Cep telefonuyla konuştuysanız, internette gezindiyseniz veya 4K TV’de bir program izlediyseniz, sahada programlanabilir kapı dizilerinden (FPGA’lar) yararlandınız. FPGA’ların iş başındaki diğer örnekleri arasında, sonuçları hızlı bir şekilde döndüren Google arama algoritmaları ve bir hız tümseği ile yoldaki enkaz arasında ayrım yapan kendi kendine giden arabalar sayılabilir. Büyük miktarda veriyi işlemek için yapılan bu entegre devreler, sürücüsüz arabalar, havacılık, yüksek performanslı bilgi işlem, tıbbi sistemler ve yapay zeka/makine öğrenimi gibi geleceğin teknolojileri için önemli olacaktır. Veri işleme uçtan çekirdeğe geçtikçe, FPGA’lara yönelik performans ve güvenlik talepleri genişledi.
Bu cihazlar, ilk yarı iletken üretim süreci tamamlandıktan sonra yapılandırılmak üzere tasarlanmıştır. FPGA’lar, önemli iş yüklerini hızlandırmak ve tasarım mühendislerinin ortaya çıkan standartlara veya değişen gereksinimlere uyum sağlamasını sağlamak için özelleştirilebilir. Bir dizi programlanabilir mantık bloğunun yanı sıra belirli işlevleri işlemek için blokların birbirine bağlanmasına izin veren yeniden yapılandırılabilir ara bağlantıların hiyerarşisini içerirler.
FPGA’ların çok yönlü, özelleştirilebilir ve güçlü olması amaçlanmıştır, ancak bu iki ucu keskin bir kılıç olabilir. Bit akışları düşük seviyeli işlevselliğe erişebildiğinden, eğer bir düşman çipi başarıyla hackleyebilirse, daha sonra erişim için arka kapılar kurabilir, FPGA’nın çalışma şeklini değiştirebilir veya sistemi fiziksel olarak sabote edebilir. Bunun vahşi doğada bir örneği, Xilinx 7 serisi cihazları etkileyen 2020 Starbleed güvenlik açığısaldırganların kendi kötü amaçlı kodlarını savunmasız cihazlara yüklemelerine izin verdi.
FPGA’lar geniş çaplı saldırıların olağan hedefi olmasa da, günümüzün tehdit ortamı hızla değişiyor ve bu cihazların çok yönlü olmasını ve platform benzerlerine eşdeğer güvenlik sunmasını gerektiriyor. FPGA’ların havacılık, tıp veya endüstriyel alanlardaki fiziksel sistemlerin bir parçası olabileceği göz önüne alındığında, herhangi bir güvenlik açığı potansiyel olarak ciddi olabilir. Saldırı altındaki bir bit akışı, potansiyel olarak implante edilmiş arka kapılara ve cihaza bağlı olarak sistemde, kullanıcılarda veya altyapıda fiziksel hasara yol açabilecek beklenmeyen işlevselliklere yol açabilir.
FPGA Donanımı Nasıl Güvenli Olur?
Neyse ki, günümüzün FPGA’ları, bit akışı şifreleme, çok faktörlü kimlik doğrulama, platform doğrulama ve anahtar depolama gibi iyi bilinen endüstri güvenlik özelliklerini içeriyor. Burada daha az bilinen üç özelliğe odaklanıyorum: yan kanal saldırı koruması, kurcalamaya karşı koruma ve klonlamaya karşı koruma.
- Yan kanal saldırı koruması: Geleneksel yan kanal saldırıları, bir sistemin işlevselliğini gözlemleyerek sırları sızdıran pasif saldırılardır. FPGA’lar, yan kanal sızıntısını ve saldırı yüzeylerini sınırlamak için çeşitli yöntemler kullanır. Örneğin, belirli özellikler, müdahaleci olmayan saldırılar altında önemli ve gizli verileri koruyabilir.
