No puedo responder completamente "cómo confiar", pero quiero contribuir al menos con una idea útil. Como ya se dijo en las otras respuestas, hay dos opciones:
- Haces todo tú mismo (el IC), con esto tienes una buena base para la confianza.
- Puedes tomar algo ya hecho, analizarlo y probarlo.
Si bien estas opciones presentadas sobresalen en su atributo de obtener un nivel de confianza total, obviamente son impracticables. El precio a pagar por el fideicomiso, en términos de tiempo y esfuerzo material, es enorme.
En parte, la idea que quiero agregar como una alternativa limitada a las dos opciones presentadas, puede depender de sacrificar cierta comodidad o funcionalidad. La lógica de la idea es que:
- Ya que no podemos ver los componentes de información (por ejemplo, el chip TPM, el procesador Intel AMT en anillo -3 ...) no podemos confiar en ellos. No podemos ver el insight debido a la complejidad y la miniatura del componente.
- Por la misma razón (complejidad y tamaño) tampoco es posible reemplazarlos con sustitutos hechos a sí mismos.
- Bajo la disposición de que los componentes tienen una separación física manejable (es decir, que son chips separados), así como una separación funcional (es decir, su funcionalidad no es "todo"), sería posible implementar un esquema en el que modifique el hardware de manera que pueda separar los componentes entre sí a través de una interfaz lógica propia y, por lo tanto, de diseño y control confiables.
Para llevar esto de un resumen a un nivel más práctico, permítame ilustrarlo con un ejemplo.
Suponemos que tiene un IC malicouis en su sistema que, como se sugiere en su pregunta, usaría GSM / communication para enviar datos a un atacante.
Dado que satisfacemos 3 y la funcionalidad de su IC no depende de la comunicación y, por lo tanto, se puede separar funcionalmente de ella, así como de la separación física de un dispositivo de comunicación (supongamos que el único GSM / módem disponible fue un dispositivo USB insertado), entonces puede confiar su IC no debe enviar los datos al atacante si el dispositivo USB no está físicamente conectado y está conectado funcionalmente.
Al igual que en el software (como, por ejemplo, se puede ver en el LSM como apparmor), la idea es limitar cada IC por aislamiento / separación solo a la conexión necesaria funcional necesaria.
Si bien es posible que sea imposible fabricar un IC complejo, es mucho más posible hacer uno mucho menos complejo que simplemente se conecte a pedido (es decir, a través del software) a través de los interruptores de hardware de los componentes según su necesidad actual. Al limitar la conexión disponible, se puede ganar algo de confianza.