Статья Side-channel атаки на чиплеты: новая физическая поверхность атаки в 2.5D/3D системах

В работе «Spying Across Chiplets: Side-Channel Attacks in 2.5/3D Integrated Systems» экспериментально показано: RF-чиплет, встроенный в гетерогенную 2.5D-упаковку, захватывает электромагнитный сигнал, коррелированный с криптографической активностью соседнего вычислительного die - без единого физического пробника на поверхности корпуса. Для тех, кто работает с EM-пробниками и осциллографами Teledyne над монолитными SoC, этот результат переворачивает привычную модель: атакующий больше не обязан иметь физический доступ к корпусу - он может быть внутри самой упаковки. В русскоязычном пространстве тема кросс-чиплетных side-channel атак не описана нигде - все материалы ограничиваются классикой: атаки на смарт-карты и монолитные криптопроцессоры. Здесь разбираем физику утечки через substrate coupling и TSV, формализуем модель угроз для гетерогенных чиплетных систем и описываем практический workflow корреляционного анализа трасс.

Физика утечек в чиплетных архитектурах: чем 2.5D/3D отличается от монолита​

Классический side-channel анализ монолитного SoC опирается на внешнее наблюдение: EM-пробник над корпусом, токовый шунт в линии питания, тепловизор на крышке. Атакующий всегда снаружи. Переход к 2.5D и 3D упаковкам меняет физическую картину - и, как следствие, поверхность side-channel атаки.

Substrate coupling и паразитные пути через интерпозер​

В 2.5D-архитектуре несколько die сидят горизонтально на общем кремниевом или органическом интерпозере. Электрические соединения между чиплетами идут через redistribution layer (RDL) интерпозера и, в случае кремниевого субстрата, через сквозные кремниевые переходники (TSV). Ключевой момент: кремниевый интерпозер - не инертная подложка. Это полупроводниковая среда с конечным сопротивлением и паразитными ёмкостями между проводниками, между проводниками и подложкой, между TSV-столбами.

Когда вычислительный die выполняет криптографическую операцию - скажем, раунд AES - токи потребления создают падение напряжения на паразитных элементах PDN (power delivery network). Колебания распространяются по общей подложке интерпозера и наводят напряжения на проводниках соседнего die. Физически это substrate coupling - тот самый механизм, который инженеры по signal integrity десятилетиями пытаются задавить ради целостности сигналов. Только теперь он работает на атакующего.

В 3D-стеках картина ещё интереснее. Die укладываются вертикально и соединяются through-silicon via (TSV) напрямую - медные столбы диаметром 5–10 мкм, пронизывающие кремний. TSV-массивы работают как связанные индуктивные и ёмкостные элементы: изменение тока в TSV одного слоя индуцирует ток в соседних TSV через взаимную индуктивность. При расстояниях между слоями порядка 50 мкм (thickness thinned die) паразитная ёмкостная связь между TSV достигает единиц фемтофарад - на частотах сотен мегагерц этого хватает для наблюдаемого coupling.

Отдельная история - HBM (High Bandwidth Memory) стеки, подключаемые к вычислительному die через интерпозер. Тысячи параллельных data lanes между GPU/ASIC и HBM-стеком создают значительную совокупную паразитную ёмкость к подложке. Каждое переключение бита на шине - токовый импульс, оставляющий электромагнитный след в substrate. Этот след доступен любому die, имеющему физический контакт с тем же интерпозером.

UCIe, die-to-die interconnect и RF-каналы как уязвимая поверхность​

Стандарт UCIe (Universal Chiplet Interconnect Express) определяет протокол die-to-die коммуникации для гетерогенных чиплетных систем. С точки зрения безопасности UCIe принципиально отличается от монолитного on-die interconnect: данные физически покидают один кристалл, проходят через внешнюю среду (интерпозер, bridge, RDL) и попадают на другой кристалл. Этот путь - observable attack surface. Сигналы на die-to-die interconnect имеют значительно бо́льшую амплитуду, чем внутренние on-chip сигналы, и проходят через среду с менее контролируемыми паразитными параметрами.

