智能卡攻擊技術(shù)分析及安全防范策略綜述
文章出處:http://5052h112.com 作者:黃顯明 人氣: 發(fā)表時間:2011年09月23日
1.前言
近年來智能卡市場呈現(xiàn)出以幾何級數(shù)增長的態(tài)勢.智能卡以其特有的安全可靠性,被廣泛應(yīng)用于從單個器件到大型復(fù)雜系統(tǒng)的安全解決方案。然而隨著智能卡的日益普及.針對智能卡的各種專用攻擊技術(shù)也在同步發(fā)展。分析智能卡面臨的安全攻擊,研究相應(yīng)的防范策略,對于保證整個智能卡應(yīng)用系統(tǒng)的安全性有重大的意義
2.智能卡攻擊技了忙及其安呈昕范策略
對智能卡的攻擊可分為三種基本類型:物理攻擊、邊頻攻擊和失效分析攻擊。下面就這三種攻擊技術(shù)的具體實(shí)施方式加以分析。
2.1 物理攻擊
雖然智能卡的所有功能似乎都封閉在單個的芯片中,但是仍然有可能對其實(shí)施反向工程。用于實(shí)施物理攻擊的主要方法包括:
(1)微探針技術(shù):攻擊者通常在去除芯片封裝之后,通過恢復(fù)芯片功能焊盤與外界的電氣連接,最后可以使用微探針獲取感興趣的信號(圖1),從而分析出智能卡的有關(guān)設(shè)計(jì)信息和存儲結(jié)構(gòu),甚至直接讀取出存儲器的信息進(jìn)行分析 。
英飛凌公司的所有智能卡芯片都提供很強(qiáng)的防刺探機(jī)制,采用復(fù)雜的可被CPU控制的主動屏蔽層技術(shù)覆蓋整個芯片.一旦芯片被刺探,勢必要破壞或干擾主動屏蔽層的正常功能,則CPU可以即時的探測到主動屏蔽層發(fā)出的報警信號,根據(jù)COS的設(shè)定采用不同級別的主動防御措施。新一代的芯片更是采用專有的多層布局結(jié)構(gòu).相當(dāng)于給每層電路都加上各自的主動屏蔽層。目前還沒有采用探針技術(shù)(物理攻擊)破解英飛凌芯片的先例。
圖1芯片探針臺
(2)版圖重構(gòu):利用高倍光學(xué)及射電顯微鏡研究電路的連接模式,可以迅速識別芯片上的一些基本結(jié)構(gòu),如數(shù)據(jù)線和地址線。英飛凌的智能卡芯片采用加密的存儲器設(shè)計(jì)(MED),所有類型的存儲器 RAM、ROM、EEPROM、FLASH等所存儲的信息都是經(jīng)過特殊的加密機(jī)制處理過的,其結(jié)果是即便存儲內(nèi)容被攻擊者非法獲得,這些加密后的信息對攻擊者也是毫無意義的。而且這種被攻擊者直接讀出的概率也是極低的。值得一提的是這種加密存儲器設(shè)計(jì)對用戶是不可見的并由物理實(shí)現(xiàn).開發(fā)者絲毫不需考慮存儲內(nèi)容的加解密,不會給開發(fā)者帶來額外的負(fù)擔(dān)。
物理攻擊是實(shí)現(xiàn)成功探測的強(qiáng)有力手段,但其缺點(diǎn)在于入侵式的攻擊模式.同時需要昂貴的高端實(shí)驗(yàn)室設(shè)備和專門的探測技術(shù)。應(yīng)對物理攻擊的關(guān)鍵在于提高芯片設(shè)計(jì)的復(fù)雜程度和芯片制造的精細(xì)程度。英飛凌的新一代智能卡控制器均采用.13urn 的設(shè)計(jì)工藝。
2 2邊頻攻擊
邊頻攻擊是通過觀察電路中的某些物理量如能量消耗、電磁輻射、時間等的變化規(guī)律來分析智能卡的加密數(shù)據(jù)。邊頻攻擊方法主要包括以下幾種方式:
