Sulautettua turvaa raudalla

Tietoja

Moni sulautettu laite on suojattu ohjelmistopohjaisella ratkaisulla. Usein parempi tapa olisi toteuttaa samaa laitteistolla. Vaikkapa FPGA-piirillä, kuten Intelin Ryan Kenny kertoo artikkelissaan.

Artikkelin on kirjoittanut Intelin Programmable Solutions Groupin Ryan Kenny. Hän aloitti uransa suunnittelijana Lockheed Martinilla vuonna 2000. Vuonna 2007 Ryan siirtyi FPGA-valmistaja Alteran palvelukseen markkinointipäälliköksi. Yrityskaupan jälkeen joulukuussa 2015 Ryan on työskennellyt Intelin ohjelmoitavien piiriein divisioonan teknisessä markkinoinnissa. 

Lukuisat julkaisut ja artikkelit kertovat meille päivittäin, että tietoturva on internetin kasvun ja informaatiotalouden seuraavan sukupolven uusin haaste. Olemme myös tietoisia nousevista uhkista ja hyökkäyksistä, jotka yksinkertaisesti ohittavat tämän hetken tietoturvatuotteet. Mutta mitä voimme tehdä tämän korjaamiseksi? Ja mikä tärkeämpää, vaatiiko se merkittävää paradigman muutosta siinä, miten kehitämme tietoturvaratkaisuja? Kuten Albert Einstein on sanonut: ”Se ajattelu, joka on johtanut ongelmaan ei voi tuottaa ratkaisua.”

Ilmoittaessaan McAfee Corporationin ostamisesta Intelin silloinen pääjohtaja Paul Otellini sanoi vuonna 2010 kuuluisasti, että ”tietoturvasta on tullut tietotekniikan kolmas pilari”. Mikä tärkeämpää, tietoturvasta tulee osana liiketoimintaa patisi tekninen myös poliittinen ja taloudellinen kysymys. Ponemon Institute mittaa joka vuosi tämän kybermurtautumisen kustannuksia liiketoiminnalle ja yhtä verkkotunkeutumista kohti kustannukset on arvoitu 3,8 miljoonaksi dollariksi. Globaalille taloudelle aiheutuu vuosittain jopa 450 miljardin dollarin menetykset.

Käyttämällä palomuureja ja testaushiekkalaatikkoja esimerkkeinä verkon turvallisuusratkaisuista huomataan, että valtaosa ratkaisuista on ohjelmistopohjaisia ja hyödyntävät virtuaalikoneita ja -ympäristöjä. Syitä tähän ovat ketteryys, siirrettävyys/liikuteltavuus, sekä taloudelliset kysymykset (ohjelmistopohjaisiin tuotteisiin tarvitaan tyypillisesti hyvin vähän alkupääomaa). Tärkeintä on tietenkin kyky päivittää ja paikata tuotteita, kun uusia haavoittuvuuksia ja uhkatekijöitä löydetään. Yksi nousevista trendeistä on uudelleenkonfiguroitavan laitteiston kuten FPGA-pirien käyttö. Nämä piirit tuovat merkittäviä etuja verkon turvallisuussovelluksiin (mitä kuvataan kahdessa seuraavassa osiossa) ja lsäksi ne tarjoava saman päivitettävyyden ja ketteryyden kuin ohjelmistot FPGA-järjestelmäpiirien muodossa, uusina suunnittelumalleina kuten OpenCL ja virtualisointitukena sekä ARM A9- että ARM A53-prosessoripohjaisissa alijärjestelmissä.

Kaistanleveys ja uudelleenkonfiguroitavan laitteiston nopeus ovat myös merkittävä tietoturvaetu. Laitteisto voi antaa verkon monitoroida kaikkea aktiivisuutta. Prosessoriin ja ohjelmistoon perustuva ratkaisu voi monitoroida liikennettä vain osittain kunnes rinnakkaisesta mallista tulee liian rasittava (ks. kuva 1).

