过。增强测试集以测试罕见事件也无效，因为硬件木马不影响数字功能，模拟部分也能通过传统的基于规格的模拟/RF 测试。 - **系统级测试**：通过测量 200 个无木马芯片、100 个 I 型和 100 个 II 型硬件木马感染芯片的传输功率，发现由于泄漏信息的结构隐藏在工艺变化允许的范围内，无法通过分析传输功率图来区分无木马芯片和感染芯片。 - **基于局部电流迹线的检测方法**：该方法可检测小至电网 2%的木马，但需要将芯片至少划分为 20 个电网，并至少有 30 个均匀分布的电源端口。这些电源端口的可用性是实施该方法的严重障碍，且攻击者可能会采取对策来避免木马被检测到。 - **基于全局功耗迹线的统计分析方法**：该方法可有效检测占用总电路面积 0.12%的硬件木马，但当木马面积降至 0.01%且工艺变化增加到 7.5%时，会出现误报。对于面积开销极低（0.02%）的硬件木马，该方法难以有效检测。 - **基于路径延迟指纹的检测方法**：硬件木马对数字部分少量路径的延迟影响太小，难以观察到。即使检查与加密密钥相关的路径，流水线加密电路的复杂性也能隐藏增加的延迟。在 5%的工艺变化范围内应用该方法，无法识别无木马芯片和感染芯片的集合。 #### 3. 统计分析检测硬件木马的有效性 虽然现有方法难以检测硬件木马，但统计分析传输参数可以有效检测产生额外信息泄漏的芯片。通过测量广播一个数据块（64 位）的总传输功率，对 100 个 I 型、100 个 II 型硬件木马感染芯片和 100 个无木马芯片进行蒙特卡罗 SPICE 级模拟，假设 5%的工艺变化。在传输六个随机选择的块时，所有芯片的测量值均在可接受的规格范围内，在六维测量空间中无法区分这些芯片。 然而，对这些测量值进行主成分分析（PCA）后，发现无木马芯片数据和感染芯片数据的结构不同。通过定义一个简单的最小体积包围椭球作为可信边界，将芯片投影到选定的三个主成分空间中，能够有效区分无木马芯片和感染芯片。该方法可以检测所有 I 型和 II 型硬件木马感染芯片，且不会误弃任何无木马芯片。 #### 4. 硬件木马设计技术 由于集成电路制造服务的全球外包，在不可信工厂生产芯片时，可能会引入恶意修改，即硬件木马。硬件木马可导致芯片出现不良功能行为，提供隐蔽通道或后门，泄漏敏感信息，还可能导致系统性能下降或故障，对军事、通信和国家基础设施等对信息安全要求严格的应用造成灾难性后果。 以下是从两个角度设计硬件木马的方法： - **基于逻辑控制方法设计顺序硬件木马以避免检测**：顺序硬件木马在长时间运行的一系列罕见事件后触发，可设计得比组合硬件木马更难检测。通过增加触发序列的长度，这些木马尺寸可以极小，在正常原型测试和全扫描模式的微芯片最终测试中都难以检测到。 - **功能顺序硬件木马模型**：顺