https://electronix.ru/forum/index.php?a … ent=420199

Тех, кто претендует на техническую грамотность и при этом всерьез несет бредни про "закладки" в серийных микросхемах и CAD софте (ну какая закладка может быть в синтезаторе ПЛИС или другом САПР) в лучшем случае нужно посылать на лечение.
Хоть одна схема с "закладками" была обнаружена где-то у кого-то?

если предположить, что правительство США заставляет всех производителей микросхем ставить закладки - их сложно (невозможно на практике) активировать. Итак вот есть чип. Он продается, используется, встроен в кучу изделий (как вариант можно рассмотреть только военное исполнение, что сузит ассортимент) и ни в коем случае не сбоит. Более того, на западе его также ставят в свои критичные технологии. Но в этом чипе есть закладка – маленький такой приемник, который все время слушает воздух и ищет последовательность бит по неизвестному нам протоколу, и как только примет, так всем нам с вами конец. Поинтересуйтесь инженерным режимом (используемым при отладке и тестах), запрещенными комбинациями (должны быть упомянуты в спецификации на продукт), которые могут ввести чип в какое-нибудь состояние недоступности и посмотрите какими именно схемами он отрезаются, проследите схемы управления ими.

Если вести речь о покупных компонентах, то как Вы узнаете схему блока, в который он установлен?
Как вы гарантируете, что компонент воспримет ваше излучение?
Существует некоторый конечный список импортных микросхем, которые действительно потенциально опасны для использования в критических приложениях. Например, фронт-энд ГЛОНАСС от Максим вполне может содержать какую-нибудь закладку. С учетом того, что он подключается непосредственно к антенне и вполне предсказуемо настраивается, зашить в него какой-нить элементарный жучок не представляет труда. Но это, извините, сугубо гражданская микросхема за 3 бакса. Но тогда зачем в неё закладку ставить? Уж проще со спутника "гражданских" отключить если надо...
А может устройство заэкранировали и закопали на X метров под землю? Если закладка пассивна, то непонятно, чем активировать эту "спящую красавицу", так как критические военные системы полностью автономны. Сетевые пакеты и E-MAIL туда не ходят.
Внешнюю экранировку чипа, например металлическим кожухом прибора? У тех же персоналок корпуса металлические, про серверы и системы хранения данных и не говорю. Плюс железные же шкафы для оборудования, плюс железобетонные стены, плюс наводки от климат-контроля и систем электропитания. А если флюоресцентные лампы? А другое оборудование типа электропечей на заводах? Это какой силы нужен сигнал, чтобы пробиться сквозь все препятствия и не затеряться в шуме?
если на Вас летит ракета или самолет - то попробовать облучить можно, но поздно.
Надо или сбивать, или бежать в укрытие.
Как физически возможно активизировать эти самые страшные «закладки»?
основная проблема  создание антенны для такого жучка. Т.е. как именно вражеский сигнал передать на закладку, считая что закладка существует только в чипе. микрополосковая антенна – дорожка вполне реальна. Можно сделать микроволокнистую структуру корпуса, пара волокон которой будет проводящей и будет незаметно в виде проводящего пластика касаться некоторых ног. И металл, и волокна - всё равно легко обнаруживаются.  Возможен вариант когда в выключенном состоянии антенну разомкнут (или наоборот замкнут) транзисторами, а по какому-то там условию их перемкнут и в чипе вдруг возникнет антенна. Тогда ее будет сложнее засечь приборами, но это же сделает ее еще менее качественной. В целом антенyа в корпусе - наименее реальный путь. Толстая антенна по любому будет обнаружена, а очень тонкая будет с большим сопротивлением, а потому ничего толком не выдаст да наберет паразитных связей. На раз обнаруживается, и качество плохое. Малая толщина петли делает ее очень высокодобротной, т.е. она будет резонировать на определенную частоту, что можно засечь при исследовании (сбросить с чипа все шмотки, оставив голый кристалл, затем облучать и смотреть).
Момент первый: кто возьмется вырастить такую емкость в чипе? И чтоб незаметно?
Если внутри не получается, емкость должна быть во вне и к ней должен тянуться провод. То может быть экран корпуса микросхемы, или емкость на одной из ног. В последнем случае нога “по ключу” меняет свое назначение и больше чипу не служит, а работает только на нас. Чип при этом не как пострадать не должен.
Момент второй: несимметричная полосковая антенна нуждается в земле. Если емкость создали, то выше приведенные расчеты более менее справедливы, но т.к. земля в чипе тоже шумная (думаю, не ошибусь, что раз в 10 шумнее), а также поскольку теперь не надо учитывать согласованность и на что-то делить, получаем прирост шумов относительно прошлой цифры децибел так на 40. Или на 60 относительно фона. А это значит, что в сопоставимых условиях вражеский передатчик надо приблизить в тысячу раз, чтобы принять не хуже нормально сделанного приемника.
Если же емкость организовать не сможем, то все формулы недействительны, но в итоге будет гораздо хуже (из-за полной несогласованности), а кроме того сие значит, что емкость с землей образуется самопроизвольно, и земля будет со всех сторон, по всем соседним наводкам, а значит шумы вырастут децибел так на 20 минимум.
И можно корпусироваться самостоятельно.
Если антенны нет, то закладка должна присоединяться к пинам.  ноги земли - питания не подходят. Сразу по многим причинам, главная их которых - их присоединяют к слоям, а значит туда токи не затекут. Скорость приема маленькая (до сотен бит). сигнал надо брать до всяких там тригеров Шмита, а тем более выходных ключей. Лучше всего старшие разряды адреса, если проц., и нога RESET  + к ней и проводок подлиннее. В общем таких ног не много. можно ли подсоединиться к пину (которых всего несколько годных) и чтобы никто не заметил?
Радио - не единственный способ подачи сигнала. Есть еще рентгеновское, гамма- и нейтронное излучение. Детектор гамма излучения не нужно подключать к пинам/городить антенну, он может быть скрыт в толще кристалла. Речь идет о том, чтобы детектор излучения в чипе среагировал на слабый/ослабленный экранировкой командный сигнал, имеющий строго определенные параметры и не реагировал на естественный земной/космический фон, рентгеновские установки в аэропортах, излучение при проверках заказчиком на радиационную устойчивость и др. (при сильном излучении - SRAM и EEPROM загнутся сами, без дополнительных схем)

Зачем нужно внедрять «закладки», если можно просто вообще «прикрыть» поставки нужных ЭРИ через КОКОМ?

"закладки" вообще делаются крайне редко и только в конечных изделиях военного назначения (как правило, в их firmware), дабы обезопасить себя от проданного оружия, но не в электронных компонентах как таковых
Пример 1: по слухам, была подобная история в фолклендском конфликте ( https://rg.ru/2005/11/23/tetcher.html )
речь шла о цельнокупленных ракетах и самолетах.
"2 мая 1982 года в ходе войны между Великобританией и Аргентиной за Фолклендские острова аргентинские ракеты французского производства вывели из строя британский эсминец «Шеффилд». Спустя три дня британский премьер Маргарет Тэтчер в резких выражениях потребовала от французского президента Франсуа Миттерана секретные коды для нейтрализации этих ракет. В противном случае Тэтчер грозила провести ядерную бомбардировку столицы Аргентины. «Никто не может противостоять островному синдрому несдержанной англичанки. Я был вынужден сдаться. Она получила коды», — признался позже президент Франции. Миттеран был совершенно убежден, что, не сделай он этого, Тэтчер приказала бы атаковать Буэнос-Айрес. Накануне она, не раздумывая, отдала приказ об уничтожении аргентинского крейсера «Хенераль Бельграно», находившегося вне пределов 200-мильной запретной зоны, объявленной англичанами. В результате погибли 386 аргентинских моряков." Заголовок статьи, из которой эта цитата - "Легенда о "железной леди"
И закладки были на уровне изделия, а не отдельных компонентов.
Ничего сложного так же нет в том, чтобы добавить в приёмник/передатчик свою железку, надёжно шифрующую канал связи.
Байка 2: Когда-то - давным-давно! - на выставке Связь-75 Некто потыкал по кнопенькам новейшего НАШЕГО карманного куркулятора Электроника-С?? (Ленинград, "Светлана") и на дисплее получилось "гCA USA"! И никакие выключения девайса не помогали.
Пример 3: в аштековских GPS-чипах при высоте 10км и выше надо ввести пин-код. Это документированная фича, а могут быть и недокументированные. Поэтому чип с программой действительно уязвим.
Байка 4: В сибири развернули сеть на японских мультиплексорах, какое-то время она проработала как часы, затем "упала", официальный представитель не смог поднять сеть, народ на измене позвонил япам, через 15 минут сеть встала. А вояки сильно задумались...
о намеренной реализации локального всплеска напряжения с последующим пробоем тонкой пленки изолятора (или вжиганием какого - нибудь диода) и, как следствие, закорачиванием питания на землю, где постоянная утечка в несколько миллиампер убьет чип.
Чип с таким глюком как Ваш не пройдет элементарных тестов на статику (или еще чего) на самой фабрике.
Импульс может быть реализован другой схемой на той же плате, предлагаемой в связке. вариант - воздействие на питальник на самой плате (если есть), общее превышение напряжение, вывод из строя регулировки напряжения питания и т.д. слабых мест много, если сильно захотят - испортят.
Реальный пример?
Стандартная гражданская СМОS технология 0.18 мкм. Интерфейсный транзистор, расчитанный на напряжение питания 3.3В. Спецификационный диапазон напряжения питания для 100% гарантированной жизни (10 лет) его подзатворного диэтектрика максимум 3.6В. Если его заставить работать на 4В напряжения питания, то его гарантированная жизнь продлится только 1.2 года. Экстраполируйте на те самые 20% превышения и Вы получите выход из строя всех периферийных транзисторов вблизи организованного всплеска в течение нескольких минут. При этом будет крайне сложно обнаружить это место и еще сложнее предъявить претензии - "ну не смогли наши разработчики предусмотреть все проблемы".
Еще раз - не пользуйте черные ящики.
Весь сыр-бор связан с тем, как написан Руководящий Документ. Раз в нем утвержден постулат, что полупроводник, сделанный не на российском предприятии содержит закладку - табу на их применение.