Ещё интереснее - тренд на беспроводные inter-chiplet коммуникации. Как отмечают авторы «Spying Across Chiplets», ряд исследовательских групп изучают интеграцию антенн и трансиверов внутри многочиплетных систем для снижения ограничений проводной разводки. Антенна или RFID-подобный элемент на communication-ориентированном чиплете предназначен для легитимной связи - но он же идеальный приёмник электромагнитных эманаций от соседнего die. Расстояние между die в одной упаковке измеряется сотнями микрон - на порядки ближе, чем может расположить пробник исследователь снаружи корпуса.

Итог: гетерогенная интеграция микросхем создаёт три класса физических каналов утечки, которых нет в монолитных SoC:

1. Substrate coupling - через общую подложку интерпозера (ёмкостная и резистивная связь).
2. TSV coupling - через взаимную индуктивность и ёмкость вертикальных переходников в 3D-стеках.
3. RF/EM coupling - через ближнее электромагнитное поле при наличии антенного элемента на одном из чиплетов.

Модель угроз: вредоносный чиплет как внутренний сенсор​

Принципиальная новизна кросс-чиплетных side-channel атак - в adversary model. Классика предполагает внешнего атакующего с физическим доступом к устройству. Здесь атакующий - один из чиплетов в составе гетерогенной системы.

Системная модель и допущения​

Согласно модели из «Spying Across Chiplets», рассматривается система-в-упаковке (SiP), содержащая несколько чиплетов от разных производителей. Один чиплет - «жертва» - выполняет криптографические операции с секретным ключом. Другой - «наблюдатель» - содержит антенну, RFID-подобный элемент или иную бесконтактную coupling-структуру, изначально предназначенную для связи с внешней средой.

Критическое допущение: наблюдатель-чиплет может быть скомпрометирован на этапе проектирования, производства или через supply-chain атаку. В реальности чиплетные системы собираются из компонентов кучи вендоров - вычислительный die от одного производителя, память от другого, I/O-чиплет от третьего, RF-модуль от четвёртого. Доверительная модель supply chain здесь значительно сложнее, чем для монолитного SoC от одного фаба.

Что атакующий НЕ имеет:

• Прямого электрического контакта с жертвой (no probing).
• Явного сигнального канала к жертве (no explicit communication).
• Возможности влиять на выполнение кода жертвы (passive attack).

Что атакующий ИМЕЕТ:

• Физическую близость к жертве (сотни микрон в одной упаковке).
• Антенный элемент или coupling-структуру на своём die.
• Возможность оцифровки и записи принятого сигнала.
• Знание или предположение о криптографическом алгоритме жертвы.

Это неагрессивная пассивная атака - самый опасный класс, потому что её практически невозможно детектировать. Жертва работает штатно, никаких аномалий в поведении системы нет.

Маппинг на MITRE ATT&CK и hardware security frameworks​

Сценарий компрометации чиплета через supply chain напрямую маппится на Compromise Hardware Supply Chain (T1195.003, Initial Access) - злоумышленник внедряет вредоносную функциональность в аппаратный компонент на этапе производства или сборки. Интеграция скомпрометированного чиплета в целевую систему соответствует Hardware Additions (T1200, Initial Access) - физическое добавление аппаратного компонента для обеспечения доступа.

Предварительный сбор информации о целевой архитектуре - конфигурация чиплетов, типы die, расположение в упаковке - ложится на Hardware (T1592.001, Reconnaissance). Модификация firmware коммуникационного чиплета для активации режима EM-наблюдения семантически ближе всего к Component Firmware (T1542.002, Persistence/Defense Evasion), но scope этой техники в ATT&CK ограничен Pre-OS Boot firmware периферийных устройств. Для inter-die hardware implant внутри SiP точного соответствия в ATT&CK сейчас не существует.

Со стороны NIST CSF v2.0 ситуация обнажает фундаментальный пробел: подкатегория ID.AM-01 (Asset Management) требует инвентаризации аппаратных компонентов, но не определяет механизмы верификации функциональности каждого чиплета внутри упаковки. Организация может записать SiP-модуль как единый asset, не подозревая, что один из чиплетов внутри содержит недокументированную функциональность. PR.AA-01 определяет управление идентификацией для hardware, но не уточняет уровень гранулярности - die-level или package-level.

