0:00:00.000,0:00:16.050
33C3 Музика

0:00:16.050,0:00:22.529
Геральд: Добре, привітайте Пола [br]ван Обела, аспіранта Університету Радбуда

0:00:22.529,0:00:29.540
в Неймегені, і він збирається виступити з [br]доповіддю про фізично неклоновані функції.

0:00:29.540,0:00:31.258
Поаплодуємо, будь ласка.

0:00:31.258,0:00:38.809
оплески[br]Дякую.

0:00:38.809,0:00:42.250
Пол: Дякую, дякую за запрошення,[br]дякую, що запросили в прайм-тайм,

0:00:42.250,0:00:45.329
коли всі нарешті прокидаються,[br]але ще не п'яні.

0:00:45.329,0:00:46.329
тихий сміх

0:00:46.329,0:00:52.680
І дякую, що дозволили мені позмагатися з[br]з космічним треком. Отже, мій Геральд

0:00:52.680,0:01:00.350
пояснив, хто я такий, але робота в цьому[br]виступі, взагалі-то, не моя. Це

0:01:00.350,0:01:06.300
багатьох авторів, і цитати будуть майже на[br]кожному слайді. Не звертайте

0:01:06.300,0:01:10.680
на них увагу. Мені було дуже важко[br]зробити два різних набори

0:01:10.680,0:01:17.040
слайдів. Завантажте слайди пізніше, якщо[br]щось вас зацікавило. Весь задум

0:01:17.040,0:01:20.720
- зацікавити вас цим матеріалом,[br]щоб ви почали читати статті,

0:01:20.720,0:01:25.220
і змусити вас впроваджувати ці речі[br]самостійно. Отже, без зайвих сумнівів і

0:01:25.220,0:01:30.790
без подальшої егоцентричної балаканини,[br]давайте подивимось на проблему, яку намагаємось

0:01:30.790,0:01:40.330
вирішити. У сфері комп'ютерної безпеки, з[br]1980-х років помітили, що може знадобитися

0:01:40.330,0:01:46.040
унікальна ідентифікація та автентифікація[br]пристроїв. А потім, зокрема, інтегровані

0:01:46.040,0:01:52.420
схеми. Отже, ми хочемо відрізнити[br]мікросхеми, унікально, від однакових

0:01:52.420,0:02:00.230
виробничих масок, рівномірно, і з високою[br]точністю, безпомилково. Ех, легке завдання,

0:02:00.230,0:02:07.290
чи не так? Отже, щоб пояснити, як ми [br]отримуємо до фізично неклонованих функцій,

0:02:07.290,0:02:11.260
я спочатку поясню трохи історії[br]боротьби з підробками. І

0:02:11.260,0:02:15.630
боротьба з підробкою, ви можете думати про[br]гроші, ви можете уявити собі картки[br]з магнітною стрічкою,

0:02:15.630,0:02:22.420
що посвідчують особу, і лічильники[br]ядерних бомб, або, як їх зазвичай

0:02:22.420,0:02:28.960
називають «Договір з обмеженою[br]річчю» ідентифікатори. Давайте почнемо з

0:02:28.960,0:02:35.910
грошей. Історично склалося так, що гроші[br]були захищені дуже складними зображеннями.

0:02:35.910,0:02:41.981
Це приклад після Революції Гідності в США,[br]і мені особисто дуже подобається,

0:02:41.981,0:02:47.011
скажімо, «Підробляти - це смерть».[br]Тому що, знаєте, хоча це був

0:02:47.011,0:02:52.600
злочин проти держави, вас було витягнуто[br]і четвертовано, коли це зробили. Тоді ми

0:02:52.600,0:02:56.340
перемотаємось на кілька століть вперед,[br]я б хотів дізнатися у глядачів, хто

0:02:56.340,0:03:02.260
коли-небудь бачив таке? ... Досить часто.[br]Хто-небудь може сказати мені, що це?

