< Return to Video

PUFs, protection, privacy, PRNGs (33c3)

  • 0:00 - 0:16
    33C3 Музика
  • 0:16 - 0:23
    Геральд: Добре, привітайте Пола
    ван Обела, аспіранта Університету Радбуда
  • 0:23 - 0:30
    в Неймегені, і він збирається виступити з
    доповіддю про фізично неклоновані функції.
  • 0:30 - 0:31
    Поаплодуємо, будь ласка.
  • 0:31 - 0:39
    оплески
    Дякую.
  • 0:39 - 0:42
    Пол: Дякую, дякую за запрошення,
    дякую, що запросили в прайм-тайм,
  • 0:42 - 0:45
    коли всі нарешті прокидаються,
    але ще не п'яні.
  • 0:45 - 0:46
    тихий сміх
  • 0:46 - 0:53
    І дякую, що дозволили мені позмагатися з
    з космічним треком. Отже, мій Геральд
  • 0:53 - 1:00
    пояснив, хто я такий, але робота в цьому
    виступі, взагалі-то, не моя. Це
  • 1:00 - 1:06
    багатьох авторів, і цитати будуть майже на
    кожному слайді. Не звертайте
  • 1:06 - 1:11
    на них увагу. Мені було дуже важко
    зробити два різних набори
  • 1:11 - 1:17
    слайдів. Завантажте слайди пізніше, якщо
    щось вас зацікавило. Весь задум
  • 1:17 - 1:21
    - зацікавити вас цим матеріалом,
    щоб ви почали читати статті,
  • 1:21 - 1:25
    і змусити вас впроваджувати ці речі
    самостійно. Отже, без зайвих сумнівів і
  • 1:25 - 1:31
    без подальшої егоцентричної балаканини,
    давайте подивимось на проблему, яку намагаємось
  • 1:31 - 1:40
    вирішити. У сфері комп'ютерної безпеки, з
    1980-х років помітили, що може знадобитися
  • 1:40 - 1:46
    унікальна ідентифікація та автентифікація
    пристроїв. А потім, зокрема, інтегровані
  • 1:46 - 1:52
    схеми. Отже, ми хочемо відрізнити
    мікросхеми, унікально, від однакових
  • 1:52 - 2:00
    виробничих масок, рівномірно, і з високою
    точністю, безпомилково. Ех, легке завдання,
  • 2:00 - 2:07
    чи не так? Отже, щоб пояснити, як ми
    отримуємо до фізично неклонованих функцій,
  • 2:07 - 2:11
    я спочатку поясню трохи історії
    боротьби з підробками. І
  • 2:11 - 2:16
    боротьба з підробкою, ви можете думати про
    гроші, ви можете уявити собі картки
    з магнітною стрічкою,
  • 2:16 - 2:22
    що посвідчують особу, і лічильники
    ядерних бомб, або, як їх зазвичай
  • 2:22 - 2:29
    називають «Договір з обмеженою
    річчю» ідентифікатори. Давайте почнемо з
  • 2:29 - 2:36
    грошей. Історично склалося так, що гроші
    були захищені дуже складними зображеннями.
  • 2:36 - 2:42
    Це приклад після Революції Гідності в США,
    і мені особисто дуже подобається,
  • 2:42 - 2:47
    скажімо, «Підробляти - це смерть».
    Тому що, знаєте, хоча це був
  • 2:47 - 2:53
    злочин проти держави, вас було витягнуто
    і четвертовано, коли це зробили. Тоді ми
  • 2:53 - 2:56
    перемотаємось на кілька століть вперед,
    я б хотів дізнатися у глядачів, хто
  • 2:56 - 3:02
    коли-небудь бачив таке? ... Досить часто.
    Хто-небудь може сказати мені, що це?
  • 3:02 - 3:05
    коментарі аудиторії (не чути)
  • 3:05 - 3:13
    Сузір'я Євросоюзу. Воно призначене
    щоб запобігати ксероксам
  • 3:13 - 3:17
    копіювати ваші гроші. Отже, коли ксерокс
    виявить цю штуку, він просто
  • 3:17 - 3:22
    не... він скаже: «Я не хочу копіювати».
    Ви можете використовувати це на своїх
  • 3:22 - 3:29
    речах, якщо хочете. Але ми бачимо
    спільну тему в цих кількох
  • 3:29 - 3:35
    століть, а саме: ви позначаєте всі дійсні
    купюри однаково, а потім переконуєтесь,
  • 3:35 - 3:42
    що можете перевірити ці позначки, щоб
    визначити, що вони є легітимними.
