Zadní vrátka v CPU? Vědci prý umí beze stop narušit bezpečnost čipů Ivy Bridge

20. 9. 2013

Sdílet

 Autor: Redakce

V dnešních dnech leckomu možná vrtá hlavou, jak moc lze věřit, že hardware a software není otevřen hackování a špehování tajných služeb či jiných útočníků. Dopad odhalení okolo americké NSA je asi částečně zveličován (přiznejme si skromně, že „tajemství“ většiny z nás ve skutečnosti nikoho nezajímají). Otázka, zda vedle softwaru nemůžou být skrytá zadní vrátka i přímo v hardwaru našich počítačů, je však legitimní. Skutečný důkaz takové konspirace asi hned tak neuvidíme, vědci ale již ukazují, že vtáhnout do čipu trojského koně je reálně možné – a to i bez vědomí výrobce. Zadní vrátka může asi za jistých okolností otevřít klasický „cizí agent“.

V referátu, na který upozornil web Ars Technica, ukazují takový scénář výzkumníci z několika univerzit (University of Massachusetts Amherst, Technické univerzity v Delftu, Luganské univerzity a Rúrské univerzity v Bochum). Jejich cílem bylo navrhnout postup, jak při výrobě zmanipulovat čipy tak, aby později umožnily kryptografické útoky. Cílem se jim stal procesory Intel generace Ivy Bridge, jelikož mají integrován hardwarový generátor náhodných čísel (který následně Intel přejal i do následujících generací).

Náhodná či nepředvídatelná čísla se totiž využívá v kryptografii. Pokud by použitá zdánlivě náhodná čísla byla ve skutečnosti (statisticky) předvídatelná, vedlo by to k fatálnímu oslabení efektivní síly šifrování. Tím, že nějak narušíte funkci tohoto generátoru, tedy vytváříte do postiženého systému bezpečnostní díru. Ve své publikaci vědci jeden takový postup představili. Obzvlášť pikantní je, že „narušení“ má být velmi těžko odhalitelné.

Schéma navrhovaného trojského koně

Útok, který vědci navrhují, spočívá v omezení náhodnosti produkovaných čísel, což znamená, že útočník bude mít mnohem vyšší šanci je „uhodnout“ a na tomto základě pak podniknout svůj útok. Generátor vyrábí 128bitová čísla, část z těchto „bitů“ je však možno zmanipulovat tak, že příslušné tranzistory budou vyrábět konstantní výsledky. K tomu je použito různé dopování křemíku jednotlivých tranzistorů v tomto obvodě, které patřičně ovlivní jejich funkci. Postup údajně dokáže zmanipulovat náhodnost generovaných čísel v libovolné míře, podle toho, u kterých tranzistorů bude dopování pozměněno.

Jelikož postup může zredukoval míru náhodnosti produkované entropie jen částečně, není vůbec snadné tato zadní vrátka odhalit. Narušený procesor by tak prošel různými testy. Při chytře nastavených parametrech je dokonce možné ošálit zabudovaný test, který provádí přímo CPU. Navíc použitá metoda na čipu nezanechává „viditelné stopy“. Jelikož škodlivé úpravy byly implementovány jen pomocí změn v dopování křemíku, neukáží se pod mikroskopem. Čip by tedy prošel ověřením, i kdyby se někdo reverzním inženýrstvím pokusil o inspekci samotného obvodu. Nedochází totiž vůbec ke změnám rozložení křemíkové vrstvy, ani ke změnách ve vrstvách kovových spojů.

Takto pojaté škodlivé zmanipulování čipu pomocí dopantů může být provedeno nejen při navrhování čipu, ale zejména při jeho výrobě v továrně. Může tak proběhnout bez vědomí návrhářů, a teoreticky i bez vědomí výrobce vůbec, pokud by vyráběl v zakázkové výrobně (což je dnes případ všech firem kromě Intelu, IBM a Samsungu). Bylo by tedy asi možné takovou sabotáž zcela utajit (na druhou stranu, postup je bezesporu velmi sofistikovaný a tedy náročný). I pokud by o ní výrobce věděl, mohl by ji utajit před velkou částí zaměstnanců a také před pokusy fungování generátoru prověřit, jak již bylo řečeno.

CPU Intel Ivy Bridge

bitcoin školení listopad 24

Možnost podobných nekalých úprav čipů není nějakou bouří ve sklenici vody. Ostatně právě generátor náhodných čísel procesorů Ivy Bridge (a novějších) se stal předmětem kontroverze mezi vývojáři jádra operačního systému Linux. Vzhledem k současným obavám z aktivit orgánů typu NSA padl návrh, aby Linux hardwarový generátor Intelu přestal používat, neboť není vyloučeno, že by mohl mít zneužitelnou slabinu. Linus Torvalds takovou paranoiu odmítá s tím, že tento obvod je v dotyčném algoritmu jen jedním zdrojem entropie z mnoha. Zdaleka však nepřesvědčil všechny. Leckdo teď zřejmě na svých stojích použití hardwarového generátoru zakáže…

Zdroj: Ars Technica, Becker, Regazzoni, Paar, Burleson: Stealthy Dopant-Level Hardware Trojans