0:03:02.260,0:03:04.870
коментарі аудиторії (не чути)

0:03:04.870,0:03:12.610
Сузір'я Євросоюзу. Воно призначене[br]щоб запобігати ксероксам

0:03:12.610,0:03:17.220
копіювати ваші гроші. Отже, коли ксерокс[br]виявить цю штуку, він просто

0:03:17.220,0:03:22.290
не... він скаже: «Я не хочу копіювати». [br]Ви можете використовувати це на своїх

0:03:22.290,0:03:29.480
речах, якщо хочете. Але ми бачимо[br]спільну тему в цих кількох

0:03:29.480,0:03:35.060
століть, а саме: ви позначаєте всі дійсні[br]купюри однаково, а потім переконуєтесь,

0:03:35.060,0:03:41.770
що можете перевірити ці позначки, щоб[br]визначити, що вони є легітимними.

0:03:41.770,0:03:47.980
Альтернативою цьому було б мати різні [br]позначки для кожної купюри, і підписувати

0:03:47.980,0:03:54.620
їх. Але, ви потрапляєте в цілу[br]купу питань, наприклад, як мені потім

0:03:54.620,0:04:01.250
запобігти копіюванню цієї відмітки для[br]конкретної банкноти і не скопіювати її сто

0:04:01.250,0:04:04.750
тисяч разів, і просто, знаєте, не [br]скопіювавши при цьому підпис. Адже

0:04:04.750,0:04:17.190
ніхто не перевіряє паперові гроші онлайн.[br]Отже, у 1983 році Бейдер запропонував

0:04:17.190,0:04:23.540
спосіб боротьби з підробкою, який полягав[br]у розсипанні відрізків довільної довжини

0:04:23.540,0:04:30.570
до того, як він стане папером...[br]муллом. (?)

0:04:30.570,0:04:38.650
Потім ви заробляєте гроші, використовуєте[br]сканер зі світловим бар'єром, тобто

0:04:38.650,0:04:43.010
все, що робить ксерокс. Потім з'являється[br]візерунок, який з'являється навколо

0:04:43.010,0:04:47.810
світлової смуги. І ви витягаєте цей[br]візерунок, перетворюючи його на серію

0:04:47.810,0:04:54.190
бітів і підписуєте цей шаблон. Потім[br]ви друкуєте підпис на купюрі. Тепер

0:04:54.190,0:04:57.241
з цим є проблеми, які пояснюються[br]в цих документах, я не

0:04:57.241,0:05:04.980
маю часу заглиблюватися в них, але в[br]принципі, це працює. Потім, далі, картки.

0:05:04.980,0:05:09.130
Ви знаєте магнітні смужки і ПІН-код, ми[br]використовуємо їх в Європі, я думаю, що

0:05:09.130,0:05:16.110
ви все ще використовуєте їх у США, я не [br]впевнений. Оскільки ніхто не вміє копіювати

0:05:16.110,0:05:24.770
магстрапси, так? Отже, ти додаєш щось [br]на карту, щоб її можна було виявити

0:05:24.770,0:05:30.299
коли хтось скопіював картку на підробку.[br]Отже, ви використовуєте голограми. Наскільки

0:05:30.299,0:05:35.800
я знаю, голограми зараз можна копіювати,[br]Я не маю посилань на літературу,

0:05:35.800,0:05:47.320
але багато чого можна зробити. У 1980 році[br]у 1980 році вже пропонував це: Ви навмання

0:05:47.320,0:05:57.400
розсіюєте магнітні волокна у покритті, ви[br]скануєте ці волокна за допомогою, ну,

0:05:57.400,0:06:03.500
електромагнітного датчика, і перетворюєте[br]їх в імпульси, а імпульси з годинником

0:06:03.500,0:06:08.530
і т.д., знову перетворити їх на біти, [br]підписуєте цей шаблон і т.д. Існує також

0:06:08.530,0:06:12.341
така гарна пропозиція, де ви навмання[br]розсіяти провідні частинки у

0:06:12.341,0:06:17.780
в ізоляційному матеріалі і сканувати його[br]мікрохвильовкою, це той самий принцип з

