21.07.2025 09:01
alizar 0 2400 Источник
AMD Radeon RX540
AMD Radeon RX540

Перед тем, как использовать неизвестный чип, желательно сначала посмотреть, что у него внутри. Так считает хакер Эндрю «Банни» Хуанг, который разработал технику IRIS (Infra-Red, In Situ) для инфракрасного сканирования микросхем.

Дело в том, что кремний прозрачен для ИК-излучения с длиной волны более 1100 нм. Этот эффект можно использовать, применив стандартную цифровую камеру, микроскоп и ИК-фильтры.

Аппаратные закладки

Как известно, аппаратные закладки можно внедрить на нескольких этапах производственного цикла. Самыми опасными считаются этапы проектирования, производства и корпусировки.

Потенциальная атака производится в три этапа:

  1. Внедрение.

  2. Триггер.

  3. Исполнение.

Триггер на активацию эксплоита может быть внешний или внутренний. В первом случае он срабатывает на основании данных, поступающих извне. Например, от антенны, сенсора и др. Внутренний триггер может быть по таймеру, времени, дате, на основании вычислений или по выполнению неких условий. В конце концов, триггер может быть включён изначально (если бэкдор постоянно находится в активном состоянии).

В качестве защиты от закладок специалисты предлагают производить реверс-инжиниринг микросхем, анализировать их функциональность.

В 2022 году вышло наиболее полное исследование, которое суммирует существующие практические данные по реальному обнаружению аппаратных троянов, сводя их к трём методам:

  1. Временны́е диаграммы (waveform tests).

  2. Тесты на задержку прохождения сигнала (delay tests);

  3. Проверки на пустоты «заполненной» матрицы.

Кроме вышеуказанных методов, давно осуществляются попытки анализа микросхем под микроскопом с дальнейшим сравнением изображений по структурному сходству (SSIM).

Методы сканирования микросхем

Популярный метод изучения чипов — сканирующая электронная микроскопия. Техника позволяет получать высокодетализированные изображения самых современных транзисторов нанометровых размеров:

Но это разрушительный метод: он исследует только поверхность материала. Для получения изображения транзисторов необходимо удалить верхние слои металла путём травления или полировки. Таким образом, эта техника не подходит для инспекции с сохранением работоспособности чипа.

Если нужно просветить внутренности микросхемсы, не разрушая её, можно использовать рентгеновское излучение, как на этом изображении чипа MTK6260DA.

Микросхема MTK6260DA
Микросхема MTK6260DA

К сожалению, кремний почти прозрачен для обычного рентгена. Можно определить размер кристалла и положение соединительных проводов, но ничего не узнаешь о расположении транзисторов.

Существует ещё птихографическая рентгеновская компьютерная томография, которая использует рентгеновские лучи высокой энергии, чтобы неразрушающим образом установить структуру транзисторов. В оригинальной научной работе техника называется PXCT (ptychographic X-ray computed tomography).

Принципы PXCT
Принципы PXCT

Вот примеры высококачественных 3D-изображениий процессора Intel, созданных с помощью этой техники:

А так выглядит установочно-сбросный триггер (set-reset latch), функциональный блок внутри ASIC-детектора:

PXCT позволяет смоделировать детальную 3D-структуру даже самой современной многослойной микросхемы:

3D-визуализация томограммы с идентифицированными элементами. Жёлтый треугольник в левом верхнем углу указывает на производственный дефект в титановом слое. Красный треугольник показывает изменения в толщине алюминиевого слоя
3D-визуализация томограммы с идентифицированными элементами. Жёлтый треугольник в левом верхнем углу указывает на производственный дефект в титановом слое. Красный треугольник показывает изменения в толщине алюминиевого слоя

Вот как выглядела подготовка к съёмке микросхемы ASIC (a−d) и процессора Intel (у−а), из которых взяли образцы размером в несколько микрометров.

На последнем кадре показана область процессора Intel, откуда вырезали образец.

Возможно, это самые качественные 3D-изображения микросхем, которые можно получить современными инструментами без послойного травления/разрушения.

Можно исследовать чипы и с помощью обычного оптического настольного микроскопа, но они обычно поставляются в непрозрачном корпусе. К счастью, в последнее время микроэлектронная промышленность освоила новый тип корпусировки WLCSP или Wafer Level Chip Scale Package — это технология упаковки интегральных схем, при которой корпус формируется на уровне пластины, что позволяет получить готовый корпус размером с сам кристалл. Вот как выглядит такой чип под оптическим микроскопом:

Техника IRIS. Инфракрасное сканирование

Техника IRIS от Эндрю Хуанга основана на двух фактах. Во-первых, кремний в диапазоне от 1000 до 1100 нм постепенно становится прозрачным для инфракрасного излучения (ИК).