  • 3:42 - 3:48
    Альтернативою цьому було б мати різні
    позначки для кожної купюри, і підписувати
  • 3:48 - 3:55
    їх. Але, ви потрапляєте в цілу
    купу питань, наприклад, як мені потім
  • 3:55 - 4:01
    запобігти копіюванню цієї відмітки для
    конкретної банкноти і не скопіювати її сто
  • 4:01 - 4:05
    тисяч разів, і просто, знаєте, не
    скопіювавши при цьому підпис. Адже
  • 4:05 - 4:17
    ніхто не перевіряє паперові гроші онлайн.
    Отже, у 1983 році Бейдер запропонував
  • 4:17 - 4:24
    спосіб боротьби з підробкою, який полягав
    у розсипанні відрізків довільної довжини
  • 4:24 - 4:31
    до того, як він стане папером...
    муллом. (?)
  • 4:31 - 4:39
    Потім ви заробляєте гроші, використовуєте
    сканер зі світловим бар'єром, тобто
  • 4:39 - 4:43
    все, що робить ксерокс. Потім з'являється
    візерунок, який з'являється навколо
  • 4:43 - 4:48
    світлової смуги. І ви витягаєте цей
    візерунок, перетворюючи його на серію
  • 4:48 - 4:54
    бітів і підписуєте цей шаблон. Потім
    ви друкуєте підпис на купюрі. Тепер
  • 4:54 - 4:57
    з цим є проблеми, які пояснюються
    в цих документах, я не
  • 4:57 - 5:05
    маю часу заглиблюватися в них, але в
    принципі, це працює. Потім, далі, картки.
  • 5:05 - 5:09
    Ви знаєте магнітні смужки і ПІН-код, ми
    використовуємо їх в Європі, я думаю, що
  • 5:09 - 5:16
    ви все ще використовуєте їх у США, я не
    впевнений. Оскільки ніхто не вміє копіювати
  • 5:16 - 5:25
    магстрапси, так? Отже, ти додаєш щось
    на карту, щоб її можна було виявити
  • 5:25 - 5:30
    коли хтось скопіював картку на підробку.
    Отже, ви використовуєте голограми. Наскільки
  • 5:30 - 5:36
    я знаю, голограми зараз можна копіювати,
    Я не маю посилань на літературу,
  • 5:36 - 5:47
    але багато чого можна зробити. У 1980 році
    у 1980 році вже пропонував це: Ви навмання
  • 5:47 - 5:57
    розсіюєте магнітні волокна у покритті, ви
    скануєте ці волокна за допомогою, ну,
  • 5:57 - 6:04
    електромагнітного датчика, і перетворюєте
    їх в імпульси, а імпульси з годинником
  • 6:04 - 6:09
    і т.д., знову перетворити їх на біти,
    підписуєте цей шаблон і т.д. Існує також
  • 6:09 - 6:12
    така гарна пропозиція, де ви навмання
    розсіяти провідні частинки у
  • 6:12 - 6:18
    в ізоляційному матеріалі і сканувати його
    мікрохвильовкою, це той самий принцип з
  • 6:18 - 6:26
    1980-х. Далі, документи, що посвідчують
    особу, хтось запропонував
    використовувати напівпрозорість
  • 6:26 - 6:34
    паперової смужки в документі, що посвідчує особу,
    відскануйте цю смужку, перетворіть прозорість
  • 6:34 - 6:41
    у бітову маску, підпишіть бітову маску,
    і так далі. Тепер, Сіммонс вже сказав, що
  • 6:41 - 6:44
    це було занадто легко клонувати, тому що,
    ви можете просто сфотографувати
  • 6:44 - 6:51
    і відтворити його за допомогою
    фотографічними методами. Отже, прозорість
  • 6:51 - 6:57
    не дуже добра. Тепер ви також можете
    потенційно використати точний
  • 6:57 - 7:04
    тривимірний візерунок бавовняних волокон
    з паперу. Але ця пропозиція також була в
  • 7:04 - 7:14
    1991, Сіммонс також сказав, що це
    неможливо зробити. Однак у 1999 році,
  • 7:14 - 7:19
    хтось придумав щось подібне,
    вони беруть хеш текстури поштового
  • 7:19 - 7:24
    конверта, і ви друкуєте квадрат на
    конверті, з високою роздільною здатністю
  • 7:24 - 7:31
    фотографії, а потім хешуєте її з певним
    хеш-кодом, який гарантує, що всі
  • 7:31 - 7:41
    ці речі зводяться до того ж бітового
    шаблону кожного разу. Це працює. Потім
  • 7:41 - 7:47
    нарешті, ці обмежені Договором речі,
    мітки частинок, ви, по суті.