0:06:17.780,0:06:25.710
1980-х. Далі, документи, що посвідчують[br]особу, хтось запропонував[br]використовувати напівпрозорість

0:06:25.710,0:06:34.340
паперової смужки в документі, що посвідчує особу,[br]відскануйте цю смужку, перетворіть прозорість

0:06:34.340,0:06:40.570
у бітову маску, підпишіть бітову маску,[br]і так далі. Тепер, Сіммонс вже сказав, що

0:06:40.570,0:06:44.270
це було занадто легко клонувати, тому що,[br]ви можете просто сфотографувати

0:06:44.270,0:06:51.229
і відтворити його за допомогою[br]фотографічними методами. Отже, прозорість

0:06:51.229,0:06:57.120
не дуже добра. Тепер ви також можете[br]потенційно використати точний

0:06:57.120,0:07:03.980
тривимірний візерунок бавовняних волокон[br]з паперу. Але ця пропозиція також була в

0:07:03.980,0:07:14.470
1991, Сіммонс також сказав, що це[br]неможливо зробити. Однак у 1999 році,

0:07:14.470,0:07:18.600
хтось придумав щось подібне,[br]вони беруть хеш текстури поштового

0:07:18.600,0:07:23.949
конверта, і ви друкуєте квадрат на[br]конверті, з високою роздільною здатністю

0:07:23.949,0:07:30.910
фотографії, а потім хешуєте її з певним[br]хеш-кодом, який гарантує, що всі

0:07:30.910,0:07:40.620
ці речі зводяться до того ж бітового[br]шаблону кожного разу. Це працює. Потім

0:07:40.620,0:07:46.990
нарешті, ці обмежені Договором речі,[br]мітки частинок, ви, по суті.

0:07:46.990,0:07:52.560
прикріплюєте таку мітку на поверхню[br]предмета, а потім обробляєте його

0:07:52.560,0:07:57.610
ультрафіолетом, щоб перетворити[br]на склоподібну речовину, яка

0:07:57.610,0:08:03.500
робить втручання очевидним, якщо я спробую[br]його зняти, скло розбивається, а також

0:08:03.500,0:08:08.350
зберігає орієнтацію частинок, і потім[br]ви накладаєте на неї лазер, дивитеся на

0:08:08.350,0:08:13.760
відбитий візерунок, отримуєте ідентифікатор.[br]Отже, якщо у вас колись буде купа

0:08:13.760,0:08:19.750
ядерних бомб, щоб порахувати, це може бути[br]цікавим. Спільною темою тут є те, що

0:08:19.750,0:08:27.220
ми використовуємо внутрішній аспект,[br]який неможливо скопіювати, але легко

0:08:27.220,0:08:35.938
читається. Вона непередбачувана, і вона[br]в ідеалі має бути незмінним. Що призводить

0:08:35.938,0:08:46.420
до нас до пропозиції 2001 року про фізичні[br]односторонніх функцій. Ідея була такою,

0:08:46.420,0:08:55.279
у вас є епоксидна смола з малими скляними[br]ви застигаєте епоксидну смолу, робите

0:08:55.279,0:08:58.119
з неї кульки розміром десять на два[br]з половиною мм, не знаю точних

0:08:58.119,0:09:06.350
вимірів. Я кажу «сфера», я маю на увазі[br]як це називається, куб... кубоїди,

0:09:06.350,0:09:10.959
щось таке... А потім ви освітлюєте[br]лазером, і виходить плямистий

0:09:10.959,0:09:14.769
візерунок, тому що лазер[br]розсіюється у дійсно непередбачуваному

0:09:14.769,0:09:22.660
вигляді, і ви фіксуєте це у 320х240[br]пікселів, перетворюєте 2400 бітний

0:09:22.660,0:09:27.249
ключ за перетворенням Габора. Я не[br]знаю, як працює математика за цим, тому що

0:09:27.249,0:09:34.309
це не моя сфера діяльності. І ви отримуєте[br]цікаві властивості, такі як свердління

