Unas herramientas nuevas ayudan a proteger dispositivos empotrados
Los denominados dispositivos empotrados son chips informáticos simples diseñados para realizar una única función que están integrados en productos de uso común, como los chips inteligentes de las tarjetas de crédito o el chip integrado en las llaves de los coches que permite abrir un vehículo concreto de forma remota. Aunque estos dispositivos emplean cifrado, son vulnerables a jaqueos. El descifrado convencional (de correos electrónicos interceptados, por ejemplo) se basa en el análisis de los mensajes enviados y recibidos, por lo que resulta difícil obtener la clave de cifrado directamente. Sin embargo, con un chip empotrado, un «hacker» tiene acceso físico al dispositivo. Si se dispone de determinados datos de entrada y salida, el cálculo de la cantidad de energía consumida durante el procesamiento puede, en última instancia, revelar la clave criptográfica. Estos ataques se llaman ataques de canal lateral. Desde los años noventa del siglo pasado, el sector bancario de tarjetas inteligentes ha desarrollado numerosas contramedidas que no revelan las claves criptográficas. El problema radica en la dificultad para valorar dichas contramedidas. No existe consenso sobre los métodos más adecuados y, de momento, no ha sido posible comparar distintas valoraciones. Normalmente, las valoraciones son complejas (porque los ataques son cada vez más sofisticados) y requieren un uso intensivo del procesamiento informático, lo que significa que son caras.
Una mayor protección
El proyecto REASSURE, financiado con fondos europeos, desarrolló métodos mejorados para valorar las contramedidas comparándolas con el jaqueo de los dispositivos empotrados. Ahora, los dispositivos del internet de las cosas (IdC) son los principales objetivos de los ataques; sin embargo, los fabricantes de estos dispositivos carecen de los conocimientos especializados y los equipos necesarios para valorar las contramedidas. Para ayudarles, el proyecto desarrolló herramientas de comprobación de código automatizadas para desarrolladores de IdC. Asimismo, los investigadores proporcionó un conjunto de herramientas de «software» adicionales y formación. Los ingenieros prepararon las herramientas específicamente para las empresas que desarrollan dispositivos empotrados y contramedidas. Dichas empresas deben valorar internamente la eficacia de sus contramedidas. Después, la empresa acude a un laboratorio de valoración, que valorará de forma independiente la resistencia del dispositivo a los ataques de canal lateral. Tal como explica el doctor François Koeune, coordinador del proyecto: «Esta valoración externa es cara, por lo que conseguir que sea lo más eficaz posible responde al interés de ambas partes». Las nuevas herramientas son más fiables que los métodos de valoración anteriores y con ellas es más probable detectar deficiencias. Además, estas herramientas ayudan al laboratorio independiente a conservar su certificación para realizar dichas valoraciones.
Un rendimiento mejorado
Los socios industriales utilizaron las herramientas desarrolladas durante el proyecto, lo que con frecuencia tuvo como resultado una mejora considerable. En los mejores casos, las herramientas decuplicaron la reducción del número de marcas necesarias para el análisis y multiplicaron por dieciséis la reducción de la potencia de computación necesaria. Asimismo, las nuevas herramientas contribuyeron a volver a valorar los productos, un paso necesario después de detectar deficiencias en la seguridad. Gracias a las herramientas, un socio consiguió evitar la mitad de las pruebas habituales sin comprometer la seguridad. Por último, las herramientas demostraron ser más exhaustivas y, en el 10 % de los casos de validación interna, detectaron brechas de seguridad que antes no se podían detectar en esa fase. «Además, hay una norma ISO de este ámbito que entró en fase de revisión durante el proyecto», añade Koeune. «Expedimos documentos en los que se hacía hincapié en lo que considerábamos deficiencias importantes en esta norma. La Organización Internacional de Normalización tuvo en cuenta esta información y va a revisar la norma». Las herramientas de REASSURE, así como la formación para usarlas, representan un avance importante en la protección de estos dispositivos omnipresentes.
Palabras clave
REASSURE, herramientas, contramedidas, dispositivos empotrados, seguridad, valoración, jaqueo, ataque de canal lateral
