Replay “Consortium Blockchain per Mitigare il Rischio di Contraffazione nelle Supply Chain di Circuiti Integrati” di Leonardo Aniello
Intervento di Leonardo Aniello dal titolo “Consortium Blockchain per Mitigare il Rischio di Contraffazione nelle Supply Chain di Circuiti Integrati”.
Cyber Security Virtual Conference 2021.
Di seguito un breve estratto:
Leonardo Aniello, Assistant Professor at the University of Southampton
“Nel 2019 il Dipartimento di Giustizia americano ha condannato il proprietario di una ditta fornitrice di componenti elettroniche, che tra 2009 e il 2016 aveva venduto circuiti integrati contraffatti, a loro volta acquistati dalla Cina. La presenza di circuiti contraffatti nella supply chain della Difesa Americana era stato oggetto di un’indagine dedicata, perché nel 2012 erano emersi risultati abbastanza preoccupanti, ad esempio che il 15% delle parti acquistate fossero contraffatte, provocando un danno economico di oltre 7 miliardi annui. Ma al di là del dipartimento della Difesa americano, in tutti i mercati i prodotti che integrano componenti elettroniche sono colpiti dallo stesso problema: il prodotto finale potrebbe avere al suo interno delle componenti contraffatte. Avere dispositivi elettronici inaffidabili in ambiti critici e sensibili quali infrastrutture critiche, sistemi militari e macchinari medici, può provocare terribili conseguenze, sia per le persone che lavorano in quegli ambiti che per quelle che dipendono dalle funzioni erogate da questi sistemi. Inoltre gli incidenti dovuti alle parti contraffatte possono causare alle aziende interessate danni economici e di immagine molto seri. Esiste l’eventualità che un attaccante possa introdurre degli elementi aggiuntivi nei circuiti a fini malevoli (ad esempio, un attaccante potrebbe introdurre delle hardware back door ai fini di spionaggio). Il problema dell’introduzione di circuiti integrati contraffatti nella supply chain di componenti elettroniche è un problema abbastanza diffuso, che riguarda molti mercati importanti e porta a conseguenze serie.
L’approccio proposto Anti-BlUFf consiste nell’implementare le piattaforme di tracciamento usando una blockchain, nello specifico una Consortium Blockchain, per ottenere un buon grado di decentralizzazione insieme a buone garanzia di integrità e disponibilità di dati, e l’utilizzo di physically unclonable functions (PUF) da usare per identificare in maniera univoca i componenti all’interno della supply chain.”
“Consortium Blockchain e altre permissioned blockchain, riguarda una situazione in cui c’è un insieme limitato di enti, ad esempio un consorzio di aziende, che si uniscono per operare una stessa blockchain, dove però i nodi che possono farne parte sono limitati. Soltanto un numero limitato di nodi sono approvati e autenticati e possono formare la blockchain, risultando in una membership chiusa che aiuta a mitigare le problematiche di privacy che invece si avrebbero con le blockchain aperte. Poter avere un numero limitato di nodi che siano anche conosciuti consente di evitare di usare il proof of work e sostituendolo con altri meccanismi molto più efficienti, che consentono ad esempio di avere latenze per quanto riguarda la conferma di transazioni nell’ordine dei centesimi di secondo e sul punto delle migliaia di transazioni al secondo. In più le Consortium Blockchain non sono basate su alcuna criptovaluta, quindi non presentano i problemi di stabilità che invece riscontriamo in blockchain pubbliche come Bitcoin o Ethereum.”
“L’altra tecnologia di rilievo usata in questo approccio è quella delle physically unclonable functions, dette anche PUF. Il PUF è un circuito che può essere stimolato con una serie di input, di stringhe di bit, chiamate in gergo challenge, alle quali il PUF risponde con altre stringhe di bit in output delle response. La funzione che lega gli input e gli output è strettamente dipendente dalle specifiche caratteristiche fisiche del circuito. Il processo stesso di manifattura, il processo di creazione del circuito fisico, introduce delle piccole variazioni non predicibili che sono uniche per ogni circuito. Anche producendo un certo numero di circuiti partendo dallo stesso design, il corrispondente PUF calcolerà una funzione diversa. Se a tutti questi circuiti, che sono stati costruiti a partire dallo stesso design, viene fornito lo stesso challenge, otterremo in risposta delle response diverse.
Il fatto che questa funzione calcolata dal PUF sia unica per ogni singolo circuito può essere usato per identificare e autenticare in maniera univoca un circuito, ad esempio raccogliendo un certo numero di coppie Challenge Response per ogni PUF. Quando si dovrà poi autenticare il PUF per stabilirne l’identità sarà possibile ri interrogare il PUF con le stesse challenge usate in precedenza e verificare se le response corrispondono.
La funzione calcolata dal PUF non è accurata al 100%, quindi è possibile, anche se poco probabile, che a volte la risposta sia diversa. È necessario interrogare il PUF con più challenge.
L’utilizzo del PUF ben si presta in ambito di lotta alla contraffazione, perché se un attaccante sostituisse un circuito con uno contraffatto, la funzione calcolata dal PUF risulterebbe diversa. Da qui il nome physical unclonable function, poiché clonare il circuito fisico comporterebbe un circuito che è simile ma diverso: ogni tipo di compromissione del circuito risulterebbe nell’ottenere una funzione diversa.”
Ulteriori approfondimenti: