智能卡攻擊技術分析及安全防范策略綜述
文章出處:http://m.dipdnbxp.cn 作者:黃顯明 人氣: 發(fā)表時間:2011年09月23日
1.前言
近年來智能卡市場呈現(xiàn)出以幾何級數(shù)增長的態(tài)勢.智能卡以其特有的安全可靠性,被廣泛應用于從單個器件到大型復雜系統(tǒng)的安全解決方案。然而隨著智能卡的日益普及.針對智能卡的各種專用攻擊技術也在同步發(fā)展。分析智能卡面臨的安全攻擊,研究相應的防范策略,對于保證整個智能卡應用系統(tǒng)的安全性有重大的意義
2.智能卡攻擊技了忙及其安呈昕范策略
對智能卡的攻擊可分為三種基本類型:物理攻擊、邊頻攻擊和失效分析攻擊。下面就這三種攻擊技術的具體實施方式加以分析。
2.1 物理攻擊
雖然智能卡的所有功能似乎都封閉在單個的芯片中,但是仍然有可能對其實施反向工程。用于實施物理攻擊的主要方法包括:
(1)微探針技術:攻擊者通常在去除芯片封裝之后,通過恢復芯片功能焊盤與外界的電氣連接,最后可以使用微探針獲取感興趣的信號(圖1),從而分析出智能卡的有關設計信息和存儲結構,甚至直接讀取出存儲器的信息進行分析 。
英飛凌公司的所有智能卡芯片都提供很強的防刺探機制,采用復雜的可被CPU控制的主動屏蔽層技術覆蓋整個芯片.一旦芯片被刺探,勢必要破壞或干擾主動屏蔽層的正常功能,則CPU可以即時的探測到主動屏蔽層發(fā)出的報警信號,根據(jù)COS的設定采用不同級別的主動防御措施。新一代的芯片更是采用專有的多層布局結構.相當于給每層電路都加上各自的主動屏蔽層。目前還沒有采用探針技術(物理攻擊)破解英飛凌芯片的先例。
圖1芯片探針臺
(2)版圖重構:利用高倍光學及射電顯微鏡研究電路的連接模式,可以迅速識別芯片上的一些基本結構,如數(shù)據(jù)線和地址線。英飛凌的智能卡芯片采用加密的存儲器設計(MED),所有類型的存儲器 RAM、ROM、EEPROM、FLASH等所存儲的信息都是經(jīng)過特殊的加密機制處理過的,其結果是即便存儲內(nèi)容被攻擊者非法獲得,這些加密后的信息對攻擊者也是毫無意義的。而且這種被攻擊者直接讀出的概率也是極低的。值得一提的是這種加密存儲器設計對用戶是不可見的并由物理實現(xiàn).開發(fā)者絲毫不需考慮存儲內(nèi)容的加解密,不會給開發(fā)者帶來額外的負擔。
物理攻擊是實現(xiàn)成功探測的強有力手段,但其缺點在于入侵式的攻擊模式.同時需要昂貴的高端實驗室設備和專門的探測技術。應對物理攻擊的關鍵在于提高芯片設計的復雜程度和芯片制造的精細程度。英飛凌的新一代智能卡控制器均采用.13urn 的設計工藝。
2 2邊頻攻擊
邊頻攻擊是通過觀察電路中的某些物理量如能量消耗、電磁輻射、時間等的變化規(guī)律來分析智能卡的加密數(shù)據(jù)。邊頻攻擊方法主要包括以下幾種方式:
(1)DPA(Diferential Power Analysis.差分能量分析1DPA攻擊是通過用示波鏡檢測電子器件的能量消耗來獲知其行為的(圖2) DPA攻擊的基礎是假設被處理的數(shù)據(jù)與能量消耗之問存在某種聯(lián)系,即假設處理0比1所用不同的能量,那么對兩個不同數(shù)據(jù)執(zhí)行同一算法的兩個能量軌跡會由于輸入數(shù)據(jù)的不同而產(chǎn)生微小的差別,即差分軌跡.其中的峰值時刻即是輸入數(shù)據(jù)產(chǎn)生差別的時鐘周期。如此檢查加密算法的所有輸入以及每一對0和1產(chǎn)生的差分軌跡,就可以識別出它們出現(xiàn)在程序代碼中的確切時間,從而獲取加密密鑰。
