让你的芯片的木马

OneSpin假日拼图的传统已经达到了第四年:听,听!2016年12月,OneSpin工程师解决的挑战爱因斯坦的谜语使用断言和正式的验证工具。2017年12月,是模型的挑战最难的数独世界上使用断言和找到解决办法和正式的工具。OneSpin 2018 - 19假日难题要求工程师来设计数字电路计算斐波纳契数给定一个规范表达SystemVerilog断言。

今年,我们决定使用的难题发现木马以提高恶意的风险的认识逻辑被插入在半导体ip。了解更多关于这个话题,阅读我的博客”硬件木马和信任集成电路的问题”或点击这里下载OneSpin信任和安全解决方案传单。

查看最新OneSpin假日难题点击这里。

挑战
我们提供两个RTL设计,uart-TrojanX uart-TrojanY,插入与硬件木马,但没有规范或任何其他信息。我们要求工程师有三个任务:

• 阿基里斯的强烈:检测木马并提供波形显示他们如何会引发痕迹。
• 巴黎法官:确定哪些设计更为隐蔽的木马。
• 海伦的:提供额外的评论,关于木马可以自动检测到或更为隐蔽的,例如。

的两个设计,有多个可疑代码部分容易识别代码评审。特定值的序列数据输入信号会导致冗余切换登记在每一个时钟周期,从而浪费电力。类似的数据序列将激活逻辑腐蚀控制功能。将极不可能达到这些数据序列场景偶然在IP constrained-random仿真验证或系统级测试。

阿基里斯的强烈
大多数参与者提供的照片波形跟踪激活一个木马,通过仿真工具生成的,正式的工具,或两者兼而有之。一些专注于只有一个木马,在大多数情况下,power-wasting登记。考虑到设计规范还没有,没有进程可以系统地检测所有功能的木马。

然而,对于特定的“诱导多能性”,这是有可能的。OneSpin RISC-V完整性验证的解决方案,已成功应用于多个RISC-V核心。的解决方案包括一个模型表达的RISC-V ISA SystemVerilog断言。正式的验证可以证明RTL满足断言。这个解决方案的关键力量是断言的集合被证明是完成从缺口使用OneSpin GapFreeVerification和自由。覆盖指标,变异范围,和代码审查可以检测验证缺口。然而,只有GapFreeVerification可以证明没有差距。这确保RISC-V模型是完整的和能够发现任何RTL偏差,恶意或否则,从RISC-V规范。一篇题为“完整的形式验证RISC-V处理器ip Trojan-Free可信ICs”是2019年GOMACTech会议。获得一个副本,访问onespin.com/resources/white-papers。

IPs,没有一个独立的信任保证的解决方案,仍然可以识别异常和可疑代码模式,已知木马签名,和弱点可以利用等实现阶段的合成。关于这一主题的论文题为“一个自动化Pre-Silicon IP可信度评估硬件保证”,由航空公司和OneSpin工程师,将会在GOMACTech2020年会议。摘要有望从2020年3月下旬OneSpin网站上。

巴黎法官
没有标准的指标或流程评估隐形木马。很有趣,虽然并不奇怪,看到参与者表达了许多不同的观点。一些工程师认为更难采收的木马引发序列也难以检测。这当然是一种有效的时候使用功能验证技术,尤其是constrained-random仿真,检测IP偏离预期的行为。情况变得更加复杂,如果特洛伊只有power-wasting载荷。别人关注混淆特洛伊逻辑是如何,这可能是非常相关的代码评审时主要的信任保证的方法。一些工程师指出,木马使用专用的FSM可能是更容易实现现货比一个混合了FSM“真正的”。最后,正如一些木马导致FSM陷入死锁或信号,这也是正确的观察,这可能是更容易发现这些问题可以用自动探测到正式的检查。隐形木马是如何将取决于最终的信任保证过程和技术可用:木马,错过了比一个被更为隐蔽。

海伦的
工程师喜欢好的挑战。参与者贡献了许多有趣的和有效的想法如何使特洛伊更为隐蔽的或自动化检测。这些实际上是同一枚硬币的两面。一些基本的想法是让特洛伊逻辑更加混淆。一个木马的设计包括一个名为my_power_wasting_reg的寄存器。每个人都能想到的一个不太明显的名字。确保特洛伊逻辑不会引起任何死锁、死代码,或停留在信号,其他常见的想法。逻辑分布在不同的文件,木马和长时间的延迟,影响数据输出周期被触发后,许多想法也上来。设计和验证工程师很清楚什么类型的个别案例行为很难检测,甚至如何先进的验证可以愚弄testbenches如果有人恶意的意图。

结论
半导体ip可以包含硬件木马,这种风险不能被忽视,特别是对安全重要,安全芯片。不幸的是,工程人才可以用于邪恶的目的。敌人可以从智能个人民族国家,攻击支持的供应链集成电路可能是复杂和充足的资源。

SoC集成商不知道他们使用的IPs的实现细节,他们不能从头开始建立一个严格的信任保证环境。自动化的信任保证的解决方案需要较低的努力,没有知识的IP实现细节可以用来获得信心,从隐藏IP是免费的,无证,或恶意的逻辑。

我想感谢所有参与者的有趣的观察和评论。很难挑选赢家,因为许多答案相似或同样有效,但是我们最好的努力,做一个公平的决定。最后,下面是赢家:

• Nithin Kumar Guggilla的赛灵思公司赢得了阿基里斯的强烈奖提供使用正式和波形仿真工具(和评论,这是更容易使用正式作为工具自动创建木马激活刺激)。
• Tero Kuusijarvi的诺基亚赢得了巴黎法官考虑到奖的一个木马设计uart-TrojanY更为隐蔽的因为它没有添加一个状态(x_DataSend) FSM的控制。
• 韦恩云的AMD赢得了海伦的奖提供很多宝贵的意见,其中许多已在本博客中讨论。

今年的奖项Bose SoundSport免费无线耳机!

我们已经忙着找新想法在接下来的假期难题。请把你的建议(电子邮件保护)。

感谢所有的参与者。请继续关注今年晚些时候未来OneSpin假日难题!