> Пример с центрифугами нужно "отмасштабировать"с учетом текущего уровень взаимопроникновения IT-системНа самом деле проблема тех центрифуг, имхо, в том что атакующие сильно превосходили уровнем защищающихся. Какие при этом шансы отбить налет или даже оценить проблемы - не знаю.
А если по пути МК с task specific фирмварью? Под ту инсталляцию? Где safe operating area машины жестко вшит в код, на потуги вылезти за нее "unwilling to perform" + аларм? Как вы разнесете инсталляцию софтом? Не моя идея, подходы некоторых индустриалов. Самое странное - "safety", а не "security", однако в таком случае результат атаки продаунгрейдится до околонулевого и весь пойнт этим заниматься отпадет. Много долбаться для того чтобы заставить иранцев понервнивать от аларма аж 15 минут, без урона железке - не выглядит перспективно.
> и отсутствие со стороны производителя чипов защищаться так, как это
> делали иранцы (никаких общих проводов и т.п.).
АНБ может добыть сорец фирмвар и SDK, провернуть специоперации, подготовить поляну, удобно и годно. Есть уйма времени, можно неспешно разобраться, толпой народа. Это звучит реально и работоспособно.
А если это непойми чей дизайн, для чипмейкера, который в дизайне ноль, надо в обозримое время заказ отгрузить - условия куда менее удобные. Поляна не подготовлена, изучать долго, время жмет. По моим наблюдениям это фактор: если нет избыточного инженерного ресурса, бэкдоры "маловероятны". Вот если это грузить на фабу интела... у этих явно переизбыток ресурсов и компетенция во всех нужных областях. И вот это уже "опасно".
> Плюс принципиальная дырявость wifi, 99% реализаций синезуба и т.п.
Для себя я сделал примерно такой вывод: этого не должно быть как минимум в last line of defence. Сложные протоколы, мутное фирмваре делающее неизвестно что по пути. Обещает что угодно кроме безопасности.
> И новых уже понаделали и еще больше понапридумывали.
Я бы удивился, если бы это было не так.
> Т.е. пропорция "одна жопа - один палец" стала обратной )
Если совсем не понятно - сделать максимально неудобно, нетривиально и чревато в эксплуатации, вплоть до обфускации дизайна? Если нельзя выиграть влобовую - значит надо опробовать другой путь, и чем проще для защищаюшегося и сложнее и неудобнее для атакующего тем лучше. Disclaimer: я не чипмейкер, слегка поинтересовался азами, но не более того.