Một lỗ hổng phần cứng mới có thể phát hiện được trong các sản phẩm logic lập trình Xilinx có thể cho phép kẻ tấn công phá vỡ mã hóa dòng bit và sao chép tài sản trí tuệ, thay đổi chức năng và thậm chí cấy Trojans phần cứng.
Chi tiết về các cuộc tấn công chống lại Mảng cổng lập trình trường Xilinx 7-Series và Virtex-6 (Đồ họa) đã được đề cập trong một bài báo có tiêu đề “Silicon không thể so sánh được: Sự phá vỡ hoàn toàn của mã hóa dòng bit của các loại máy tính Xilinx 7-Series“Bởi một nhóm các học giả từ Học viện An ninh CNTT và Bảo mật CNTT Max Planck.
Các nhà nghiên cứu cho biết: “Chúng tôi khai thác một lỗ hổng thiết kế mà piecewise làm rò rỉ dòng bit được giải mã”. “Trong cuộc tấn công, FPGA được sử dụng như một nhà tiên tri giải mã, trong khi chỉ cần truy cập vào giao diện cấu hình. Cuộc tấn công không yêu cầu bất kỳ công cụ tinh vi nào và, tùy thuộc vào hệ thống đích, có khả năng có thể được khởi chạy từ xa.”
Các phát hiện sẽ được trình bày tại Hội nghị chuyên đề bảo mật USENIX vào cuối năm nay. Các nhà nghiên cứu cho biết họ đã tiết lộ riêng về lỗ hổng cho Xilinx vào ngày 24 tháng 9 năm 2019. Người khổng lồ bán dẫn, để đáp lại, đã đăng một tư vấn thiết kế thừa nhận lỗ hổng.
“Sự phức tạp của cuộc tấn công này tương tự như các cuộc tấn công DPA nổi tiếng và đã được chứng minh, chống lại các thiết bị này và do đó không làm suy yếu tư thế bảo mật của chúng”, công ty lưu ý trong cảnh báo.
Khai thác chế độ CBC để mã hóa và giải mã các khối tùy ý
FPGA là lập trình mạch tích hợp có thể được cấu hình lại trong trường để phù hợp với ứng dụng hoặc chức năng mong muốn tùy thuộc vào nơi nó được triển khai. Do mức độ linh hoạt cao, các GPU đã được sử dụng rộng rãi trong việc phát triển mạng di động 5G, điện tử tiêu dùng, trung tâm dữ liệu, hàng không vũ trụ và công nghệ ô tô,
Điều đáng chú ý là Xilinx và Intel (thông qua việc mua lại Altera) thống trị thị trường đồ họa, với riêng Xilinx chiếm gần 50% thị phần.
Khi các thiết kế đồ họa được mã hóa theo dòng bit, một lỗ hổng phần cứng ở quy mô này có thể gây ra hậu quả nghiêm trọng, các nhà nghiên cứu cho biết.
Ngược lại với những gì đã biết kênh phụ và thăm dò các cuộc tấn công chống lại Xilinx và Altera FPGA, cuộc tấn công mới “chi phí thấp” nhằm mục đích khôi phục và thao tác dòng bit bằng cách tận dụng giao diện cấu hình (chẳng hạn như SelectMAP hoặc JTAG) để đọc lại dữ liệu từ thiết bị FPGA.
Là một tính năng, “đọc lại“Có nghĩa là để giúp xác minh rằng thiết kế đã được tải xuống chính xác vào thiết bị. Nhưng trong nỗ lực bảo vệ thiết kế, dòng bit được mã hóa (AES-256 ở chế độ CBC) để ngăn chặn việc đọc lại trên tất cả các cổng bên ngoài.
Cuộc tấn công được các nhà nghiên cứu nghĩ ra nhằm thao túng dòng bit được mã hóa để chuyển hướng dữ liệu cấu hình được giải mã của nó sang Đăng ký địa chỉ bắt đầu MultiBoot (WBSTAR hoặc Địa chỉ khởi động khởi động ấm), cho phép chuyển đổi giữa các hình ảnh đang hoạt động để cập nhật từ xa và tải dòng bit dự phòng với thiết kế tốt đã biết vào thiết bị FPGA.