圖2 DPA原理示意圖
DPA使得加密算法的內(nèi)部處理過程可以被研究。理論上講,所有加密算法都可用DPA破解.加之這種攻擊方法應用十分簡單且只需很小的投資,因此解決DPA問題成為智能卡制造商最急需面對的問題之一。英飛凌的智能卡芯片在設計時采用了一種雙軌預充電邏輯保證數(shù)據(jù)的處理與能量消耗的無關性.并且對內(nèi)部總線進行邏輯加擾和不規(guī)則電流處理,從硬件上根本杜絕DPA的可能性,并且英飛凌能為其用戶提供多種定制的軟件策略.從而完美地解決DPA攻擊的問題。
(2)DEMA:所有的電子設備都會有電磁輻射產(chǎn)生?;陔姶泡椛浞治龅墓舴椒?Differential ElectroMagnetic radiation Analyses,DEMA)和DPA類似,其前提也是假設被處理的數(shù)據(jù)與電磁輻射量之間存在某種聯(lián)系(圖3)。
圖3 DEMA原理示意圖
一般的,對照信號與噪聲的信噪比.差分電磁攻擊(DEMA)獲得比差分能量攻擊(DPA)較好的峰值。所以,電磁信號的信噪比大于能量信號的信噪比[5]。雖然電磁曲線比能量曲線更雜亂,但數(shù)據(jù)信號的特征更分明。另外,電磁攻擊還有一個優(yōu)點,就是可以明確對該位置信息的變化能力,這種幾何學的自由度對查明疑問點的泄露信息非常有用。應對電磁輻射分析攻擊的策略也同防DPA策略類似 英飛凌的智能卡芯片能很好的應對DEMA攻擊。
2.3失效分析攻擊
用作智能卡控制器的集成電路芯片,通常都是由硅片制成的。而硅片的電性能會隨不同的環(huán)境參數(shù)而改變。例如,硅片的電性能會對不同的電壓、溫度、光強、電離射線等做出不同的反應,也會受電磁場的影響。通過改變環(huán)境參數(shù),攻擊者試圖誘發(fā)失效行為,包括智能卡控制器的程序流程錯誤等。目前.更多的攻擊者都關注在所謂DFA(differential fauh attacks),通過擾亂加密系統(tǒng)來產(chǎn)生錯誤結果,而這些錯誤結果就可以被用來推導出需要的密鑰。最糟的情況下,一個簡單的失效運算就足以讓攻擊者推導出完整的密鑰。失效分析攻擊方法主要包括以下幾種方式:
(1)尖峰電涌攻擊
在多種失效分析攻擊方法中.多年來最簡單、應用最廣泛的方法就是修改智能卡控制器的信號輸入或供電。目前市場上廣泛存在的衛(wèi)星電視黑卡就是用這種方法破解的(圖4)。供電中的瞬時能量脈沖被稱為電涌Spike;所謂的Glitch尖峰脈沖則被定
義為對時鐘信號的特別修改。由于電源和時鐘信號都是智能卡控制器運行的必需條件,尖峰和電涌攻擊都會導致控制器故障,即某些電子模塊會暫時失效,因此會跳過或?qū)嵤╁e誤的操作。
圖4 尖峰電涌攻擊電路板
(2)電磁攻擊
