A Conditional Timing Protection Level: Holdover-Limited Undetected Time Error Under GNSS Spoofing

Questo articolo affronta la vulnerabilità critica dei ricevitori di temporizzazione GNSS rispetto agli attacchi di spoofing non rilevati, dimostrando attraverso misurazioni sul campo che i monitor standard possono non segnalare errori temporali significativi e, di conseguenza, propone un "Livello di Protezione della Temporizzazione" (TPL) condizionale che limita l'errore temporale non rilevato basandosi sul coasting dell'oscillatore e su controlli di coerenza indipendenti tra i satelliti, piuttosto che fare affidamento esclusivamente sul monitoraggio del clock autoreferenziale.

L'essenziale

Il Grande Problema: Il Ladro di Tempo "Silenzioso"

Immaginate di avere un orologio da polso molto costoso e di alta precisione che riceve l'ora da una rete satellitare globale (come il GPS). Questo orologio viene utilizzato per gestire sistemi critici, come le reti elettriche o le borse valori.

Il documento inizia con una scoperta spaventosa: Il vostro orologio può mentirvi senza che ve ne accorgiate.

In un recente test del mondo reale (chiamato "JammerTest 2024"), i ricercatori hanno osservato un ricevitore di alta gamma venire "manipolato" (spoofing). Ciò significa che un attaccante ha trasmesso segnali satellitari falsi che hanno lentamente portato l'orologio del ricevitore fuori rotta.

• La Realtà: L'orologio era effettivamente sfasato di 1.010.000 nanosecondi (oltre un millisecondo).
• La Bugia: Il controllo di "salute" interno del ricevitore diceva all'utente: "Non preoccuparti, sono accurato entro 51 nanosecondi".

Il ricevitore si sbagliava di un fattore di 20.000. Era come il tachimetro di un'auto che segna "0 mph" mentre l'auto sta correndo in autostrada a 100 mph, e la spia "Check Engine" è ancora verde.

Perché non possiamo semplicemente fidarci del ricevitore?

Gli autori spiegano che i controlli di sicurezza standard (chiamati "RAIM") sono progettati per rilevare errori nella posizione (dove ti trovi), non errori nel tempo quando l'errore è condiviso da tutti i satelliti.

L'Analogia:
Immaginate un coro in cui ogni cantante tiene in mano uno spartito. Se un cantante inizia a cantare leggermente fuori tono, il direttore (il ricevitore) può sentire la discordanza e correggerla.
Ma, se un cattivo si intrufola e cambia silenziosamente lo spartito per ogni singolo cantante esattamente nello stesso momento, l'intero coro rimarrà perfettamente in armonia tra di sé. Il direttore non sente alcuna discordanza, quindi pensa che tutto sia a posto. Nel frattempo, l'intero coro sta cantando la canzone sbagliata.

Poiché i segnali falsi sono "coerenti" (si muovono insieme), il ricevitore non vede conflitti e non lancia mai l'allarme, anche mentre il tempo si scosta sempre di più.

La Verità "Impossibile"

Il documento dimostra un fatto matematico difficile: Non è possibile creare un limite di sicurezza perfetto e finito per questo tipo di attacco se ci si affida solo all'orologio del proprio ricevitore.

L'Analogia:
Immaginate di cercare di misurare quanto velocemente un ladro vi sta rubando i soldi guardando il saldo del vostro conto bancario. Se il ladro ruba solo 1 dollaro all'anno, e il vostro conto bancario fluttua naturalmente di 100 dollari al giorno a causa delle normali spese, non noterete mai il furto. Il ladro può procedere abbastanza lentamente da nascondere il furto all'interno del "rumore" della vostra vita normale.

Gli autori dimostrano che, se un attaccante si muove abbastanza lentamente, può corrompere l'orologio per sempre senza mai far scattare un allarme. Pertanto, un limite di sicurezza "garantito" che funzioni sempre è impossibile.

La Soluzione: Una Rete di Sicurezza "Condizionata"

Poiché una garanzia perfetta è impossibile, gli autori propongono un Livello di Protezione Temporale (TPL) Condizionato. Si tratta di un limite di sicurezza che funziona solo se si dispone di un tipo specifico di rilevatore di backup.

L'Analogia:
Invece di ascoltare solo il coro (l'orologio interno del ricevitore), assumete un secondo osservatore indipendente che sta fuori dalla stanza.

1. Il Rilevatore: Questo osservatore non si cura se i cantanti sono in sintonia tra di loro. Confronta i cantanti con un riferimento completamente diverso (come la registrazione della canzone originale). Se i cantanti si allontanano dalla canzone originale, anche se sono ancora in sintonia tra di loro, questo osservatore alza una bandiera rossa.
2. La Rete di Sicurezza (TPL): Una volta che l'osservatore ha alzato la bandiera, il ricevitore smette di fidarsi dei segnali falsi e passa al proprio orologio interno alimentato a batteria (chiamato "holdover").

