agileGLITCH:电压毛刺检测器内核IP
agileGLITCH 电压监视器提供安全性和保护,防止电压侧信道攻击 (SCA) 和篡改,例如电源电压变化/故障和电源操纵。传感器提供数字输出以警告(保护)处理器入侵企图,从而实现硬件安全的整体方法。
作为agileSCA TVC(温度、电压、时钟)安全传感器的关键部分,它可以根据您的规格进行调整,非常适合物联网、安全、汽车、医疗、人工智能和通用SoC等应用中的安全和监控和 ASIC。
系统概览(如下所示)包括 4 个主要组件
2.1 Bandgap
这为其他系统组件提供了准确的电压参考,并设计为在比典型电压范围更宽的电压范围内工作,以确保良好的毛刺监控覆盖范围。带隙遵循传统架构,基于通过两个不同 p-n 结的电流比。Bandgap隙包含一个自举电路以确保在启动时可靠开启,并且可以选择进行生产调整以提高精度。
2.2 Comparator 比较器
指定了比较器的两种配置,以检测过压和欠压毛刺。阈值是可配置的,并且集成了电平转换器以允许从内核电源驱动 IO。
2.3 Reference selectors 参考选择器
这些参考选择器为可编程比较器提供可配置的输入电压,以允许调整毛刺电压电平。例如,如果内核使用 DVFS(动态电压和频率缩放),这些还允许调整阈值。
2.4 Control and test logic and level shifters 和测试逻辑和电平转换器
从比较器的输出,控制逻辑提供以下功能:
-
基于数字输入的使能控制
-
在比较器输出上锁存瞬时事件
-
在测试模式期间禁用输出
-
对锁存输出进行 3 路多数表决
2.5(可选)ADC
可选的 SAR ADC 可用于测量电源的准确值,该值可用于持续监控寿命问题或性能下降。
3.1 物联网安全 – 密钥提取
|
设备 |
住宅的前门无线锁 |
|
场景 |
来访者提供为业主更换前门电池的服务。使用电压故障设备,访问者可以在锁上进入调试模式,并转出所有已授权的锁密钥。 |
|
结果 |
恶意人员能够复制房屋的现有用户密钥,然后进入房屋,同时审计线索指向另一个用户。 |
|
扩展 |
电压故障允许攻击者进入调试模式并转储所有由锁授权的密钥。 |
|
保护 |
agileGLITCH 能够检测电压毛刺事件,并将其记录为可疑活动。一旦重新通电,锁就能够向云报告怀疑有恶意活动,日期和时间涉及恶意方。
|
3.3 汽车:性能衰减
|
设备 |
现代汽车中的驾驶员辅助解决方案 |
|
场景 |
由于设备寿命会影响汽车 ADAS 系统的电压调节器,这意味着随着时间的推移,电源电阻会增加。这种影响是微不足道的,但在高负载时刻会加剧,这会导致电压下降到操作可接受的电压以下。 |
|
结果 |
在高度复杂、快速移动的操作中,处理负载消耗过多功率,系统出现故障,在关键点将控制权交还给驾驶员。 |
|
扩展 |
生产制造产生的故障是潜在的,并且没有在生产线上检测到,因为电压在规格范围内。由于寿命影响,这会随着时间的推移而退化,并最终在高负载点失效。 |
|
保护 |
agileGLITCH 能够提前检测到持续的电压降级,有时这可能会接近规格值。系统会将其报告给汽车制造商,汽车制造商可以识别故障,并优先呼叫汽车,以便在导致事故的故障发生之前对其进行修补。汽车供应商可能能够通过软件补丁远程修复汽车,以增加故障汽车的供电电压。 |
3.5 酒店电子设备安全:绕过安全机制操作
|
设备 |
酒店电子保险箱 |
|
场景 |
