mikrocontroller.net

Forum: FPGA, VHDL & Co. Frage zu Device DNA


Autor: Anguel S. (anguel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Leute!

Hab mir mal die Xilinx Whitepapers zu Device DNA angeschaut und auch mal 
etwas gegooglet. Einige Sachen versteh ich aber nicht so ganz. Xilinx 
sagt, dass Device DNA und Prüfcode nicht geheim sind. Das einzige 
Geheime sei also der Algorithmus, der aus dem DNA den Prüfcode 
berechnet.

Die Cracker würden dann versuchen, an diesen Algorithmus zu kommen, dann 
den Prüfcode im Bitstream finden und diesen Prüfcode nach dem dann 
bereits bekannten Algorithmus neu für ein anderes FPGA mit anderem 
Device DNA berechnen. Dann müssten sie den neuen Prüfcode in den 
Bitstream einschleusen, um das übrige Design weiterverwenden zu können. 
IMHO heißt das aber, dass die den Bitstream-Aufbau (der angeblich geheim 
ist) kennen müssen, um Reverse-Engineering betreiben zu können. Falls 
die aber den Bitstream-Aufbau kennen würden, wäre es für die doch viel 
einfacher, erst nach dem Vergleich des berechneten Codes mit dem 
Prüfcode einzusteigen, und dort ein Signal umzubiegen, als den gesamten 
Algorithmus zu finden, um damit einen neuen Prüfcode zu generieren. 
Verstehe ich etwas falsch?

Zudem wird an vielen Stellen gesagt, dass im Sicherheitsalgorithmus 
Verschlüsselung wie AES eingesetzt werden kann. Das versteh ich auch 
nicht, weil ja der AES Algorithmus doch bekannt ist. Das einzige geheime 
ist dann der Schlüssel, der aber wiederum im Bitstream ist.

Klärt mich bitte auf :)

Grüße
Anguel

Autor: Christian R. (supachris)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die ganze Sicherheit mit der Device DNA basiert darauf, dass der 
Bitstream nicht zurückgewandelt werden kann in ein sinnvoll lesbares 
Design. Jedenfalls behauptet Xilinx, dass niemand außer Xilinx selbst 
dazu in der Lage wäre. Wenn man davon ausgeht, ist es relativ sicher. 
Schon alleine ein ins Design eingebauter Vergleich der 56-Bit DNA wird 
ja auf einige Slices verteilt, die Ansteuerung des DNA Schieberegisters 
ebenso. Das wieder aus dem Bitstream zu fummeln fummeln dürfte nur mit 
internen Kenntnissen gehen.
Noch sicherer ist freilich den Bitstream AES zu verschlüsseln, und den 
Schlüssel im FPGA abzulegen, wie das bei den Virtex Chips geht.

Autor: Anguel S. (anguel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Christian R. schrieb:

Erstmal danke für die Antwort!

> Die ganze Sicherheit mit der Device DNA basiert darauf, dass der
> Bitstream nicht zurückgewandelt werden kann in ein sinnvoll lesbares
> Design. Jedenfalls behauptet Xilinx, dass niemand außer Xilinx selbst
> dazu in der Lage wäre. Wenn man davon ausgeht, ist es relativ sicher.

Genauso habe ich es auch verstanden.

> Schon alleine ein ins Design eingebauter Vergleich der 56-Bit DNA wird
> ja auf einige Slices verteilt, die Ansteuerung des DNA Schieberegisters
> ebenso. Das wieder aus dem Bitstream zu fummeln fummeln dürfte nur mit
> internen Kenntnissen gehen.

Genau, deshalb frage ich mich wozu das ganze mit dem 
Sicherheitsalgorithmus in den Vordergrund gestellt wird, wenn man eh 
zuerst den Bitstream entschlüsseln muss, oder gehen die davon aus, dass 
einige Leute den Prüfcode in externem Speicher ablegen?

> Noch sicherer ist freilich den Bitstream AES zu verschlüsseln, und den
> Schlüssel im FPGA abzulegen, wie das bei den Virtex Chips geht.

Genau, aber das geht bei Spartan 3A nicht.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [vhdl]VHDL-Code[/vhdl]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.