Электромагнитные cross-chiplet атаки: RF-чиплет как наблюдательная платформа​

Центральный результат «Spying Across Chiplets» - демонстрация принципа: коммуникационный чиплет с антенным элементом можно перепрофилировать из средства связи во внутренний EM-сенсор для наблюдения за активностью соседнего die.

Принцип атаки через RF-интерфейс​

Атака основана на электромагнитной связи (EM coupling) между чиплетами через общую физическую среду - подложку интерпозера, воздушный зазор между die, паразитные элементы packaging. Вычислительный die при работе генерирует переменное электромагнитное поле. Это поле - следствие переключения транзисторов и протекания токов через металлизацию - несёт информацию о выполняемых операциях.

RF-чиплет, расположенный рядом, принимает это поле через свою антенную структуру. Принятый сигнал оцифровывается встроенным ADC и записывается. Принципиальное отличие от классической EM side-channel атаки: пробник находится не снаружи корпуса, а внутри упаковки, на расстоянии сотен микрон от жертвы. SNR при этом значительно лучше, чем при внешнем зондировании: (а) расстояние минимально; (б) сигнал не проходит через корпус и lid; (в) внешние электромагнитные помехи ослаблены экранирующим эффектом самой упаковки.

Концептуально это расширение результатов, полученных для FPGA-платформ. Zhao и Suh (IEEE S&P 2018) показали, что power side-channel атаки возможны удалённо в пределах одного FPGA - злоумышленник, реализованный в одном регионе программируемой логики, может вытянуть утечку от жертвы в другом регионе через TDC-сенсоры в общей логике. Schellenberg с коллегами (DATE 2018, HOST 2018) продемонстрировал кросс-чиповые утечки через общую PDN на уровне печатной платы - один чип на плате может наблюдать активность другого через shared power distribution, без явного сигнального обмена. «Spying Across Chiplets» делает следующий шаг - переносит парадигму внутрь единой упаковки, где физическая близость максимальна.

Экспериментальная валидация: от внешнего тока к кросс-чиплетной связи​

Авторы применили трёхэтапный подход.

Этап 1: Baseline через внешнее наблюдение тока. Стандартная процедура - измерение потребляемого тока через резистивный шунт в линии питания жертвы. Подтверждает наличие data-зависимых вариаций тока при выполнении криптографического алгоритма. Это baseline для сравнения с результатами кросс-чиплетного захвата.

Этап 2: Электрическое моделирование межчиплетной EM-связи. SPICE-симуляция паразитных ёмкостей и индуктивностей между металлизацией жертвы и антенной структурой наблюдателя через substrate интерпозера. Результаты подтверждают: при расстояниях, характерных для 2.5D-упаковки, coupling-коэффициент достаточен для переноса информационного сигнала с амплитудой выше шумового порога ADC наблюдателя.

Этап 3: Анализ оцифрованного сигнала. Захваченный через RF-интерфейс сигнал подвергается корреляционному анализу. Сигнал от коммуникационного чиплета содержит компоненты, коррелированные с активностью жертвы - это ключевой результат, подтверждающий feasibility межчиплетной side-channel атаки.

Подчеркну ограничение: полноценное извлечение криптографического ключа (key recovery) не продемонстрировано. Показана корреляция между захваченным сигналом и вычислительной активностью жертвы - необходимое условие для атаки, но не финальная эксплуатация. Для key recovery потребуется значительно больший объём трасс и адаптация методов CPA/CEMA к специфическому профилю шума межчиплетного канала.

Тепловые side-channel в 3D-IC стеках​

Электромагнитная связь - не единственный физический канал между чиплетами. Тепловые side-channel атаки (TSCA) - отдельный класс угроз для плотно интегрированных 3D-структур.