Kuva 1. Murtautumisen havaitseminen

Oikein suunniteltuna, kun FPGA-bittitiedostot autentikoidaan laitteistolla, FPGA-piirejä ei voi muuttaa huomaamatta. Piiristöön kajoaminen ja sen estävien toimintojen muuttaminen edellyttää fyysistä pääsyä laitteeseen. Tämä mahdollistetaan autentikoidun osittaisen uudelleen konfiguroinnin sekä OpenCL- ja korkean tason synteesiohjelmointimallien avulla, jotka kuvaillaan jatkossa. Lisäksi avaintoiminto, jota ohjelmistopohjainen turvallisuusratkaisu ei mahdollista, on vikasietotoiminta. Mikäli suojatussa tuotteessa on looginen tai fyysinen virhe (komponentin pettäminen, teholähdepiikki, tunnistamattamia virheitä, jne.) tuote ajetaan vikatilaan. Tämä varmistaa, ettei tuote jatka toimintaa viallisessa tai puutteellisessa tilassa.

Myöskään FPGA-pohjaisia verkkolaitteita ei voi muuttaa verkkoliitännän yli (ns. etuovihyökkäys). Jos suunnittelua yritetään muuttaa, joko kajoamisen estävä (anti-tamper) mekanismi tai vikasietotila tunnistaa tämän ja sammuttaa laitteen.

FPGA-piireihin sisäänrakennetut turvatoiminnot tarjoavat merkittäviä etuja järjestelmissä, joissa luottamus perustuu rautaan. Näihin kuuluvat suojattu avainten tallennus, hämäännyttäminen (obfuscation) ja anti-tamper -tekniikat, sekä väärennösten estäminen ja asymmetriset salaustoiminnot kuten PUF (Physically Unclonable Function) ja erilliset elliptisiin käyriin perustuvat salauskiihdyttimet (accelerators). Kaikkea tätä auttaa ARM:n Trustzone-toiminnallisuus, joka on käytettävissä ARM A9- ja A53-prosessoriin pohjautuvissa järjestelmissä.

Yksi verkkoturvallisuussovelluksissa käytettävän ohjelmoitavan logiikan tutkimusalueista on räätälöidyt RISC-prosessorit (Reduced Instruction Set Computing) tarkkaan määritellyille verkon turvatoiminnoille, jotka toteutetaan FPGA-piireillä. Erityisesti pitää mainita Cambridgen yliopistossa kehitetty CHERI (Capability Hardware Enhanced RISC Instructions), jossa käytetään räätälöityjä muistinhallintayksiköitä (MMU, Memory Management Units) ja muistiliitäntöjä korjaamaan yleisiä ja tiedettyjä puutteita C-pohjaisissa ohjelmointikielissä. Tämän avulla ohjelmoitavaan logiikkaan perustuviin turvatuotteisiin voidaan valita uhkaympäristöön tai hyökkäystapaan räätälöityjä ”softaprosessoreita”.

Monet prosessorivalmistajat kuten Intel ja Freescale ovat ollee tmukana määrittelemässä TPM-moduulia (Trusted Platform Module) esimerkkinä laitetason suojauksesta parantaakseen käyttöjärjestelmän ja sovellusten tietoturvaa tietotekniikassa. Intel on lisäksi kheittänyt omaa TXT-tekniikkaanssa (Trusted Execution Technology), joka on osa heidän moderneja CPU-arkkitehtuureita.

ARM-tuotteet eivät luontaisesti tarjoa laitetason tietoturvaratkaisuja vaikka jotkut ARM-ekosysteemiin kuuluvat yritykset tarjoavat kehyksiä, joissa laitetason suojauksia voidaan hyödyntää.

NIST eli National Institute of Standards and Technology on yksi monista ryhmittymistä, jotka haluavat siirtää luottamuksen lähteen (root of trust) ohjelmistosta firmware-ohjelmistoon, käynnistysohjelmistoon ja laitteistoon mobiililaitteissa ja IoT-teknologioissa. Heidän ja monien muiden dokumentaatiossa lähdetään liikkeelle siitä, että ohjelmistopohjainen tietoturva on ongelmallista, firmware on parempaa, mutta prosessointilaitteistoon sisäänrakennettu suojaus on ihanteellinen.

