Protecţia proprietăţii intelectuale generează noi proiecte în electronică

22 MAI 2009

Elemente de bază
Costul unui modul sau sistem electronic nu mai depinde în ziua de azi de preţul componentelor electronice (de partea materială) decât într-o măsură mai mică.
Proprietatea intelectuală (IP) din acest modul constituită din: noutatea aplicaţiei, metodele şi algoritmii folosiţi, softul implementat pentru a le realiza pe acestea, structura hardware-ului etc., devine în tot mai multe aplicaţii partea valoroasă a modulului. Cu alte cuvinte proprietatea intelectuală devine elementul de bază al economiei moderne şi totodată aceasta trebuie protejată intens de piraterie, plagiat sau atacuri din afara sistemului.
Atât metodele de comunicaţie moderne: RF (comunicaţie radio), Comunicaţie prin Satelit, Comunicaţie pe Cablu, Comunicaţie optică, ş.a. cât şi Internetul au creat şi înlesnit calea de acces către proprietatea intelectuală făcând-o pe aceasta extrem de vulnerabilă. Faptul că un produs final aduce profit numai dacă acesta este vândut şi distribuit la câţi mai mulţi utilizatori duce implicit la răspândirea lui şi în mâinile duşmanului sau a răufăcătorilor. Protecţia proprietăţii intelectuale din produse devine o problemă majoră de rezolvarea căreia depinde beneficiul şi bunăstarea firmelor şi ţărilor respective.

Metode de atac asupra IP în electronică
Proprietatea intelectuală în electronică constă în proiectul de hardware (adică din structura unui modul/sistem electronic constituit din componente elctronice şi interconectarea dintre ele) şi din programele memorate în acest modul/sistem. Cu ajutorul acestor programe modulul/sistemul electronic îşi execută funcţia aplicativă. Datorită faptului că modulele/sistemele electronice s-au standardizat cu timpul în ceea ce priveşte structura lor, proiectul de hardware nu mai reprezintă nimic nou şi este folosit de majoritatea inginerilor de proiectare ca un bun intelectual mai mult sau mai puţin comun fără a mai reprezenta ceva nou demn de atacuri din partea concurenţei. Proprietatea intelectuală, ideea cea nouă, care deosebeşte produsul cel nou de celelalte mai vechi constă din algoritmul aplicativ programat în memoria modulului/sistemului. Deci atacul asupra proprietăţii intelectuale vizează în special memoria de program a modulului/sistemului. Metodele de atac asupra memoriei modulelor electronice sunt următoarele:
– atacul fizic
– ascultarea în secret
– generare de eroare fatală
– atac la adresa softului
Atacul fizic constă în mare în corodarea carcasei circuitului integrat în care se află memoria de program şi citirea directă a conţinutului memoriei după refacerea siguranţelor de protecţie la citire prin expunere la raze UV(ultra violete).
Ascultarea în secret se referă la transformarea câmpurilor electromagnetice emise de un monitor, de un microfon (în cazul telefoanelor mobile de exemplu) sau de un microcontroler în semnale citibile, înregistrând algoritmii folosiţi sau pur şi simplu informaţiile transmise.
Generarea de eroare fatală este o metodă distructivă de atac prin care se scoate modulul/sistemul din funcţie prin introducerea unui virus sau a unei supratensiuni distructive.
Atacul la adresa softului foloseşte una din interfeţele de comunicare ale modulului/sistemului pentru a penetra în interiorul său evitând barierele de protecţie şi manipulând apoi algoritmii aplicaţiei.
Ultimile trei metode sunt mult mai uşor de aplicat decât atacul fizic, iar atacul asupra softului poate rămâne chiar mult timp neobservat.
Atacatorul poate citi şi copia conţinutul memoriei fără a fi observat sau poate manipula algoritmii programaţi în interesul său.

