米国 NIST IR 8517 ハードウェア・セキュリティの失敗シナリオ: 潜在的なハードウェアの弱点 (2024.11.13)
こんにちは、丸山満彦です。
NISTが、NIST IR 8517 ハードウェア・セキュリティの失敗シナリオ: 潜在的なハードウェアの弱点を公表していますね... 6月に意見募集していたものが最終化されたようです。
CWEも含めて、ここまで情報収集、分析、整理、文書化、公表できるリソースがすごいね...
● NIST - ITL
・2024.11.13 NIST IR 8517 Hardware Security Failure Scenarios: Potential Hardware Weaknesses
| NIST IR 8517 Hardware Security Failure Scenarios: Potential Hardware Weaknesses | NIST IR 8517 ハードウェア・セキュリティの失敗シナリオ: 潜在的なハードウェアの弱点 |
| Abstract | 概要 |
| Hardware is often assumed to be robust from a security perspective. However, chips are both created with software and contain complex encodings (e.g., circuit designs and firmware). This leads to bugs, some of which compromise security. This publication evaluates the types of vulnerabilities that can occur and leverages existing work on hardware weaknesses. For each type, a security failure scenario is provided that describes how the weakness could be exploited, where the weakness typically occurs, and what kind of damage could be done by an attacker. The 98 failure scenarios provided demonstrate the extensive and broadly distributed possibilities for hardware-related security failures. | ハードウェアはセキュリティの観点から堅牢であると想定されることが多い。しかし、チップはソフトウェアで作成され、複雑な符号化(例えば、回路設計やファームウェア)を含んでいる。このためバグが発生しやすく、その中にはセキュリティを脅かすものもある。本書は、起こりうる脆弱性のタイプを評価し、ハードウェアの脆弱性に関する既存の研究を活用する。各タイプについて、その弱点がどのように悪用されうるか、その弱点が通常どこで発生するか、攻撃者がどのような損害を与えうるかを記述したセキュリティ障害シナリオが提供されている。提供された98の失敗シナリオは、ハードウェア関連のセキュリティ失敗の可能性が広範かつ広範囲に分散していることを示している。 |
・[PDF] IR.8517
目次...
| Abstract | 要旨 |
| Keywords | キーワード |
| Reports on Computer Systems Technology | コンピュータ・システム技術に関するレポート |
| Audience | 聴衆 |
| Patent Disclosure Notice | 特許開示通知 |
| Table of Contents | 目次 |
| List of Figures | 図表一覧 |
| 1. Introduction | 1.はじめに |
| 2. Background | 2.背景 |
| 2.1. Weaknesses vs. Vulnerabilities | 2.1.弱点と脆弱性 |
| 2.2. Weakness Data Fields | 2.2.弱点データフィールド |
| 2.3. Weakness Abstractions | 2.3.弱さの抽象化 |
| 2.4. Weakness Views | 2.4.弱さの見方 |
| 2.4.1. Hardware Design View | 2.4.1.ハードウェア設計ビュー |
| 2.4.2. Research Concepts View | 2.4.2.研究コンセプト |
| 2.4.3. Simplified Mapping of Published Vulnerabilities View | 2.4.3.公表された脆弱性ビューの簡易マッピング |
| 3. Technical Approach | 3.技術的アプローチ |
| 3.1. Concept of Hardware Security Failure Scenarios | 3.1.ハードウェア・セキュリティの故障シナリオの概念 |
| 3.1.1. Determining How Weaknesses Occur | 3.1.1.弱点がどのように発生するかを見極める |
| 3.1.2. Determining Where Weaknesses Occur | 3.1.2.弱点がどこにあるかを見極める |
| 3.1.3. Determining What Damage Weaknesses Allow | 3.1.3.どのようなダメージの弱さが許容されるかを判断する |
| 3.2. Creating Hardware Weakness Subgraphs | 3.2.ハードウェアの弱点サブグラフを作成する |
| 4. Hardware Security Failure Scenarios | 4.ハードウェア・セキュリティの失敗シナリオ |
| 4.1. Improper Access Control | 4.1.不適切なアクセス制御 |
| 4.2. Improper Adherence to Coding Standards | 4.2.コーディング基準の不適切な遵守 |