Ohjelmoitavan logiikan komponentit tuovat mahdollisuuden integroida erilaisia laitetason suojauksia, kuten metallointiavaimia (metal keys) ja sulakeavaimia tukineen, sekä autentikoitua ohjelmoitavaan logiikkaan VHDL-kielellä toteutettua turvaa. Tällöin suojaus on myös ohjelmoitavissa ja päivitettävissä autentikoitujen päivitysmekanismien kautta.

Tietoturvatuotteet ovat perusluonteeltaan reaktiivisia. Tämä viittaa prosessiin, ossa uhkia identifioidaan, luokitellaan, niistä viestitetään, testataan päivityksiä ja korjauksia, ja lopulta ajetaan uhkamäärityksiä ja päivityksiä laitteisiin. Suurin murros tietoturva-ajattelussa tämän hetken tutkimuksessa on kyky ennakoida uhkia ja mallintaa hyökkääjien käyttäytymistä, jotta voidaan ennakoida uusia hyökkäysvektoreita. Nämä suurteholaskennan mahdollistamat muutokset saavat merkittävästi lisätehoa ohjelmoitavasta laitteistosta.

Yksi tekniikka hahmojen, kuvien ja puheen tunnistamiseen on konvoluutioneuroverkkojen (CNN, convolutional neural networks) mobiili käyttö. Tämän prosessointimenetelmän käyttöä on tutkittu ja demonstroitu grafiikkaprosessoreilla ja FPGA-piireillä useissa akateemisissa ja teollisuuden tutkimuslaboratorioissa. Ne ohjelmoidaan OpenCL:llä ja koodielementit kovakoodataan FPGA-piirin kiihdytyslohkoihin. Tekniikkaa voidaan hyödyntää myös uhkien havaitsemiseen ja haavoittuvuuksien arviointiin. Katso kuvaa 2 esimerkkinä FPGA-pohjaisesta pakettienkäsittelijästä.

Kuva 2. Pakettien käsittelijä

Mooren lain jatkumisen edellyttämän massiivisen rinnakkaisen ohjelmointimallin toteutusta on lähestytty kolmella eri tavalla viimeisen vuosikymmenen aikana: moniydinprosessoreilla ja ohjelmointimalleilla, virtuaalikoneiden hallinnalla ja rinnakkaisilla säikeillä sekä uudelleenkonfiguroitavalla logiikalla ja FPGA-piireillä. Tässä keskitymme vain viimeksi mainittuun.

FPGA-laitteisto on ainoa näistä kolmesta toteutustavasta, joka mahdollistaa tietoturvedut suhteessa julkistettuihin koodin haavoittuvuuksiin ja laitetason suojaukseen. Stratix 10 -piirin massiivinen ohjelmoitavan logiikan lisäys – ja pian markkinoille tuleva tiukasti integroitu Intel-prosessorien ja FPGA-toiminnallisuuksien yhdistelmä – tuo tämän kyvykkyyden tietoturvajärjestelmien kehittäjien käyttöön.

Heterogeeniset laskentamallit, kuten yllä kuvatut konvoluutioneuroverkot tai tiukasti liitetyt FPGA-mikroprosessorit vaativat, että heterogeenisesta ohjelmoinnista tulee käytännöllistä. Muutama nimekäs yritys tarjoaa nyt perinteisten verkko- ja kotitietoturvan elementtejä, joihin sisältyy virustentorjunta, palomuurit ja IDS/IPS. Vakiintuneet tuotteet, tukisopimukset, koodikannat ja koodattu uhkien mallintaminen muodostavat työkalupakin, jolla IT-ammattilaiset yrittävät rakentaa yritystason tietoturvaa, mutta ne voivat myös toimia esteenä innovaatioille, jotka veisivät kohti rekonfiguroitavaa laitteistoa ja massiivisesti rinnakkaista uhkien havaitsemista ja ennustamista.

Tämä ”keksijän dilemma” on myös myös mahdollisuus tietoturva-alan uusille pelureille, niin suurille kuin pienille. Ne voivat tarjota muista erottuvia tietoturvatuotteita, jotka perustuvat FPGA-piireihin ja niitä tukeviin heterogeenisiin laskentamalleihin.

FOREVER # Till ECF-sajten
ALWAYS # congatec

ETNtv

Watch ECF videos

 

TECHNICAL ARTICLES

TekoÀlyn avulla robotteja voidaan ohjata puheella

ETN - Technical article

Generatiivisen tekoälyn vallankumous, joka tuo chatbotit asiakaspalveluun ja mahdollistaa älykaiuttimien kaltaiset laitteet, on vasta alkua. Sama teknologia, joka ymmärtää ihmisten puhetta, siirtyy nyt robotiikkaan, missä se auttaa kehittämään algoritmeja robottien liikkeiden ohjaamiseen ja politiikkojen toteuttamiseen tärkeiden tehtävien suorittamiseksi.

Lue lisÀÀ...

OPINION

SOM-ratkaisut ovat lÀÀketieteellisen elektroniikan luotettava tulevaisuus

Lääketieteellinen elektroniikka on yksi nopeimmin kasvavista teollisuudenaloista. Väestön ikääntyminen, erityisesti länsimaissa, ja terveydenhuollon teknologioiden jatkuva kehitys pitävät yllä kovaa kysyntää ja ohjaavat alan tutkimus- ja tuotekehitystä, kirjoittaa Digi Internationalin OEM-ratkaisuista Euroopassa vastaava johtaja Ronald Singh.

Lue lisÀÀ...

LATEST NEWS

NEW PRODUCTS

 

NEWSFLASH

 SPONSORS

 

Etteplan supports customers cross industries in digitalizing their business from requirement specifications to solution development and implementation. With over 30 years of experience, Etteplan has the needed expertise to develop a wide range of industrial applications, from large established companies to start-ups. We deliver complete turn-key solutions containing cross-discipline know-how.

 

CN Rood offers technical solutions in the field of testing and measurement. We aim to remain leaders in that regard. Our customers are often not looking for a product, but for a solution, and we all have the drive to work on that solution. What we love to do most is to continually work on the latest developments in the field of testing and measuring equipment. Now and in the future.

 


EBV Elektronik was founded in 1969 and is one of the leading specialists in European semiconductor distribution. This success is based on the underlying company philosophy, which was developed a long time ago and which still applies today: operational excellence, flexibility, reliability and execution – with the goal of achieving the highest degree of customer satisfaction.

 

Tria is a world leader in the design and manufacture of embedded computing for OEMs. We offer a broad range of off-the-shelf modules to fully customized systems built for our customers. With a global footprint and deep in-house expertise, we support innovators from design to delivery.

congatec is a rapidly growing technology company focusing on embedded and edge computing products and services. The high-performance computer modules are used in a wide range of applications and devices in industrial automation, medical technology, robotics, telecommunications and many other verticals.

 

Mespek was founded in 1989. Our main products are embedded electronic modules, industrial PCs with peripherals, KVM and server management products, as well as wireless solutions for IoT applications.

 

Since 1985, Digi International Inc. (Digi) has been a pioneer in wireless communication, forging the future for connected devices and responding to the needs of the people and enterprises that use them.

 

CVG Convergens is an ICT services company specialized in embedded systems, smart connected products and ICT systems and processes for SME businesses. Our mission is to help our clients, our team, and the society to improve and thrive by providing reliable and sustainable solutions, services, and products by creative and efficient application of technology.

 

BCC Solutions Oy is a Finnish company that, in addition to expert services, offers comprehensive equipment solutions for data transfer and telecommunication networks, as well as their analysis, testing and measurement. We broadly represent the industry's leading brands.

 

Acal BFi has trusted expertise in advanced electronics for 50 years. If you’re in search of a trusted technology solutions partner, your search ends here. Our extensive knowledge, cutting-edge portfolio, and worldwide capabilities are at your service to bring the future into reality.

 



© Elektroniikkalehti


ECF template