An Approach for Safe and Secure Software Protection Supported by Symbolic Execution

Dit artikel introduceert een nieuwe methode voor het beveiligen van industriële besturingssoftware door middel van een hardware-software-binding op basis van fysiek niet-klooneerbare functies (PUF's) en symbolische uitvoering, die ervoor zorgt dat het programma alleen correct werkt op de doelhardware en veilig is tegen reverse engineering.

De kern

Hier is een uitleg van het artikel in eenvoudig Nederlands, met behulp van creatieve vergelijkingen om het concept begrijpelijk te maken.

De Kern: Een Software-Slot dat alleen op de juiste Sleutel werkt

Stel je voor dat je een heel waardevol recept hebt voor een gerecht dat alleen perfect smaakt als je het in je eigen keuken bereidt, met jouw specifieke oven en je eigen unieke set potten. Als iemand anders dit recept kopieert en probeert te koken in hun eigen keuken, moet het eten er anders uitzien en anders smaken, maar het mag nooit giftig worden of de keuken in brand steken.

Dat is precies wat deze wetenschappers hebben bedacht voor industriële software. Ze hebben een methode ontwikkeld om software te "vergrendelen" op de specifieke machine waarvoor hij is gemaakt. Als iemand de software steelt en op een andere computer probeert te draaien, werkt hij niet meer goed, maar hij crasht ook niet. Hij doet gewoon iets anders, maar veilig.

Hoe werkt het? De "Vingerafdruk" van de Hardware

Om dit te doen, maken ze gebruik van iets dat PUF (Physically Unclonable Function) heet.

• De Analogie: Denk aan de vingerafdruk van een mens. Geen twee mensen hebben exact dezelfde. Zelfs als je twee identieke computers bouwt, zijn ze door microscopische verschillen in de fabricage (zoals stofdeeltjes of temperatuurverschillen tijdens het maken) uniek.
• In de praktijk: De software vraagt aan de computer: "Wie ben jij?" De computer geeft een antwoord op basis van zijn unieke fysieke eigenschappen. Dit antwoord is als een digitale vingerafdruk die niet gekopieerd kan worden.

Het Probleem: Wat als de software op de verkeerde plek staat?

Normaal gesproken, als je software op de verkeerde computer zet, kan het gebeuren dat de software "dwaalt" en een verkeerde beslissing neemt. In een fabriek kan dat leiden tot een ongeluk (bijvoorbeeld: een robotarm die te hard slaat).

De auteurs zeggen: "Nee, dat mag niet." Zelfs als de software op een gestolen computer draait, moet hij veilig blijven.

De Oplossing: De "Veilige Gids" (Symbolische Executie)

Hier komt de slimme truc van de auteurs. Ze gebruiken een techniek die Symbolische Executie heet.

• De Vergelijking: Stel je voor dat je een spookhuis doorloopt. Normaal loop je één pad. Maar met symbolische executie loop je alle mogelijke paden tegelijkertijd in je hoofd na, voordat je echt een stap zet. Je kijkt vooruit: "Als ik hier links ga, val ik in een put. Als ik rechts ga, kom ik veilig uit."
• In de software: Voordat de software een beslissing neemt (bijvoorbeeld: "Ga naar de volgende stap"), checkt hij met deze "spookhuis-methode" of die stap veilig is.
  • Op de juiste machine: De PUF geeft het juiste antwoord, en de software mag de normale, efficiënte route nemen.
  • Op een gestolen machine: De PUF geeft een verkeerd antwoord. De software denkt dan: "Oh, dit is niet mijn huis. Ik mag niet de normale route nemen, want dat is gevaarlijk." In plaats daarvan kiest hij willekeurig een andere, veilige route.

Het resultaat? De software doet iets vreemds en onvoorspelbaars op de gestolen machine, maar het breekt niets en niemand komt tot letsel. Voor een dief is het dus zinloos om de software te kopiëren, want hij werkt niet zoals hij zou moeten, en het is extreem moeilijk om uit te zoeken hoe je de "veilige routes" omzeilt.

Waarom is dit zo slim?

