智能卡的攻擊技術(shù)分析及安全設(shè)計(jì)策略
文章出處:http://botanicstilllife.com 作者:中國一卡通網(wǎng) 收編 人氣: 發(fā)表時(shí)間:2011年09月28日
0 引言
在智能卡應(yīng)用日益廣泛的今天,智能卡應(yīng)用系統(tǒng)的安全問題非常重要。通常認(rèn)為智能卡本身具有較高的安全性 ,但隨著一些專用攻擊技術(shù)的出現(xiàn)和發(fā)展,智能卡也呈現(xiàn)出其安全漏洞,從而導(dǎo)致整個(gè)應(yīng)用系統(tǒng)安全性降低。分析智能卡面臨的安全攻擊,研究相應(yīng)的防御措施,對(duì)于保證整個(gè)智能卡應(yīng)用系統(tǒng)的安全性有重大的意義。本文首先分析了目前主要的智能卡攻擊技術(shù),并有針對(duì)性地提出相應(yīng)的安全設(shè)計(jì)策略。
1 智能卡設(shè)計(jì)簡述
智能卡是將具有存儲(chǔ)、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片上制成的卡片,智能卡的硬件主要包括微處理器和存儲(chǔ)器兩部分,邏輯結(jié)構(gòu)如圖1 所示。
智能卡內(nèi)部的微處理器一般采用8 位字長的中央處理器,當(dāng)然更高位的微處理器也正在開始應(yīng)用。微處理器的主要功能是接受外部設(shè)備發(fā)送的命令,對(duì)其進(jìn)行分析后,根據(jù)需要控制對(duì)存儲(chǔ)器的訪問。訪問時(shí),微處理器向存儲(chǔ)器提供要訪問的數(shù)據(jù)單元地址和必要的參數(shù),存儲(chǔ)器則根據(jù)地址將對(duì)應(yīng)的數(shù)據(jù)傳輸給微處理器,最后由微處理器對(duì)這些數(shù)據(jù)進(jìn)行處理操作。此外,智能卡進(jìn)行的各種運(yùn)算(如加密運(yùn)算) 也是由微處理器完成的。而控制和實(shí)現(xiàn)上述過程的是智能卡的操作系統(tǒng)COS??▋?nèi)的存儲(chǔ)器容量一般都不是很大,存儲(chǔ)器通常是由只讀存儲(chǔ)器ROM、隨機(jī)存儲(chǔ)器RAM 和電擦除可編程存儲(chǔ)器EEPROM組成。其中,ROM 中固化的是操作系統(tǒng)代碼,其容量取決于所采用的微處理器;RAM 用于存放操作數(shù)據(jù),容量通常不超過1KB; EEPROM中則存儲(chǔ)了智能卡的各種信息,如加密數(shù)據(jù)和應(yīng)用文件等,容量通常介于2KB 到32KB 之間,這部分存儲(chǔ)資源可供用戶開發(fā)利用。
圖1 智能卡的硬件結(jié)構(gòu)
2 智能卡攻擊技術(shù)分析
在智能卡的設(shè)計(jì)階段、生產(chǎn)環(huán)境、生產(chǎn)流程及使用過程中會(huì)遇到各種潛在的威脅。攻擊者可能采取各種探測方法以獲取硬件安全機(jī)制、訪問控制機(jī)制、鑒別機(jī)制、數(shù)據(jù)保護(hù)系統(tǒng)、存儲(chǔ)體分區(qū)、密碼模塊程序的設(shè)計(jì)細(xì)節(jié)以及初始化數(shù)據(jù)、私有數(shù)據(jù)、口令或密碼密鑰等敏感數(shù)據(jù),并可能通過修改智能卡上重要安全數(shù)據(jù)的方法,非法獲得對(duì)智能卡的使用權(quán)。這些攻擊對(duì)智能卡的安全構(gòu)成很大威脅。
對(duì)智能卡的攻擊可分為三種基本類型:
(1) 邏輯攻擊:在軟件的執(zhí)行過程中插入竊聽程序bugs
(2) 物理攻擊:分析或更改智能卡硬件
(3) 邊頻攻擊:利用physical phenomena 來分析和更改智能卡的行為
2.1 邏輯攻擊技術(shù)分析
許多方面存在潛在的邏輯缺陷:
(1) 潛藏的命令:
(2) 不良參數(shù)與緩沖器溢出
(3) 文件存取
(4) 惡意進(jìn)程applet?
(5) 通信協(xié)議
(6) 加密協(xié)議,設(shè)計(jì)與執(zhí)行過程
2.2 物理攻擊
多種方法和工具可用于實(shí)現(xiàn)物理攻擊
(1) 化學(xué)溶劑、蝕刻和著色材料
(2) 顯微鏡
(3) 探針臺(tái)
(4) FIB聚離子束?
物理攻擊的安全對(duì)策在以下方面加以改進(jìn):
(1) 形體尺寸
(2) 多層化
(3) 保護(hù)層
(4) 傳感器
(5) 不規(guī)則總線?
