智能卡攻擊技術(shù)分析及安全防范策略綜述

文章出處：http://m.botanicstilllife.com 作者：黃顯明   人氣： 發(fā)表時(shí)間：2011年09月23日

    1．前言 

    近年來(lái)智能卡市場(chǎng)呈現(xiàn)出以幾何級(jí)數(shù)增長(zhǎng)的態(tài)勢(shì)．智能卡以其特有的安全可靠性，被廣泛應(yīng)用于從單個(gè)器件到大型復(fù)雜系統(tǒng)的安全解決方案。然而隨著智能卡的日益普及．針對(duì)智能卡的各種專(zhuān)用攻擊技術(shù)也在同步發(fā)展。分析智能卡面臨的安全攻擊，研究相應(yīng)的防范策略，對(duì)于保證整個(gè)智能卡應(yīng)用系統(tǒng)的安全性有重大的意義 

    2．智能卡攻擊技了忙及其安呈昕范策略 

    對(duì)智能卡的攻擊可分為三種基本類(lèi)型：物理攻擊、邊頻攻擊和失效分析攻擊。下面就這三種攻擊技術(shù)的具體實(shí)施方式加以分析。

    2．1 物理攻擊 

    雖然智能卡的所有功能似乎都封閉在單個(gè)的芯片中，但是仍然有可能對(duì)其實(shí)施反向工程。用于實(shí)施物理攻擊的主要方法包括： 

    (1)微探針技術(shù)：攻擊者通常在去除芯片封裝之后，通過(guò)恢復(fù)芯片功能焊盤(pán)與外界的電氣連接，最后可以使用微探針獲取感興趣的信號(hào)(圖1)，從而分析出智能卡的有關(guān)設(shè)計(jì)信息和存儲(chǔ)結(jié)構(gòu)，甚至直接讀取出存儲(chǔ)器的信息進(jìn)行分析 。 
    英飛凌公司的所有智能卡芯片都提供很強(qiáng)的防刺探機(jī)制，采用復(fù)雜的可被CPU控制的主動(dòng)屏蔽層技術(shù)覆蓋整個(gè)芯片．一旦芯片被刺探，勢(shì)必要破壞或干擾主動(dòng)屏蔽層的正常功能，則CPU可以即時(shí)的探測(cè)到主動(dòng)屏蔽層發(fā)出的報(bào)警信號(hào)，根據(jù)COS的設(shè)定采用不同級(jí)別的主動(dòng)防御措施。新一代的芯片更是采用專(zhuān)有的多層布局結(jié)構(gòu)．相當(dāng)于給每層電路都加上各自的主動(dòng)屏蔽層。目前還沒(méi)有采用探針技術(shù)(物理攻擊)破解英飛凌芯片的先例。 

圖1芯片探針臺(tái)

    (2)版圖重構(gòu)：利用高倍光學(xué)及射電顯微鏡研究電路的連接模式，可以迅速識(shí)別芯片上的一些基本結(jié)構(gòu)，如數(shù)據(jù)線和地址線。英飛凌的智能卡芯片采用加密的存儲(chǔ)器設(shè)計(jì)(MED)，所有類(lèi)型的存儲(chǔ)器 RAM、ROM、EEPROM、FLASH等所存儲(chǔ)的信息都是經(jīng)過(guò)特殊的加密機(jī)制處理過(guò)的，其結(jié)果是即便存儲(chǔ)內(nèi)容被攻擊者非法獲得，這些加密后的信息對(duì)攻擊者也是毫無(wú)意義的。而且這種被攻擊者直接讀出的概率也是極低的。值得一提的是這種加密存儲(chǔ)器設(shè)計(jì)對(duì)用戶是不可見(jiàn)的并由物理實(shí)現(xiàn)．開(kāi)發(fā)者絲毫不需考慮存儲(chǔ)內(nèi)容的加解密，不會(huì)給開(kāi)發(fā)者帶來(lái)額外的負(fù)擔(dān)。 
    物理攻擊是實(shí)現(xiàn)成功探測(cè)的強(qiáng)有力手段，但其缺點(diǎn)在于入侵式的攻擊模式．同時(shí)需要昂貴的高端實(shí)驗(yàn)室設(shè)備和專(zhuān)門(mén)的探測(cè)技術(shù)。應(yīng)對(duì)物理攻擊的關(guān)鍵在于提高芯片設(shè)計(jì)的復(fù)雜程度和芯片制造的精細(xì)程度。英飛凌的新一代智能卡控制器均采用．13urn 的設(shè)計(jì)工藝。