雖然尖峰和電涌攻擊能夠得到一些效果,更復雜的方法已經(jīng)能把電壓和信號的改變?nèi)诤线M半導體芯片中。例如,對GSM SIM卡的PIN碼攻擊可以使攻擊者完全不需懂得PIN碼的知識就能分析出卡中的保護數(shù)據(jù)。為了把擾亂的信號注入智能卡.經(jīng)常使用電磁線圈,需要把它直接放到芯片表面 電磁攻擊雖然更復雜,但比起傳統(tǒng)的尖峰或電涌攻擊方法來,一個明顯的進步是可以把智能卡放在一個特殊的模塊上進行本地的攻擊。這就導致相應的防范策略更難被開發(fā)。如果一個安全控制器可以監(jiān)視它的外部供電壓,可以監(jiān)測到一些尖峰和電涌.但是如果一個電磁脈沖被加到一個專門的模塊上,例如加密協(xié)處理器.就很難被監(jiān)測出了。
(3)光攻擊
光攻擊是指用光照射正在工作的智能卡控制器表面,南于光的入侵,智能卡芯片的硅片內(nèi)部會產(chǎn)生電壓和電流.從而導致失效行為。采用這種技術的攻擊者可以繞過密碼或PIN碼,而得到私密數(shù)據(jù);或者對加密操作進行攻擊從而產(chǎn)生m密鑰數(shù)據(jù)。如果整個芯片表面被入侵,則稱為全局光攻擊。采用全局光攻擊,一個未被保護的智能卡甚至在不撤去芯片表面塑料的情況下就能被攻擊失效。光源被放在卡的背面。這種攻擊需要很強的光照,這就意味著需要用到閃光燈.甚至激光。還有一種更復雜的方法—— 局部光攻擊,需要更線,甚至可以侵入芯片的背面.這時任何芯片覆蓋層都不能提供有意義的屏障。
圖5局部光攻擊設備
(4)熱攻擊
修改環(huán)境溫度也可被用作對智能卡控制器的攻擊方法。在最近的文獻中,有對PC內(nèi)存中的內(nèi)容進行攻擊的詳細描述。通過增加周邊環(huán)境的溫度,RAM 內(nèi)存的一些位會被修改,這種方法可被用來攻擊各種虛擬機架構。此時,只需簡單的燈泡就足以增加周邊的環(huán)境溫度。相反.降低溫度也可用來進行攻擊—— 極低的溫度可以導致RAM 中存儲信息的凍結,即便是外部供電已被關閉。溫度攻擊用于智能卡的有效性很大程度上取決于智能卡控制器采用哪種內(nèi)存類型。理論上講,如果沒有引入相應的防攻擊策略,智能卡都能被攻擊。一般最基本的對策是,在智能卡控制器上加裝溫度傳感器用來測量硅片的丁作條件.如果溫度超過界限,則發(fā)出警報。
今天的英飛凌控制器上采用的安全特性遠比這種基本的傳感器防護策略復雜.足以對抗最新的熱攻擊方法— — 所謂的TIVA(Thermally Induced Voltage Alteration)(圖6)TIVA采用紅外激光進行局部照射:它的光束可以直接穿透芯片背面進入硅片,引起局部熱效應,從而導致控制器電子器件的失效行為。TIVA的一個特別的特性是激光器可以選擇特定的波長.令其能量恰好不會觸發(fā)傳統(tǒng)的光攻擊傳感器。盡管TIVA設計的初衷是測試可靠性和進行失效分析(并不是用來攻擊),但對攻擊者來說接下來的幾年內(nèi)會對這種方法感興趣。
圖6局部熱攻擊設備TlVA
(5)Mpha射線攻擊
目前,對智能卡芯片用Alpha射線照射已成為及其簡單且有效的攻擊(圖6) 但這種攻擊方法仍存在一些局限性 采用Alpha射線,攻擊者將不能夠預測失效發(fā)生的確切時刻,也就是說,這種攻擊純屬統(tǒng)計過程。而且.對Alpha射線的聚焦并不容易。必需通過對多次失效結果的紀錄,然后進行后期的分析。這就導致攻擊的實時性不好。
已知的Alpha射線攻擊的效果包括對內(nèi)存內(nèi)容的更改和信號時序的延遲等。用Alpha射線的攻擊對某些應是很危險的,因為不需要昂貴的設備。一個微弱的Alpha粒子源,或者夜光鐳表盤.或者煙感火災報警器,其能量都已足夠形成攻擊。Alpha攻擊的成功主要取決于攻擊者的經(jīng)驗,特別當攻擊者熟知智能卡內(nèi)部的軟件代碼時:
對付失效分析攻擊的策略不僅需要具有對各種攻擊弱點的針對性,還要考慮協(xié)作性不能引起任何沖突:英飛凌的智能卡控制器的現(xiàn)代安全概念基于以下3點防御策略:
-防止失效分析
-失效分析條件的檢測
-失效行為的監(jiān)測
對電源和輸入信號的過濾作為第一道屏障:快速反應穩(wěn)壓器可以防止電壓的瞬變,也可防止時鐘供應的反常。
傳感器被作為第二道防線。例如.一個安全控制器被很高的電壓攻擊.如果傳感器監(jiān)測到臨界值,則智能卡會觸發(fā)一個警報進入安全狀態(tài)。電壓傳感器檢查電源供應,時鐘傳感器監(jiān)測頻率異常,溫度和光傳感器檢查光攻擊和熱攻擊。因為光攻擊也能夠通過芯片背面進行.所以光傳感器的布置就不是僅限于前面的照射。第j道屏障是在設計安全控制器內(nèi)核時建立的 硬件和軟件相結合的策略被用作有效的第三道屏障。既然純軟件對策在某些情況下能夠成為失效分析的目標.則硬件和軟件的結合就成為必不可少的。
3.安全認證體系
考慮到大量的失效分析攻擊,很明顯對現(xiàn)有和未來攻擊的有效防護需要建立在集成安全的概念上。首先,防范策略和安全特性不得不被生產(chǎn)廠用先進的攻擊技術來測試。其次,獨立的安全評估和認證也是特別重要的,可以使目標的安全水平價值被中立的認證實體所證明。
英飛凌的安全控制器通過了由德國聯(lián)邦信息安全辦公室(BSI)主持的歷時數(shù)月的周密評估與測試,現(xiàn)已成功通過全球最嚴格的智能卡應用安全測試CC EAL5+。
EAL5+測試以智能卡集成電路平臺保護規(guī)定(BSI—PP一0002)為基礎。該規(guī)定被世界最大的智能卡行業(yè)協(xié)會Eurosmart認可.符合國際認可的標準ISO/IEC 15408(通用標準)。Infineon使用新的PP0002來獲得認證。英飛凌將一直持續(xù)這種戰(zhàn)略,將為其智能卡芯片取得公認的安全認證。
4. 結束語
智能卡應用系統(tǒng)是一個安全環(huán)境很復雜的系統(tǒng) 本文為分析這個系統(tǒng)面臨的安全攻擊提供了一個思路.為系統(tǒng)的安全設計提供了依據(jù)。未來的攻擊手段不得不今天就考慮,特別當設計一個新的安全產(chǎn)品時.必須對明天的攻擊進行有效的防護。
【作者簡介】黃顯明(1976-),男,工學博士,高工,英飛凌科技(中國)有限公司,現(xiàn)從事智能卡與移動安全研究。
【參考文獻】
[1] 許志杰,雷菁,李永彬.智能卡安全技術研究.現(xiàn)代電子技術2005,15
[2] 張志紅.智能卡安全技術及在PKI巾的應用.網(wǎng)絡安全,2005,6
[3] 譚皓彪.新一代銀行卡的發(fā)展及應用.金卡T程,2006.1
[4] 薛元星,趙春平,李吳.電信智能卡芯片安全技術分析.中國集成電路,2005.3
[5]袁征,毛明,李勝利.電磁攻擊方法與能量攻擊方法的對比.現(xiàn)代電子技術,2003,8
原文下載:http://www.yktchina.com/bbs/Read-b3-t4453-p10.htm