Yan Vainter, Freescale
לעיתים קרובות, לצורך שימוש במגוון יישומים, מוצרים מצוידים במתגים נגד טיפול לא מאושר במטרה להגן על המוצר מפני חדירה שכזו. לדוגמה, במקרה של מכשיר מדידה אלקטרוני, טיפולים לא מאושרים יכולים להיות פריצה למארז מכשיר המדידה, הזרקת כימיקלים או אפילו שריפת המכשיר. התוצאה של מקרים אלו היא שינוי המאפיינים החשמליים של המרכיבים שרושמים שימוש מופחת באנרגיה, אם בכלל. ייתכן גם מקרה בו מישהו ירצה לפתוח את מארז מכשיר המדידה כדי לשנות את ההגדרות או אפילו כדי להסיר את סוללת הגיבוי כדי שהמכשיר יאותחל כשזרם החשמל המרכזי ינותק ממנו.
ניתן למקם מתגים נגד גישה לא מורשית על מארז מכשיר המדידה כדי
להפעיל מצב כזה כשהמארז נפתח.
איתור ניסיונות חדירה באופן חיצוני למערכת
תיתכנה מספר התקפות מהעולם החיצוני עמן המערכת תצטרך להתמודד. התקפות אלו יכולות לכלול גרימת נזק למארז המערכת, שינוי אותות מסוימים וכדומה. ניתן לעקוב אחר החדירות הללו באמצעות מתגים שמונחים במערכת. מכיוון שצריך לעקוב אחריהם כל הזמן, הם צריכים להיות מוזנים מסוללה (RTC).
מתגים נגד גישה לא מורשית אלו יכולים להיות רגישים לרעש ויכולים לגרום לאתראות שגואות. מכיוון שכך, חשוב לסנן את הרעשים הללו בכדי למנוע את ההפעלה הלא נכונה של המתגים.
אירוע הגישה הלא מורשית צריך להיות אחד ממקורות הפסיקה של המעבד. במקרה כזה, המעבד יכול לנקוט בפעולות מסוימות כמו מחיקת מידע מאובטח, שליחת אות אתחול למערכת, שמירת אירוע החדירה ב-EEPROM או באוגרים מגובי סוללה, ולסיום, לנקות את דגל הפסיקה. תגובת המעבד למקרה של אירוע גישה לא מורשית הינה בדרך כלל תלוית יישום.
עבור יישום טיפוסי, כולל מכשיר המדידה האלקטרוני המוזכר בדוגמה, חשוב לציין שברגע שאות ההתראה נרשם, עליו להישאר ולא להימחק אלא אם המתח הראשי (VDD) וכן אספקת הסוללה (VBAT) מנותקים ממנו. כשאספקת החשמל מחוברת מחדש, אירוע הגישה הלא מורשית צריך להיות מצב ברירת המחדל, וההגדרה צריכה להיות כזו שניתן יהיה לאפסו רק באמצעות קוד ששמור במעבד. במקרה של מכשיר המדידה, לדוגמה, הדבר באופן רגיל מבוצע במהלך כיול המכשיר.
חסרון טבעי של השימוש במתגי גישה לא מורשית פסיביים או פתוחים (תרשים 1) הוא שעם חלוף הזמן מתגים אלו נוטים להחליד (מכיוון שאין מעבר זרם עד לאירוע חדירה, והם נמצאים במגע עם חמצן), כך שבסופו של דבר, אם מתרחש אירוע, הם נשארים פתוחים בגלל החלודה ולכן אירוע הגישה הלא מורשית לא יירשם כלל במערכת. דרך פשוטה לעקוף את הבעיה יכולה להיות שימוש במתגים שהינם סגורים כל הזמן, כך שמובטח מעבר זרם דרכם כל הזמן במטרה למנוע את החלדתם. עם זאת, פתרון זה סובל מאותה בעיה שהיא אי קיום נתיב משוב שמבטיח שהמתג תקין ועובד כמצופה. ההתגברות על בעיה זו מבוצעת באמצעות טכניקת איתור גישות לא מורשות אקטיבי
(Active Tamper Detection Technique), כמתואר בפסקה הבאה.
איתור גישות לא מורשות אקטיבי
איתור גישות לא מורשות אקטיבי מציג לולאת משוב שמספקת שיטה מתקדמת יותר למעקב אחר ניסיונות גישה לא מורשת חיצוניים, כשבנוסף הוא מבטיח גם חיים ארוכים יותר למתגים. שלא כמו במקרה של מתגי גישה לא מורשת פסיביים שפועלים על קלט בלבד, מנגנון זה כולל זוג של אחד או יותר מתגי קלט/פלט. השבב מפיק רצף ידוע (קבוע או כזה שנוצר בידי אוגר הסטת משוב ליניארי) אל מתג מניעת החדירה הלא מורשית תוך מעקב אחרי מתגי הקלט כדי לראות שהם מספקים את אותו הרצף (כמוצג בתרשים 2). כל עוד הרצף תואם, לא נוצר מצב של גישה לא מורשית. אם הרצף מדלג על ערך או שהוא שגוי, בגלל חדירה חיצונית או בגלל תקלה במתג, אירוע הגישה הלא מורשית מופעל.
תועלת חשובה אחרת מהשימוש בטכניקה הזו הוא בכך שהיא מאפשרת למשלבי/יצרני מערכות ליצור אזורי אבטחה בלוח כך שאות המעקב ממתג ה-Tamper_Out למתג ה-Tamper_In מכסה מספר מרכיבים. כך, שניסיון לשנות את הלוח (הסרת רכיב מהלוח והחלפתו ברכיב תקול) שובר את הנתיב ויוצר מצב של גישה לא מורשית. בנוסף, זמן הדחיפה החוצה של התבנית (הזמן שעובר בין הסיביות הבודדות שעוברות דרך ה-Tamper_Out) צריך להיות 500-1,000 אלפיות השנייה לכל היותר כדי להבטיח שהחברה הרעים לא יוכלו ליירט אותו ולהזריק תבנית משלהם (מאוד לא סביר) באמצעות התקפות התערבות אנושיות.