  • 7:47 - 7:53
    прикріплюєте таку мітку на поверхню
    предмета, а потім обробляєте його
  • 7:53 - 7:58
    ультрафіолетом, щоб перетворити
    на склоподібну речовину, яка
  • 7:58 - 8:04
    робить втручання очевидним, якщо я спробую
    його зняти, скло розбивається, а також
  • 8:04 - 8:08
    зберігає орієнтацію частинок, і потім
    ви накладаєте на неї лазер, дивитеся на
  • 8:08 - 8:14
    відбитий візерунок, отримуєте ідентифікатор.
    Отже, якщо у вас колись буде купа
  • 8:14 - 8:20
    ядерних бомб, щоб порахувати, це може бути
    цікавим. Спільною темою тут є те, що
  • 8:20 - 8:27
    ми використовуємо внутрішній аспект,
    який неможливо скопіювати, але легко
  • 8:27 - 8:36
    читається. Вона непередбачувана, і вона
    в ідеалі має бути незмінним. Що призводить
  • 8:36 - 8:46
    до нас до пропозиції 2001 року про фізичні
    односторонніх функцій. Ідея була такою,
  • 8:46 - 8:55
    у вас є епоксидна смола з малими скляними
    ви застигаєте епоксидну смолу, робите
  • 8:55 - 8:58
    з неї кульки розміром десять на два
    з половиною мм, не знаю точних
  • 8:58 - 9:06
    вимірів. Я кажу «сфера», я маю на увазі
    як це називається, куб... кубоїди,
  • 9:06 - 9:11
    щось таке... А потім ви освітлюєте
    лазером, і виходить плямистий
  • 9:11 - 9:15
    візерунок, тому що лазер
    розсіюється у дійсно непередбачуваному
  • 9:15 - 9:23
    вигляді, і ви фіксуєте це у 320х240
    пікселів, перетворюєте 2400 бітний
  • 9:23 - 9:27
    ключ за перетворенням Габора. Я не
    знаю, як працює математика за цим, тому що
  • 9:27 - 9:34
    це не моя сфера діяльності. І ви отримуєте
    цікаві властивості, такі як свердління
  • 9:34 - 9:39
    отвору, половина свердел вилітає, тож
    це стійкість до злому, і це відображає
  • 9:39 - 9:45
    роботу односторонніх функцій, як SHA-1 і
    SHA-256: якщо ви перевернете один біт
  • 9:45 - 9:51
    на вході, половина бітів на виході буде
    перевернута. Таким чином, ця стаття є першою
  • 9:51 - 10:01
    роботою, яка запропонувала це як зв'язок
    з криптографією. Тож тут, зчитування
  • 10:01 - 10:06
    структури є можливим, тому що, у вас
    є цей скляний візерунок, ви можете просто
  • 10:06 - 10:10
    - Я кажу «просто», але ви можете використовувати
    мікроскопічні методи, щоб прочитати його
  • 10:10 - 10:18
    точно, але бажаю вам удачі з такою
    субмікронною точністю для всіх цих скляних
  • 10:18 - 10:31
    сфер в епоксидній смолі. Отже, ви можете,
    в теорії, якщо знаєте структуру, імітувати
  • 10:31 - 10:38
    або змоделювати, як лазер проходить крізь
    крізь це. Але це вимагає багато
  • 10:38 - 10:45
    обчислювальних потужностей, і щоб... ви
    не можете створити базу даних відповідей
  • 10:45 - 10:53
    до викликів, тому що уявіть, що
    виклик у структурі - це лазер під
  • 10:53 - 10:58
    різними орієнтаціями, наприклад,
    лазер під кутом 5 градусів, або 10
  • 10:58 - 11:03
    градусів або 20 градусів, і в різних
    місцях, і всі ці відповіді будуть
  • 11:03 - 11:10
    різними. Тож простір викликів-відповідей
    неймовірно величезний. Тому протокол тут
  • 11:10 - 11:17
    буде таким: по-перше, ви читаєте це на
    довіреному терміналі, створюєте випадкову
  • 11:17 - 11:22
    колекцію пар «виклик-відповідь».
    Ваші виклики повинні залишатися в таємниці
  • 11:22 - 11:27
    тому що далі ви отримуєте запит на
    аутентифікацію від ненадійного терміналу,
  • 11:27 - 11:35
    ви кидаєте виклик цьому терміналу. Ідея
    полягає в тому, що неможливо відправити
  • 11:35 - 11:43
    правильний ключ відповіді, якщо не маєте
    пристрою, що містить цей PUF, е-е, тобто
  • 11:43 - 11:47
    фізичну односторонню функцію. Отже, ви
    отримуєте ключ відповіді і відхиляєте
  • 11:47 - 11:56
    це, якщо ключ відрізняється на багато бітів.
