如何達到(甚至超越!)IEEE 1735 標準

上個月我收到一封招募郵件,寄件者自稱是 Workday 的高級招募人員。

精雕細琢,個人化定制,無任何拼字錯誤。郵件主題直接寫著我的名字,繞過了所有郵件過濾器。

我沒有回覆。我檢查了寄件者網域:hiring-workday.co`.

不是工作日網DNS 記錄顯示郵件透過 ` 路由emx.mail.ru`. 原始 SMTP 標頭已確認來源為 `send35.i.mail.ru [89.221.237.130],一個俄羅斯中繼伺服器,莫斯科時間凌晨 1:23 發送。 DKIM 選擇器:`mailru`。 DMARC 策略:`p=NONE`。 Cloudflare 代理,所有記錄的 TTL 均為零。專為快速送達和自動消失而建造的基礎設施。

這段文字很可能是人工智慧生成的。我知道這一點,因為如果招募人員真的仔細閱讀過我的個人資料,肯定會從中找出一些亮點。然而,事實並非如此,LinkedIn 上的四個數據點:姓名、職位、產業和所在地,都被輸入到一個提示範本中,然後同時推送給成千上萬的目標用戶。個人化是攻擊面,而基礎建設才是關鍵。

很多時候,系統設計時並未充分考慮實際攻擊者的狀況。例如,LinkedIn個人資料最初是為人工招募人員閱讀並進行人工聯繫而設計的。而如今,攻擊者利用人工智慧大規模運行自動化攻擊流程,將公開資料轉化為可攻擊的信任資訊。系統預設的攻擊者與實際攻擊者之間的這種差距並非社群平台獨有,而是各領域安全系統普遍存在的致命缺陷。

這讓我想到了 IEEE P1735——電子設計智慧財產權加密和管理推薦實踐——所確立的先例,該標準旨在保護半導體供應鏈中 Verilog/VHDL 的 HDL 代碼等硬體設計 IP。

2017 年,Chotaray、Nahiyan、Shrimpton、Forte 和 Tehranpoor 發表了《標準化不良密碼實踐》,對 IEEE 1735-2014 進行了拆解。 2021 年,Speith、Schweins、Ender、Fyrbiack、May 和 Paar 發表了一篇論文,示範如何從 Intel、Cadence、Siemens 和 Lattice 等公司的生產實作中完全復原私鑰。

本標準採用 AES-CBC 加密演算法和 RSA 金鑰傳輸。加密本身並非薄弱環節,但威脅模型可能有問題。 P1735 將 EDA 工具指定為可信任工具。它將攻擊者建模為試圖讀取靜態受保護檔案的被動 IP 使用者。它沒有模擬能夠控制執行環境、向工具提供精心構造的密文輸入並系統地讀取其錯誤輸出的攻擊者。

由於該標準強制要求資料區塊使用無需身份驗證的 AES-CBC 加密,並且明確鼓勵 EDA 工具在處理過程中返回描述性的語法錯誤,因此工具本身成為了解密的「預言機」。該標準本身的可用性指南「高品質的錯誤訊息反映了受保護智慧財產權的品質」反而成為了攻擊途徑。 (請注意,這些建議並未考慮 CWE 209——透過錯誤訊息洩露資訊)。 2021 年的論文更進一步:它發現基於 RSA 的白盒加密方案已經部署在 EDA 工具的實現中,這表明業界已經獨立地認識到了「末端人攻擊」(MATE)的威脅,並選擇了 WBC 作為解決方案,但卻缺乏必要的運行時完整性層來防禦已在執行環境中的攻擊者。

研究人員的結論非常明確:鑑於目前的硬體設計流程,僅靠加密方案無法彌補 IEEE 1735 的缺陷。任何假設情況並非如此的保護措施,都會在其未建模的邊界處失效。

AI招募郵件和IEEE 1735標準的根本原因在於:防護措施是在錯誤的環境下針對錯誤的攻擊者進行評估的。 IEEE 1735標準假定攻擊者是被動的,但實際攻擊者操縱了執行環境。 

 LinkedIn個人資料假定是由真人閱讀並進行人工聯繫,但實際攻擊者運行的是一套自動化流程:抓取、分類、產生、大規模傳播。 LLM是EDA工具,真人收件匣是預言機,而提取出來的明文才是信任,而非HDL。

這是目前應用安全採購中最常見的失敗模式。

這對安全解決方案的選擇意味著什麼

開發人員在評估公開分發軟體的安全產品時,會檢查合規性覆蓋範圍、整合複雜性和效能開銷。他們通常會忽略以下問題:  
(1)這種保護措施假定攻擊者無法做到什麼?  
(2)當攻擊者擁有人工智慧輔助工具、對執行環境的完全存取權限以及無限的查詢預算時,這些假設是否仍然成立? 
 
一種防護架構若未能考慮正確的威脅模型,即終端中間人攻擊或客戶端中間人攻擊,攻擊者便可控制目標。 設備 軟體運行於…之上,使自身處於與…相同的位置 IEEE 1735年,密碼學 可能 聲音。邊界假設並非如此。已經進入執行環境的攻擊者不會與…互動。 應用這種保護措施的設計方式預期會導致嚴重的問題,而且通常會導致嚴重的後果。  
 
然而,半導體產業最終達成共識的解決方案是白盒密碼學,用於在惡意執行環境中保護金鑰,並結合執行時間完整性驗證來偵測和回應主動偵測。這與以下架構相同: at 移動應用層。並非作為合規性複選框,而是作為對威脅的直接回應。 模型 未達標。 
 
1993年,羅斯安德森在《密碼系統為何失敗》一文中提出了相關論點。 安全漏洞很少是密碼學方面的。 證明 數學上成立,但威脅模型 以及 關於攻擊者、其存取權限及其環境的假設均不成立。安德森的職業生涯表明,這些假設會導致系統在技術上合規,但在運作上卻有缺陷。 IEEE 1735 和針對 LinkedIn 個人資料的 AI 招募流程就是這方面的例子。 
 
在為任何公開分發的應用程式簽署安全解決方案之前,請先問一個問題:是否有任何軟體保護措施可以防止攻擊者無法做到的事情? 
 
如果答案沒有寫下來,威脅模型就還沒建立。 
 
如果喲你想討論你的 IEEE 1735或 其他白盒加密圖形需求 DREI, 聯繫我們 此處: https://digital.ai/why-digital-ai/contact/

參考

Anderson, RJ (1994). 密碼系統為何失效  
https://doi.org/10.1145/188280.188291 
 
Chhotaray 等人,“標準化不良密碼實踐” https://doi.org/10.1145/3133956.3134040 
 
Speith等人,《如何才能不保護好自己的智慧財產權》  
https://doi.org/10.1109/SP46214.2022.9833605 
 
https://cwe.mitre.org/data/definitions/209.html  

你可能還喜歡