Reading time: 4 minutes
Author:
Ilze Eichhorn is senior security architect bij Intrinsic-ID in Eindhoven. Zij heeft ruim tien jaar ervaring in het ontwikkelen van securityproducten voor diverse toepassingen en is momenteel medeverantwoordelijk voor de security-architectuur van de hardware- en softwareproducten van het bedrijf.
Bij het uitbesteden van chipproductie naar het buitenland is het lastig voor een opdrachtgever om controle te houden over zijn IP en productieomvang. Kopiƫren, vervalsen en overproductie zijn reƫle bedreigingen en hebben een grote impact op de omzet van de halfgeleider-, IP- en software-industrie. Het Eindhovense Intrinsic-ID biedt een oplossing waarbij geproduceerde exemplaren pas gebruikt kunnen worden na een door de opdrachtgever gecontroleerd activatieproces.
Vandaag de dag wordt de productie van chips en elektronische systemen om economische redenen regelmatig uitbesteed. Dat brengt echter risicoās met zich mee. Vanwege de fysieke afstand is directe controle op de productie niet vanzelfsprekend. Een (buitenlandse) producent van chips of elektronische systemen kan grotere aantallen maken dan gevraagd. De te veel geproduceerde chips of systemen worden illegaal verhandeld en tevens ontstaat de gelegenheid tot het maken van illegale kopieĆ«n.
Deze dreigingen zijn een significante en groeiende zorg binnen de elektronica-industrie. In 2011 werd een wereldwijd record van 1363 vervalsingsincidenten gerapporteerd, voor een waarde van 169 miljard dollar. De Amerikaanse overheid schat dat de geleden economische schade dat jaar boven de 250 miljard dollar uitkwam. Volgens een studie van KPMG LLP en de Alliance for Gray Market and Counterfeit Abatement is minstens tien procent van alle wereldwijd verkochte hightech producten een vervalsing.
Omdat deze illegale praktijken helaas lonen, is de vraag hoe dit te bestrijden zeer actueel. Tijdens de Date 2013-conferentie werd ācountering counterfeit attacks on micro-electronicsā dan ook bestempeld als hot topic.
Met Intrinsic-ID hebben wij onder de naam Quiddicard een product ontwikkeld om praktijken als kopiĆ«ren, vervalsing en overproductie te bestrijden. Deze oplossing is gebaseerd op physical unclonable functions (Pufs). Een Puf is een functie die de fysieke eigenschappen van de hardware omzet in een unieke elektronische āvingerafdrukā. Deze is voor ieder apparaat verschillend, zoals vingerafdrukken van mensen dat ook zijn.
De industriĆ«le implementatie van dit principe, dat we Hardware Intrinsic Security-technologie noemen, gebruikt het SRam-geheugen voor het genereren van zoān vingerafdruk. Aangezien de afdruk specifiek is voor een SRam-chip, werkt een gekopieerd toestel met een ander SRam dan ook niet correct.
Vruchteloos
Quiddicard is gebaseerd op Quiddikey, onze basisfunctionaliteit om cryptografische sleutels op te slaan in een chip. Daarvoor zijn drie dingen nodig: een meting aan het SRam, een key code en helperdata. De laatste zijn uniek voor een chip en worden tijdens de productie of ingebruikname eenmalig gegenereerd aan de hand van een meting aan het SRam. Dit proces noemen we enrollment.
Met de helperdata zijn cryptografische sleutels te programmeren. Vervolgens wordt aan de hand van dezelfde data voor elke sleutel een key code opgesteld. Helperdata noch deze code bevatten informatie over de sleutel waar kwaadwillenden iets mee kunnen. Beide worden opgeslagen op het device – eventueel gewoon in onbeveiligd geheugen.
Wanneer de sleutel nodig is, worden key code, helperdata en het juiste SRam met elkaar gecombineerd. Dit proces heet reconstructie. De chip kan de sleutel op elk benodigd moment reconstrueren en na gebruik weer uit het geheugen wissen. Kwaadwillenden zullen daardoor vruchteloos op zoek gaan naar een sleutel. En alleen met het juiste SRam is een sleutel op een chip te reconstrueren, dus het is zinloos om de helperdata of key codes naar een andere chip te kopiƫren.
Quiddicard is een uitbreiding hierop. Het idee is dat het chipontwerp pas werkt wanneer dit over de juiste sleutel(s) beschikt. Veel chips moeten vandaag de dag wel op de een of andere manier cryptografische functies vervullen, dus zonder sleutel zijn ze onbruikbaar. De ontwerper kan echter ook de software versleuteld in het device laden of een cryptografische challenge programmeren. De fabrikant heeft weliswaar twee van de drie componenten in handen om de sleutel te genereren – het SRam en de helperdata – maar de derde component – de key code – moet worden gegenereerd via een externe softwaretool. En die kan onder beheer blijven van de opdrachtgever.
Voor activatie moet een extern apparaat – een smartcard, beveiligde pc of hardware security module – de key code genereren. De software op het externe apparaat kan dus exact bijhouden hoeveel legitieme, werkende chips er in omloop zijn. Activatie is op elke gewenste plaats en elk tijdstip tijdens of na de productie uit te voeren. Extra chips of systemen die niet worden geactiveerd, zijn onbruikbaar.
Dit biedt een waterdichte bescherming tegen overproductie. Bovendien is de chip ook meteen voorzien van bescherming tegen klonen. Met dit mechanisme neemt de IP-eigenaar dus de touwtjes weer in handen en wordt het uitbesteden van productie opnieuw een betrouwbare en kostenbesparende oplossing.