    2 2邊頻攻擊 

    邊頻攻擊是通過(guò)觀察電路中的某些物理量如能量消耗、電磁輻射、時(shí)間等的變化規(guī)律來(lái)分析智能卡的加密數(shù)據(jù)。邊頻攻擊方法主要包括以下幾種方式：

    (1)DPA(Diferential Power Analysis．差分能量分析1DPA攻擊是通過(guò)用示波鏡檢測(cè)電子器件的能量消耗來(lái)獲知其行為的(圖2) DPA攻擊的基礎(chǔ)是假設(shè)被處理的數(shù)據(jù)與能量消耗之問(wèn)存在某種聯(lián)系，即假設(shè)處理0比1所用不同的能量，那么對(duì)兩個(gè)不同數(shù)據(jù)執(zhí)行同一算法的兩個(gè)能量軌跡會(huì)由于輸入數(shù)據(jù)的不同而產(chǎn)生微小的差別，即差分軌跡．其中的峰值時(shí)刻即是輸入數(shù)據(jù)產(chǎn)生差別的時(shí)鐘周期。如此檢查加密算法的所有輸入以及每一對(duì)0和1產(chǎn)生的差分軌跡，就可以識(shí)別出它們出現(xiàn)在程序代碼中的確切時(shí)間，從而獲取加密密鑰。 

圖2 DPA原理示意圖

    DPA使得加密算法的內(nèi)部處理過(guò)程可以被研究。理論上講，所有加密算法都可用DPA破解．加之這種攻擊方法應(yīng)用十分簡(jiǎn)單且只需很小的投資，因此解決DPA問(wèn)題成為智能卡制造商最急需面對(duì)的問(wèn)題之一。英飛凌的智能卡芯片在設(shè)計(jì)時(shí)采用了一種雙軌預(yù)充電邏輯保證數(shù)據(jù)的處理與能量消耗的無(wú)關(guān)性．并且對(duì)內(nèi)部總線進(jìn)行邏輯加擾和不規(guī)則電流處理，從硬件上根本杜絕DPA的可能性，并且英飛凌能為其用戶提供多種定制的軟件策略．從而完美地解決DPA攻擊的問(wèn)題。 

    (2)DEMA：所有的電子設(shè)備都會(huì)有電磁輻射產(chǎn)生。基于電磁輻射分析的攻擊方法(Differential ElectroMagnetic radiation Analyses，DEMA)和DPA類(lèi)似，其前提也是假設(shè)被處理的數(shù)據(jù)與電磁輻射量之間存在某種聯(lián)系(圖3)。

圖3 DEMA原理示意圖

    一般的，對(duì)照信號(hào)與噪聲的信噪比．差分電磁攻擊(DEMA)獲得比差分能量攻擊(DPA)較好的峰值。所以，電磁信號(hào)的信噪比大于能量信號(hào)的信噪比[5]。雖然電磁曲線比能量曲線更雜亂，但數(shù)據(jù)信號(hào)的特征更分明。另外，電磁攻擊還有一個(gè)優(yōu)點(diǎn)，就是可以明確對(duì)該位置信息的變化能力，這種幾何學(xué)的自由度對(duì)查明疑問(wèn)點(diǎn)的泄露信息非常有用。應(yīng)對(duì)電磁輻射分析攻擊的策略也同防DPA策略類(lèi)似 英飛凌的智能卡芯片能很好的應(yīng)對(duì)DEMA攻擊。