Il TPL risponde alla domanda: "Se l'osservatore alza la bandiera, di quanto potrebbe essersi sfasato l'orologio nei pochi secondi necessari al ricevitore per passare alla batteria?"

La risposta è: Molto poco.

• Il documento calcola che, anche se il passaggio richiede 60 secondi, l'errore sarebbe di circa 458 nanosecondi.
• Questo è migliaia di volte meglio dell'errore di 1.000.000 di nanosecondi che il ricevitore avrebbe accettato senza il rilevatore di backup.

Come Funziona (La Matematica in Parole Semplici)

La formula per questo limite di sicurezza ha due parti:

1. Il "Pavimento" (Floor): Quanto è sensibile il vostro rilevatore di backup? (Nel test, poteva rilevare una differenza di circa 22 nanosecondi).
2. La "Navigazione a Vista" (Coast): Quanto deriva il vostro orologio interno mentre funziona a batteria prima di essere sistemato? (Questo dipende dalla qualità dell'oscillatore dell'orologio).

Il limite di sicurezza totale è semplicemente: La Sensibilità del Rilevatore + La Deriva dell'Orologio.

Il Rovescio della Medaglia (Limitazioni)

Gli autori sono molto onesti su ciò che la loro soluzione non fa:

• Non è uno scudo magico: Funziona solo se il rilevatore di backup effettivamente cattura l'attacco. Se l'attaccante è incredibilmente sofisticato e imita perfettamente il "rumore" del mondo reale, il rilevatore potrebbe mancare il colpo.
• Non è una garanzia certificata: A differenza degli standard di sicurezza aeronautica che promettono un livello di rischio specifico (ad esempio, "1 possibilità su un milione di fallimento"), questa è una valutazione ingegneristica basata su dati reali. È una "migliore stima" basata sull'attrezzatura specifica testata, non una legge universale.
• Richiede dati reali: I numeri di sicurezza forniti (come i 458 nanosecondi) sono calcolati in base all'orologio specifico utilizzato nel test. Se si utilizza un orologio più economico o diverso, i numeri cambiano.

Riassunto

Il documento afferma: "Non fidatevi della luce 'sono a posto' del vostro ricevitore GPS quando si tratta del tempo. Può essere ingannato silenziosamente. Tuttavia, se aggiungete un controllore intelligente e indipendente che confronta i segnali tra loro, potete limitare il danno a una quantità minima e gestibile, anche se l'attaccante è molto lento e subdolo."

I ricercatori hanno reso il loro codice e i loro dati open-source in modo che altri possano verificare questi numeri e costruire sistemi migliori.

Sommario tecnico

Sintesi Tecnica: Un Livello di Protezione Temporale Condizionale per GNSS sotto Spoofing

Enunciato del Problema
Le infrastrutture critiche si affidano sempre più al sistema di navigazione satellitare globale (GNSS) per la sincronizzazione temporale precisa. Tuttavia, un attacco di spoofing coordinato e coerente presenta una minaccia unica per i ricevitori temporali: può trascinare lentamente l'ora del clock servito (un rampante di modo comune) mantenendo al contempo una soluzione di posizione pulita e mantenendo i flag di integrità interni del ricevitore su "verde". A differenza degli errori nel dominio della posizione, che creano residui geometrici rilevabili dal Monitoraggio dell'Integrità Autonoma del Ricevitore (RAIM), uno spoofer di sincronizzazione temporale coerente pilota tutti i satelliti in modo coerente. Ciò consente al ricevitore di assorbire interamente l'errore nella sua stima del clock, lasciando senza residui di distanza. Di conseguenza, un ricevitore può riportare un'elevata accuratezza temporale (ad esempio, 51 ns) pur servendo un errore temporale di ordini di grandezza superiore (ad esempio, ~1 ms). Il documento affronta la mancanza di un limite quantitativo sull'errore temporale non rilevato sotto tali attacchi.

Metodologia
Gli autori impiegano un approccio a tre pilastri che combina l'analisi di dati sul campo, dimostrazioni di impossibilità teorica e un framework di limite condizionale:

1. Misurazione sul Campo: Utilizzando un dataset pubblico dalla campagna JammerTest 2024, gli autori hanno ricostruito la traiettoria della soluzione del clock di un ricevitore u-blox ZED-F9P di classe survey. Hanno risolto l'offset del clock utilizzando pseudorange L1 grezzi, una posizione dual-band fissa e pulita, ed ephemeris broadcast, confrontando il risultato con un'estrapolazione di holdover del segmento pre-attacco.
2. Analisi Teorica: Il documento stabilisce un risultato di impossibilità riguardante i limiti incondizionati. Dimostra che contro un avversario libero di scegliere il tasso di rampa, un monitor assistito dal clock autoreferenziale (uno che confronta la soluzione corrente con un riferimento disciplinato) non può limitare l'errore. Una rampa sufficientemente lenta mantiene il riferimento disciplinato "in sincronia" con l'attacco, impedendo qualsiasi allarme mentre l'errore integrato cresce senza limiti.
3. Costruzione del Limite Condizionale: Per superare l'impossibilità, gli autori propongono un Livello di Protezione Temporale (TPL). Questo è un limite condizionale che regge dato il rilevamento da parte di un monitor di coerenza cross-satellite indipendente e model-free. Il TPL è definito come la somma di due termini:
   • Floor di Rilevabilità: Il piano statico di offset $k$-sigma del monitor cross-satellite (l'errore massimo che il monitor non riesce a segnalare).
   • Incertezza di Holdover: L'incertezza di deriva dell'oscillatore (varianza dell'errore di fase) accumulata durante la latenza di rilevamento ($\tau_{det}$), calcolata utilizzando l'integrazione della matrice esponenziale di van Loan delle densità spettrali di potenza dell'oscillatore (derivate dall'Allan deviation misurata).

Contributi Chiave

1. Quantificazione del Gap Empirico: Lo studio documenta un attacco reale in cui un ricevitore ha servito un errore temporale di circa 1,01 ms mentre riportava un'accuratezza dichiarata di 51 ns. Questo rappresenta un gap tra affermazione e realtà di circa $2 \times 10^4$, dimostrando che l'autovalutazione standard del ricevitore è insufficiente per l'integrità temporale sotto spoofing coerente.
2. Osservazione di Impossibilità: Il documento argomenta formalmente che non esiste alcun limite incondizionato finito per l'errore temporale non rilevato sotto un singolo monitor autoreferenziale contro una rampa a tasso non vincolato. Ciò rende necessario un approccio condizionale.
3. Il Livello di Protezione Temporale (TPL): Gli autori definiscono e calibrano un limite condizionale. Il TPL è un "budget di holdover" che rappresenta l'errore massimo che può accumularsi dopo che un monitor model-free ha attivato un allarme ma prima che il sistema si riprenda.
   • Calibrazione: Sull'attacco registrato, il TPL è stato calcolato come 114 ns con una latenza di recupero di 1 secondo e 458 ns con una latenza di 60 secondi (con una banda mobile fino a 1205 ns per tenere conto dell'incertezza del rumore rosso a lungo tau).
   • Confronto: Questi valori sono da 2.200 a 8.800 volte più piccoli dell'errore di 1,01 ms che il ricevitore ha accettato silenziosamente.
4. Analisi delle Prestazioni del Monitor: Lo studio confronta due strategie di monitoraggio:
   • Test Sequenziale Assistito dal Clock (CUSUM): Sulla rampa lenta registrata, questo test ha fornito essenzialmente nessuna protezione (fattore di protezione di 1x), segnalando l'allarme solo dopo che era già stato accumulato circa 993 µs di errore.
   • Coerenza Cross-Satellite Model-Free: Questo monitor ha rilevato l'attacco durante la rampa (minuti prima della cattura) identificando le inconsistenze differenziali che uno spoofer coerente non poteva sopprimere perfettamente.

Risultati e Significato
Il documento conclude che, sebbene il flag di integrità interno di un ricevitore non sia un limite di sicurezza, un limite condizionale è realizzabile. Il TPL fornisce una stima riproducibile e in forma chiusa del massimo errore temporale non rilevato, a condizione che sia attivo un monitor cross-satellite model-free e che le caratteristiche di holdover dell'oscillatore siano note.

Gli autori sono espliciti riguardo ai limiti e ai confini delle loro affermazioni:

• Natura Condizionale: Il limite è strettamente condizionato dal rilevamento dell'attacco da parte del monitor model-free. Il documento non caratterizza la probabilità di mancato rilevamento di questo monitor contro un avversario ottimamente coerente.
• Nessun Budget di Rischio di Integrità: A differenza dei livelli di protezione aeronautica, il TPL non possiede un budget certificato di rischio di integrità per ora (ad esempio, $10^{-7}$/ora). È un limite ingegneristico basato su primitive calibrate, non una garanzia certificata.
• Calibrazione vs. Validazione: Il limite è calibrato su un singolo attacco registrato e su un ricevitore/oscillatore specifico. Non è stato validato sul campo contro errori temporali di verità fondamentale (ground-truth) su una popolazione di ricevitori e attacchi.
• Incertezza di Long-Coast: Per latenze di rilevamento prolungate, il limite è governato dal floor del rumore rosso a lungo tau dell'oscillatore, che è riportato come una banda mobile piuttosto che come un singolo valore scalare.

La significatività del lavoro risiede nello spostamento del paradigma dalla ricerca di un impossibile limite incondizionato al fornire un rigoroso "budget di holdover" condizionale che quantifica il rischio durante la fase di recupero di un evento di spoofing. La costruzione, inclusi il simulatore Kshana e gli esempi di calibrazione, è open-source per facilitare la riproducibilità e ulteriori ricerche sulla rilevabilità del monitor e sulla copertura empirica.