(1)DPA(Diferential Power Analysis.差分能量分析1DPA攻擊是通過用示波鏡檢測電子器件的能量消耗來獲知其行為的(圖2) DPA攻擊的基礎(chǔ)是假設(shè)被處理的數(shù)據(jù)與能量消耗之問存在某種聯(lián)系,即假設(shè)處理0比1所用不同的能量,那么對兩個不同數(shù)據(jù)執(zhí)行同一算法的兩個能量軌跡會由于輸入數(shù)據(jù)的不同而產(chǎn)生微小的差別,即差分軌跡.其中的峰值時刻即是輸入數(shù)據(jù)產(chǎn)生差別的時鐘周期。如此檢查加密算法的所有輸入以及每一對0和1產(chǎn)生的差分軌跡,就可以識別出它們出現(xiàn)在程序代碼中的確切時間,從而獲取加密密鑰。
圖2 DPA原理示意圖
DPA使得加密算法的內(nèi)部處理過程可以被研究。理論上講,所有加密算法都可用DPA破解.加之這種攻擊方法應(yīng)用十分簡單且只需很小的投資,因此解決DPA問題成為智能卡制造商最急需面對的問題之一。英飛凌的智能卡芯片在設(shè)計(jì)時采用了一種雙軌預(yù)充電邏輯保證數(shù)據(jù)的處理與能量消耗的無關(guān)性.并且對內(nèi)部總線進(jìn)行邏輯加擾和不規(guī)則電流處理,從硬件上根本杜絕DPA的可能性,并且英飛凌能為其用戶提供多種定制的軟件策略.從而完美地解決DPA攻擊的問題。
(2)DEMA:所有的電子設(shè)備都會有電磁輻射產(chǎn)生。基于電磁輻射分析的攻擊方法(Differential ElectroMagnetic radiation Analyses,DEMA)和DPA類似,其前提也是假設(shè)被處理的數(shù)據(jù)與電磁輻射量之間存在某種聯(lián)系(圖3)。
圖3 DEMA原理示意圖
一般的,對照信號與噪聲的信噪比.差分電磁攻擊(DEMA)獲得比差分能量攻擊(DPA)較好的峰值。所以,電磁信號的信噪比大于能量信號的信噪比[5]。雖然電磁曲線比能量曲線更雜亂,但數(shù)據(jù)信號的特征更分明。另外,電磁攻擊還有一個優(yōu)點(diǎn),就是可以明確對該位置信息的變化能力,這種幾何學(xué)的自由度對查明疑問點(diǎn)的泄露信息非常有用。應(yīng)對電磁輻射分析攻擊的策略也同防DPA策略類似 英飛凌的智能卡芯片能很好的應(yīng)對DEMA攻擊。
2.3失效分析攻擊
用作智能卡控制器的集成電路芯片,通常都是由硅片制成的。而硅片的電性能會隨不同的環(huán)境參數(shù)而改變。例如,硅片的電性能會對不同的電壓、溫度、光強(qiáng)、電離射線等做出不同的反應(yīng),也會受電磁場的影響。通過改變環(huán)境參數(shù),攻擊者試圖誘發(fā)失效行為,包括智能卡控制器的程序流程錯誤等。目前.更多的攻擊者都關(guān)注在所謂DFA(differential fauh attacks),通過擾亂加密系統(tǒng)來產(chǎn)生錯誤結(jié)果,而這些錯誤結(jié)果就可以被用來推導(dǎo)出需要的密鑰。最糟的情況下,一個簡單的失效運(yùn)算就足以讓攻擊者推導(dǎo)出完整的密鑰。失效分析攻擊方法主要包括以下幾種方式:
(1)尖峰電涌攻擊
在多種失效分析攻擊方法中.多年來最簡單、應(yīng)用最廣泛的方法就是修改智能卡控制器的信號輸入或供電。目前市場上廣泛存在的衛(wèi)星電視黑卡就是用這種方法破解的(圖4)。供電中的瞬時能量脈沖被稱為電涌Spike;所謂的Glitch尖峰脈沖則被定
義為對時鐘信號的特別修改。由于電源和時鐘信號都是智能卡控制器運(yùn)行的必需條件,尖峰和電涌攻擊都會導(dǎo)致控制器故障,即某些電子模塊會暫時失效,因此會跳過或?qū)嵤╁e誤的操作。
圖4 尖峰電涌攻擊電路板
(2)電磁攻擊
