Designar chip för ett säkrare Internet of Things

Den snabba digitaliseringen skapar omfattande samhällsrisker eftersom både hårdvara mjukvara i elektroniska produkter kan ha stora brister i sin säkerhet. Till det kommer faran med Europas nästan totala importberoende av mikrochips, något som EU har som mål att bryta. Octopi på Chalmers ligger i frontlinjen för att utveckla system där säkerheten byggs in från början.

Det digitaliserade samhället är här och allt fler tjänster och produkter blir uppkopplade och sammankopplade. Sakernas internet, IoT, ger fördelar men skapar också stora risker då alla enheter som är anslutna till internet potentiellt ligger öppna för cyberattacker. Angreppen kan komma från allt från vanliga hackers, till organiserad brottslighet och fientliga stater. Många gånger kan de få förödande konsekvenser.

Gamla brister
Ett problem idag är att systemen brottas med gamla brister som byggts in i hård- och mjukvara sedan datorernas begynnelse. På SSF-finansierade Octopi vid Chalmers arbetar forskarna för att utveckla hårdvara och mjukvara som utvecklas synkroniserat genom co-design och som är säkra från start.
– Vårt mål är att skapa IT-system för ett tillförlitligt och säkert IoT. Många människor har inte förstått vilka faror som finns i dagens uppkopplade samhälle. Vi använder oss dagligen av en mängd uppkopplade apparater och är inte alltid medvetna om att man faktiskt inte kan lita på sin dator, mobil, bil och andra enheter. Tyvärr finns en övertro på den nya teknologin, säger Carl-Johan Seger, professor i datorvetenskap och WASP-professor på Chalmers. Efter en lång karriär inom såväl industrin som akademin i Nordamerika och Storbritannien är han tillbaka på det lärosäte där han som ung student påbörjade sina studier. Han fortsätter:
– Idag har vi ett lapptäcke av olika lösningar. Inom Octopi utvecklar vi hårdvara och mjukvara som är gjorda för att användas tillsammans och som passar ihop som legobitar. Det är ovanligt att inom ett och samma forskningsprojekt fokusera på båda dessa områden.
När det gäller programvara arbetar forskarna i Octopi med att ersätta lågnivåspråk, som ofta är behäftat med en rad svagheter, med högnivåspråk. Carl-Johans Segers expertis gäller hårdvara och hans mål är att bygga en verifierad krets som gör det omöjligt för hackare att ta sig in.
– Ofta är det mjukvaran man fokuserar på för att öka säkerheten. I mångt och mycket har industrin genom åren struntat i hårdvaran eftersom den är så mycket svårare och kostsammare att ändra på och byta ut. Men nu börjar man vakna upp och inse att hårdvaran är en svag länk, med massvis med sidokanaler som är öppna för attack. Det spelar ingen roll hur mycket man än säkerhetsuppdaterar mjukvaran om hårdvaran inte håller måttet, förklarar han.

Minska importberoende
En annan aspekt är att nästan alla de mikrochip, eller halvledare, som ingår i elektronisk utrustning idag importeras, mestadels från Taiwan. Med de långa, sårbara leveranskedjorna och det spända geopolitiska läget mellan Taiwan och Kina innebär det stora risker för Europa. EU-kommissionen har därför beslutat att Europa ska minska importberoendet av dessa kritiska komponenter och satsa på egen utveckling och produktion.
– Det handlar inte bara om eventuella leveransstörningar, som vi såg under pandemin, utan i hög grad om att skydda sig mot eventuella angrepp. Europa måste ha kontroll över hela produktionskedjan för att industrin här ska kunna lita på en krets. Mikrochips byggs i många steg och varje sådant steg innebär en risk för att man exempelvis bygger in sidokanaler, förklarar Carl-Johan Seger.
Forskarna på Octopi är i stora drag klara med designen av chippet, nu återstår förbättring, finslipning och verifiering.
– Designen av hårdvaran är till 75 procent klar. Men som forskare är man aldrig nöjd och i vårt arbete är det inte själva det fysiska chippet som är det viktigaste, utan vägen dit, avslutar Carl-Johan Seger.
Octopis forskning har fått mycket uppmärksamhet, i Sverige och internationellt. Exempelvis har forskningens resultat presenterats vid flaggskeppskongressen 41st IEEE Symposium on Security & Privacy och tillika 46th ACM SIGPLAN Symposium on Principles of Programming Languages, där den fick en utmärkelse.