    Тому що це не буде ідеальний збіг. Ось.
  • 11:56 - 12:01
    Можуть бути подряпини, можуть бути
    мікронні відмінності в орієнтації, це
  • 12:01 - 12:09
    може бути погана камера, ви отримаєте
    відмінності, і те, як ви потім
  • 12:09 - 12:19
    обчислюєте найменш ймовірний
    рівень прийнятності підробленого пристрою
  • 12:19 - 12:24
    який вам потрібен, і потім ви отримуєте цю
    кількість бітів. І тоді ви можете отримати
  • 12:24 - 12:29
    кращий відсоток збігів, якщо повторите
    кроки (4) - (6) кілька разів, і якщо у вас
  • 12:29 - 12:37
    закінчаться пари викликів, можете просто
    повернутися до пункту (1). Така ідея.
  • 12:37 - 12:39
    Це перша робота, яка зробила цей
    зв'язок з криптографією, вона має
  • 12:39 - 12:45
    визначений протокол, але є кілька не дуже
    приємних речей, н-д, у вас є спеціальні
  • 12:45 - 12:51
    необхідне обладнання, і ми б дуже хотіли
    хотіли б мати таку ж можливість у
  • 12:51 - 12:56
    тільки в кремнії. Тепер у цьому
    документі вже було запропоновано, щоб ви
  • 12:56 - 13:03
    могли мати подібний підхід,
    якщо розсієте електрони...
  • 13:03 - 13:07
    не розумію, що тут написано, але я знаю,
    що це не те, що ми збираємося зробити.
  • 13:07 - 13:15
    До речі, якщо ви займаєтеся такими речами.
    то зможеш прочитати дуже старі
  • 13:15 - 13:22
    газети. Тож, хіба не було чудово, коли ви могли
    сказати це: "При розміщенні паливних стрижнів
  • 13:22 - 13:27
    високі рівні радіації в “гарячій” комірці
    забезпечували стійкість до втручання".
  • 13:27 - 13:30
    Або: «Сейсмічні датчики ... виявлять
    спробу отримати фізичний доступ до
  • 13:30 - 13:33
    пакета задовго до того, як безпека
    інформації опиниться під загрозою." Я б
  • 13:33 - 13:40
    не приймав це як ставку, тому що
    Я знаю вас, хлопці, але перший варіант
  • 13:40 - 13:45
    досить непоганий. І ви побачите речі
    на кшталт цього. RSA було зроблено в
  • 13:45 - 13:54
    1984. Це - я думаю - це
    ISA, можливо, до-ISA, не знаю... Ось
  • 13:54 - 14:00
    як це було зроблено. І текст
    дуже гарний: вони відсканували старий,
  • 14:00 - 14:06
    фактично набраний на друкарській машинці
    папір. Це доступно в Інтернеті,
  • 14:06 - 14:12
    якщо у вас є університетський доступ...
    вибачте... Є й інші рішення
  • 14:12 - 14:14
    вирішення цієї проблеми. У вас є
    апаратні модулі безпеки, також
  • 14:14 - 14:19
    смарт-карти, у вас є надійна платформа
    модулі... взагалі, я дізнався, що вони у
  • 14:19 - 14:24
    нас з 2006 року, мені здалося, що вони
    були старішими.... Але у вас все ще є
  • 14:24 - 14:27
    проблема управління ключами, так? Тому
    що ключ не прив'язаний до платформи. Якщо
  • 14:27 - 14:32
    можна витягти ключ і помістити його в
    інший довірений модуль платформи, або
  • 14:32 - 14:38
    ще один апаратний модуль безпеки, то ми
    залишаємося на волосок від загибелі. Отже, аспекти
  • 14:38 - 14:43
    полягають в тому, що ключ ніколи не
    покидає пристрій - в ідеалі - але як тоді
  • 14:43 - 14:47
    ключ увійшов у пристрій? Ви можете ввести
    нові ключі, можна ввести ключ-шифрування,
  • 14:47 - 14:52
    щоб розшифрувати ключі, які ви ніколи не бачите,
    які експортує інший апаратний модуль безпеки,
  • 14:52 - 14:59
    це все цікава криптографія, але також
    виникає проблема, що може робити ключ,
  • 14:59 - 15:05
    чи обмежені ви 1024 бітами RSA, і чи можна
    чи можна все це емулювати після того, як ви
  • 15:05 - 15:13
    у вас є ключ, так? Ми дійсно хочемо
    мати інші аспекти нашої функції. Зараз,
  • 15:13 - 15:21
    це перша назва ФВФ, «кремнієві
    фізичні випадкові функції кремнію", але вони
  • 15:21 - 15:28
    вже знав, що «PRF» може мати якусь
    трибуквений акронім, який перегукується з
  • 15:28 - 15:31
    «псевдовипадковою функцією», тому вони вирішили
    піти на «фізично неклоновану
  • 15:31 - 15:35
    функції". Існує цікава
    дискусія про те, чи має це бути
  • 15:35 - 15:41
    «фізично» чи «фізично»... не буду вдаватися
    в це. Ідея в тому, що стійкість до несанкціонованого доступу
  • 15:41 - 15:47
    загалом це дорого, складно,
    це просто... давайте подивимось на інше
  • 15:47 - 15:52
    підхід. Існує достатня варіативність процесів
    варіацій між ідентичними інтегрованими
  • 15:52 - 15:56
    де... так, вони не ідентичні
    ідентичні через ті процеси.