Nhưng do việc sử dụng bộ nhớ flash để lưu trữ các thành phần này, thiết lập lại không xóa nội dung của người đăng ký. Do đó, tính bảo mật của dòng bit có thể bị phá vỡ như sau:
- Tạo một dòng bit độc hại và một dòng bit đọc. Dòng bit độc hại khai thác dễ uốn sau đó Chế độ mã hóa CBC để thay đổi lệnh trong dòng bit, ghi dữ liệu vào thanh ghi cấu hình WBSTAR.
- Tải dòng bit độc hại vào thiết bị FPGA
- Việc thiết lập lại tự động của FPGA xảy ra do những thay đổi được thực hiện đối với dòng bit ở bước (1) nhưng không đặt lại nội dung WBSTAR như được sử dụng cho tính năng MultiBoot và dự phòng.
- Đọc lại nội dung của thanh ghi WBSTAR bằng cách sử dụng dòng bit đọc.
- Đặt lại thủ công thiết bị FPGA để lặp lại các bước trên và khôi phục toàn bộ dòng bit được mã hóa dưới dạng từ 32 bit.
“Tóm lại, FPGA, nếu được tải bằng khóa mã hóa, giải mã dòng bit được mã hóa và ghi nó cho kẻ tấn công vào thanh ghi cấu hình có thể đọc được”, các nhà nghiên cứu tuyên bố.
“Do đó, FPGA được sử dụng như một lời tiên tri giải mã. Thực tế là chỉ có các từ 32 bit duy nhất có thể được khám phá trong mỗi lần lặp xác định thời lượng giải mã toàn bộ dòng bit: Trong các thử nghiệm của chúng tôi, chúng tôi có thể khám phá ra một Kintex-7 hoàn chỉnh Ví dụ, dòng bit XC7K160T trong 3 giờ 42 phút. “
Trong kiểu tấn công thứ hai, có thể sử dụng FPGA để mã hóa các luồng bit tùy ý – một lần nữa tận dụng chế độ CBC cơ bản – và tạo thẻ xác thực thông báo hợp lệ (HMAC), do đó phá vỡ tính xác thực của dòng bit là tốt.
Theo các nhà nghiên cứu, các cuộc tấn công xuất phát từ một cạm bẫy rằng dữ liệu của tiêu đề dòng bit được mã hóa được diễn giải trước khi nó được xác minh, do đó cho phép một dòng bit độc hại chạy trên cấu trúc logic của FPGA.
Lỗ hổng không thể được vá
Xem xét rằng các cuộc tấn công dựa trên các lỗ hổng trong giao thức, các nhà nghiên cứu lưu ý rằng “mọi loại thay đổi không tầm thường đối với giao thức bảo mật là không thể thực hiện được nếu không thiết kế lại phần cứng FPGA và hiện không có sẵn cho 7-Series và Virtex -6 thiết bị. “
Ngoài việc khuyến nghị các nhà phát triển phần cứng phải xử lý dữ liệu đầu vào để xác thực mã hóa và sử dụng một công cụ mã hóa dòng bit có thể vá – cả hai đều đã có sẵn cho các thiết bị Zynq-7000, UltraScale và UltraScale + của Xilinx, một số biện pháp đối phó đã được đề xuất, chẳng hạn như thực hiện các sơ đồ che giấu hoặc vá PCB để sử dụng các chân Chỉnh sửa của FPGA để ngăn chặn việc đọc từ thanh ghi WBSTAR.
“Chúng tôi coi đây là một cuộc tấn công nghiêm trọng, vì (trớ trêu thay) không có cơ hội để vá silicon cơ bản của giao thức mật mã,” các nhà nghiên cứu kết luận. “Chúng tôi lưu ý rằng 7-Series có một thị phần đáng kể trên thị trường FPGA, điều này khiến cho việc thay thế các thiết bị này trở nên khó khăn hơn hoặc không thể thay thế.”
