Исследователи из Массачусетского технологического института разработали новую технологию производства, которая позволяет двум чипам иметь общий уникальный «отпечаток», что дает возможность одному чипу напрямую аутентифицировать другой без необходимости хранить секретные ключи на стороннем сервере, что устраняет риски для безопасности.
Несмотря на то, что все КМОП-чипы должны быть идентичными, каждый из них немного отличается из-за неизбежных микроскопических вариаций при производстве. Эти случайные отклонения придают каждому чипу уникальный идентификатор, так называемую физическую неклонируемую функцию (physical unclonable function, PUF), которую практически невозможно воспроизвести. PUF-чип можно использовать для обеспечения безопасности так же, как систему идентификации по отпечатку пальца на ноутбуке или дверной панели.
Для аутентификации сервер отправляет запрос на устройство, которое в ответ предоставляет секретный ключ, основанный на его уникальной физической структуре. Если ключ совпадает с ожидаемым значением, сервер подтверждает подлинность устройства. Однако данные аутентификации PUF необходимо зарегистрировать и сохранить на сервере для последующего доступа, что создает потенциальную уязвимость в системе безопасности. Но если будет не нужно хранить информацию об этих уникальных случайных числах, то PUF становится еще более безопасным.
Исследователи Массачусетского технологического института хотели добиться этого, создав согласованную пару PUF на двух чипах. Один чип мог бы напрямую аутентифицировать другой без необходимости хранить данные PUF на сторонних серверах. В качестве аналогии представьте лист бумаги, разорванный пополам. Разорванные края случайны и уникальны, но у этих фрагментов есть общая случайность, потому что они идеально соединяются по разорванному краю. Хотя КМОП-чипы не рвут пополам, как бумагу, многие из них изготавливаются на одной кремниевой пластине, которую разрезают на отдельные чипы. Внедрив общую случайность на границе двух микросхем до того, как их разделят, исследователи смогли создать уникальную для этих двух микросхем PUF.
Чтобы создать двойной PUF, исследователи изменили свойства набора транзисторов, расположенных по краям двух микросхем, с помощью процесса, называемого пробоем оксидного слоя затвора.
По сути, они подали высокое напряжение на пару транзисторов, подсвечивая их недорогим светодиодом до тех пор, пока не выйдет из строя первый транзистор. Из-за незначительных производственных отклонений время выхода из строя у каждого транзистора немного разное. Исследователи могут использовать это уникальное состояние выхода из строя в качестве основы для PUF. Чтобы создать сдвоенный PUF, исследователи из Массачусетского технологического института изготовили две пары транзисторов на краю двух микросхем, прежде чем разделить их. Соединив транзисторы металлическими слоями, они создали парные структуры с коррелированными состояниями пробоя. Таким образом, каждая пара транзисторов стала частью уникального PUF.
После того как с помощью светодиодного излучения был создан PUF, чипы были разрезаны таким образом, чтобы на каждом устройстве была одна пара, то есть у каждой отдельной микросхемы был общий PUF.
«В нашем случае пробой транзистора не был достаточно хорошо смоделирован во многих симуляциях, поэтому мы не были до конца уверены в том, как будет работать этот процесс. Новизна нашей работы заключается в том, что мы выяснили все этапы и порядок их выполнения для создания общей случайности», — объяснили исследователи.
Отладив процесс генерации PUF, исследователи разработали прототип пары идентичных чипов PUF, в которых случайность совпадала с надежностью более 98 %. Это обеспечивало стабильное совпадение сгенерированных ключей PUF, что позволяло проводить безопасную аутентификацию.
Поскольку они создали этот двойной PUF с помощью схемотехнических методов и недорогих светодиодов, этот процесс будет проще масштабировать, чем другие методы, которые сложнее или несовместимы со стандартной технологией производства КМОП-структур.