Metode generale de protecţie a IP
Aplicaţiile, metodele şi algoritmii se pot proteja prin patente. Plagiatul unui patent este deseori greu de dovedit, în special atunci când patentul a fost uşor modificat şi patentat într-o nouă formă. De asemenea, trebuie ţinut cont de faptul că softul unei aplicaţii nu poate fi patentat. El trebuie însă protejat deoarece conţine o investiţie considerabilă şi deseori o pondere mare în structura de preţ a produsului.
Un patent nu poate să evite atât folosirea unei idei patentate, uşor modificate cât şi accesul la IP-ul altora cu posibilitatea de a genera erori fatale sau chiar autodistrugerea sistemului. O altă metodă de protecţie a IP sau/şi de control al accesului care este folosită de mai mult timp este metoda “password”-ului sau a “pin”-ului, o cheie alfanumerică. Această metodă are dezavantajul că password/pin-ul poate fi descifrat de un alt computer care încearcă toate variantele posibile ale acestei chei alfanumerice într-un timp limitat. Este cunoscut faptul că hackeri din diferite ţări, inclusiv România, au accesat date secrete ale unor bănci internaţionale sau ale Pentagonului. Ba chiar unii hackeri, folosind atacuri la adresa softului unor bănci au manipulat acest soft în aşa fel încât au transferat sume importante de bani din contul altora pe contul lor. Metoda password/pin-ului este şi o metodă scumpă deoarece fiecare password/pin uitat provoacă costuri considerabile în sistem.
Din considerentele de mai sus metodele moderne de protecţie se bazează atât pe un proces de identificare şi autentificare cât şi în final pe controlul şi limitarea accesului la date şi algoritmi. Aceste sisteme sunt mai complexe, dar şi mai eficiente decât cele de până acum.
Motivele pentru care în perioada următoare se vor proiecta noi sisteme de protecţie se referă la:

– efectuarea de tranzacţii la valori mari şi foarte mari în condiţii de siguranţă şi controlul accesului la date importante sau/şi secrete;
– respectarea unor norme internaţionale ca SOX, HIPAA, FFIEC etc. a căror listă se tot extinde;
– apărarea de atacuri frauduloase;
– reducerea costurilor din cauza dezavantajelor folosirii sistemului actual de password/pin-uri;
– atragerea de noi clienţi şi consumatori pe baza siguranţei tranzacţiilor şi a comunicaţiei la distanţă.

Metodele şi aparatele moderne care oferă o protecţie mult mai ridicată a IP şi un control mult mai eficient al accesului sunt:

1 Token-ul USB
Este un aparat de mărimea unui “stick” de memorie care odată conectat pe interfaţa USB la sistem autentifică dreptul de acces la softul şi datele sistemului. Are avantajul de a fi uşor şi portabil în acelaşi timp, de a putea fi folosit în multe aplicaţii de securizare. Dezavantajul acestuia este că cere instalarea unui soft corespunzător în sistem.

2 Smart Cardul
Are forma unui card de credit şi conţine un microcontroler care face operaţii criptografice. Pe lângă operaţiile de verificare şi autentificare acesta activează şi diferiţi algorimti criptografici, adică de codare/decodare complexă a datelor. Smart Cardul posedă o memorie sigură care poate conţine atât date secrete ale clientului cât şi coduri de acces ale acestuia. Unele tipuri se pot adapta sistemului şi codifica informaţiile schimbate cu acesta după cerinţe. Nivelul de securizare oferit de smard card-uri este foarte ridicat, sunt uşor de transportat (în portmoneu) şi asigură multiple cerinţe de protecţie. Smart Card-ul este metoda de protecţie şi securizare care se foloseşte în Sistemele Publice Securizate (PKI=Public Key Infrastructure). Dezavantajele sunt că necesită o instalare soft în prealabil şi pot fi folosite numai împreună cu un cititor de carduri, care de obicei nu este portabil.

3 Token-ul USB bazat pe smart card
Este aparatul care combină avantajele celor două aparate descrise anterior. Posedă nivelul de securizare al smart card-urilor, dar poate fi conectat la sistem printr-o interfaţă USB ceea ce înlătură necesitatea unui cititor de card-uri.