Механизм тепловой утечки в вертикально интегрированных структурах​

В обзоре «Thermal Side-Channel Threats in Densely Integrated Microarchitectures» (PMC) систематизированы механизмы тепловых утечек в 3D-IC. Физика простая: каждая логическая операция рассеивает энергию в виде тепла. В монолитном SoC тепло уходит вертикально через die, lid и радиатор. В 3D-стеке верхние слои die оказываются «заперты» - теплоотвод ограничен, тепловые градиенты между слоями выражены значительно сильнее.

TSV-массивы, обеспечивающие электрическое соединение между слоями, одновременно - эффективные тепловые проводники. Медь в TSV имеет теплопроводность ~400 Вт/(м·К), на два порядка выше, чем у кремниевого диоксида. Тепловой сигнал от вычислительного die эффективно транспортируется через TSV к соседним слоям. Атакующий die в смежном слое 3D-стека может содержать встроенные температурные сенсоры (ring oscillator, диод с прямым смещением) и отслеживать тепловые вариации от криптографической активности жертвы.

Цепочка эксплуатации теплового side-channel​

Согласно обзору в PMC, end-to-end exploitation chain TSCA выглядит так:

1. Observation - непрерывный мониторинг температуры через встроенный сенсор. В 3D-стеке расстояние между сенсором и source hotspot - десятки микрон (толщина thinned die).
2. Signal conditioning - фильтрация низкочастотного теплового сигнала от фонового дрейфа. Тепловая постоянная времени кремния (~ms) ограничивает временное разрешение - быстрые криптографические операции «размываются». Но при достаточном количестве измерений статистика компенсирует низкое разрешение.
3. Correlation - DPA-подобные методы применяются к тепловым трассам. Промежуточные значения криптографического алгоритма коррелируются с наблюдаемой температурой.
4. Key recovery - извлечение секретного ключа по результатам корреляционного анализа.

Тепловой side-channel медленнее электромагнитного - постоянная времени теплового отклика на три-четыре порядка больше EM-отклика. Зато тепло невозможно экранировать metal shielding, как EM-излучение. Тепловой поток через TSV - фундаментальное физическое следствие архитектуры, от которого нельзя избавиться без потери функциональности соединений. Тут не поможет никакой guard ring.

Практика захвата и анализа межчиплетных трасс: инструментарий исследователя​

Для воспроизведения и изучения кросс-чиплетных side-channel на лабораторном стенде нужен специализированный setup. Ниже - workflow для исследования EM-утечек в 2.5D-платформах.

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Принцип: для каждого из 256 возможных значений ключевого байта вычисляется модельное потребление (Hamming weight выхода S-box), затем считается корреляция Пирсона между моделью и реальными трассами. Максимум корреляции указывает на правильное значение ключевого байта.

Для межчиплетных трасс с низким SNR критично:

• Увеличение объёма трасс (от 10k для прямого probe до 100k–1M для substrate coupling).
• Агрессивная полосовая фильтрация - убрать низкочастотный дрейф питания и высокочастотные шумы, не связанные с target-операцией.
• Alignment трасс по trigger-маркеру - jitter между trigger и началом операции надо минимизировать или компенсировать ресэмплингом.

# Полосовая фильтрация для выделения информативной полосы
from scipy.signal import butter, sosfilt

def bandpass(traces, fs=2.5e9, low=50e6, high=500e6):
    sos = butter(4, [low, high], btype='band', fs=fs, output='sos')
    return np.array([sosfilt(sos, t) for t in traces])
# Применяем к массиву трасс перед CPA
filtered = bandpass(traces)

Выбор полосы пропускания (50–500 МГц в примере) определяется экспериментально: нижняя граница отсекает тепловой дрейф и сетевые наводки (50 Гц + гармоники), верхняя - шум ADC и нерелевантные высокочастотные компоненты. Для конкретной целевой платформы полосу подбирают по спектрограмме - ищут пики на частотах, коррелированных с тактовой частотой жертвы. Тут без осциллографа с FFT-функцией не обойтись.

Контрмеры на архитектурном и packaging уровнях​

Авторы «Spying Across Chiplets» обозначают два уровня контрмер: архитектурный и физический (packaging).

