Synthèse optimisée multi-objectifs pour améliorer la sécurité – MOOSIC

Pour cela nous devons tout d'abord établir des propriétés de sécurité pour se garantir contre les CTMs et ensuite proposer des métriques permettant une évaluation des différentes parties du SoC en accord avec ces propriétés et finalement intégrer graduellement des contre-mesures dans les parties sensibles. Les propriétés de sécurité peuvent être de 2 sortes :
- spécifiques à la fonctionalité
- générique pour les architectures flot de données
Une fois ces proriétés établies, nous devons les prendre en compt dans le flot de conception et proposer des contre-mesures matérielles efficaces. Malheureusement, prendre en compte la sécurité peut avoir un impat important sur les performances du SoC. Il est donc nécessaire de trouver un bon compromis entre le niveau de sécurité souhaité et les performances. Pour cela, des méthodes déjà proposées dans le contexte de la fiabilité des SoCs peuvent être utiles. Elles sonssistent à ajouter de la redondance dans les parties sensibles du SoCs puis de le synthétiser en utilisant les critères standards (fréquence, surface, consommation) et si les performances ne sont pas satisfaites, on réitère le processus en changeant l'architecture. Cette approche est très coûteuse en terme de temps de conception car elle requiert en général de nombreuses itérations pour arriver à une solution acceptale. Avoir une méthodologie automatique et optimisée permettra de réduire considérablement le temps de conception.

Les efforts se sont tournés vers les techniques de logic locking, particulièrement vers des contre-mesures aux attaques dites SAT (basées sur des SAT solveurs) pour trouver la valeur de la clé secrète pilotant le locking. Il a été proposé une contre-mesure basée sur la protection des chaînes de scan. En effet, les attaques dites SAT ne peuvent fonctionner que sur des circuits combinatoires. Pour les circuits séquentiels, un accès aux chaînes de scan est indispensable. Empêcher un attaquant d’écrire dans/lire les chaînes de scan empêche le bon déroulement de l’attaque.
On s'est concentré sur le problème de l’insertion optimisée de logic locking, en proposant une formulation mathématique non linéaire, puis linéarisé pour utiliser un solveur afin de le résoudre de façon exacte. On a proposé une heuristique afin de le résoudre sur des instances plus grandes. Les résultats obtenus sur les instances ISCAS-85 sont encourageants.
Les travaux réalisés sont en cours d’intégration dans le flot de conception Coriolis. Ainsi, à partir d’une netlist, on construit le graphe correspondant utilisé pour l’optimisation. On récupère la solution obtenue afin d’insérer les portes clés. Ainsi, les méthodes de résolution proposées sont intégrées au flot de conception.
On a préparé une plateforme de test d’un processeur PicoRV32 implémenté sur une carte DE1 SoC. Cette plateforme sera utilisée pour tester et valider la méthode de conception. Différents CTMs sont conçus et implémentés dans cette plateforme de test pour la validation des contre-mesures.
De plus, on a travaillé sur une méthode de détection des CTMs utilisant les ondes électromagnétiques émises par le système en fonctionnement, combinant des algorithmes de machine learning. Les résultats obtenus ont une performance de détection proche de 100% avec un taux de faux positifs de moins de 3%. Cette méthode peut être associée avec la méthode de prévention afin de proposer une contre mesure complète du pré-silicon au post-silicon.

On travaille actuellement sur une deuxième contre-mesure, basée celle-ci sur l’insertion de portes logiques novatrices. Le but de cette approche est de proposer un bon compromis entre résilience contre les attaques SAT et corruption apportée, contrairement aux méthodes proposées dans la littérature.
Pour la partie optimisation, de nombreux aspects méritent d’être plus approfondis : tester sur d’autres jeux d’instances plus complexes, comparer les performances de rapidité entre le solveur utilisé GUROBI et son majeur concurrent CPLEX. Enfin L’exploration de nouvelles heuristiques mérite également d’être approfondie. Il est également envisagé de travailler sur l'optimisation de la protection des chaînes de scan.