服务人员进入酒店房间打扫,可以打开保险箱提取物品,访问日志不留痕迹,不更改设置密码。 |
|
结果 |
恶意工作人员能够打开酒店保险箱并取出贵重物品,不留痕迹。 |
|
扩展 |
恶意人员使用键码输入装置测试所有键码组合。在每次尝试触发锁定计时器之前,电源会出现故障以防止记录失败的尝试或锁定。 |
|
保护 |
agileGLITCH 能够检测到出现故障的电源,并能够向安全微控制器标记正在发生的半定期和可疑电源复位。然后,此信息会触发 4 小时锁定,以保护内容免受进一步攻击。 |
3.2 Home Control Hub :固件刷新
|
设备 |
支持摄像头的家庭集线器设备 |
|
场景 |
在线交易商提供密封盒装的廉价家用集线器设备。这些设备已使用固件重新刷新,在执行预期任务的同时,还将视频和音频流传输到交易者的服务器 |
|
结果 |
邪恶实体能够持续监控目标房屋中的活动,并用于勒索或观察和出售目标知名用户的镜头 |
|
扩展 |
电压故障允许攻击者绕过标准的启动签名序列。这允许利用方将安全密钥重置为已知值,并重新刷新未经授权的固件。漏洞利用方下载固件,但增加了“远程监控”功能 |
|
保护 |
AgileGLITCH 能够检测电压故障事件,并防止在设备上安装未经授权的代码来重置启动密钥。此外,该设备能够向用户和服务器报告它不是全新的,因此用户可以更换。 |
3.4 卫星电视:绕过固定链接加密
|
设备 |
卫星电视接收器 |
|
场景 |
恶意用户计划从通过卫星频道播放的电影中删除数字版权管理 (DRM),然后转售 |
|
结果 |
在高度复杂、快速移动的操作中,处理负载消耗过多功率,系统出现故障,在关键点将控制权交还给驾驶员。 |
|
扩展 |
恶意用户在 HDMI 控制器电源上安装电压干扰器,以有效订阅机顶盒卫星接收器。通过电压故障,用户能够将 HDMI 输出重置为非 HDCP 验证,并将解密的 HD 内容流式传输到非安全设备。然后该设备在没有保护的情况下重新编码内容。 |
|
保护 |
如果需要,agileGLITCH 能够检测多个电源上的电压毛刺。这意味着对次级电源和模拟 IP 电源的毛刺攻击也可以受到保护。
|
3.6 硬件妥协(Hardware Compromise)——干扰工作负载/可信启动
|
设备 |
工业设备或数据中心服务器 |
|
场景 |
恶意实体通过软件攻击和/或不受信任的硬件访问复杂系统(例如服务器、工业设备)的电源单元。 |
|
结果 |
电源系统的远程控制允许第三方干扰或操纵电源,并干扰工作负载或绕过可信启动以获得对系统的完全控制 |
|
扩展 |
电力输送系统被邪恶的一方渗透,并添加了额外的功能,允许远程操纵电力。系统投入生产,然后恶意实体能够通过重置/故障电源序列来远程操纵安全性。 |
|
保护 |
agileGLITCH 能够检测到电源出现故障/修改/操纵,并能够向 CPU/更广泛的系统发出信号,表明怀疑存在恶意活动。在分离的系统中,设备可以自行断电,或恢复到安全模式,直到由维护团队解决。 |
4 结论
现代设备有各种各样的漏洞利用。许多漏洞与软件相关,随着这些漏洞的识别和修补,物理硬件易感性将成为越来越重要的攻击媒介。
更值得注意的是,虽然可以远程修补设备的软件漏洞,但硬件漏洞通常需要更换硬件来解决它们——从而使数百万设备面临被利用的风险。
我们已经证明,仅使用agileGLITCH 传感器可以提供针对硬件攻击向量的保护。为了更全面地覆盖可疑活动,agileSCA(侧信道攻击)以极低的硅成本监控和报告单个 IP 核中的电压毛刺、温度变化和时钟操作