0:09:34.309,0:09:39.420
отвору, половина свердел вилітає, тож[br]це стійкість до злому, і це відображає

0:09:39.420,0:09:45.480
роботу односторонніх функцій, як SHA-1 і[br]SHA-256: якщо ви перевернете один біт

0:09:45.480,0:09:51.310
на вході, половина бітів на виході буде[br]перевернута. Таким чином, ця стаття є першою

0:09:51.310,0:10:00.740
роботою, яка запропонувала це як зв'язок[br]з криптографією. Тож тут, зчитування

0:10:00.740,0:10:06.239
структури є можливим, тому що, у вас[br]є цей скляний візерунок, ви можете просто

0:10:06.239,0:10:10.269
- Я кажу «просто», але ви можете використовувати[br]мікроскопічні методи, щоб прочитати його

0:10:10.269,0:10:18.129
точно, але бажаю вам удачі з такою[br]субмікронною точністю для всіх цих скляних

0:10:18.129,0:10:31.059
сфер в епоксидній смолі. Отже, ви можете,[br]в теорії, якщо знаєте структуру, імітувати

0:10:31.059,0:10:37.779
або змоделювати, як лазер проходить крізь[br]крізь це. Але це вимагає багато

0:10:37.779,0:10:44.740
обчислювальних потужностей, і щоб... ви[br]не можете створити базу даних відповідей

0:10:44.740,0:10:52.799
до викликів, тому що уявіть, що[br]виклик у структурі - це лазер під

0:10:52.799,0:10:57.529
різними орієнтаціями, наприклад,[br]лазер під кутом 5 градусів, або 10

0:10:57.529,0:11:02.760
градусів або 20 градусів, і в різних[br]місцях, і всі ці відповіді будуть

0:11:02.760,0:11:10.250
різними. Тож простір викликів-відповідей[br]неймовірно величезний. Тому протокол тут

0:11:10.250,0:11:17.279
буде таким: по-перше, ви читаєте це на[br]довіреному терміналі, створюєте випадкову

0:11:17.279,0:11:21.969
колекцію пар «виклик-відповідь».[br]Ваші виклики повинні залишатися в таємниці

0:11:21.969,0:11:27.369
тому що далі ви отримуєте запит на[br]аутентифікацію від ненадійного терміналу,

0:11:27.369,0:11:34.699
ви кидаєте виклик цьому терміналу. Ідея[br]полягає в тому, що неможливо відправити

0:11:34.699,0:11:42.769
правильний ключ відповіді, якщо не маєте[br]пристрою, що містить цей PUF, е-е, тобто

0:11:42.769,0:11:46.920
фізичну односторонню функцію. Отже, ви[br]отримуєте ключ відповіді і відхиляєте

0:11:46.920,0:11:55.950
це, якщо ключ відрізняється на багато бітів.[br]Тому що це не буде ідеальний збіг. Ось.

0:11:55.950,0:12:01.259
Можуть бути подряпини, можуть бути[br]мікронні відмінності в орієнтації, це

0:12:01.259,0:12:08.619
може бути погана камера, ви отримаєте[br]відмінності, і те, як ви потім

0:12:08.619,0:12:18.999
обчислюєте найменш ймовірний[br]рівень прийнятності підробленого пристрою

0:12:18.999,0:12:23.769
який вам потрібен, і потім ви отримуєте цю[br]кількість бітів. І тоді ви можете отримати

0:12:23.769,0:12:28.620
кращий відсоток збігів, якщо повторите[br]кроки (4) - (6) кілька разів, і якщо у вас

0:12:28.620,0:12:36.509
закінчаться пари викликів, можете просто[br]повернутися до пункту (1). Така ідея.

0:12:36.509,0:12:39.490
Це перша робота, яка зробила цей[br]зв'язок з криптографією, вона має

0:12:39.490,0:12:44.939
визначений протокол, але є кілька не дуже[br]приємних речей, н-д, у вас є спеціальні

0:12:44.939,0:12:50.649
необхідне обладнання, і ми б дуже хотіли[br]хотіли б мати таку ж можливість у

0:12:50.649,0:12:55.929
тільки в кремнії. Тепер у цьому[br]документі вже було запропоновано, щоб ви

0:12:55.929,0:13:03.309
могли мати подібний підхід,[br]якщо розсієте електрони...