Российские производители пролоббировали, чтобы иметь возможность продавать свои устаревшие морально в момент начала разработки изделия за космические деньги. Более того скажу, нормальным военным это лобби по барабану. Мы как-то общались с одними людьми, предлагали им в том числе отечественные процы, так они сказали буквально следующее: "Нафиг нам это убожество, заказчик захочет, чтобы самолет взлетел - поставит то, что мы скажем. А Xilinx ваш нам нравится.".
кому нужна аппаратура, которая стоит на порядок больше импортного аналога, имеет в разы худшие характеристики и изготавливается значительно дольше? IMHO, только вероятному противнику.

http://forum.ixbt.com/topic.cgi?id=44:327

Как это сделать незаметно (главное) и дешево?
а) в случае собственной фабрики
б) в случае фаблесс
чтоб тайное не стало явным, круг посвященных должен быть минимален.

Производителю микросхем это не нужно (их же производят обычные коммерсанты).
Подумайте над тем, КАК её будут встраивать в ваш чип на фабе. Вот, скажем, передаёте вы дизайн на фаб,
чтоб его там проMDP-или, а потом послали в маскшоп для изготовления набора фотошаблонов.

Т.е. нужно, чтоб маскшоп был соучастником подмены как минимум, а это маловероятно, их не так много и репутация им дороже.
просите, чтоб заказывали маски в DNP. Там у правительства США возможностей куда как меньше, да и японцы в обязательствах заказчику весьма твердолобы.
Делаете новые маски, где старые дорожки разорваны, а добавленные новые ведут сигнал туда, где на старых масках было пусто, а теперь срочно размещена логика закладки. Самый главный вопрос конечно - как выдать наружу чипа содержимое регистров. Вставить закладку - в сам чип, при наличии свободного места (а оно практчиески всегда есть, разумеется, если чип не full-custom) я думаю я смогу. как ??? с куска кремния вы "отдадите" сигнал наружу чипа ? перспективных вариантов два: либо сигнал должен уйти в эфир через полноценный радиопередатчик, либо через еще какой-то физический канал (например, электросеть). Иначе я совершенно не представляю механизм съема информации с прослушиваемого объекта.

проверка подлинности дизайна не слишком сложна для того, чтобы быть сделанной заинтересованными лицами.
раскрытие и так возможно, а что это будет означать для фаундри, даже такой, как TSMC? ИМХО, настолько резкое падение числа заказчиков, что контора будет иметь проблемы с выживанием. Фаундри живут на доверии.
если существует процент обнаружения такой закладки с вероятностью больше 0 - фаундри на это вряд ли пойдёт, бо обнаружение будет скорее всего концом карьеры всех участников процесса с её стороны и скорее всего закатом самой фаундри.
Измерителям на фабе нет дела до внутренностей, им важно соответствие снятого сигнала спецификации - работы у них много, поэтому лишний раз им вникать во что-то не хочется. Вы, конечно и измерителей можете сделать соучастниками, но как говорят "то что знают двое знает и свинья".