1. Veiligheid eerst: Zelfs als de software gestolen wordt, blijft hij veilig voor de omgeving (geen ongelukken).
2. Moeilijk te kraken: Omdat de software op een gestolen machine willekeurig (maar veilig) gedrag vertoont, is het voor hackers een nachtmerrie om uit te zoeken hoe de originele logica werkte. Het is alsof je probeert een raadsel op te lossen waarbij de antwoorden elke keer een beetje veranderen, maar nooit tot een ongeluk leiden.
3. Geen crashen: Veel oude beveiligingsmethoden laten de software gewoon crashen als hij op de verkeerde plek staat. Dat is gevaarlijk in de industrie. Deze methode zorgt ervoor dat de software "zachtjes" blijft werken, maar dan op een manier die voor de dief nutteloos is.

Conclusie

De auteurs hebben een manier gevonden om industriële software te beschermen alsof het een uniek kunstwerk is dat alleen in zijn eigen museum (de juiste machine) kan worden bewonderd. Als iemand het probeert te stelen, wordt het schilderij "verkleurd" en onherkenbaar, maar het valt niet uit elkaar. Dankzij slimme wiskunde (symbolische executie) weten ze zeker dat het schilderij nooit gevaarlijk wordt, zelfs niet voor de dief.

Dit maakt het voor dieven te duur en te moeilijk om de software te stelen, terwijl de fabriek veilig blijft draaien.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "An Approach for Safe and Secure Software Protection Supported by Symbolic Execution" in het Nederlands.

Titel: Een Aanpak voor Veilige en Beveiligde Softwarebescherming Ondersteund door Symbolische Executie

1. Het Probleem

Industriële reverse engineering vormt een ernstige bedreiging voor intellectueel eigendom (IP), met geschatte jaarlijkse verliezen van miljarden euro's. Hoewel het kopiëren van hardware vaak complex is, kan industriële software vaak letterlijk (verbatim) worden gekopieerd zonder dat reverse engineering nodig is.
De huidige uitdaging is het ontwikkelen van een methode om software te "binden" aan specifieke hardware, zodat deze alleen correct functioneert op de beoogde machine. Bestaande oplossingen (zoals die van Xiong et al.) gebruiken vaak dynamische PUFs (Physically Unclonable Functions) en checksums om de uitvoeringsflow te verstoren bij onjuiste hardware. Een groot nadeel van deze aanpak is echter dat het kan leiden tot onveilig gedrag of crashes als de PUF-respons niet overeenkomt met de verwachtingen. Voor industriële besturingssystemen is het echter cruciaal dat software, zelfs als deze op de verkeerde hardware draait of als de PUF een foutieve respons geeft, altijd veilig blijft (bijv. geen botsende verkeerslichten veroorzaken).

2. Methodologie

De auteurs introduceren een nieuwe kopieerbeveiligingsmethode die twee kerncomponenten combineert: Physically Unclonable Functions (PUFs) en Symbolische Executie.

• Hardware-Software Binding via PUF:
  De methode gebruikt PUFs, hardware-gebaseerde beveiligingsprimitieven die unieke digitale vingerafdrukken genereren op basis van onbedoelde fysieke variaties tijdens de fabricage. De software vraagt de PUF om een respons op een specifieke "challenge". Alleen op de originele hardware is deze respons voorspelbaar en correct.
• Symbolische Executie voor Veiligheidsgarantie:
  In plaats van te vertrouwen op een vaste jump-address (wat onveilig kan zijn), gebruikt de methode symbolische executie om te garanderen dat de software altijd binnen veilige grenzen blijft, zelfs als deze op de verkeerde hardware draait.
  • De software wordt gemodelleerd als een Control State Abstract State Machine (ASM).
  • Bij elke stap in de besturingsflow (waar de software normaal gesproken naar een volgende toestand zou springen), wordt in plaats daarvan de PUF-respons opgevraagd.
  • Als de PUF-respons overeenkomt met de verwachte toestand, wordt de correcte overgang uitgevoerd.
  • Als de respons niet overeenkomt (bijv. op gekloonde hardware of bij een PUF-fout), kiest de software niet willekeurig een nieuwe toestand, maar kiest deze een willekeurige toestand uit een vooraf berekende set van veilige toestanden (safePhases).
• Berekening van Veilige Toestanden:
  De set van veilige toestanden wordt bepaald door de ASM-symbolisch uit te voeren. Hierbij worden alle mogelijke paden geanalyseerd om te bepalen welke overgangen leiden tot een schending van de veiligheidsvoorwaarden (bijv. GoLight(1) = GoLight(2) = true). Alleen overgangen die deze voorwaarden niet schenden, worden opgenomen in de lijst van toegestane alternatieve toestanden.