雖然尖峰和電涌攻擊能夠得到一些效果,更復(fù)雜的方法已經(jīng)能把電壓和信號的改變?nèi)诤线M(jìn)半導(dǎo)體芯片中。例如,對GSM SIM卡的PIN碼攻擊可以使攻擊者完全不需懂得PIN碼的知識就能分析出卡中的保護(hù)數(shù)據(jù)。為了把擾亂的信號注入智能卡.經(jīng)常使用電磁線圈,需要把它直接放到芯片表面 電磁攻擊雖然更復(fù)雜,但比起傳統(tǒng)的尖峰或電涌攻擊方法來,一個明顯的進(jìn)步是可以把智能卡放在一個特殊的模塊上進(jìn)行本地的攻擊。這就導(dǎo)致相應(yīng)的防范策略更難被開發(fā)。如果一個安全控制器可以監(jiān)視它的外部供電壓,可以監(jiān)測到一些尖峰和電涌.但是如果一個電磁脈沖被加到一個專門的模塊上,例如加密協(xié)處理器.就很難被監(jiān)測出了。
(3)光攻擊
光攻擊是指用光照射正在工作的智能卡控制器表面,南于光的入侵,智能卡芯片的硅片內(nèi)部會產(chǎn)生電壓和電流.從而導(dǎo)致失效行為。采用這種技術(shù)的攻擊者可以繞過密碼或PIN碼,而得到私密數(shù)據(jù);或者對加密操作進(jìn)行攻擊從而產(chǎn)生m密鑰數(shù)據(jù)。如果整個芯片表面被入侵,則稱為全局光攻擊。采用全局光攻擊,一個未被保護(hù)的智能卡甚至在不撤去芯片表面塑料的情況下就能被攻擊失效。光源被放在卡的背面。這種攻擊需要很強(qiáng)的光照,這就意味著需要用到閃光燈.甚至激光。還有一種更復(fù)雜的方法—— 局部光攻擊,需要更線,甚至可以侵入芯片的背面.這時任何芯片覆蓋層都不能提供有意義的屏障。
圖5局部光攻擊設(shè)備
(4)熱攻擊
修改環(huán)境溫度也可被用作對智能卡控制器的攻擊方法。在最近的文獻(xiàn)中,有對PC內(nèi)存中的內(nèi)容進(jìn)行攻擊的詳細(xì)描述。通過增加周邊環(huán)境的溫度,RAM 內(nèi)存的一些位會被修改,這種方法可被用來攻擊各種虛擬機(jī)架構(gòu)。此時,只需簡單的燈泡就足以增加周邊的環(huán)境溫度。相反.降低溫度也可用來進(jìn)行攻擊—— 極低的溫度可以導(dǎo)致RAM 中存儲信息的凍結(jié),即便是外部供電已被關(guān)閉。溫度攻擊用于智能卡的有效性很大程度上取決于智能卡控制器采用哪種內(nèi)存類型。理論上講,如果沒有引入相應(yīng)的防攻擊策略,智能卡都能被攻擊。一般最基本的對策是,在智能卡控制器上加裝溫度傳感器用來測量硅片的丁作條件.如果溫度超過界限,則發(fā)出警報。
今天的英飛凌控制器上采用的安全特性遠(yuǎn)比這種基本的傳感器防護(hù)策略復(fù)雜.足以對抗最新的熱攻擊方法— — 所謂的TIVA(Thermally Induced Voltage Alteration)(圖6)TIVA采用紅外激光進(jìn)行局部照射:它的光束可以直接穿透芯片背面進(jìn)入硅片,引起局部熱效應(yīng),從而導(dǎo)致控制器電子器件的失效行為。TIVA的一個特別的特性是激光器可以選擇特定的波長.令其能量恰好不會觸發(fā)傳統(tǒng)的光攻擊傳感器。盡管TIVA設(shè)計(jì)的初衷是測試可靠性和進(jìn)行失效分析(并不是用來攻擊),但對攻擊者來說接下來的幾年內(nèi)會對這種方法感興趣。
圖6局部熱攻擊設(shè)備TlVA
(5)Mpha射線攻擊
目前,對智能卡芯片用Alpha射線照射已成為及其簡單且有效的攻擊(圖6) 但這種攻擊方法仍存在一些局限性 采用Alpha射線,攻擊者將不能夠預(yù)測失效發(fā)生的確切時刻,也就是說,這種攻擊純屬統(tǒng)計(jì)過程。而且.對Alpha射線的聚焦并不容易。必需通過對多次失效結(jié)果的紀(jì)錄,然后進(jìn)行后期的分析。這就導(dǎo)致攻擊的實(shí)時性不好。
已知的Alpha射線攻擊的效果包括對內(nèi)存內(nèi)容的更改和信號時序的延遲等。用Alpha射線的攻擊對某些應(yīng)是很危險的,因?yàn)椴恍枰嘿F的設(shè)備。一個微弱的Alpha粒子源,或者夜光鐳表盤.或者煙感火災(zāi)報警器,其能量都已足夠形成攻擊。Alpha攻擊的成功主要取決于攻擊者的經(jīng)驗(yàn),特別當(dāng)攻擊者熟知智能卡內(nèi)部的軟件代碼時:
對付失效分析攻擊的策略不僅需要具有對各種攻擊弱點(diǎn)的針對性,還要考慮協(xié)作性不能引起任何沖突:英飛凌的智能卡控制器的現(xiàn)代安全概念基于以下3點(diǎn)防御策略:
-防止失效分析
-失效分析條件的檢測
-失效行為的監(jiān)測
對電源和輸入信號的過濾作為第一道屏障:快速反應(yīng)穩(wěn)壓器可以防止電壓的瞬變,也可防止時鐘供應(yīng)的反常。
傳感器被作為第二道防線。例如.一個安全控制器被很高的電壓攻擊.如果傳感器監(jiān)測到臨界值,則智能卡會觸發(fā)一個警報進(jìn)入安全狀態(tài)。電壓傳感器檢查電源供應(yīng),時鐘傳感器監(jiān)測頻率異常,溫度和光傳感器檢查光攻擊和熱攻擊。因?yàn)楣夤粢材軌蛲ㄟ^芯片背面進(jìn)行.所以光傳感器的布置就不是僅限于前面的照射。第j道屏障是在設(shè)計(jì)安全控制器內(nèi)核時建立的 硬件和軟件相結(jié)合的策略被用作有效的第三道屏障。既然純軟件對策在某些情況下能夠成為失效分析的目標(biāo).則硬件和軟件的結(jié)合就成為必不可少的。
3.安全認(rèn)證體系
考慮到大量的失效分析攻擊,很明顯對現(xiàn)有和未來攻擊的有效防護(hù)需要建立在集成安全的概念上。首先,防范策略和安全特性不得不被生產(chǎn)廠用先進(jìn)的攻擊技術(shù)來測試。其次,獨(dú)立的安全評估和認(rèn)證也是特別重要的,可以使目標(biāo)的安全水平價值被中立的認(rèn)證實(shí)體所證明。
英飛凌的安全控制器通過了由德國聯(lián)邦信息安全辦公室(BSI)主持的歷時數(shù)月的周密評估與測試,現(xiàn)已成功通過全球最嚴(yán)格的智能卡應(yīng)用安全測試CC EAL5+。
EAL5+測試以智能卡集成電路平臺保護(hù)規(guī)定(BSI—PP一0002)為基礎(chǔ)。該規(guī)定被世界最大的智能卡行業(yè)協(xié)會Eurosmart認(rèn)可.符合國際認(rèn)可的標(biāo)準(zhǔn)ISO/IEC 15408(通用標(biāo)準(zhǔn))。Infineon使用新的PP0002來獲得認(rèn)證。英飛凌將一直持續(xù)這種戰(zhàn)略,將為其智能卡芯片取得公認(rèn)的安全認(rèn)證。
4. 結(jié)束語
智能卡應(yīng)用系統(tǒng)是一個安全環(huán)境很復(fù)雜的系統(tǒng) 本文為分析這個系統(tǒng)面臨的安全攻擊提供了一個思路.為系統(tǒng)的安全設(shè)計(jì)提供了依據(jù)。未來的攻擊手段不得不今天就考慮,特別當(dāng)設(shè)計(jì)一個新的安全產(chǎn)品時.必須對明天的攻擊進(jìn)行有效的防護(hù)。
【作者簡介】黃顯明(1976-),男,工學(xué)博士,高工,英飛凌科技(中國)有限公司,現(xiàn)從事智能卡與移動安全研究。
【參考文獻(xiàn)】
[1] 許志杰,雷菁,李永彬.智能卡安全技術(shù)研究.現(xiàn)代電子技術(shù)2005,15
[2] 張志紅.智能卡安全技術(shù)及在PKI巾的應(yīng)用.網(wǎng)絡(luò)安全,2005,6
[3] 譚皓彪.新一代銀行卡的發(fā)展及應(yīng)用.金卡T程,2006.1
[4] 薛元星,趙春平,李吳.電信智能卡芯片安全技術(shù)分析.中國集成電路,2005.3
[5]袁征,毛明,李勝利.電磁攻擊方法與能量攻擊方法的對比.現(xiàn)代電子技術(shù),2003,8
原文下載:http://www.yktchina.com/bbs/Read-b3-t4453-p10.htm