вы вполне легитимно можете запросить post-MDP дизайн и при помощи простейшего DRC-runset сравить его с исходным на предмет нежелательных дополнений, аналогично можно запрость MEBES-файл из маскшопа и сравнен с GDS.
Нормально и довольно обычно?
(но в случае fabless нет никакой уверенности в том, что чип изготовлени именно с тех фотошаблонов, что в файле)

можно запросить чип до корпусировки или, желательно, вскрыть случайным образом несколько готовых чипов, чтоб посмотреть на pads layer or Metal last layer, соответствуют ли они дизайну чипа - ИМХО хватит хорошего обычного микроскопа, хотя времени займёт ощутимо.
Верхний слой наверняка будет идентичен файлу -не идиоты же там сидят. Ненужное заказчику дополнение будет разведено в нижних слоях. Проблема в том, что современные чипы настолько "толсты" что в них можно сотню простейших приемников запихнуть и без послойного стравливания и сравнения с файлами проверить соответствие чипа дизайну невозможно.
за стравливанием дело не постоит - вона скока передрали чипов с Запада, я думаю, что процесс не окончательно потерян , да и задача сравнения топологии слоя с "родными" GDS куда как проще, чем "реверс инжиниринг".
на взгляд человека занимавшегося physical design несколько лет, путем малых ухищрений можно сделать так, что в чип встроить чужую логику без нарушения работы будет невозможно.
вы хозяин своему чипу или нет? Если да, то вы его выстрадали, вдоль и поперек его знаете, пластины с первыми экземплярами промерили до последней структуры, досконально его знаете. При таком раскладе Вам не составит труда найти чужую структуру на чипе, в крайнем случае поможет reverse engineering. Если вы беспокоитесь о своей безопасности, то reverse engineering должен входить в программу сертификации. Под подозрением держите все структуры, хоть отдаленно похожие на антенну, триммингованные емкости и сопротивления (это могут быть фильтры, а так же ЦАП и АЦП, етс...)

делайте MDP сами или в третьей "своей" конторе, заказывайте маски сами и передавайте заранее изготовленные маски в фаундри и ставьте своего человека там, чтоб он лично их в сканер ставил и снимал. Никаких проблем, для выгодного заказа некрупный фаб на это вполне может пойти.

Для критичных по безопасности чипов можно позаботиться об максимально плотном дизайне или же установке на "пустые" места местозанимающих схем с известными характеристиками и выводить их на PADs, чтоб при проверке чипа можно было опросить всё - нет ли подмены. Т.е. впихнуть что-то будет некуда, в redesign мало того, что может повлиять на свойства исходного чипа, но и просто затруднительно делать, да и вероятность ошибки и раскрытия факта закладки будет слишком высока.
Например в Эльбрусе и Багете пустого места нет, все занято конденсаторами.

металлический корпус изделия, внутренние экраны

перенесем все критичные для закладок порты на верхний слой. Тем более, что его чаше всего меняют.

Кучу нерпусированных чипов можно отдать "в музей", пусть потомки разбираются имели ли место там закладки.
Если вскроется подлог, а он обязательно вскроется, связке маскшоп-фаб кранты.

http://www.ecrypt.eu.org/documents/D.VAM.4-3.pdf
"в серьёзных организациях мониторы к окнам даже слегка боком не поворачивают"
http://www.cl.cam.ac.uk/~rja14/Papers/faultpap3.pdf
http://www.discretix.com/PDF/BCN_04sor.pdf

https://www.eetimes.com/document.asp?doc_id=1170773#
  контроль всей системы из надёжного чипа (Pricing for the evaluation board starts at $10000)

память в проц перенесли чтоб каконибудь паленый езернет чип не мог ее читать и писать по ДМА.

слишком много трудностей в реализации и явные пути контроля закладок для важных проектов => шанс воплощения ужастика невелик. Если же плата сделана тобой, чип сделан тобой и вся программа сделана тобой - в чип встроить закладку практически не реально. Менее реально её активировать. например если система в самолете.
если Вы внимательно смотрели все репортажи из Осетии, то там в том числе были кадры, как один из офицеров докладывал обстановку ... по обычному GSM телефону от Nokia. После этого вовсе не обязательно встраивать закладку в военный процессор Эльбрус.
Еврокомиссия запретила своим сотрудникам пользоваться телефонами BlackBerry. Решение связано с возможностью доступа спецслужб Канады и США, где находятся серверы BlackBerry, к передаваемым данным. Эксперты недоумевают, почему запрет не ввели раньше.
http://www.gazeta.ru/business/2010/08/05/3404888.shtml
в ряде стран запрещают пользоваться этими телефонами по причине обратной - слишком хороший уровень шифрования препятствует возможности взлома сообщений спецслужбами
Легче будет проплатить российского инженера какого-нибудь, чтобы невзначай добавил в исходники российского ASIC ещё один странный блок кода. Куда легче и дешевле, чем модифицировать готовые маски.
уровень защиты системы определяется самым слабым её местом. В России это вовсе не РОН военного процессора, а какой-нибудь  высокопоставленный корумпированный чиновник. Он способен на куда более качественный саботаж, чем закладка процесора. При этом стоит куда дешевле и не обнаруживается тестами.

Отредактировано Лис (2019-05-07 02:00:46)