Во-вторых, цифровую камеру можно модифицировать для ИК-съёмки, эффективно фотографируя «сквозь» чипы, если грамотно подобрать длину волны (1050 +/- 30 нм) и мощность излучения (более длительное время экспозиции порядка нескольких секунд).

Эндрю Хуанг использовал эти идеи для инспекции чипов WLCSP. Он говорит, что идею ему подкинул хакер Дмитрий Недоспадов, с которым они встретились на конференции ССС, она описана научной статье 2018 года и встречается в работах некоторых фотохудожников, как AMD Radeon RX540 на КДПВ.

Банни просветил корпус ИК-светом с длиной волны 1070 нм через заднюю сторону корпуса, фотографируя отражения от нижних слоёв металла с помощью цифровой камеры. Метод работает даже на готовых микросхемах, которые продаются на рынке. Разрешение фотографий ограничено микронными масштабами. Например, так выглядит материнская плата iPhone:

Если увеличить и сфокусировать изображение, то можно получить ИК-кадры более высокого разрешения:

Структура микросхемы Broadcom BCM5976, драйвера ёмкостного сенсорного экрана в старых моделях iPhone: справа вверху и справа с краю — каналы преобразователей данных, внизу — несколько массивов флэш-памяти и ОЗУ. В левой части и в центре — логические ячейки. Диагональные артефакты остались после обработки пластины
Структура микросхемы Broadcom BCM5976, драйвера ёмкостного сенсорного экрана в старых моделях iPhone: справа вверху и справа с краю — каналы преобразователей данных, внизу — несколько массивов флэш-памяти и ОЗУ. В левой части и в центре — логические ячейки. Диагональные артефакты остались после обработки пластины

Ниже показан фрагмент в розовом прямоугольнике, фото оригинального разрешения.

Изображение всего чипа 2360×2009 пикселей, а его физическая ширина 3,9 мм, то есть на каждый пиксель приходится примерно 1,67 микрона.

Вот демонстрация техники на материнской плате другого iPhone:

Предыдущие опыты Эндрю Хуанга выявили несколько фактов. Например, сканирование SD-карт показало, что внутри одинаковых корпусов находятся совершенно разные микросхемы:

Инфракрасная съёмка раскрывает внутреннюю структуру микросхем, причём неразрушающим способом. Однако эта техника проверяет только чипы с открытой задней стороной, как в корпусах WLCSP и FCBGA. Она также не показывает самые мелкие детали микросхемы, как PXCB.

IRIS помогает изучать микросхемы, но она остаётся бессильной против самых продвинутых аппаратных закладок, которые внедряются на уровне транзиcторов.

Их не определишь на глаз даже с помощью сканирующего электронного микроскопа или PXCB. Тут нужно использовать специальные методы защиты на этапе проектирования, включая блокировку логики, встроенные самотестирующиеся сканирования (BIST), отпечатки задержки и методы самоподтверждения; подробнее см. в книге «Аутентификация интегральных схем» Мохаммада Техранипура.

Можно разработать механизм самопроверки микросхемы с вычислением контрольной суммы. Тогда для внесения аппаратной закладки потребуется добавление большого количества логических контуров, что станет уже заметно на ИК-съёмке. По подсчётам Хуанга, в этом сценарии дополнительная логика изменит несколько квадратных микрон площади чипа и существенно изменит схему рассеяния инфракрасного света в области модификации. В этом случае IRIS станет полезной техникой для определения бэкдоров.

Презентация IRIS состоялась на хакерской конференции CCC 2024 (pdf, 71 слайд), научная статья опубликована на arXiv.

Будущее микроэлектроники. Нанолисты 2 нм, круговой затвор

Самостоятельное сканирование и анализ микросхем становится всё сложнее по мере того, как в них уменьшаются размеры компонентов. Например, самая продвинутая в мире микроэлектронная фабрика TSMC сейчас осваивает технологический процесс 2 нм (N2). Основное производство запланировано со второй половины 2025 года на новых тайваньских заводах Fab 20 в научном парке Синьчжу и Fab 22 в Гаосюне.

TSMC Fab 20
TSMC Fab 20

Процесс N2 включает в себя передовую технологию нанолистовых транзисторов (nanosheet transistors), суперэффективные конденсаторы металл-диэлектрик-металл (MiM) и круговые затворы gate-all-around (GAA).