| 4.3. Improper Check or Handling of Exceptional Conditions | 4.3.例外条件の不適切なチェックまたは処理 |
| 4.4. Improper Control of a Resource Through its Lifetime | 4.4.リソースのライフタイムを通じての不適切な管理 |
| 4.5. Incorrect Comparison | 4.5.誤った比較 |
| 4.6. Insufficient Control Flow Management | 4.6.不十分なコントロールフロー管理 |
| 4.7. Protection Mechanism Failure | 4.7.保護機構の故障 |
| 5. Categories of Hardware Design Weaknesses | 5.ハードウェア設計の弱点のカテゴリー |
| 5.1. Core and Compute Issues | 5.1.コアとコンピュートの問題 |
| 5.2. Cross-Cutting Problems | 5.2.横断的な問題 |
| 5.3. Debug and Test Problems | 5.3.デバッグとテストの問題 |
| 5.4. General Circuit and Logic Design Concerns | 5.4.一般的な回路と論理設計の問題点 |
| 5.5. Integration Issues | 5.5.統合の問題 |
| 5.6. Manufacturing and Life Cycle Management Concerns | 5.6.製造とライフサイクル管理に関する懸念 |
| 5.7. Memory and Storage Issues | 5.7.メモリとストレージの問題 |
| 5.8. Peripherals, On-Chip Fabric, and Interface/IO Problems | 5.8.ペリフェラル、オンチップ・ファブリック、インターフェース/IOの問題 |
| 5.9. Physical Access Issues and Concerns | 5.9.物理的アクセスの問題と懸念 |
| 5.10. Power, Clock, Thermal, and Reset Concerns | 5.10.電源、クロック、熱、リセットに関する懸念 |
| 5.11. Privilege Separation and Access Control Issues | 5.11.特権分離とアクセス制御の問題 |
| 5.12. Security Flow Issues | 5.12.セキュリティ・フローの問題 |
| 5.13. Security Primitives and Cryptography Issues | 5.13.セキュリティ・プリミティブと暗号化の問題 |
| 6. Comparison With Software Weaknesses | 6.ソフトウェアの弱点との比較 |
| 7. Software Assurance Trends Categories | 7.ソフトウェア保証の動向カテゴリー |
| 8. Conclusion | 8.結論 |
| References | 参考文献 |
| General References | 参考文献 |
| CWE References | CWEリファレンス |
| Appendix A. List of Symbols, Abbreviations, and Acronyms | 附属書A記号、略語、頭字語のリスト |
| Appendix B. Analysis of the Complete Hardware Weakness Graph | 附属書B.完全なハードウェア弱点グラフの分析 |
| B.1. Hardware Design Category Overlay | B.1.ハードウェアデザインカテゴリーのオーバーレイ |
| B.2. Comparison of View-1000 and View-1194 Relationships | B.2.View-1000 と View-1194 の関係の比較 |
| Appendix C. Weakness Hierarchy — Improper Access Control | 附属書 C.脆弱性の階層 - 不適切なアクセス制御 |
| Appendix D. Weakness Hierarchy — Improper Adherence to Coding Standards | 附属書D.弱点の階層-コーディング基準の不適切な遵守 |
| Appendix E. Weakness Hierarchy — Improper Check or Handling of Exceptional Conditions | 附属書E.脆弱性の階層 - 例外的状況の不適切なチェックまたは処理 |
| Appendix F. Weakness Hierarchy — Improper Control of a Resource Through its Lifetime | 附属書F.弱さの階層-資源の有効期間を通じての不適切な管理 |
| Appendix G. Weakness Hierarchy — Incorrect Comparison | 附属書G.弱点ヒエラルキー - 間違った比較 |
| Appendix H. Weakness Hierarchy — Insufficient Control Flow Management | 附属書H.脆弱性の階層-不十分なコントロールフロー管理 |
| Appendix I. Weakness Hierarchy — Protection Mechanism Failure | 附属書I.弱さの階層-プロテクション・メカニズムの失敗 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.06.18 米国 NIST IR 8517(初期公開ドラフト) ハードウェアセキュリティの失敗シナリオ: ハードウェア設計における潜在的な弱点
Comments