  • 15:56 - 16:03
    варіації. А вже у 2000 році хтось
    зробив... Лофстром, Дааш і Тейлор мали
  • 16:03 - 16:14
    невелику статтю про конкретний спеціальний пристрій
    ідентифікаційні схеми. Але, якщо ви хочете
  • 16:14 - 16:17
    використовувати їх для безпечної
    ідентифікації та автентифікації пристрою, то
  • 16:17 - 16:24
    одного такого ланцюга недостатньо.
    Потрібно більше. І що ви робите? Ви
  • 16:24 - 16:29
    будуєте це. І я не думаю, що це
    реально здійсненним, ... по суті, це
  • 16:29 - 16:33
    по всьому контуру, у вас є затримка.
    Це кільцевий генератор.
  • 16:33 - 16:41
    PUF. Отже, у вас тут є контур затримки,
    це автоколивальний контур,
  • 16:41 - 16:46
    по суті, це повертається до цього. І
    виклик тут полягає в тому, що кожен з нас
  • 16:46 - 16:54
    ці блоки. І що каже біт: якщо
    це одиниця, то ви проходите, якщо це
  • 16:54 - 16:58
    нуль, який ти пропускаєш. Тож якщо у вас є
    інший виклик, у вас інший
  • 16:58 - 17:04
    шлях через цей ПУФ. Тож в ідеалі, для кожного виклику
    кожен виклик має бути непередбачуваним
  • 17:04 - 17:12
    чи цей останній арбітр, що стоїть тут.
    десь там... дає одиницю.
  • 17:12 - 17:20
    або нуль, а потім рахуєш імпульси,
    і ідентифікуєш свої схеми. А тепер
  • 17:20 - 17:25
    атаки на нього також були досить добре
    вивчені в цій роботі... можливі атаки.
  • 17:25 - 17:29
    Отже, у вас є атака дублювання, яка
    по суті, клонування, яке повинно бути
  • 17:29 - 17:33
    неможливо. Так, це загальна
    ідея: Клонування має бути неможливим. Ось
  • 17:33 - 17:41
    це емуляція з вимірювання, тобто, ви будуєте
    модель на основі цього, вимірюючи точну
  • 17:41 - 17:47
    відстані між логічними одиницями всередині
    PUF, або довжину проводів всередині
  • 17:47 - 17:52
    PUF, також вважається нездійсненним, тому що як
    як ви збираєтесь виміряти це без
  • 17:52 - 17:59
    знищення PUF. Це було в далекому 2001 році. Тоді
    була емуляція з моделювання, тож, по суті, якщо
  • 17:59 - 18:02
    ви отримуєте ці пари «виклик-відповідь», якщо
    ви отримаєте достатню кількість таких пар, ви можете застосувати деякі з них
  • 18:02 - 18:08
    до цього гарні алгоритми машинного навчання,
    і ви отримуєте передбачення відповідей.
  • 18:08 - 18:11
    І, нарешті, у вас є контроль
    алгоритм атаки, який полягає в тому.
  • 18:11 - 18:16
    атакуючи алгоритм управління PUF
    навіть не потрапляючи до PUF. Якщо ви
  • 18:16 - 18:24
    може це зробити, тоді ваш PUF марний. Отже,
    вони також запропонували фізично контрольовану
  • 18:24 - 18:30
    неклоновані функції, що є тим самим
    але з дзвіночками. Отже, у вас є доступ до
  • 18:30 - 18:38
    для PUF, яка є частиною
    PUF. Це робиться для того, щоб запобігти тому, щоб остаточний
  • 18:38 - 18:45
    напад. Отже, по суті, ви накладаєте логіку
    функції доступу на PUF, так що
  • 18:45 - 18:50
    що для доступу до логіки функції access
    потрібно розбити PUF. І
  • 18:50 - 18:56
    якщо ти зламаєш PUF, все зламається,
    перестане працювати. Тож це дає додаткові
  • 18:56 - 19:02
    властивості. Неконтрольований PUF можна використовувати лише
    використовуватися лише для автентифікації пристрою. Це
  • 19:02 - 19:10
    можна використовувати для таких приємних речей, як докази
    виконання на певному пристрої.