0:13:03.309,0:13:07.279
не розумію, що тут написано, але я знаю,[br]що це не те, що ми збираємося зробити.

0:13:07.279,0:13:14.529
До речі, якщо ви займаєтеся такими речами.[br]то зможеш прочитати дуже старі

0:13:14.529,0:13:21.910
газети. Тож, хіба не було чудово, коли ви могли[br]сказати це: "При розміщенні паливних стрижнів

0:13:21.910,0:13:26.509
високі рівні радіації в “гарячій” комірці[br]забезпечували стійкість до втручання".

0:13:26.509,0:13:30.100
Або: «Сейсмічні датчики ... виявлять[br]спробу отримати фізичний доступ до

0:13:30.100,0:13:33.459
пакета задовго до того, як безпека[br]інформації опиниться під загрозою." Я б

0:13:33.459,0:13:39.550
не приймав це як ставку, тому що[br]Я знаю вас, хлопці, але перший варіант

0:13:39.550,0:13:45.489
досить непоганий. І ви побачите речі[br]на кшталт цього. RSA було зроблено в

0:13:45.489,0:13:53.729
1984. Це - я думаю - це[br]ISA, можливо, до-ISA, не знаю... Ось

0:13:53.729,0:13:59.959
як це було зроблено. І текст[br]дуже гарний: вони відсканували старий,

0:13:59.959,0:14:05.569
фактично набраний на друкарській машинці[br]папір. Це доступно в Інтернеті,

0:14:05.569,0:14:11.769
якщо у вас є університетський доступ...[br]вибачте... Є й інші рішення

0:14:11.769,0:14:13.930
вирішення цієї проблеми. У вас є[br]апаратні модулі безпеки, також

0:14:13.930,0:14:18.920
смарт-карти, у вас є надійна платформа[br]модулі... взагалі, я дізнався, що вони у

0:14:18.920,0:14:23.500
нас з 2006 року, мені здалося, що вони[br]були старішими.... Але у вас все ще є

0:14:23.500,0:14:26.819
проблема управління ключами, так? Тому[br]що ключ не прив'язаний до платформи. Якщо

0:14:26.819,0:14:31.759
можна витягти ключ і помістити його в[br]інший довірений модуль платформи, або

0:14:31.759,0:14:37.879
ще один апаратний модуль безпеки, то ми[br]залишаємося на волосок від загибелі. Отже, аспекти

0:14:37.879,0:14:42.699
полягають в тому, що ключ ніколи не[br]покидає пристрій - в ідеалі - але як тоді

0:14:42.699,0:14:46.769
ключ увійшов у пристрій? Ви можете ввести[br]нові ключі, можна ввести ключ-шифрування,

0:14:46.769,0:14:52.129
щоб розшифрувати ключі, які ви ніколи не бачите,[br]які експортує інший апаратний модуль безпеки,

0:14:52.129,0:14:58.850
це все цікава криптографія, але також[br]виникає проблема, що може робити ключ,

0:14:58.850,0:15:04.720
чи обмежені ви 1024 бітами RSA, і чи можна[br]чи можна все це емулювати після того, як ви

0:15:04.720,0:15:13.480
у вас є ключ, так? Ми дійсно хочемо[br]мати інші аспекти нашої функції. Зараз,

0:15:13.480,0:15:21.371
це перша назва ФВФ, «кремнієві[br]фізичні випадкові функції кремнію", але вони

0:15:21.371,0:15:28.449
вже знав, що «PRF» може мати якусь[br]трибуквений акронім, який перегукується з

0:15:28.449,0:15:31.280
«псевдовипадковою функцією», тому вони вирішили[br]піти на «фізично неклоновану

