中断耐性トロイの木馬の台頭
新しいハードウェアトロイの木馬は、現代のCPU設計に深刻なリスクをもたらす。
― 1 分で読む
ハードウェアトロイの木馬って、コンピューターチップに秘密裏に変更を加えたもので、危険な動作を引き起こす可能性があるんだ。誰にも気づかれずに起こるから、特に今のグローバルなサプライチェーンでは深刻なリスクを伴う。そういう攻撃は、消費者向けエレクトロニクスから軍事システムまで、何でも標的にできるのが特徴。問題は、こうしたトロイの木馬を挿入するのが難しいってこと。特に、現代のコンピューターチップの動き方が影響してる。
この記事では、インタラプト耐性トロイの木馬(IRT)という新しいクラスのハードウェアトロイの木馬について話してる。これらのトロイの木馬は、チップがタスクを処理する際に発生するランダムなイベントが、トロイの木馬が正しく機能する能力を妨げるっていう大きな問題に対処している。攻撃者にとっては、ペイロード(トロイの木馬が実行する有害なアクション)が、予期しない中断があっても確実にトリガーされることが重要なんだ。
ハードウェアトロイの木馬の理解
IRTの重要性を理解するためには、まずハードウェアトロイの木馬の仕組みを見てみる必要がある。トロイの木馬は通常、トリガーとペイロードの2つのパーツで構成されている。トリガーは通常の操作中は隠れている必要があるけど、必要なときには簡単に起動できる状態でなきゃならない。CPUの動作中に中断が起こってトリガーが働かなかったら、トロイの木馬は機能しない。
現代のCPUは複数のタスクを同時に処理していて、頻繁に切り替わっている。これをコンテキストスイッチって呼ぶんだ。CPUがタスクを切り替えるたびに、現在のタスクの状態を保存して、次のタスクの状態を読み込む。これは効率的だけど、ハードウェアトロイの木馬には問題を引き起こすことがある。もしトロイの木馬がコンテキストスイッチ中にトリガーされると、CPUの状態の変化がトロイの木馬の失敗を引き起こすかもしれない。それによって、見えるエラーやクラッシュが発生し、ユーザーに悪意のあるトロイの木馬が存在することを警告することになる。
インタラプト耐性トロイの木馬の紹介
こうした問題に対抗するために、インタラプト耐性トロイの木馬(IRT)が設計された。IRTの主な目的は、コンテキストスイッチイベントが発生しても、信頼性のあるトリガーを提供することだ。つまり、CPUで何が起きていようとも、これらのトロイの木馬はペイロードを効果的に実行できるってわけ。
IRTには主に2つのタイプがある:
選択的トリガー(IRT-1): このタイプは、処理ソフトウェアがCPUのパイプラインで特定の命令を実行しているときだけアクティブになる。こうすることで、コンテキストスイッチイベントを自分の利点に使える。もしソフトウェアが実行中でない場合、トリガーは非アクティブのまま。
常時準備トリガー(IRT-2): 一方、IRT-2は攻撃の間ずっとアクティブになっている。特定の命令に依存せず、CPUの現在の動作に関係なくペイロードを届けられるから、より広い範囲の標的に対応できるけど、より多くのリソースが必要になる。
ハードウェアトロイの木馬の実装の課題
製造プロセス中にハードウェアトロイの木馬を挿入するのは簡単じゃない。攻撃者は、挿入がチップの正常な動作を妨げないように注意しなきゃならない。これは、トリガーとペイロードが効果的に通信できるように配置することを含んでいて、たとえ物理的に近くなくてもな。もしトロイの木馬のトリガー信号が遠すぎると、ペイロードの実行が遅れるかもしれない。
製造段階では、攻撃者がレイアウトに対して行える修正は限られていて、これが難しさを増すことになる。レイアウトのタイミングやパフォーマンスに関する懸念もある。もしトロイの木馬を追加することでタイミング違反が起きたら、チップは運用仕様を満たせなくなって、さらなる注目を集めることになる。
IRTの評価
IRTの効果をテストするために、研究者たちは特定のCPU設計でさまざまな攻撃シナリオを実行して、新しい技術を使ったんだ。目的は、これらのトロイの木馬が意図通りに機能するかどうか、コンテキストスイッチやマルチタスクのシナリオでも確認することだ。
実験の結果、IRTはさまざまな条件下で信頼性を持って機能できることがわかった。IRT-1は、処理過程が中断されても、実行が再開されるとトロイの木馬は再び自動的に機能を復活させることができた。これは、CPUの動作の不確実性の中で苦労する従来のハードウェアトロイの木馬に対する大きな利点を示している。
2つ目のタイプ、IRT-2は、中断に対しても耐性があり、実行中ずっと準備が整った状態を維持していた。この方法は、CPUが複数のタスクで忙しいときでも効果的なペイロードの実行が可能であることを示した。
ハードウェアトロイの木馬の未来
この新しい理解は、CPU設計の中でセキュリティ対策を強化する必要性を浮き彫りにしている。攻撃者がますます高度になっていく中で、従来のハードウェアトロイの木馬を検出する方法はもはや十分ではないかもしれない。IRTの導入は、製造段階でのトロイの木馬の挿入が限られすぎているという考えに挑戦するものだ。攻撃者は、チップ設計の後の段階でも複雑で効果的なトロイの木馬を実装できることを示している。
結果として、エンジニアやセキュリティ専門家は、これらの脅威に対してより強い防御を開発することに集中しなきゃならない。これには、CPU内の汎用ハードウェアのセキュリティを強化し、ハードウェア設計や製造のステップの中での潜在的な脆弱性に再注目することが含まれる。
結論