  • 19:10 - 19:14
    Потенційно [для] речей, щодо яких я не маю
    думки: щодо коду, який працює лише на певних
  • 19:14 - 19:20
    пристроїв, але в принципі, для чого б вам не знадобився
    безпечний криптографічний ключ, вам слід
  • 19:20 - 19:24
    дійсно використовуватиме контрольовану ПУФ. Це
    ідея. Але ви все ще можете зробити пристрій
  • 19:24 - 19:29
    ідентифікацію. Отже, як виглядає контрольований
    ПФП виглядає? У вас є випадковий хеш, ви
  • 19:29 - 19:35
    маєш потенційний ID тут, маєш PUF
    тут, Виклик, Ідентифікатор, Особистість в
  • 19:35 - 19:39
    випадковий хеш, ви проганяєте його через PUF,
    виправляєш помилки, тому що PUF- це
  • 19:39 - 19:43
    не ідеальний, а потім знову випадковий хеш,
    а потім відповідь. Це робиться для того, щоб запобігти
  • 19:43 - 19:50
    всі ці напади. Якщо вас це цікавить.
    то почитайте газету. Потім, у 2011 році
  • 19:50 - 19:55
    була запропонована формальна модель, що нам
    насправді потрібно від PUF? По-перше, нам потрібно
  • 19:55 - 20:00
    надійність. У всіх оцінках нам потрібна
    однакова відповідь. Нам потрібна фізична
  • 20:00 - 20:04
    неклонованість, насправді не повинно бути
    клонувати ці речі, і ми
  • 20:04 - 20:12
    потрібна непередбачуваність. Ці два варіанти
    потенційно багато, тож ми розберемося з цим
  • 20:12 - 20:18
    на останньому слайді, здається. І з тих пір,
    з 2001 року було багато пропозицій
  • 20:18 - 20:24
    та напади на ПФУ. Отже, по-перше, є
    Arbiter PUF, які всі затримують
  • 20:24 - 20:31
    на основі. Отже, загальна ідея полягає в тому, що
    якщо ви пропускаєте сигнал через чіп, він
  • 20:31 - 20:36
    затримується на певну суму. Але ця сума
    сума є унікальною для кожного чіпа. Але виходить
  • 20:36 - 20:43
    виявилося, що це можна досить легко змоделювати.
    І навіть бістабільне кільце PUF, яке є
  • 20:43 - 20:51
    досить недавній, я думаю, ви можете зробити деяке
    прикольне машинне навчання... Я дуже
  • 20:51 - 20:55
    рекомендують цю статтю, «Навчання арбітрів щодо
    arbiter PUFs". По суті, ідея полягає в тому, що ви
  • 20:55 - 21:00
    мають 30000 пар «виклик-відповідь», і
    цього достатньо, щоб забезпечити 100% точність
  • 21:00 - 21:07
    на 256-бітному алгоритмі з викликом PUF. Це не дуже
    добре. Це не працює, якщо ви можете
  • 21:07 - 21:17
    змоделюйте це таким чином. Також можна використовувати
    оптичне вимірювання сигналів через
  • 21:17 - 21:22
    з точністю до шести пікосекунд. Отже.
    ці штуки можуть існувати недовго.
  • 21:22 - 21:28
    довше. Існують також PUF на основі пам'яті.
    Вони засновані на бістабільній пам'яті, яка
  • 21:28 - 21:36
    в основному виглядає так, і він також
    на основі затримки, але тут вона унікальна.
  • 21:36 - 21:41
    клітина. У вас є блок цих комірок,
    всі вони незалежні, так що ви отримуєте
  • 21:41 - 21:48
    з цього шаблону. Ці клітинки йдуть до одиниці
    або нуль, і вони досить стабільні
  • 21:48 - 21:54
    в цьому. Пізніше я покажу тобі картинку того.
    що станеться, якщо у вас буде гарний ПУФ з
  • 21:54 - 22:00
    цього типу, і якщо у вас немає хорошого PUF
    цього типу. Однак, якщо у вас є SRAM
  • 22:00 - 22:07
    PUF, наприклад, ви маєте досить обмежену
    SRAM. Тому ви можете просто, в принципі, прочитати
  • 22:07 - 22:12
    все це і зберегти всі біти в
    базі даних. А потім ви можете клонувати
  • 22:12 - 22:21
    PUF. Тому що ти можеш використовувати сфокусовані іонні пучки.