Физическая изоляция в packaging. Размещение metal shielding между чиплетами на уровне интерпозера - медный экран в RDL-слоях или guard ring из TSV вокруг чувствительного die. Это снижает EM coupling, но не убивает его: substrate coupling через полупроводник интерпозера обходит металлические экраны. Полная изоляция потребовала бы разделительного диэлектрического барьера в substrate - а это конфликтует с необходимостью общей PDN.

Изоляция PDN. Раздельные домены питания для чиплетов с индивидуальными регуляторами напряжения. Убирает утечку через общую PDN, но не через EM-поле и substrate. Плюс каждый дополнительный VRM на интерпозере занимает ценную area и добавляет стоимость.

Маскирование и шумогенерация. По аналогии с защитой смарт-карт - добавление случайного шума в потребление или рандомизация порядка операций. Применимо на уровне RTL каждого чиплета, но требует от разработчика осведомлённости о межчиплетных утечках ещё на этапе проектирования. Большинство публично доступных IP-блоков не содержат мер против кросс-чиплетных side-channel утечек - об этом просто никто не думал.

Верификация чиплетов. NIST CSF подкатегория ID.AM-01 требует инвентаризации hardware. Для чиплетных систем это значит: каждый die в упаковке должен быть аутентифицирован, а его функциональность - верифицирована. На практике hardware root of trust на уровне отдельного чиплета (а не пакета) - открытая исследовательская проблема. PUF-based authentication между die, runtime attestation через die-to-die interconnect - всё это пока прототипы.

Ограничения контрмер. Все перечисленные защиты работают в модели, где проектировщик всего пакета контролирует все компоненты и знает об угрозе. В реальном чиплетном зоопарке - с десятками вендоров, IP от третьих сторон и давлением на стоимость - координация защитных мер между всеми участниками цепочки поставок крайне затруднена. UCIe-консорциум в текущей спецификации определяет протокол коммуникации и integrity checking для данных на die-to-die линках, но side-channel isolation между чиплетами на физическом уровне не адресует вообще.

Современные confidential computing архитектуры - AMD SEV-SNP, Intel TDX - строят модель доверия на уровне физического CPU-пакета: всё внутри сокета считается доверенным. В мире чиплетных процессоров, где EPYC Turin содержит до 16 CCD (Core Complex Die), соединённых с IOD через organic substrate (не silicon interposer), это допущение нуждается в пересмотре. Если один из die скомпрометирован через supply chain, вся модель confidential computing рушится - trusted execution environment оказывается уязвима к side-channel атаке от физически соседнего, но логически изолированного чиплета.

Индустрия пока не предложила стандартизированного решения. Отдельные группы работают над концепцией «Resister» - архитектурой интерпозера со встроенными механизмами обнаружения и подавления межчиплетных side-channel утечек. Разрыв между академическими прототипами и промышленным внедрением - годы.

Три года назад модель угроз для side-channel атак на процессоры была двумерной: атакующий снаружи, жертва внутри корпуса. Чиплетные архитектуры добавили третье измерение - атакующий может быть внутри упаковки, на расстоянии микрон от жертвы, с прямым доступом к shared substrate. UCIe-консорциум и крупнейшие фабы (TSMC, Intel, Samsung) вкладывают миллиарды в 2.5D/3D packaging, но security-спецификации для inter-chiplet isolation отстают от производственных возможностей минимум на поколение. Корень - в экономике: side-channel isolation добавляет площадь, стоимость и сложность, а индустрия оптимизирует под PPA (power-performance-area). Пока не случится публичный инцидент уровня Spectre/Meltdown, но для chiplet supply chain - мотивация к системным изменениям будет недостаточной.

Моя оценка: в горизонте двух-трёх лет мы увидим первые PoC-демонстрации полного key recovery через кросс-чиплетный канал, и тогда confidential computing моделям придётся двигать trust boundary с уровня пакета до уровня отдельного die. Формула на бумаге убедительна, но настоящее понимание substrate coupling приходит после пары сотен осциллограмм, снятых с реального де-лидированного экземпляра, - если хочется потрогать аналитическую сторону задачи, на HackerLab.pro в категории crypto есть задачи на корреляционный анализ, которые дают хорошую базу для понимания CPA-workflow, прежде чем переходить к hardware-стенду.