3. Belangrijkste Bijdragen

1. Veilig-by-Design Kopieerbeveiliging: De eerste methode die hardware-software binding combineert met een garantie dat de software nooit onveilig gedrag vertoont, zelfs niet bij mislukte binding of reverse engineering.
2. Formele Specificatie met ASM: Het gebruik van Control State ASMs als een formeel raamwerk om zowel de beschermingsmechanismen als de veiligheidsinvarianten te specificeren en te verifiëren.
3. Geautomatiseerde Transformatie: Een algoritme (in 7 stappen beschreven) dat een standaard ASM-specificatie omzet in een beveiligde versie. Dit algoritme:
   • Koppelt besturingsstaten aan PUF-challenges.
   • Vervangt directe statenovergangen door een ChooseCtlState-routine die de PUF raadpleegt.
   • Gebruikt symbolische executie om de verzameling safeCtlStates te genereren.
4. Resistentie tegen Reverse Engineering: De methode maakt het voor een aanvaller extreem moeilijk om de originele logica te reconstrueren, omdat de uitvoering op niet-gematchte hardware niet crasht, maar wel onvoorspelbaar en incorrect (maar veilig) gedrag vertoont.

4. Resultaten en Evaluatie

• Veiligheid: De veiligheid is "by construction" gegarandeerd. De symbolische executie bewijst dat elke mogelijke uitvoeringspad, inclusief die op gekloonde hardware, voldoet aan de opgelegde veiligheidsinvarianten.
• Beveiliging (Security):
  • Static Analysis: Het is voor een aanvaller onmogelijk om de PUF-responsen te voorspellen door alleen de binary te analyseren, omdat de PUF uniek is voor elke hardware-eenheid. Het reconstrueren van de logica via gedecompileerde code is zeer tijdrovend en complex, vooral bij complexe besturingsalgoritmen.
  • Dynamic Analysis: Zelfs als een aanvaller toegang heeft tot de originele hardware, is het traceren van de volledige correcte flow tijdrovend. Bovendien kan dynamische analyse (zoals het monitoren van geheugentoegang voor DRAM-based PUFs) de PUF-responsen zelf verstoren.
• Voorbeeld: De auteurs demonstreren de methode met een algoritme voor een eenrichtingsverkeerslicht. Ze tonen aan hoe de methode voorkomt dat beide lichten tegelijk op groen springen (een veiligheidsrisico), zelfs als de software op de verkeerde machine draait.

5. Betekenis en Toekomstperspectief

Deze paper biedt een doorbraak in de beveiliging van industriële software, waar veiligheid (safety) vaak voorrang heeft boven pure beveiliging (security). De methode lost het dilemma op waarbij beveiligingsmaatregelen vaak leiden tot onstabiele of onveilige systemen bij falen.

Toekomstig werk omvat:

• Toepassing op industriële casestudies om de schaalbaarheid te testen.
• Automatisering van het identificeren van besturingsstaten en het vertalen van veiligheidsvoorwaarden naar symbolische vormen.
• Optimalisatie van de berekening van veilige toestanden (stap 7 van het algoritme) om te voorkomen dat complexe logische formules de responstijd van de software negatief beïnvloeden (mogelijk met behulp van SMT-solvers).

Kortom, de auteurs presenteren een robuuste, formeel onderbouwde aanpak die industriële software niet alleen beschermt tegen diefstal, maar ook garandeert dat deze, zelfs in geval van misbruik, geen fysieke schade aanricht.