关键词:硬件加密
编者按
年7月31日,西北大学HaiZhou教授来访北京大学前沿计算研究中心,并在静园五院作了题为“LogicEncryptionforHardwareIPProtection:TrilemmaandSolutions”的学术报告。报告由高能效计算与应用中心助理主任梁云副教授主持,听众主要来自北京大学信息科学技术学院的师生。
HaiZhou教授报告现场
本次报告中,HaiZhou教授以硬件IP加密保护(HardwareIPProtection)为主题,介绍了传统硬件IP加密方法存在的问题、破解途径和相关反制方法。Zhou教授还分析了目前硬件IP加密发展遇到的困境,并从理论角度分析了一个好的硬件IP保护方法应该具有的性质,提出了一个可行并安全的方法。
硬件IP加密(LogicEncryption)的必要性和问题定义
随着全球芯片市场的蓬勃发展,芯片造假和IP偷盗问题也愈发严重。芯片造假问题主要体现存在Fab厂商过度生产、芯片逆向工程、IP侵权和植入恶意木马等方面,不仅影响芯片厂商的利益,还将芯片使用者暴露于危险之中。硬件IP加密技术旨在反制这些威胁。不失一般性地,我们讨论时假定电路仅有一个输出;形式化地,对于给定的组合电路f(x):Bn→B,设计一个加密电路g(x,k):Bn+m→B使得如下条件成立:
存在k*使得g(x,k*)≡f(x);
对给定的g(x,k)及对f(x)的黑箱访问,找到f(x)是困难的。
传统加密方法和基于SAT的攻击方式
传统加密方式(-)通过在逻辑电路中选择一些信号插入密钥门(“key-gate”,通常为XOR或XNOR)进行加密;使用时在提供正确key的情况下电路可以给出正确的输出。早期方法随机选取密钥门会遭受ATPG攻击,通常采取小心选取的信号插入密钥门进行加密。然而,截至年的所有方法都会受到基于SAT求解器的攻击[Subramanyanetal.15]:
1.令
C(k)和C(k1)是两个约束集
2.若
a.
b.
c.
重复步骤2
3.所
求的k*即为SAT(C(k))
这里
为DIP(DifferentiatingInputPattern)。
SAT攻击的防御方式和存在问题
SARLock[Yasinetal.16]和Anti-SAT[XieandSrinistava16]均可以反制SAT攻击,然而这两种方式都存在两个较为严重的问题:
错误率低:对每个错误的key都只有单个错误输入;
a.依然可以作为假冒芯片售卖(「近似攻击」)
b.使得整个电路在错误key情况下成为一个trojan
c.容易通过外加电路修正错误结果(「绕过攻击」)
结构弱点:可以通过逆向工程的方式去掉外部加密用结构。作者均提出了采用重综合(re-synthesis)的方式反制这种攻击。
SARLock的结构
硬件IP加密方法的理论设计空间
Zhou教授提出,可以使用香农分解(Shannonde