當(dāng)前位置:首頁 > 單片機(jī) > 單片機(jī)
[導(dǎo)讀]邊頻攻擊技術(shù)是近年來新流行的一種智能卡攻擊方法。與以往方法不同,它通過觀察或干擾電路中物理量的變化來分析或操縱智能卡的行為,危害極大。

摘要:邊頻攻擊技術(shù)是近年來新流行的一種智能卡攻擊方法。與以往方法不同,它通過觀察或干擾電路中物理量的變化來分析或操縱智能卡的行為,危害極大。文中比較幾種主要的智能卡安全攻擊方法的收益成本比;重點分析差分能量分析與能量短脈沖干擾的攻擊原理與關(guān)鍵步驟,并從軟件、硬件和應(yīng)用層面提出相應(yīng)的安全防范措施

關(guān)鍵詞:智能卡 邊頻攻擊 安全防范措施

  在智能卡應(yīng)用日益廣泛的今天,智能卡應(yīng)用系統(tǒng)的安全問題非常重要。通常認(rèn)為智能卡具有較高的安全性[1],但隨著一些專用攻擊技術(shù)的出現(xiàn)和發(fā)展,智能卡也呈現(xiàn)出其安全漏洞,導(dǎo)致整個應(yīng)用系統(tǒng)安全性降低。分析智能卡面臨的安全攻擊,研究相應(yīng)的防御措施,對于保證整個智能卡應(yīng)用系統(tǒng)的安全性有重大意義。下面分析目前主要的智能卡攻擊技術(shù)之一——邊頻攻擊技術(shù),并有針對性地提出相應(yīng)的安全設(shè)計策略。

1 智能卡簡述

  智能卡是將具有存儲、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片上制成的卡片。智能卡的硬件主要包括微處理器和存儲器兩部分,邏輯結(jié)構(gòu)如圖1 所示。

                圖1智能卡硬件結(jié)構(gòu)
          

  智能卡內(nèi)部的微處理器多采用8位字長的CPU(當(dāng)然更高位的微處理器也正在開始應(yīng)用)。微處理器的主要功能是接收外部設(shè)備發(fā)送的命令,對其進(jìn)行分析后,根據(jù)需要控制對存儲器的訪問。訪問時,微處理器向存儲器提供要訪問的數(shù)據(jù)單元地址和必要的參數(shù),存儲器則根據(jù)地址將對應(yīng)的數(shù)據(jù)傳輸給微處理器,最后由微處理器對這些數(shù)據(jù)進(jìn)行處理操作。此外,智能卡進(jìn)行的各種運算(如加密運算) 也是由微處理器完成的;而控制和實現(xiàn)上述過程的是智能卡的操作系統(tǒng)COS。卡內(nèi)的存儲器容量由只讀存儲器ROM、隨機(jī)存儲器RAM和電擦除可編程存儲器EEPROM組成。其中,ROM 中固化的是操作系統(tǒng)代碼,其容量取決于所采用的微處理器;RAM 用于存放操作數(shù)據(jù),容量通常不超過1 KB;EEPROM存儲智能卡的各種信息,如加密數(shù)據(jù)和應(yīng)用文件等,容量通常介于2 KB~32 KB之間(這部分存儲資源可供用戶開發(fā)利用)。

2 對智能卡安全的威脅

  對智能卡的攻擊可分為三種基本類型:

   ① 邏輯攻擊——在軟件的執(zhí)行過程中插入竊聽程序。智能卡及其COS中存在多種潛在的邏輯缺陷,諸如潛藏的命令、不良參數(shù)與緩沖器溢出、文件存取、惡意進(jìn)程、通信協(xié)議、加密協(xié)議等。邏輯攻擊者利用這些缺陷誘騙卡泄露機(jī)密數(shù)據(jù)或允許非期望的數(shù)據(jù)修改。

   ② 物理攻擊——分析或更改智能卡硬件。用于實現(xiàn)物理攻擊的手段和工具包括化學(xué)溶劑、蝕刻與著色材料、顯微鏡、亞微米探針臺以及粒子束FIB等。

   ③ 邊頻攻擊——利用物理量來分析和更改智能卡的行為。通過觀察電路中的某些物理量,如能量消耗、電磁輻射、時間等的變化規(guī)律,來分析智能卡的加密數(shù)據(jù);或通過干擾電路中的某些物理量,如電壓、電磁輻射、溫度、光和X射線、頻率等,來操縱智能卡的行為。

  智能卡攻擊方法的有效性以攻擊者所獲得的效益高于其耗費的時間、精力、經(jīng)費等作為標(biāo)準(zhǔn)。表1給出了上述三種攻擊類型的情況對比。

                  表1智能卡攻擊情況對比
       

  由表1可見,物理攻擊成本過高,耗時費力,較少被采用;邏輯攻擊雖然投入較少,容易實施,但也容易防范,成功率較低。近年來,新興的邊頻攻擊技術(shù)因其較高的收益成本比而被廣泛使用。盡管智能卡業(yè)界對于邊頻攻擊的解決方案已有了越來越多的認(rèn)識,然而許多智能卡對于這類攻擊仍毫無免疫力。目前,應(yīng)用最為廣泛的邊頻分析和邊頻操縱技術(shù)包括:差分能量分析技術(shù)DPA(Differential Power Analysis)與能量短脈沖波形干擾(Power Glitching)技術(shù)。下面重點就這兩種邊頻攻擊的方法加以分析,并給出相應(yīng)的安全策略。

3 差分能量分析

3.1 DPA攻擊的分析

  DPA(差分能量分析)攻擊是通過用示波鏡檢測電子器件的能量消耗來獲知其行為的。圖2為某智能卡用DES算法加密時的能量追蹤圖。

                圖2DES運算的能量追蹤圖
      

   由圖2可見,能量消耗是不連續(xù)的并呈現(xiàn)出某種模式。眾所周知,用DES算法對一個輸入數(shù)據(jù)加密時需要執(zhí)行16次循環(huán),因此可以在能量軌跡的16次重復(fù)模式中識別出這些循環(huán)。攻擊者只需知道算法的明文(輸入)或密文(輸出),通過分析和比較一系列的能量軌跡就可重現(xiàn)加密密鑰。DPA攻擊的基礎(chǔ)是假設(shè)被處理的數(shù)據(jù)與能量消耗之間存在某種聯(lián)系,換句話說,假設(shè)處理0比1所用的能量要少(反之亦然),那么對兩個不同數(shù)據(jù)執(zhí)行同一算法的兩個能量軌跡會由于輸入數(shù)據(jù)的不同而產(chǎn)生微小的差別。用計算機(jī)嚴(yán)格按時鐘計算兩條軌跡的差得到差分軌跡,差分軌跡中出現(xiàn)峰值的時刻即是輸入數(shù)據(jù)產(chǎn)生差別的時鐘周期。如此檢查加密算法的所有輸入以及每一對0和1產(chǎn)生的差分軌跡,就可以識別出它們出現(xiàn)在程序代碼中的確切時間,從而獲取加密密鑰。

  DPA使得加密算法的內(nèi)部處理過程可以被研究,這一危險性對智能卡安全提出了更高的要求。加密算法必須使用足夠長度的全密鑰,以保證探索密鑰的過程因過于耗時而不可行。一個完整的算法通常在加密過程中分解成許多小步驟以使處理器可以實現(xiàn)。這些小步驟往往不使用全密鑰而是用其中的一部分。DPA可以獲取這些小步驟的輸出并探索出這些較短的密鑰值,因此,從理論上說,所有加密算法都可用DPA破解。雖然這種攻擊方法的開發(fā)十分復(fù)雜,然而其應(yīng)用卻十分簡單且只需很小的投資,所需的設(shè)備僅限于1臺PC及中等精度的示波鏡,因此解決DPA問題成為智能卡制造商最急需面對的問題之一。

3.2 DPA攻擊的安全策略

  應(yīng)對DPA攻擊的安全策略基本分為三個層面:硬件、軟件和應(yīng)用層面。

(1) 硬件層面的反措施

  ① 采用平衡電路降低信號能量,以及設(shè)置金屬防護(hù)以抑制電磁發(fā)射。

 ?、?執(zhí)行并行隨機(jī)處理來加大幅值噪聲水平。例如,內(nèi)部編程電壓產(chǎn)生電路可用作并行噪聲發(fā)生器。

 ?、?隨時處理中斷引入的時間噪聲和不同的時鐘頻率。對差分軌跡進(jìn)行計算機(jī)處理的基礎(chǔ)是軌跡可排列。在加入軌跡之前處理器的工作步驟應(yīng)是同步的。時間噪聲會防止或至少妨礙軌跡很好地排列。

  硬件反措施的好處在智能卡對于側(cè)路攻擊的敏感性比較少地依賴于軟件的變化,但其弱點在于只能降低智能卡對于側(cè)路攻擊的敏感性而無法完全消除它。事實上,硬件防范措施只是將信號降低到噪聲水平從而使攻擊變得困難。

(2) 軟件層面的反措施

 ?、?采用隨機(jī)處理順序來減少相關(guān)的信號。例如,算法中的平行置換(諸如DES中的S盒)可依隨機(jī)的順序來完成,置換的數(shù)目重新排序,則可將一次置換產(chǎn)生的信號分解。

  ② 利用隨機(jī)延時和改變路徑來增加計時噪聲。計時噪聲會妨礙軌跡的排列,并降低差分軌跡的質(zhì)量。

 ?、?消除密鑰值及中間媒介值的時間依存性。當(dāng)處理過程取決于密鑰值時,直接用肉眼觀察軌跡就可實現(xiàn)簡單的能量分析;而在時間上連續(xù)的密鑰處理過程則可防止這種易行的攻擊。

 ?、?用隨機(jī)值來隱蔽中間媒介值。能量的泄露取決于一個數(shù)據(jù)中的位數(shù)。如果在實際數(shù)據(jù)上加上隨機(jī)數(shù)據(jù),處理完之后再減去,那么傳遞的路徑將不會泄露有用的信息。不過,這種隱蔽將會導(dǎo)致傳遞函數(shù)的非線性并產(chǎn)生錯誤的結(jié)果。因此,這些函數(shù)需要仔細(xì)地重新設(shè)計,以補(bǔ)償由隨機(jī)數(shù)據(jù)引起的背離。

   理論上來說,軟件對策完美地解決了DPA攻擊的問題。然而這種方法必須針對某種算法定制且其設(shè)計相當(dāng)困難,因而非常昂貴且難以維持。

(3) 應(yīng)用層面的反措施

   ① 重設(shè)計數(shù)器,用于限制攻擊者試探的次數(shù)。連續(xù)三次PIN校驗失敗后自鎖是防范差分能量分析的有效方法。

   ② 限制加密算法中輸入輸出的控制和可見度。如果只能選擇部分輸入,或只有部分算法的結(jié)果返回,攻擊者就無法完成差分能量分析。

  以上是防范DPA攻擊的基本方法,其缺點是對可靠性的負(fù)面影響以及需要改變已有的協(xié)議。

4 能量短脈沖干擾

4.1 能量短脈沖干擾攻擊的分析

  微處理器要求在穩(wěn)定的電壓下工作,能量供應(yīng)的中斷就好像突然沖擊程序運行或復(fù)位電路。然而,一個短而巧妙的脈沖可以引起單步的程序錯誤而微處理器仍能繼續(xù)執(zhí)行程序。例如, CPU讀取存儲單元的內(nèi)容,晶體管用一個閾值來檢測存儲單元的值,以確定所讀的是邏輯“0”或“1”。突然出現(xiàn)的能量短脈沖對存儲值和邏輯值都會產(chǎn)生影響。不同的內(nèi)部容量會使存儲值受到不同的影響,有可能會使真實的值被歪曲。如圖3所示,與邏輯“0”對應(yīng)的低電平在正常的操作狀態(tài)下可能低于閾值電平,然而由于短脈沖的能量下壓可能導(dǎo)致其高于閾值電平。