    2．3失效分析攻擊 

    用作智能卡控制器的集成電路芯片，通常都是由硅片制成的。而硅片的電性能會(huì)隨不同的環(huán)境參數(shù)而改變。例如，硅片的電性能會(huì)對(duì)不同的電壓、溫度、光強(qiáng)、電離射線等做出不同的反應(yīng)，也會(huì)受電磁場(chǎng)的影響。通過(guò)改變環(huán)境參數(shù)，攻擊者試圖誘發(fā)失效行為，包括智能卡控制器的程序流程錯(cuò)誤等。目前．更多的攻擊者都關(guān)注在所謂DFA(differential fauh attacks)，通過(guò)擾亂加密系統(tǒng)來(lái)產(chǎn)生錯(cuò)誤結(jié)果，而這些錯(cuò)誤結(jié)果就可以被用來(lái)推導(dǎo)出需要的密鑰。最糟的情況下，一個(gè)簡(jiǎn)單的失效運(yùn)算就足以讓攻擊者推導(dǎo)出完整的密鑰。失效分析攻擊方法主要包括以下幾種方式： 

    (1)尖峰電涌攻擊
    在多種失效分析攻擊方法中．多年來(lái)最簡(jiǎn)單、應(yīng)用最廣泛的方法就是修改智能卡控制器的信號(hào)輸入或供電。目前市場(chǎng)上廣泛存在的衛(wèi)星電視黑卡就是用這種方法破解的(圖4)。供電中的瞬時(shí)能量脈沖被稱(chēng)為電涌Spike；所謂的Glitch尖峰脈沖則被定
義為對(duì)時(shí)鐘信號(hào)的特別修改。由于電源和時(shí)鐘信號(hào)都是智能卡控制器運(yùn)行的必需條件，尖峰和電涌攻擊都會(huì)導(dǎo)致控制器故障，即某些電子模塊會(huì)暫時(shí)失效，因此會(huì)跳過(guò)或?qū)嵤╁e(cuò)誤的操作。

圖4 尖峰電涌攻擊電路板

    (2)電磁攻擊
    雖然尖峰和電涌攻擊能夠得到一些效果，更復(fù)雜的方法已經(jīng)能把電壓和信號(hào)的改變?nèi)诤线M(jìn)半導(dǎo)體芯片中。例如，對(duì)GSM SIM卡的PIN碼攻擊可以使攻擊者完全不需懂得PIN碼的知識(shí)就能分析出卡中的保護(hù)數(shù)據(jù)。為了把擾亂的信號(hào)注入智能卡．經(jīng)常使用電磁線圈，需要把它直接放到芯片表面 電磁攻擊雖然更復(fù)雜，但比起傳統(tǒng)的尖峰或電涌攻擊方法來(lái)，一個(gè)明顯的進(jìn)步是可以把智能卡放在一個(gè)特殊的模塊上進(jìn)行本地的攻擊。這就導(dǎo)致相應(yīng)的防范策略更難被開(kāi)發(fā)。如果一個(gè)安全控制器可以監(jiān)視它的外部供電壓，可以監(jiān)測(cè)到一些尖峰和電涌．但是如果一個(gè)電磁脈沖被加到一個(gè)專(zhuān)門(mén)的模塊上，例如加密協(xié)處理器．就很難被監(jiān)測(cè)出了。

    (3)光攻擊
    光攻擊是指用光照射正在工作的智能卡控制器表面，南于光的入侵，智能卡芯片的硅片內(nèi)部會(huì)產(chǎn)生電壓和電流．從而導(dǎo)致失效行為。采用這種技術(shù)的攻擊者可以繞過(guò)密碼或PIN碼，而得到私密數(shù)據(jù)；或者對(duì)加密操作進(jìn)行攻擊從而產(chǎn)生m密鑰數(shù)據(jù)。如果整個(gè)芯片表面被入侵，則稱(chēng)為全局光攻擊。采用全局光攻擊，一個(gè)未被保護(hù)的智能卡甚至在不撤去芯片表面塑料的情況下就能被攻擊失效。光源被放在卡的背面。這種攻擊需要很強(qiáng)的光照，這就意味著需要用到閃光燈．甚至激光。還有一種更復(fù)雜的方法—— 局部光攻擊，需要更線，甚至可以侵入芯片的背面．這時(shí)任何芯片覆蓋層都不能提供有意義的屏障。