0:15:31.280,0:15:34.519
функції". Існує цікава[br]дискусія про те, чи має це бути

0:15:34.519,0:15:41.149
«фізично» чи «фізично»... не буду вдаватися[br]в це. Ідея в тому, що стійкість до несанкціонованого доступу

0:15:41.149,0:15:46.689
загалом це дорого, складно,[br]це просто... давайте подивимось на інше

0:15:46.689,0:15:51.679
підхід. Існує достатня варіативність процесів[br]варіацій між ідентичними інтегрованими

0:15:51.679,0:15:55.509
де... так, вони не ідентичні[br]ідентичні через ті процеси.

0:15:55.509,0:16:02.730
варіації. А вже у 2000 році хтось[br]зробив... Лофстром, Дааш і Тейлор мали

0:16:02.730,0:16:14.230
невелику статтю про конкретний спеціальний пристрій[br]ідентифікаційні схеми. Але, якщо ви хочете

0:16:14.230,0:16:17.400
використовувати їх для безпечної[br]ідентифікації та автентифікації пристрою, то

0:16:17.400,0:16:23.809
одного такого ланцюга недостатньо.[br]Потрібно більше. І що ви робите? Ви

0:16:23.809,0:16:28.889
будуєте це. І я не думаю, що це[br]реально здійсненним, ... по суті, це

0:16:28.889,0:16:33.120
по всьому контуру, у вас є затримка.[br]Це кільцевий генератор.

0:16:33.120,0:16:40.529
PUF. Отже, у вас тут є контур затримки,[br]це автоколивальний контур,

0:16:40.529,0:16:46.109
по суті, це повертається до цього. І[br]виклик тут полягає в тому, що кожен з нас

0:16:46.109,0:16:54.110
ці блоки. І що каже біт: якщо[br]це одиниця, то ви проходите, якщо це

0:16:54.110,0:16:58.310
нуль, який ти пропускаєш. Тож якщо у вас є[br]інший виклик, у вас інший

0:16:58.310,0:17:03.509
шлях через цей ПУФ. Тож в ідеалі, для кожного виклику[br]кожен виклик має бути непередбачуваним

0:17:03.509,0:17:12.030
чи цей останній арбітр, що стоїть тут.[br]десь там... дає одиницю.

0:17:12.030,0:17:19.509
або нуль, а потім рахуєш імпульси,[br]і ідентифікуєш свої схеми. А тепер

0:17:19.509,0:17:24.930
атаки на нього також були досить добре[br]вивчені в цій роботі... можливі атаки.

0:17:24.930,0:17:28.720
Отже, у вас є атака дублювання, яка[br]по суті, клонування, яке повинно бути

0:17:28.720,0:17:32.990
неможливо. Так, це загальна[br]ідея: Клонування має бути неможливим. Ось

0:17:32.990,0:17:40.640
це емуляція з вимірювання, тобто, ви будуєте[br]модель на основі цього, вимірюючи точну

0:17:40.640,0:17:46.890
відстані між логічними одиницями всередині[br]PUF, або довжину проводів всередині

0:17:46.890,0:17:52.240
PUF, також вважається нездійсненним, тому що як[br]як ви збираєтесь виміряти це без

0:17:52.240,0:17:58.640
знищення PUF. Це було в далекому 2001 році. Тоді[br]була емуляція з моделювання, тож, по суті, якщо

0:17:58.640,0:18:02.480
ви отримуєте ці пари «виклик-відповідь», якщо[br]ви отримаєте достатню кількість таких пар, ви можете застосувати деякі з них

0:18:02.480,0:18:07.950
до цього гарні алгоритми машинного навчання,[br]і ви отримуєте передбачення відповідей.

0:18:07.950,0:18:10.910
І, нарешті, у вас є контроль[br]алгоритм атаки, який полягає в тому.