4 Token-ul cu un singur password (OTP)
Aceste aparate generează un singur password/pin (OTP = One Time Password) pe care utilizatorul îl introduce în sistem al cărui server de acces autentifică identitatea utilizatorului. Password/pin-ul este generat pe baza unei reguli stabilite în comun între token şi serverul de acces al sistemului. Are avantajul mobilităţii, este simplu de folosit şi nu necesită instalarea unui soft corespunzător. Dezavantajele sunt date de faptul că poate fi folosit numai în comun cu un server de acces, are un domeniu limitat de utilizare şi este alimentat la baterie.

5 Token-ul hibrid
Token-ul hibrid este un token USB bazat pe smart card care oferă şi posibilitatea generării unui singur password/pin. Hard-ul smart card-ului pe care îl conţine îi oferă atât interfaţa USB cât şi posibilitatea generării unui OTP. Aceste token-uri prezintă toate avantajele sistemelor anterioare: mobilitate, fără instalaţie soft, utilizare în aplicaţii de securitate multiple, utilizare în sisteme de identificare personală etc. Dezavantajele dispar aproape complet.

6 Token-ul Soft
Token-ul Soft nu necesită o parte de “hardware” separată dar nu este foarte sigur la atacuri externe, are un domeniu de aplicabilitate limitat şi necesită un server de autentificare.

Firma MSC-Mibatron vă oferă o serie de produse moderne special proiectate pentru protecţia proprietăţii intelectuale sau/şi controlul accesului la date importante respectiv confidenţiale. În primul rând se recomandă a folosi în astfel de proiecte circuitele integrate din familia Atmel AT88SA.
Din această familie face parte circuitul Atmel AT88SA102S ( www.atmel.comproductscryptoauthenticationdefault.asp), proiectat special pentru aplicaţii criptografice şi autentificare criptografică. Prin intermediul unui cuvânt de 23 de biţi format din siguranţe care pot fi arse (fuses) de către client pentru a personaliza circuitul, a-i determina starea sau a programa consumul de putere dorit.
El poate genera de asemenea un număr serial unic de 48 de biţi pe baza algoritmului criptografic ultramodern SHA256 (Secure Hash Algorithm), care defineşte un OTP. Cu ajutorul unei interfeţe seriale, monoliniare de mare viteză poate comunica cu orice micrcontroler prin interfaţa sa UART sau printr-un pin de intrare/ieşire (General I/O Pin). În afară de AT88SA102S există şi o serie de memorii nevolatile de tip Atmel AT88SCXXX de diferite capacităţi care folosesc aceeaşi metodă criptografică ca şi circuitul Atmel descris anterior (detalii la www.cryptomemory.com) la scrierea şi citirea datelor. Datele memorate în acest fel în memorii sunt practic imposibil de descifrat.
Circuitele criptografice Atmel descrise mai sus oferă siguranţă maximă în aplicaţiile criptografice şi de autentificare datorită folosirii algoritmului SHA256. Acest algoritm se bazează pe funcţiile Hash transpuse în diferite variante ale algoritmului SHA (Secure Hash Algorithm), funcţii criptografice introduse prima dată de NSA (National Security Agency) şi apoi standardizate de NIST (National Institute of Standards and Technology) din Statele Unite ale Americii. Primul algoritm Hash, numit SHA-0, a fost publicat de NIST în 1993 respectiv varianta lui mai avansată, numită SHA-1, în 1995. În decursul anilor ce au urmat s-a dovedit că algoritmul SHA-1 este vulnerabil la anumite atacuri (side-channel attacks). Ulterior au fost dezvoltate funcţiile SHA-2 cum ar fi de exemplu SHA256 (de 32 de biţi) şi SHA512 (de 64 de biţi). NIST impune folosirea algoritmilor SHA-2 începând cu anul 2010 la toate agenţiile federale din SUA. Utilizarea acestor algoritmi este impusă de lege în SUA în toate domeniile de PKI (Public Key Infrastructure) sau în alte domenii de securitate a informaţiei şi a proprietăţii intelectuale. Algoritmul SHA256 implementat în familia Atmel AT88SA foloseşte chei criptografice în mai multe variante decât atomi se află în soarele sistemului nostru planetar ceea ce face orice decodificare nedorită practic imposibilă.
