Bitcoin、Tor、またはDebianパッケージリポジトリで使用されているような再現可能なビルドは、インストールするバイナリが、コンパイル元のソースコードと正確に一致することを確認することを目的としています。このようにして、コンパイルプロセス中にサイレントに挿入されたバックドアがソフトウェアにないことを確認しようとします。
マザーボード、特にCPUなどのハードウェアコンポーネントでこのようなことを実現できますか?
完全にオープンなハードウェアを構築する場合(つまり、すべての設計ドキュメントがオープンであり、必要なツールがあれば誰でもゼロから構築できることを意味します。RISC-Vを参照)、「証明」する方法はありますか。または、特定のハードウェアが、開いているドキュメントで正確に記述されていることを実際に確認しますか?製造プロセス中にコンポーネントが改ざんされていないことをどういうわけか確認できますか?
そうではない、または少なくともそれは非常に難しい。
最近、 ステルスドーパントレベルのハードウェアトロイの木馬 に関する研究論文が発表されました。これは、チップを改ざんされていないユニットと光学的に比較しても、検出が非常に難しいハードウェアにトロイの木馬を含める方法を示しています。それを見つけることができませんでした。概要については論文の要約を読み、使用され、回避できる検証方法について詳しく知りたい場合は、すべてを読んでください。
同じ設計図を持つA社とB社によって作成されているオープンソースチップがあり、いずれかの会社がドーパントレベルのトロイの木馬を含めることを決定した場合、ユーザーはトロイの木馬を検出する可能性がほとんどありません。テスト用のツールは高価であり(電子顕微鏡のように、つまり本当に高価です)、それでも失敗する可能性があります。ハードウェアトロイの木馬は、機能テストを使用して見つけることがほとんど不可能な非常にまれな状況によってトリガーされます。
このレベルのハードウェアトロイの木馬は、まだ実際には見られていません。それらが存在しない可能性がありますが、それらが検出されていないか、それらの開示が公開されていない可能性もあります。