    щоб обрізати SRAM іншого чіпа у
  • 22:21 - 22:26
    правильну орієнтацію. І, ну, емуляція,
    якщо у вас є ця база даних, ви можете просто
  • 22:26 - 22:32
    відповісти зі своєї бази даних. Отже, це те,
    в деякій літературі називається «слабким PUF»,
  • 22:32 - 22:38
    але це, мабуть, все ще найкорисніший
    з тих, що ми маємо зараз. Зазвичай це
  • 22:38 - 22:42
    а також те, що у ваших пристроях, якщо вони
    якщо заявлено, що він має фізичний неклонований
  • 22:42 - 22:48
    функцію фізичного клонування. Але вони здебільшого контролюють
    більшу частину часу. І, нарешті,
  • 22:48 - 22:54
    нещодавно хтось запропонував, здається.
    це був, так, Шаллер, Сьонг і
  • 22:54 - 23:00
    Анагносто... не можу вимовити. Але
    засновані на розпаді, ідея полягає в тому, що у вас є
  • 23:00 - 23:07
    DRAM, вимкнути живлення, увімкнути живлення
    знову ввімкніть, подивіться, як він розпався. Ніяких атак.
  • 23:07 - 23:16
    на це, що я бачив, ще не було. Отже, останні кілька хвилин
    останні кілька хвилин цієї розмови будуть
  • 23:16 - 23:27
    про ваші власні ПФП пам'яті. Що є
    тривіально. Чи не так? ...Ні, насправді ні.
  • 23:27 - 23:32
    І весь цей час ви могли думати,
    навіщо нам взагалі цим перейматися? Це
  • 23:32 - 23:38
    здається безнадійним для ПНД, у кремнії
    недостатньо випадковості в кремнії, але
  • 23:38 - 23:42
    Я не згоден. Тому що, по-перше.
    захист краще, ніж ніякого, а саме
  • 23:42 - 23:49
    що є у більшості пристроїв на мікросхемах. І по-друге.
    по-друге, я не вірю в срібні кулі.
  • 23:49 - 23:56
    Це має бути частиною більшого механізму безпеки
    механізму безпеки. Тому, якщо нічого іншого, якщо всі ви
  • 23:56 - 24:03
    хочете від цієї розмови - це якусь цікаву
    статтю для читання, хоча б одну, то прочитайте цю.
  • 24:03 - 24:07
    Це на слайді 39, він називається
    "Полегшене рішення для захисту від підробок
  • 24:07 - 24:12
    для недорогих і товарних пристроїв з використанням
    з використанням вбудованих PUF." І, бажано, щоб ви також
  • 24:12 - 24:17
    прочитали цей, пов'язаний з цим, «Програмне забезпечення на основі PUF
    захист для бюджетних вбудованих пристроїв".
  • 24:17 - 24:22
    Нехай вас не вводять в оману терміни «захист інтелектуальної
    власності» та «ліцензійна модель». Це все однакові речі.
  • 24:22 - 24:26
    Середовище безпечного завантаження. Ви хочете, щоб воно було, наприклад.
    наприклад, на своєму Raspberry Pi. Я не хочу.
  • 24:26 - 24:31
    чи є це в Raspberry Pi, це
    тобі доведеться це з'ясувати. Отже, що вам знадобиться
  • 24:31 - 24:39
    пристрій з замаскованим ПЗП для зберігання
    завантажувач, як перша стадія коду
  • 24:39 - 24:45
    має бути під вашим контролем. Вам потрібно
    мати цей модифікований код запуску, ви
  • 24:45 - 24:51
    Очевидно, що потрібно мати можливість його модифікувати.
    І вам потрібна вбудована оперативна пам'ять SRAM, щоб створити
  • 24:51 - 24:57
    PUF з нього. А потім вам знадобиться трохи
    енергонезалежна пам'ять для зашифрованої прошивки
  • 24:57 - 25:06
    та допоміжних даних. Отже, у проекті puffin
    який було зображено на попередньому малюнку
  • 25:06 - 25:17
    з... Отже, тут є декілька результатів.
    Це мікроконтролер STM32F100B,
  • 25:17 - 25:22
    це PandaBoard, яка дуже схожа на
    мобільний телефон, так що те, що ви хочете
  • 25:22 - 25:27
    побачити це. Білий шум. Ця частина -
    PUF-подібний діапазон пам'яті, ця частина
  • 25:27 - 25:32
    можливо, зіпсована завантажувачем або
    чи чимось подібним або неправильним кодом, але
  • 25:32 - 25:40
    можна використовувати. Виглядає непогано. Отже,
    коли у вас є така область білого шуму, ви
  • 25:40 - 25:46
    починаєте вимірювати багато разів, а потім
    обчислюєш відстань Гемінга між
  • 25:46 - 25:50
    безліччю вимірювань з безлічі
    різних пристроїв. І ви хочете, щоб вона виглядала
  • 25:50 - 25:55
    ось так, ви хочете, щоб це була половина.
