Hotdry.

Article

SRAM 红外热成像验证:建立硬件信任边界的非破坏性检测方案

通过红外热成像读取SRAM状态建立硬件信任边界,探索光学侧信道攻击与物理不可克隆函数验证的工程化参数与实施清单。

2026-06-02security

硬件信任危机正在从软件层面向物理层面转移。当开源芯片设计(如 RISC-V 生态)试图通过开放 RTL 代码建立透明信任时,一个根本性问题浮现:你如何验证晶圆厂实际制造的芯片与开源设计完全一致?攻击者可以在不修改公开源码的情况下,通过 "secret knock" 寄存器隐藏额外的 SRAM 宏,使其在常规地址空间扫描中不可见,却在特定触发条件下激活恶意代码。

隐藏内存的威胁模型

传统的可信启动流程会清零或哈希校验所有已知内存区域,但设计者可以轻易绕过这一机制。在芯片尺寸级别的 Baochip-1x 上,插入数 KB 的额外 RAM 不会影响裸片面积,其功耗波动也能伪装成正常制造公差。更关键的是,通过门控寄存器实现的 "secret knock" 机制 —— 只有收到特定字序列挑战时才激活隐藏内存 —— 使得暴力地址扫描完全失效。

这种威胁并非理论假设。供应链攻击的演进路径表明,拥有晶圆厂权限的攻击者具备实施此类篡改的能力。因此,硬件信任边界的建立必须依赖物理层面的独立验证手段,而非仅仅依赖软件层面的测量。

IR 热成像的技术原理

红外热成像作为非破坏性检测手段,能够在 22nm 工艺节点上约束 SRAM 宏的位数数量。其物理基础在于 SRAM 宏的结构特征:每个 SRAM 位都伴随解码器、放大器和驱动器等开销电路,无法单独放置 "额外" 的微小存储单元。

从热成像图像中可识别以下结构特征:

  • 列方向:数据通路宽度直接对应可见的列驱动器数量,每列共享电路横跨 4 位,间距足够大以至于在 IR 波长下清晰可辨
  • 行方向:实际存储单元阵列呈现为深色矩形区域,通过地址解码器布局和重复器(repeater)的分布可推断行深度
  • 中央脊结构:双端口 RAM 呈现对称的地址解码器排布,单端口 RAM 则显示单一中央解码器,这是区分端口类型的关键 "特征"

以 1024×32 位双端口 RAM 为例,热成像可清晰分辨两侧各 16 位列驱动器,以及由 4 个深色行区块组成的存储阵列。通过将观测到的数据通路宽度与芯片声称的 RAM 列表交叉比对,可建立 SRAM 数量的上限约束。

攻击面与检测边界

IR 验证将攻击面从 "无界搜索" 压缩为 "可证明空间测量"。具体而言:

无需物理检测时的攻击面:攻击者可隐藏数 KB 内存于 secret knock 之后,完全规避软件层面的安全测量。

引入 IR 检测后的攻击面:攻击者最多只能在现有宏中隐藏少量额外字节(如一行 SRAM),且需要极高成本的定制化修改。

需要区分两类攻击场景:

  1. 网络表级攻击(RTL 植入):试图 "仅添加一行" 内存会产生连锁效应 —— 地址解码器需增加层级,行尺寸出现可观测偏移,这种修改在 IR 扫描下可被检测

  2. 晶圆厂级定制化修改:攻击者具备修改 RAM 宏的物理权限。在 22nm 节点,额外行需要空间和配套电路来隐藏其存在,其信号可能落入 IR 检测的噪声边界内

工程化验证参数

基于 bunnie 对 Baochip-1x 的实测数据,建立以下可落地的验证参数:

检测阈值

  • 最小可识别 RAM 宏尺寸:受限于列驱动器间距,典型值为 32 位宽度以上
  • 工艺节点限制:22nm 及以下需考虑噪声边界,建议结合激光干涉仪进行亚波长干涉模式表征
  • 行数推断精度:无法直接分辨单行,通过消除法比对声称的 RAM 配置列表

验证清单

  1. 获取芯片热成像图像(需移除封装或使用 CSP 封装直接观测)
  2. 识别所有深色矩形存储阵列区域
  3. 计数可见的列驱动器数量,计算总位宽
  4. 分析地址解码器结构,判定单 / 双端口类型
  5. 与开源 RTL 中声明的 RAM 宏列表逐项比对
  6. 验证观测到的宏数量与源码声明严格一致

DIY 实施方案

  • 设备:改装 USB 显微镜(移除红外截止滤镜)
  • 成本:入门级 IRIS setup 可在数百美元内搭建
  • 分辨率:足以识别最小 RAM 宏块,因即使最小存储阵列也远大于 IR 扫描分辨率

局限与补充检测

IR 热成像并非万能。以下场景需要补充检测手段:

  • 亚噪声级修改:针对仅增加单行(约 4-64 位)的极端精细篡改,IR 信号可能落入噪声边界,此时需升级至激光干涉仪进行相干光检测
  • 破坏性验证:对任何可疑结构,扫描电子显微镜(SEM)可提供最终 ground truth
  • 成本效益权衡:全定制 RAM 宏的开发和掩模成本极高,针对 "仅隐藏一行" 的攻击,其投入产出比已趋于 "不值得"

结论

IR 热成像验证将硬件信任建立从纯软件测量推进到物理可观测层。通过约束 SRAM 数量的上限,用户能够验证开源芯片的实际制造状态与透明宣称的一致性。尽管无法绝对排除所有可能的定制化篡改,但这一技术将攻击面从 "无界" 压缩到 "边际成本极高的小范围",在工程实践中构成了有效的信任边界。

对于追求供应链透明度的开源硬件项目,IR 验证应成为标准发布流程的一部分 —— 不是作为绝对安全的保证,而是作为可审计、可复现的信任锚点。

参考来源

  • bunnie's blog: "Name That Ware" 系列关于 Baochip-1x SRAM IR 成像分析
  • SPARTA Technique EXF-0002.05: Thermal Imaging attacks documentation

security

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com