33C3 Музика

Геральд: Добре, привітайте Пола 
ван Обела, аспіранта Університету Радбуда

в Неймегені, і він збирається виступити з 
доповіддю про фізично неклоновані функції.

Поаплодуємо, будь ласка.

оплески
Дякую.

Пол: Дякую, дякую за запрошення,
дякую, що запросили в прайм-тайм,

коли всі нарешті прокидаються,
але ще не п'яні.

тихий сміх

І дякую, що дозволили мені позмагатися з
з космічним треком. Отже, мій Геральд

пояснив, хто я такий, але робота в цьому
виступі, взагалі-то, не моя. Це

багатьох авторів, і цитати будуть майже на
кожному слайді. Не звертайте

на них увагу. Мені було дуже важко
зробити два різних набори

слайдів. Завантажте слайди пізніше, якщо
щось вас зацікавило. Весь задум

- зацікавити вас цим матеріалом,
щоб ви почали читати статті,

і змусити вас впроваджувати ці речі
самостійно. Отже, без зайвих сумнівів і

без подальшої егоцентричної балаканини,
давайте подивимось на проблему, яку намагаємось

вирішити. У сфері комп'ютерної безпеки, з
1980-х років помітили, що може знадобитися

унікальна ідентифікація та автентифікація
пристроїв. А потім, зокрема, інтегровані

схеми. Отже, ми хочемо відрізнити
мікросхеми, унікально, від однакових

виробничих масок, рівномірно, і з високою
точністю, безпомилково. Ех, легке завдання,

чи не так? Отже, щоб пояснити, як ми 
отримуємо до фізично неклонованих функцій,

я спочатку поясню трохи історії
боротьби з підробками. І

боротьба з підробкою, ви можете думати про
гроші, ви можете уявити собі картки
з магнітною стрічкою,

що посвідчують особу, і лічильники
ядерних бомб, або, як їх зазвичай

називають «Договір з обмеженою
річчю» ідентифікатори. Давайте почнемо з

грошей. Історично склалося так, що гроші
були захищені дуже складними зображеннями.

Це приклад після Революції Гідності в США,
і мені особисто дуже подобається,

скажімо, «Підробляти - це смерть».
Тому що, знаєте, хоча це був

злочин проти держави, вас було витягнуто
і четвертовано, коли це зробили. Тоді ми

перемотаємось на кілька століть вперед,
я б хотів дізнатися у глядачів, хто

коли-небудь бачив таке? ... Досить часто.
Хто-небудь може сказати мені, що це?

коментарі аудиторії (не чути)

Сузір'я Євросоюзу. Воно призначене
щоб запобігати ксероксам

копіювати ваші гроші. Отже, коли ксерокс
виявить цю штуку, він просто

не... він скаже: «Я не хочу копіювати». 
Ви можете використовувати це на своїх

речах, якщо хочете. Але ми бачимо
спільну тему в цих кількох

століть, а саме: ви позначаєте всі дійсні
купюри однаково, а потім переконуєтесь,

що можете перевірити ці позначки, щоб
визначити, що вони є легітимними.

Альтернативою цьому було б мати різні 
позначки для кожної купюри, і підписувати

їх. Але, ви потрапляєте в цілу
купу питань, наприклад, як мені потім

запобігти копіюванню цієї відмітки для
конкретної банкноти і не скопіювати її сто

тисяч разів, і просто, знаєте, не 
скопіювавши при цьому підпис. Адже

ніхто не перевіряє паперові гроші онлайн.
Отже, у 1983 році Бейдер запропонував

спосіб боротьби з підробкою, який полягав
у розсипанні відрізків довільної довжини

до того, як він стане папером...
муллом. (?)

Потім ви заробляєте гроші, використовуєте
сканер зі світловим бар'єром, тобто

все, що робить ксерокс. Потім з'являється
візерунок, який з'являється навколо

світлової смуги. І ви витягаєте цей
візерунок, перетворюючи його на серію

бітів і підписуєте цей шаблон. Потім
ви друкуєте підпис на купюрі. Тепер

з цим є проблеми, які пояснюються
в цих документах, я не

маю часу заглиблюватися в них, але в
принципі, це працює. Потім, далі, картки.

Ви знаєте магнітні смужки і ПІН-код, ми
використовуємо їх в Європі, я думаю, що

ви все ще використовуєте їх у США, я не 
впевнений. Оскільки ніхто не вміє копіювати

магстрапси, так? Отже, ти додаєш щось 
на карту, щоб її можна було виявити

коли хтось скопіював картку на підробку.
Отже, ви використовуєте голограми. Наскільки

я знаю, голограми зараз можна копіювати,
Я не маю посилань на літературу,

але багато чого можна зробити. У 1980 році
у 1980 році вже пропонував це: Ви навмання

розсіюєте магнітні волокна у покритті, ви
скануєте ці волокна за допомогою, ну,

електромагнітного датчика, і перетворюєте
їх в імпульси, а імпульси з годинником

і т.д., знову перетворити їх на біти, 
підписуєте цей шаблон і т.д. Існує також

така гарна пропозиція, де ви навмання
розсіяти провідні частинки у

в ізоляційному матеріалі і сканувати його
мікрохвильовкою, це той самий принцип з

1980-х. Далі, документи, що посвідчують
особу, хтось запропонував
використовувати напівпрозорість

паперової смужки в документі, що посвідчує особу,
відскануйте цю смужку, перетворіть прозорість

у бітову маску, підпишіть бітову маску,
і так далі. Тепер, Сіммонс вже сказав, що

це було занадто легко клонувати, тому що,
ви можете просто сфотографувати

і відтворити його за допомогою
фотографічними методами. Отже, прозорість

не дуже добра. Тепер ви також можете
потенційно використати точний

тривимірний візерунок бавовняних волокон
з паперу. Але ця пропозиція також була в

1991, Сіммонс також сказав, що це
неможливо зробити. Однак у 1999 році,

хтось придумав щось подібне,
вони беруть хеш текстури поштового

конверта, і ви друкуєте квадрат на
конверті, з високою роздільною здатністю

фотографії, а потім хешуєте її з певним
хеш-кодом, який гарантує, що всі

ці речі зводяться до того ж бітового
шаблону кожного разу. Це працює. Потім

нарешті, ці обмежені Договором речі,
мітки частинок, ви, по суті.

прикріплюєте таку мітку на поверхню
предмета, а потім обробляєте його

ультрафіолетом, щоб перетворити
на склоподібну речовину, яка

робить втручання очевидним, якщо я спробую
його зняти, скло розбивається, а також

зберігає орієнтацію частинок, і потім
ви накладаєте на неї лазер, дивитеся на

відбитий візерунок, отримуєте ідентифікатор.
Отже, якщо у вас колись буде купа

ядерних бомб, щоб порахувати, це може бути
цікавим. Спільною темою тут є те, що

ми використовуємо внутрішній аспект,
який неможливо скопіювати, але легко

читається. Вона непередбачувана, і вона
в ідеалі має бути незмінним. Що призводить

до нас до пропозиції 2001 року про фізичні
односторонніх функцій. Ідея була такою,

у вас є епоксидна смола з малими скляними
ви застигаєте епоксидну смолу, робите

з неї кульки розміром десять на два
з половиною мм, не знаю точних

вимірів. Я кажу «сфера», я маю на увазі
як це називається, куб... кубоїди,

щось таке... А потім ви освітлюєте
лазером, і виходить плямистий

візерунок, тому що лазер
розсіюється у дійсно непередбачуваному

вигляді, і ви фіксуєте це у 320х240
пікселів, перетворюєте 2400 бітний

ключ за перетворенням Габора. Я не
знаю, як працює математика за цим, тому що

це не моя сфера діяльності. І ви отримуєте
цікаві властивості, такі як свердління

отвору, половина свердел вилітає, тож
це стійкість до злому, і це відображає

роботу односторонніх функцій, як SHA-1 і
SHA-256: якщо ви перевернете один біт

на вході, половина бітів на виході буде
перевернута. Таким чином, ця стаття є першою

роботою, яка запропонувала це як зв'язок
з криптографією. Тож тут, зчитування

структури є можливим, тому що, у вас
є цей скляний візерунок, ви можете просто

- Я кажу «просто», але ви можете використовувати
мікроскопічні методи, щоб прочитати його

точно, але бажаю вам удачі з такою
субмікронною точністю для всіх цих скляних

сфер в епоксидній смолі. Отже, ви можете,
в теорії, якщо знаєте структуру, імітувати

або змоделювати, як лазер проходить крізь
крізь це. Але це вимагає багато

обчислювальних потужностей, і щоб... ви
не можете створити базу даних відповідей

до викликів, тому що уявіть, що
виклик у структурі - це лазер під

різними орієнтаціями, наприклад,
лазер під кутом 5 градусів, або 10

градусів або 20 градусів, і в різних
місцях, і всі ці відповіді будуть

різними. Тож простір викликів-відповідей
неймовірно величезний. Тому протокол тут

буде таким: по-перше, ви читаєте це на
довіреному терміналі, створюєте випадкову

колекцію пар «виклик-відповідь».
Ваші виклики повинні залишатися в таємниці

тому що далі ви отримуєте запит на
аутентифікацію від ненадійного терміналу,

ви кидаєте виклик цьому терміналу. Ідея
полягає в тому, що неможливо відправити

правильний ключ відповіді, якщо не маєте
пристрою, що містить цей PUF, е-е, тобто

фізичну односторонню функцію. Отже, ви
отримуєте ключ відповіді і відхиляєте

це, якщо ключ відрізняється на багато бітів.
Тому що це не буде ідеальний збіг. Ось.

Можуть бути подряпини, можуть бути
мікронні відмінності в орієнтації, це

може бути погана камера, ви отримаєте
відмінності, і те, як ви потім

обчислюєте найменш ймовірний
рівень прийнятності підробленого пристрою