1. « Placement optimisé d'opérateurs arithmétiques », Mario Flores Gómez, Lilia Zaourar and Roselyne Chotin, ROADEF 2020
2. “Logic Locking: A Survey of Proposed Methods and Evaluation Metrics”, Sophie Dupuis, Marie-Lise Flottes, J. Electron. Test. 35(3): 273-291 (2019)
3. “A Secure Scan Controller for Protecting Logic Locking”, Quang-Linh Nguyen, Emanuele Valea, Marie-Lise Flottes, Sophie Dupuis, Bruno Rouzeyre, IOLTS 2020
2. “Machine Learning based Hardware Trojan Detection using Electromagnetic Emanation”, Junko Takahashi, Keiichi Okabe, Hiroki Itoh, Ngo Xuan Thuy, Sylvain Guilley, Ritu Ranjan Shrivastwa, Mushir Ahmed, Patrick Lejoly, 22nd International Conference on Information and Communications Security (ICICS 20), August 24-27, Copenhagen, Denmark.
4. “Design-for-Hardware-Trust”, Quang-Linh Nguyen, Sophie Dupuis, Marie-Lise Flottes, Bruno Rouzeyre, GDR SoC2 2019
5. Normalisation : Secure-IC contribue à la spécification «Hardware Monitoring« développée dans le cadre de l’ISO/IEC JTC1/SC27/WG3.contribue à la SP «Hardware Monitoring« développée dans le cadre de l’ISO/IEC JTC1/SC27/WG3

Les Chevaux de Troie Matériels (CTM) sont des blocs malveillants insérés dans un système sur puce (SoC) par des tiers non dignes de confiance lors de la conception/fabrication des circuits intégrés (CI). Ils sont une menace réaliste pour la sécurité automobile et militaire. Les CTMs modifient le comportement des SoCs induisant un déni de service, une fiabilité réduite ou des fuites d'informations confidentielles. Ces attaques conduisent à une perte de plusieurs milliards de dollars par an pour l'industrie des semi-conducteurs.
Des contre-mesures existent pour détecter ou prévenir les CTMs. Dix années de recherche ont montré que, vu la nature furtive de la menace et les différents types de CTMs, détecter est très difficile. Prévenir consiste à modifier le flot de conception pour y intégrer la sécurité. Malgré son coût important, c’est un moyen de lutte plus efficace. Ainsi, des méthodes de conception visant la confiance du matériel (Design-for-Hardware-Trust DfHT) ont vu le jour avec différents objectifs et impacts sur les performances.
Le projet MOOSIC vise un cadre méthodologique dédié à la sécurité pouvant être intégré dans le flot de conception des CIs. L'objectif est de tenir compte, dès le début de la conception, à la fois des contre-mesures et des performances pour assurer que le SoC est fonctionnel malgré des vendeurs d’IP ou des fondeurs non fiables. Pour atteindre cet objectif le projet envisage d'établir et d'évaluer des propriétés de sécurité puis de les intégrer au flot de conception avec des techniques d'optimisation multi-objectifs. Ceci repose sur une modélisation mathématique du problème intégrant à la fois les performances et les effets des CTMs permettant ainsi de trouver un bon compromis entre le niveau de sécurité recherché et la performance. Ainsi le SoC permettra de lutter contre la cybercriminalité sans coût supplémentaire significatif. Cette méthodologie sera validée sur des cas d'utilisation industriels.
Le projet sera mené par 2 laboratoires de recherche spécialisés en informatique et en conception de SoC (LIRMM et LIP6), un institut public (CEA) dédié aux recherches technologiques et la "société de sécurité" (Secure-IC). Il sera divisé en 4 lots scientifiques :
1. Évaluation de l'architecture en termes de sécurité et proposition de solutions matérielles pour l'améliorer (LIRMM)
2. Proposition d'une modélisation mathématique complète du problème (basée sur la théorie des graphes ou la programmation mathématique) qui supporte toutes les contraintes et objectifs (sécurité, surface, fréquence, consommation) ainsi que des stratégies de résolution optimales pour l'insertion automatique de contre-mesures (CEA)
3. Proposition d'une méthodologie intégrant le modèle et les solutions proposées (LIP6)
4. Validation sur des cas d'utilisation de l'industrie (Secure-IC)
La cybersécurité est un enjeu majeur de la confiance en l'Internet des Objets. Sachant que d'ici 2020, il y aura plus de 25 milliards d'objets connectés dans le monde représentant un revenu de plus de 4 milliards de dollars, se rendre compte à l’utilisation qu'un objet connecté contient un CTM, entraînerait un coût énorme mais porterait également atteinte à la viabilité de secteurs d'activité entiers. Cette menace est due à une course au bas coût où les concepteurs ne contrôlent plus toutes les étapes du flot de conception/fabrication et s'appuient sur des tiers (éventuellement non fiables). Tenir compte du problème au début de la conception, et ainsi assurer une confiance dans le matériel, aura un impact économique significatif.
Dans ce projet, nous proposons d’intégrer à la fois les aspects de sécurité et aussi les contraintes habituelles (délai, consommation) dès la conception, ce qui représente une grande avancée scientifique. Pour le moment, la sécurité est généralement traitée indépendamment des autres.
Ceci est parfaitement relayé par le DEFI 9 «Liberté et sécurité de l'Europe, de ses citoyens et de ses résidents» du Plan d'Action ANR 2018.