0:18:10.910,0:18:16.180
атакуючи алгоритм управління PUF[br]навіть не потрапляючи до PUF. Якщо ви

0:18:16.180,0:18:24.040
може це зробити, тоді ваш PUF марний. Отже,[br]вони також запропонували фізично контрольовану

0:18:24.040,0:18:30.090
неклоновані функції, що є тим самим[br]але з дзвіночками. Отже, у вас є доступ до

0:18:30.090,0:18:37.960
для PUF, яка є частиною[br]PUF. Це робиться для того, щоб запобігти тому, щоб остаточний

0:18:37.960,0:18:44.770
напад. Отже, по суті, ви накладаєте логіку[br]функції доступу на PUF, так що

0:18:44.770,0:18:49.650
що для доступу до логіки функції access[br]потрібно розбити PUF. І

0:18:49.650,0:18:56.290
якщо ти зламаєш PUF, все зламається,[br]перестане працювати. Тож це дає додаткові

0:18:56.290,0:19:01.720
властивості. Неконтрольований PUF можна використовувати лише[br]використовуватися лише для автентифікації пристрою. Це

0:19:01.720,0:19:10.030
можна використовувати для таких приємних речей, як докази[br]виконання на певному пристрої.

0:19:10.030,0:19:14.480
Потенційно [для] речей, щодо яких я не маю[br]думки: щодо коду, який працює лише на певних

0:19:14.480,0:19:20.380
пристроїв, але в принципі, для чого б вам не знадобився[br]безпечний криптографічний ключ, вам слід

0:19:20.380,0:19:23.750
дійсно використовуватиме контрольовану ПУФ. Це[br]ідея. Але ви все ще можете зробити пристрій

0:19:23.750,0:19:28.991
ідентифікацію. Отже, як виглядає контрольований[br]ПФП виглядає? У вас є випадковий хеш, ви

0:19:28.991,0:19:34.701
маєш потенційний ID тут, маєш PUF[br]тут, Виклик, Ідентифікатор, Особистість в

0:19:34.701,0:19:38.770
випадковий хеш, ви проганяєте його через PUF,[br]виправляєш помилки, тому що PUF- це

0:19:38.770,0:19:42.640
не ідеальний, а потім знову випадковий хеш,[br]а потім відповідь. Це робиться для того, щоб запобігти

0:19:42.640,0:19:50.090
всі ці напади. Якщо вас це цікавить.[br]то почитайте газету. Потім, у 2011 році

0:19:50.090,0:19:54.570
була запропонована формальна модель, що нам[br]насправді потрібно від PUF? По-перше, нам потрібно

0:19:54.570,0:20:00.500
надійність. У всіх оцінках нам потрібна[br]однакова відповідь. Нам потрібна фізична

0:20:00.500,0:20:04.340
неклонованість, насправді не повинно бути[br]клонувати ці речі, і ми

0:20:04.340,0:20:12.010
потрібна непередбачуваність. Ці два варіанти[br]потенційно багато, тож ми розберемося з цим

0:20:12.010,0:20:18.320
на останньому слайді, здається. І з тих пір,[br]з 2001 року було багато пропозицій

0:20:18.320,0:20:23.560
та напади на ПФУ. Отже, по-перше, є[br]Arbiter PUF, які всі затримують

0:20:23.560,0:20:31.140
на основі. Отже, загальна ідея полягає в тому, що[br]якщо ви пропускаєте сигнал через чіп, він