                圖3讀存儲器時能量短脈沖干擾
          

  許多加密算法都易受這一類故障注入的影響。采用差分故障分析DFA(Differential Fault Analysis )技術(shù)將正確的與錯誤的密碼編碼相比較,從而析出秘藏的密鑰。有些算法僅當(dāng)一個精確的中間值被襲擊時才能被攻擊,而其他算法要求不那么苛刻,可以在處理過程的任何位置被攻擊。通常DFA要求有可能對同一個明文加密2次,產(chǎn)生一個正確的和一個錯誤的密文。

  故障注入的第二種應(yīng)用發(fā)生于安全處理過程關(guān)鍵的決定時刻。若某一應(yīng)用執(zhí)行一個諸如PIN校驗的安全檢查,那么在器件決定是繼續(xù)還是中斷處理的那一刻進(jìn)行攻擊最為有效。攻擊者有可能將PIN校驗失敗轉(zhuǎn)為成功以欺騙處理器。更為嚴(yán)格的一種方式是,在處理器正要將校驗失敗寫入存儲器時完全關(guān)閉電源,從而避免PIN校驗失敗計數(shù)器溢出。

  短脈沖干擾的第三種應(yīng)用以操縱通信活動為目標(biāo)。通信協(xié)議的設(shè)計是為了從智能卡存儲器中讀取幾個字節(jié)并傳送到終端。如果故障注入成功地攻擊了發(fā)送限制計數(shù)器,就可能導(dǎo)致整個存儲器內(nèi)容輸出到串行接口。

4.2 能量短脈沖干擾的安全策略

  能量短脈沖干擾以及其他側(cè)路操縱技術(shù)都企圖改變智能卡的環(huán)境。通常防范這類攻擊的策略是嚴(yán)格的電壓、頻率和溫度檢測。然而使用精確的傳感器也會影響可靠性,并在某些終端中導(dǎo)致潛在的故障。不僅如此,傳感器也不可能檢測到所有的誘導(dǎo)信號。電路對于通過感應(yīng)方式注入的信號或精心調(diào)整的能量短脈沖不可能完全免疫。重要的是,要運用軟件或應(yīng)用的防范措施來偵查和恢復(fù)故障注入。

  就軟件防范措施而言,可以通過檢查關(guān)鍵的程序流向以及加密運算結(jié)果來實現(xiàn)故障監(jiān)測。求兩次運算結(jié)果并加以比較是檢測結(jié)果有效性的方法之一,但若兩次都注入同樣錯誤的則無法檢測出來;因此最佳的方法是由結(jié)果反向運算求出其輸入,并與原來的輸入進(jìn)行比較。反向運算通常是不同的,并且反向操縱會更為困難。5結(jié)語智能卡應(yīng)用系統(tǒng)是一個安全環(huán)境很復(fù)雜的系統(tǒng)。本文為分析這個系統(tǒng)面臨的安全攻擊提供了一個思路,為系統(tǒng)的安全設(shè)計提供了依據(jù)。下一步工作是量化各安全設(shè)計策略,在降低安全威脅與增加安全成本之間尋找最佳平衡點的方法。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關(guān)鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關(guān)鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務(wù)中斷的風(fēng)險,如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點: 有效應(yīng)對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競爭優(yōu)勢...

關(guān)鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學(xué)會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團(tuán))股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