圖5局部光攻擊設(shè)備

    (4)熱攻擊
    修改環(huán)境溫度也可被用作對(duì)智能卡控制器的攻擊方法。在最近的文獻(xiàn)中，有對(duì)PC內(nèi)存中的內(nèi)容進(jìn)行攻擊的詳細(xì)描述。通過(guò)增加周邊環(huán)境的溫度，RAM 內(nèi)存的一些位會(huì)被修改，這種方法可被用來(lái)攻擊各種虛擬機(jī)架構(gòu)。此時(shí)，只需簡(jiǎn)單的燈泡就足以增加周邊的環(huán)境溫度。相反．降低溫度也可用來(lái)進(jìn)行攻擊—— 極低的溫度可以導(dǎo)致RAM 中存儲(chǔ)信息的凍結(jié)，即便是外部供電已被關(guān)閉。溫度攻擊用于智能卡的有效性很大程度上取決于智能卡控制器采用哪種內(nèi)存類(lèi)型。理論上講，如果沒(méi)有引入相應(yīng)的防攻擊策略，智能卡都能被攻擊。一般最基本的對(duì)策是，在智能卡控制器上加裝溫度傳感器用來(lái)測(cè)量硅片的丁作條件．如果溫度超過(guò)界限，則發(fā)出警報(bào)。

    今天的英飛凌控制器上采用的安全特性遠(yuǎn)比這種基本的傳感器防護(hù)策略復(fù)雜．足以對(duì)抗最新的熱攻擊方法— — 所謂的TIVA(Thermally Induced Voltage Alteration)(圖6)TIVA采用紅外激光進(jìn)行局部照射：它的光束可以直接穿透芯片背面進(jìn)入硅片，引起局部熱效應(yīng)，從而導(dǎo)致控制器電子器件的失效行為。TIVA的一個(gè)特別的特性是激光器可以選擇特定的波長(zhǎng)．令其能量恰好不會(huì)觸發(fā)傳統(tǒng)的光攻擊傳感器。盡管TIVA設(shè)計(jì)的初衷是測(cè)試可靠性和進(jìn)行失效分析(并不是用來(lái)攻擊)，但對(duì)攻擊者來(lái)說(shuō)接下來(lái)的幾年內(nèi)會(huì)對(duì)這種方法感興趣。 

圖6局部熱攻擊設(shè)備TlVA

    (5)Mpha射線攻擊 
    目前，對(duì)智能卡芯片用Alpha射線照射已成為及其簡(jiǎn)單且有效的攻擊(圖6) 但這種攻擊方法仍存在一些局限性 采用Alpha射線，攻擊者將不能夠預(yù)測(cè)失效發(fā)生的確切時(shí)刻，也就是說(shuō)，這種攻擊純屬統(tǒng)計(jì)過(guò)程。而且．對(duì)Alpha射線的聚焦并不容易。必需通過(guò)對(duì)多次失效結(jié)果的紀(jì)錄，然后進(jìn)行后期的分析。這就導(dǎo)致攻擊的實(shí)時(shí)性不好。 

    已知的Alpha射線攻擊的效果包括對(duì)內(nèi)存內(nèi)容的更改和信號(hào)時(shí)序的延遲等。用Alpha射線的攻擊對(duì)某些應(yīng)是很危險(xiǎn)的，因?yàn)椴恍枰嘿F的設(shè)備。一個(gè)微弱的Alpha粒子源，或者夜光鐳表盤(pán)．或者煙感火災(zāi)報(bào)警器，其能量都已足夠形成攻擊。Alpha攻擊的成功主要取決于攻擊者的經(jīng)驗(yàn)，特別當(dāng)攻擊者熟知智能卡內(nèi)部的軟件代碼時(shí)： 

    對(duì)付失效分析攻擊的策略不僅需要具有對(duì)各種攻擊弱點(diǎn)的針對(duì)性，還要考慮協(xié)作性不能引起任何沖突：英飛凌的智能卡控制器的現(xiàn)代安全概念基于以下3點(diǎn)防御策略：
 
    -防止失效分析
    -失效分析條件的檢測(cè)
    -失效行為的監(jiān)測(cè) 

    對(duì)電源和輸入信號(hào)的過(guò)濾作為第一道屏障：快速反應(yīng)穩(wěn)壓器可以防止電壓的瞬變，也可防止時(shí)鐘供應(yīng)的反常。 