インタラプト耐性トロイの木馬の出現は、ハードウェアセキュリティと悪意のある変更の戦いに新たな章を開くものだ。これらのトロイの木馬は、現代のCPU設計の複雑さをうまく乗り越え、私たちの技術における持続的な脆弱性を際立たせている。この分野が進化するにつれて、ハードウェアセキュリティ対策において継続的な研究と開発が必要だということを強調しているし、消費者に届く前にチップの厳密なテストと評価が必要だという点も明らかになっている。
要するに、IRTの導入は攻撃を実行する際の信頼性の重要性を示しつつ、製造段階での柔軟性の理解を再構築している。技術とセキュリティプロトコルの適応が、今後ますます洗練された脅威に対しての防御に不可欠になるだろう。
タイトル: Towards Practical Fabrication Stage Attacks Using Interrupt-Resilient Hardware Trojans
概要: We introduce a new class of hardware trojans called interrupt-resilient trojans (IRTs). Our work is motivated by the observation that hardware trojan attacks on CPUs, even under favorable attack scenarios (e.g., an attacker with local system access), are affected by unpredictability due to non-deterministic context switching events. As we confirm experimentally, these events can lead to race conditions between trigger signals and the CPU events targeted by the trojan payloads (e.g., a CPU memory access), thus affecting the reliability of the attacks. Our work shows that interrupt-resilient trojans can successfully address the problem of non-deterministic triggering in CPUs, thereby providing high reliability guarantees in the implementation of sophisticated hardware trojan attacks. Specifically, we successfully utilize IRTs in different attack scenarios against a Linux-capable CPU design and showcase its resilience against context-switching events. More importantly, we show that our design allows for seamless integration during fabrication stage attacks.We evaluate different strategies for the implementation of our attacks on a tape-out ready high-speed RISC-V microarchitecture in a 28nm commercial technology process and successfully implement them with an average overhead delay of only 20 picoseconds, while leaving the sign-off characteristics of the layout intact. In doing so, we challenge the common wisdom regarding the low flexibility of late supply chain stages (e.g., fabrication) for the insertion of powerful trojans. To promote further research on microprocessor trojans, we open-source our designs and provide the accompanying supporting software logic.
著者: Athanasios Moschos, Fabian Monrose, Angelos D. Keromytis
最終更新: 2024-05-02 00:00:00
言語: English
ソースURL: https://arxiv.org/abs/2403.10659
ソースPDF: https://arxiv.org/pdf/2403.10659
ライセンス: https://creativecommons.org/licenses/by-nc-sa/4.0/
変更点: この要約はAIの助けを借りて作成されており、不正確な場合があります。正確な情報については、ここにリンクされている元のソース文書を参照してください。
オープンアクセスの相互運用性を利用させていただいた arxiv に感謝します。