0:20:31.140,0:20:36.500


0:20:36.500,0:20:43.250


0:20:43.250,0:20:50.870


0:20:50.870,0:20:54.920


0:20:54.920,0:21:00.450


0:21:00.450,0:21:07.440


0:21:07.440,0:21:16.670


0:21:16.670,0:21:21.700


0:21:21.700,0:21:28.430


0:21:28.430,0:21:35.540


0:21:35.540,0:21:40.690


0:21:40.690,0:21:48.260


0:21:48.260,0:21:54.480


0:21:54.480,0:22:00.030


0:22:00.030,0:22:06.511


0:22:06.511,0:22:11.990


0:22:11.990,0:22:20.830


0:22:20.830,0:22:26.360


0:22:26.360,0:22:32.020


0:22:32.020,0:22:37.590


0:22:37.590,0:22:41.890


0:22:41.890,0:22:47.940


0:22:47.940,0:22:53.770


0:22:53.770,0:23:00.460


0:23:00.460,0:23:07.290


0:23:07.290,0:23:16.100


0:23:16.100,0:23:26.810


0:23:26.810,0:23:31.711


0:23:31.711,0:23:37.630


0:23:37.630,0:23:42.180


0:23:42.180,0:23:49.360


0:23:49.360,0:23:55.970


0:23:55.970,0:24:03.100


0:24:03.100,0:24:06.660


0:24:06.660,0:24:12.220


0:24:12.220,0:24:17.300


0:24:17.300,0:24:22.400


0:24:22.400,0:24:26.480


0:24:26.480,0:24:30.930


0:24:30.930,0:24:39.380


0:24:39.380,0:24:45.160


0:24:45.160,0:24:50.690


0:24:50.690,0:24:56.860


0:24:56.860,0:25:05.840


0:25:05.840,0:25:16.950


0:25:16.950,0:25:21.590


0:25:21.590,0:25:27.160


0:25:27.160,0:25:32.110


0:25:32.110,0:25:39.860


0:25:39.860,0:25:46.110


0:25:46.110,0:25:49.830


0:25:49.830,0:25:54.940


0:25:54.940,0:26:02.950


0:26:02.950,0:26:08.900


0:26:08.900,0:26:13.940


0:26:13.940,0:26:18.680


0:26:18.680,0:26:28.930


0:26:28.930,0:26:33.130


0:26:33.130,0:26:36.430


0:26:36.430,0:26:42.560


0:26:42.560,0:26:49.450


0:26:49.450,0:26:53.870


0:26:53.870,0:26:58.710


0:26:58.710,0:27:04.690


0:27:04.690,0:27:08.700


0:27:08.700,0:27:13.800


0:27:13.800,0:27:18.500


0:27:18.500,0:27:23.900


0:27:23.900,0:27:34.960


0:27:34.960,0:27:38.680


0:27:38.680,0:27:45.970


0:27:45.970,0:27:51.970


0:27:51.970,0:27:58.500


0:27:58.500,0:28:03.250


0:28:03.250,0:28:07.500


0:28:07.500,0:28:11.640


0:28:11.640,0:28:16.350


0:28:16.350,0:28:22.970


0:28:22.970,0:28:28.121


0:28:28.121,0:28:32.020


0:28:32.020,0:28:39.059


0:28:39.059,0:28:43.490


0:28:43.490,0:28:47.020


0:28:47.020,0:28:50.940


0:28:50.940,0:28:59.910


0:28:59.910,0:29:05.600


0:29:05.600,0:29:08.940


0:29:08.940,0:29:17.790


0:29:17.790,0:29:22.150


0:29:22.150,0:29:26.000


0:29:26.000,0:29:32.460


0:29:32.460,0:29:36.970


0:29:36.970,0:29:40.770


0:29:40.770,0:29:44.140


0:29:44.140,0:29:48.360


0:29:48.360,0:29:55.230


0:29:55.230,0:29:59.290


0:29:59.290,0:30:00.290


0:30:00.290,0:30:05.240


0:30:05.240,0:30:09.810


0:30:09.810,0:30:15.010


0:30:15.010,0:30:19.890


0:30:19.890,0:30:20.930


0:30:20.930,0:30:24.620


0:30:24.620,0:30:27.760


0:30:27.760,0:30:32.370


0:30:32.370,0:30:36.980


0:30:36.980,0:30:45.630


0:30:45.630,0:30:49.550


0:30:49.550,0:30:54.350


0:30:54.350,0:31:01.290


0:31:01.290,0:31:04.710


0:31:04.710,0:31:10.310


0:31:10.310,0:31:11.030


0:31:11.030,0:31:13.750


0:31:13.750,0:31:16.610


0:31:16.610,0:31:20.237


0:31:20.237,0:31:25.413


0:31:25.413,0:31:44.000