Cuando descargamos un archivo ISO o cualquier otro archivo, podemos modificarlo para garantizar que el archivo descargado no se haya atemperado, es decir, que se mantenga la integridad de ese archivo.
Pero cuando compro un dispositivo de hardware (monitor, HDD, teclado, etc.) del mercado, ¿cómo puedo estar seguro de que el revendedor o algún empleado malicioso del fabricante no lo haya manipulado?
¿Cómo podemos garantizar la integridad del dispositivo de hardware que estoy comprando?
El mundo del hardware criptográfico certificado FIPS 140-2 tiene un requisito similar en los niveles 2 y 3
Dispositivos certificados para FIPS 140-2 Nivel 2 están obligados a "mostrar evidencia de manipulación", lo que generalmente se logra colocando calcomanías similares a las calcomanías de tipo "Garantía anulada si se retira" sobre los orificios de los tornillos y las juntas, pero la versión FIPS 140-2 de estas calcomanías tiene el número de serie y Como explotar la tinta y cambiar los colores cuando los quites. Sin embargo, no son infalibles y pueden eliminarse con mucha habilidad y paciencia.
Dispositivos certificados para FIPS 140-2 Nivel 3 están obligados a tener "recintos fuertes y un circuito de detección / respuesta de manipulación indebida que ponga a cero todas [las claves criptográficas] cuando se abren las cubiertas / puertas extraíbles del [dispositivo]".
Tiende a ver esto en servidores de gama alta destinados a realizar criptografía (es decir, HSMs ) que se ejecutan en los $ 1,000 Rango de $ 10,000 USD. Nunca he oído hablar de este tipo de prueba de manipulación indebida / resistencia a la manipulación indebida en dispositivos de consumo como discos duros y teclados, pero supongo que podría existir si existe un mercado para ello.
Probablemente está más allá del alcance de su pregunta, pero me recuerda el campo de estudio en torno a Funciones Físicamente Inclonables (PUFs) - son esencialmente funciones hash de hardware en el sentido de que siempre darán la misma salida a la misma entrada, pero su comportamiento es muy difícil de caracterizar o duplicar. Por lo general, estos son cristales complejos donde se mide la trayectoria óptica de un láser, o circuitos eléctricos complejos donde se mide la latencia y la resistencia precisa de los pines de entrada a los pines de salida. Se utilizan principalmente para la singularidad (cada dispositivo tiene una huella dactilar única), pero también coinciden con su pregunta de que su firma cambiará después de un examen físico (he oído que las PUF están incorporadas en las carcasas del dispositivo para detectar si el sello ha sido roto, por ejemplo).
Ahora, está preguntando si esto puede hacerse con partes de computadora de grado de consumidor arbitrarias, por ejemplo un disco duro Western Digital.
** Aquí comienza la especulación salvaje: ** Si puede tomar un circuito existente y caracterizar su latencia y resistencia como una PUF, o si necesita construir una PUF en el circuito, no lo hago. No sé, no soy suficiente de un experto en PUF. De cualquier manera, para que esto funcione, supongo que el fabricante necesitaría colocar cada dispositivo en una máquina de muy alta precisión cuando salga de la línea de ensamblaje, publicar los resultados. Entonces deberá comprar la misma máquina de prueba, probar su nuevo disco duro y comparar los resultados con los resultados publicados para el número de serie de su dispositivo. No pudo construir el dispositivo de prueba en el disco duro (ni siquiera enviarlo en la misma caja) porque entonces el atacante podría reprogramarlo para mostrar siempre el resultado correcto.
Conclusión: nunca he oído hablar del tipo de resistencia a la manipulación de la que habla para dispositivos de consumo. En teoría, es posible, pero probablemente aumentaría significativamente el costo del dispositivo.
Un punto medio razonable para el aficionado de la hojalata de aficionados es comprar solo productos electrónicos en persona en tiendas de renombre de grandes cajas, y nunca pedirlos en línea a donde se enviarán a todo el país (y posiblemente a través de las fronteras internacionales) con su nombre en la casilla.