- Kurcalamaya karşı koruma teknolojisi: Donanımdan yararlanma genellikle fiziksel bir saldırı gerektirir. İdeal olarak, FPGA bir saldırıyı algılayabilmeli ve bir şekilde kendini koruyabilmelidir – örneğin, hassas anahtarları sıfırlayarak. Kurcalamaya karşı koruma teknolojisi, voltaj, sıcaklık ve dahili saatler gibi sistem özelliklerini izler. Bu ölçümler, sistemin potansiyel olarak tehlikeye girip girmediğini veya beklenmeyen bir şekilde çalışıp çalışmadığını belirlemek için kullanılabilir. Olası bir kurcalama olayı algılandığında, sistem, cihazı sıfırlayarak, belirli özellikleri devre dışı bırakarak veya hassas kriptografik varlıkları temizleyerek olaya yanıt verebilir.
- Fiziksel olarak klonlanamayan işlevler (PUF’ler): PUF’ler, tasarımcıların cihaz kimlik doğrulaması ve anahtar sarma için kullanabilecekleri, cihaza özgü, klonlanamayan bir anahtar oluşturur. Anahtar koruma ve anahtar materyali oluşturma veya cihaz tanımlama amaçları için yapılandırma işlemi sırasında kullanılır. PUF teknolojisi geleneksel olarak benzersiz, klonlanamayan bir SRAM başlatma modeline dayanır. Özel donanım entropi kaynaklarına dayanır, ancak daha uzun ömürlü karakterizasyon faaliyetlerinden kaynaklanan değişiklikleri ve düzeltmeleri ele almak için yazılımla güncellenebilir bir algoritmik bileşene de sahiptir. PUF teknolojisi, daha fazla karakterizasyon verisi elde edildikçe algoritmik ayarlama ve optimizasyon için ürün yazılımı tabanlı bir metodoloji sağlar.
PUF’lerin amacı, doğal cihaz proses varyasyonlarından benzersiz silikon parmak izlerini çıkarmaktır. Bu varyasyonların çoğaltılması veya klonlanması zordur. Üretici bile onları çoğaltamaz. Ancak fiziksel düzeyde çok tutarlı ve benzersiz bir davranış sergilerler. Bu benzersiz silikon parmak izleri daha sonra çiplerin kriptografik kök anahtarını oluşturmak için entropi kaynağı olarak kullanılır.
Bu özellikler mevcut olduğunda, genellikle FPGA çözümlerinde yerleşik olarak bulunurlar. Ancak çoğu üretici yazılımı ve donanım güvenlik özelliğinde olduğu gibi, kurumsal güvenlik ekiplerinin beklenen korumaları sağlayabilmeleri için özelliklerin hem etkinleştirildiğinden hem de doğru şekilde yapılandırıldığından emin olmaları gerekir.
Gelişmiş Donanım Gelişmiş Koruma Gerektirir
FPGA’larda gelişmiş güvenlik sağlama yeteneği, bu cihazlar giderek daha hassas uygulamalarda kullanıldığından çok önemlidir. Örneğin, buluttaki veri merkezleri ve hızla gelişen arama ile yeni bulut tabanlı mimariler ve değişen iş yükleri, esnek, ölçeklenebilir uygulamalar geliştirmek için FPGA’lardan yararlanıyor. Ancak müşterilerden ve dahili veri kümelerinden gelen hem özel hem de genel bulut verilerinin yetkisiz erişime ve değişikliğe karşı korunması gerekir. Yan kanal saldırı koruması, kurcalamaya karşı koruma ve klonlamaya karşı koruma gibi özellikler, FPGA’ların donanım zorlamalı izolasyon, kimlik yönetimi ve hızlandırılmış kimlik doğrulama sağlamasına yardımcı olur.
Donanım ve bellenim, güvenlik araştırmacıları ve akademisyenlerinden, yığının daha yüksek seviyelerinin aldığı aynı dikkat ve inceleme düzeyini gerektirir. Bu, çeşitli endüstri sektörlerinde son teknolojiyi geliştirmeye devam eden FPGA cihazları için geçerlidir.