    Тому що це означає, що кожен пристрій буде
  • 25:55 - 26:03
    виглядатиме по-різному. Приблизно на 50%. Ви також вимірюєте
    внутрішню відстань Хеммінга в класі, яка дорівнює
  • 26:03 - 26:09
    вимірювання з того ж самого PUF, і ви
    хочете, щоб вона була меншою за 0.1. Ви не хочете, щоб
  • 26:09 - 26:14
    бути занадто неточним, тому що тоді
    виправлення помилок стає надто складним
  • 26:14 - 26:19
    і почнеться витік інформації, і вам
    вам знадобиться виправлення помилок, використовуючи для цього
  • 26:19 - 26:29
    наприклад, коди Голея. Отже, перший документ, про який я
    згадана мною, ця... ця... ця
  • 26:29 - 26:33
    полегшений захист від підробок, це
    теж з того документу. Прочитайте його, він також
  • 26:33 - 26:36
    пояснює, як працює нечітке вилучення.
    Якщо вас це зацікавило, тут є багато
  • 26:36 - 26:43
    наукової літератури. І
    нарешті, ви будуєте цей нечіткий
  • 26:43 - 26:49
    екстрактор, а потім реєструєш свій чіп.
    І генеруєш деякі допоміжні дані для
  • 26:49 - 26:54
    для виправлення помилок, а потім
    виклик чіпу, ти надсилаєш це
  • 26:54 - 26:59
    дані для виправлення помилки разом з викликом.
    І в кінцевому підсумку ідея полягає в тому, що ви
  • 26:59 - 27:05
    отримаєш секретний S' від кожного чіпа. І як
    це можна використати? У вас є завантажувач
  • 27:05 - 27:09
    у замаскованому ПЗП, це перший етап
    завантажувач першого рівня, він викликає PUF, і
  • 27:09 - 27:14
    розшифровує завантажувач другого рівня,
    який надходить із зовнішньої пам'яті. А потім
  • 27:14 - 27:18
    ви завантажуєте вбудовану операційну систему.
    Отже, це має виглядати знайомим для багатьох
  • 27:18 - 27:24
    з вас, тому що так само працює
    працює атестація пристроїв на x86, якщо ви
  • 27:24 - 27:35
    використовуєте довірені модулі платформи. Отже, трохи детальніше
    трохи детальніше, та сама процедура, зверніться до
  • 27:35 - 27:39
    PUF, розшифровуємо і викликаємо, тут ключ також
    і ви розшифровуєте і викликаєте
  • 27:39 - 27:46
  • 27:46 - 27:52
  • 27:52 - 27:58
  • 27:58 - 28:03
  • 28:03 - 28:08
  • 28:08 - 28:12
  • 28:12 - 28:16
  • 28:16 - 28:23
  • 28:23 - 28:28
  • 28:28 - 28:32
  • 28:32 - 28:39
  • 28:39 - 28:43
  • 28:43 - 28:47
  • 28:47 - 28:51
  • 28:51 - 29:00
  • 29:00 - 29:06
  • 29:06 - 29:09
  • 29:09 - 29:18
  • 29:18 - 29:22
  • 29:22 - 29:26
  • 29:26 - 29:32
  • 29:32 - 29:37
  • 29:37 - 29:41
  • 29:41 - 29:44
  • 29:44 - 29:48
  • 29:48 - 29:55
  • 29:55 - 29:59
  • 29:59 - 30:00
  • 30:00 - 30:05
  • 30:05 - 30:10
  • 30:10 - 30:15
  • 30:15 - 30:20
  • 30:20 - 30:21
  • 30:21 - 30:25
  • 30:25 - 30:28
  • 30:28 - 30:32
  • 30:32 - 30:37
  • 30:37 - 30:46
  • 30:46 - 30:50
  • 30:50 - 30:54
  • 30:54 - 31:01
  • 31:01 - 31:05
  • 31:05 - 31:10
  • 31:10 - 31:11
  • 31:11 - 31:14
  • 31:14 - 31:17
  • 31:17 - 31:20
  • 31:20 - 31:25
  • 31:25 - 31:44
Title:
PUFs, protection, privacy, PRNGs (33c3)
Description:

more » « less
Video Language:
English
Duration:
31:44

Ukrainian subtitles

Revisions Compare revisions