MSC-Mibatron vă recomandă de asemenea seria de microcontrolere Renesas AE470G, care constă din controlere pentru comunicaţii “wireless” M2M (mashine-to-mashine). Microcontrolerele Renesas AE470G sunt construite în jurul nucleului MCU AE-4 având integrată o memorie rapidă EEPROM de 144Kbytes care funcţionează între -40 … +105 grade C, garantează 500,000 de cicluri de scriere/citire şi poate menţine datele peste 10 ani.
Una din aplicaţiile realizate cu un circuit din această serie este “RSA SecureID800 Authenticator”, un token hibrid bazat pe tehnologia “smart card” cu posibilitatea de a genera OTP. Acest aparat oferă posibilitatea angajaţilor unei firme să adere la politica de securitate generală definită de conducerea acesteia prin generarea unui cod menit să asigure atât accesul securizat de la distanţă cât şi accesul securizat la date din interiorul întreprinderii. Întreaga infrastructură de securitate a firmei poate fi definită de cadrele de specialitate fără a fi vizibilă pentru toţi angajaţii. Prin simpla cuplare a token-ului RSA SecureID800 la un port USB se poate obţine:
– identificarea utilizatorului PC-ului folosit la locul de muncă;
– decodarea unui “drive hard” adiacent criptat;
– validarea unei conexiuni securizate la un VPN sau punct de access “wireless”;
– controlul accesului asupra unui domeniu de date limitat din intreprindere;
– criptare de documente şi fişiere care trebuie protejate;
– semnarea digitală şi criptarea de email-uri.
Costul unui astfel de token poate fi între 55 şi 700 de USD în funcţie de cantitatea cumpărată şi de durata lui de viaţă. La apariţia lui pe piaţă el costa câteva mii de USD. Din păcate durata maximă de viaţă a token-ilor de la RSA este de maxim 3 ani.
De asemenea, trebuie să menţionăm faptul că toate familiile noi de microcontrolere Renesas: R8C, M16C, M32C, R32C conţin o funcţie de blocare a accesului la programul din memoria “FLASH” menţinând un acces serial care este filtrat cu un cod lung de 7bytes.
După cum se observă din aplicaţiile de mai sus produsele actuale sunt extrem de noi, au o durată de viaţă relativ scurtă şi costă foarte mult. Datorită acestui fapt nu orice întreprindere îşi poate permite să cumpere protecţie şi securitate la un preţ atât de ridicat multe dintre ele riscând ca proprietăţile lor inteletuale să rămână vulnerabile.
În acest domeniu mai este mult spaţiu pentru proiecte şi idei noi.

Dr.ing. Alexandru Bălănescu
Director General
MSC-Mibatron s.r.l.
O firmă a grupului MSC Vertriebs GmbH
bucuresti@msc-ge.com
www.msc-ge.com

Str. Barbu Văcărescu nr. 129, Et. 1, B-020272 Bucureşti – 2
Tel./Fax +40 (21) 2302530
Tel +40 (31) 1023466

COMPETENÞÃ ÎN ELECTRONICÃ

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

  • Folosim datele dumneavoastră cu caracter personal NUMAI pentru a răspunde comentariilor/solicitărilor dumneavoastră.
  • Pentru a primi raspunsuri adecvate solicitărilor dumneavoastră, este posibil să transferăm adresa de email și numele dumneavoastră către autorul articolului.
  • Pentru mai multe informații privind politica noastră de confidențialitate și de prelucrare a datelor cu caracter personal, accesați link-ul Politica de prelucrare a datelor (GDPR) si Cookie-uri.
  • Dacă aveți întrebări sau nelămuriri cu privire la modul în care noi prelucrăm datele dumneavoastră cu caracter personal, puteți contacta responsabilul nostru cu protecția datelor la adresa de email: gdpr@esp2000.ro
  • Abonați-vă la newsletter-ul revistei noastre