На иллюстрациях показана эволюция транзисторов от их изобретения в 1959 году до FinFET (2011 года) — и нынешнего поколения нанолистовых транзисторов с круговыми затворами GAA, которые целиком окружают канал:

Производство нанолистов требует инноваций нескольких технологий, в том числе новых химических компонентов и продвинутой точности осаждения материалов до атомов:

Схематичное изображение техпроцесса по производству нанолистовых транзисторов
Схематичное изображение техпроцесса по производству нанолистовых транзисторов

Перевод транзисторных каналов в горизонтальную плоскость в виде тонких нанолистов сразу улучшает плотность микросхем, так как каналы располагаются друг над другом. Теперь их можно масштабировать практически бесконечно, от этого занимаемое транзистором место не увеличивается. В частности, переход TSMC от выпуска 3-нм FinFET транзисторов к нанолистовым 2-нм увеличивает плотность размещения транзисторов на 15%.

От перехода на нанолисты особенно выиграет SRAM. Так, при апгрейде с 4 на 3 нм плотность ячеек памяти выросла всего на 6%, а при переходе с 3 на 2 нм техпроцесс плотность увеличится на 11%.

На сегодняшний день TSMC N2 является самым передовым техпроцессом в полупроводниковой промышленности как по плотности, так и по энергоэффективности. Близко к этому уровню приблизилась компания Intel, которая в декабре 2024 года продемонстрировала экспериментальный прототип транзисторов RibbonFET CMOS с длиной затвора 6 нм. Основные инновации включают уменьшение транзисторов и межсоединений, передовую упаковку и новые материалы.

Транзистор с длиной затвора 6 нм. Изображение: Intel
Транзистор с длиной затвора 6 нм. Изображение: Intel

Цифра «2 нм» в названии техпроцесса ничего не говорит о физических размерах транзисторов. Размер самих транзисторов и каналов измеряются десятками нанометров. До этого рубежа, который поставила Intel, индустрия будет идти не одну пятилетку.

Триллион транзисторов на чипе

Intel считает, что эти инженерные достижения обеспечат прогресс полупроводниковых технологий на ближайшие десятилетия. Поставлена цель по выпуску микросхем с 1 триллионов транзисторов к 2030 году.

Архитектура нанолистов считается последним рубежом транзисторной архитектуры, которая останется актуальной надолго. Даже будущие «комплементарные FET» (CFET) в середине 2030-х годов будут построены из нанолистов, считают эксперты.

Несмотря на мнение скептиков о физических ограничениях на размер элементов, закон Мура сохраняет свою актуальность. Экспоненциальный рост количества транзисторов на чипе нам обеспечен на многие годы вперёд. А это означает экспоненциальный рост производительности (или энергоэффективности) микросхем.

Конечно, чем более продвинутые технологии производства электроники, тем сложнее в них разобраться. Самые детальные фотографии современных экспериментальных образцов по техпроцессу 2 нм делаются с помощью сканирующего электронного микроскопа, как фотографии транзистора в вышеупомянутом экспериментальном чипе RibbonFET CMOS от Intel.

RibbonFET CMOS
RibbonFET CMOS

На этой иллюстрации можно увидеть ещё несколько кадров, детальнее см. оригинал 4004×995 пикселей.

К сожалению, в промышленности ещё не начали повсеместно использовать передовые методы сканирования микросхем вроде PXCT. Хотя научная статья с описанием техники опубликована в 2017 году, но для неё требуется мощнейший источник излучения. Например, в этом эксперименте использовали синхротрон Swiss Light Source (SLS):

Swiss Light Source (SLS)
Swiss Light Source (SLS)

Такое удовольствие пока доступно только некоторым учёным.

Если же технику PXCT адаптируют для промышленности, мы сможем в деталях рассмотреть, как выглядят те самые нанолисты и круговые затворы типа GAA. Судя по комментариям экспертов, в индустрии они будут использоваться ещё несколько десятилетий.

Что касается IRIS, автор работает над её совершенствованием. Он разработал инструмент для сшивания изображений и автоматизированную платформу сканирования на базе Jubilee c цифровым управлением углом падающего света. Дело в том, что микроскопические элементы на чипе (размером меньше длины волны) взаимодействуют с падающим светом как голограмма, поэтому изменяя угол освещения можно получить больше информации о структуре схемы, даже если они меньше предела дифракции.

Даже если мы не получим 100% гарантии отсутствия закладок, 100 МБ картинок с внутренностями чипа дают гораздо больше информации, чем 64 байт текста на корпусе. Так что можно узнать о микросхеме больше, чем говорит производитель. Тем более если он нагло врёт.

© 2025 ООО «МТ ФИНАНС»

Комментарии (0)