    傳感器被作為第二道防線。例如．一個(gè)安全控制器被很高的電壓攻擊．如果傳感器監(jiān)測(cè)到臨界值，則智能卡會(huì)觸發(fā)一個(gè)警報(bào)進(jìn)入安全狀態(tài)。電壓傳感器檢查電源供應(yīng)，時(shí)鐘傳感器監(jiān)測(cè)頻率異常，溫度和光傳感器檢查光攻擊和熱攻擊。因?yàn)楣夤粢材軌蛲ㄟ^(guò)芯片背面進(jìn)行．所以光傳感器的布置就不是僅限于前面的照射。第j道屏障是在設(shè)計(jì)安全控制器內(nèi)核時(shí)建立的 硬件和軟件相結(jié)合的策略被用作有效的第三道屏障。既然純軟件對(duì)策在某些情況下能夠成為失效分析的目標(biāo)．則硬件和軟件的結(jié)合就成為必不可少的。

    3．安全認(rèn)證體系

    考慮到大量的失效分析攻擊，很明顯對(duì)現(xiàn)有和未來(lái)攻擊的有效防護(hù)需要建立在集成安全的概念上。首先，防范策略和安全特性不得不被生產(chǎn)廠用先進(jìn)的攻擊技術(shù)來(lái)測(cè)試。其次，獨(dú)立的安全評(píng)估和認(rèn)證也是特別重要的，可以使目標(biāo)的安全水平價(jià)值被中立的認(rèn)證實(shí)體所證明。

    英飛凌的安全控制器通過(guò)了由德國(guó)聯(lián)邦信息安全辦公室(BSI)主持的歷時(shí)數(shù)月的周密評(píng)估與測(cè)試，現(xiàn)已成功通過(guò)全球最嚴(yán)格的智能卡應(yīng)用安全測(cè)試CC EAL5+。 

    EAL5+測(cè)試以智能卡集成電路平臺(tái)保護(hù)規(guī)定(BSI—PP一0002)為基礎(chǔ)。該規(guī)定被世界最大的智能卡行業(yè)協(xié)會(huì)Eurosmart認(rèn)可．符合國(guó)際認(rèn)可的標(biāo)準(zhǔn)ISO／IEC 15408(通用標(biāo)準(zhǔn))。Infineon使用新的PP0002來(lái)獲得認(rèn)證。英飛凌將一直持續(xù)這種戰(zhàn)略，將為其智能卡芯片取得公認(rèn)的安全認(rèn)證。
 
    4． 結(jié)束語(yǔ)

    智能卡應(yīng)用系統(tǒng)是一個(gè)安全環(huán)境很復(fù)雜的系統(tǒng) 本文為分析這個(gè)系統(tǒng)面臨的安全攻擊提供了一個(gè)思路．為系統(tǒng)的安全設(shè)計(jì)提供了依據(jù)。未來(lái)的攻擊手段不得不今天就考慮，特別當(dāng)設(shè)計(jì)一個(gè)新的安全產(chǎn)品時(shí)．必須對(duì)明天的攻擊進(jìn)行有效的防護(hù)。

    【作者簡(jiǎn)介】黃顯明(1976-)，男，工學(xué)博士，高工，英飛凌科技(中國(guó))有限公司，現(xiàn)從事智能卡與移動(dòng)安全研究。

     【參考文獻(xiàn)】
    [1] 許志杰，雷菁，李永彬．智能卡安全技術(shù)研究．現(xiàn)代電子技術(shù)2005，15
    [2] 張志紅．智能卡安全技術(shù)及在PKI巾的應(yīng)用．網(wǎng)絡(luò)安全，2005，6
    [3] 譚皓彪．新一代銀行卡的發(fā)展及應(yīng)用．金卡T程，2006．1
    [4] 薛元星，趙春平，李吳．電信智能卡芯片安全技術(shù)分析．中國(guó)集成電路，2005．3
    [5]袁征，毛明，李勝利．電磁攻擊方法與能量攻擊方法的對(duì)比．現(xiàn)代電子技術(shù)，2003，8

    原文下載：http://www.yktchina.com/bbs/Read-b3-t4453-p10.htm