(6) 封膠?邏輯
2.3 邊頻攻擊
1)差分能量分析(DPA)
差分能量分析(DPA)攻擊是通過用示波鏡檢測電子器件的能量消耗來獲知其行為。攻擊者只需知道算法的明文(輸入)或密文(輸出),通過分析和比較一系列的能量軌跡就可重現(xiàn)加密密鑰。
DPA攻擊的基礎(chǔ)是假設(shè)被處理的數(shù)據(jù)與能量消耗之間存在某種聯(lián)系,換句話說,假設(shè)處理0比1所用的能量要少(反之亦然)。那么對(duì)兩個(gè)不同數(shù)據(jù)執(zhí)行同一算法的兩個(gè)能量軌跡會(huì)由于輸入數(shù)據(jù)的不同而產(chǎn)生微小的差別。用計(jì)算機(jī)嚴(yán)格按時(shí)鐘計(jì)算兩條軌跡的差得到差分軌跡,差分軌跡中出現(xiàn)峰值的時(shí)刻即是輸入數(shù)據(jù)產(chǎn)生差別的時(shí)鐘周期。如此檢查加密算法的所有輸入以及每一對(duì)0和1產(chǎn)生的差分軌跡,就可以識(shí)別出它們出現(xiàn)在程序代碼中的確切時(shí)間,從而獲取加密密鑰。
2)能量短脈沖干擾
微處理器要求在穩(wěn)定的電壓下工作,能量供應(yīng)的中斷就好象突然沖擊程序運(yùn)行或復(fù)位電路。然而,一個(gè)短而巧妙的脈沖可以引起單步的程序錯(cuò)誤而微處理器仍能繼續(xù)執(zhí)行程序。例如, CPU讀取存儲(chǔ)單元的內(nèi)容,三極管用一個(gè)閾值來檢測存儲(chǔ)單元的值以確定所讀的是邏輯0或1。突然出現(xiàn)的能量短脈沖對(duì)存儲(chǔ)值和邏輯值都會(huì)產(chǎn)生影響。不同的內(nèi)部容量會(huì)使存儲(chǔ)值受到不同的影響,有可能會(huì)使真實(shí)的值被歪曲。如圖3所示,與邏輯0對(duì)應(yīng)的低電平在正常的操作狀態(tài)下可能低于閾值電平,然而由于短脈沖的能量下壓可能導(dǎo)致其高于閾值電平。許多加密算法都易受這一類故障注入的影響。采用差分故障分析(DFA, Differential Fault Analysis )技術(shù)將正確的與錯(cuò)誤的密碼編碼相比較從而析出秘藏的密鑰。
圖3 讀存儲(chǔ)器時(shí)能量短脈沖干擾
短脈沖干擾的第二種攻擊方式是將PIN校驗(yàn)失敗轉(zhuǎn)為成功以欺騙處理器。更為嚴(yán)格的一種方式是在處理器正要將校驗(yàn)失敗寫入存儲(chǔ)器時(shí)完全關(guān)閉電源,從而避免PIN校驗(yàn)失敗計(jì)數(shù)器溢出。
短脈沖干擾的第三種應(yīng)用是攻擊發(fā)送限制計(jì)數(shù)器,從而導(dǎo)致整個(gè)存儲(chǔ)器內(nèi)容輸出到串行接口。
3 智能卡的安全設(shè)計(jì)策略
安全應(yīng)用的設(shè)計(jì)者使用智能卡而無視其許多的弱點(diǎn)(攻擊點(diǎn)?),可供選擇的解決方案有著其自己的安全漏洞,甚至于更不安全。本節(jié)為設(shè)計(jì)者提供一些應(yīng)用技巧,以達(dá)到適當(dāng)水平的安全。
3.1 攻擊者的商業(yè)狀況
大多數(shù)嚴(yán)重的威脅來自于尋求經(jīng)濟(jì)利益的攻擊者。這一類攻擊者會(huì)慎重考慮成本與收入之間的平衡。防范措施的技巧多在于增加攻擊成功的難度和成本。
3.2 設(shè)計(jì)步驟
智能卡應(yīng)用系統(tǒng)的設(shè)計(jì)者使用現(xiàn)成?的智能卡產(chǎn)品來設(shè)計(jì)系統(tǒng)、軟件和協(xié)議,實(shí)現(xiàn)系統(tǒng)應(yīng)用。盡管面臨重重威脅,他仍然需要交付一個(gè)足夠安全的系統(tǒng)。
以下是達(dá)成這一目標(biāo)所需要采取的步驟:
(1)確定應(yīng)用系統(tǒng)所需的安全程度及特殊的安全要求。同時(shí)還需要將技術(shù)上、商業(yè)上、公共關(guān)系上(品牌價(jià)值)潛在的安全成本考慮在內(nèi)。
(2)進(jìn)行風(fēng)險(xiǎn)分析并評(píng)估安全威脅。
(3)分析攻擊者的商業(yè)狀況,考慮從善意的黑客到犯罪組織等各種類型的攻擊者。
(4)選擇能達(dá)到所要求的安全級(jí)別的智能卡解決方案。
3.1 邏輯攻擊的安全策略
邏輯攻擊的安全對(duì)策
(1) 結(jié)構(gòu)化設(shè)計(jì)
(2) 正規(guī)的校驗(yàn)
(3) 測試
(4) 接口與應(yīng)用的標(biāo)準(zhǔn)化
(5) 集中?應(yīng)用JAVA卡操作系統(tǒng)
(6) 普及評(píng)估實(shí)驗(yàn)室
3.2 物理攻擊的安全策略
物理攻擊的安全對(duì)策在以下方面加以改進(jìn):
(7) 形體尺寸
(8) 多層化
(9) 保護(hù)層
(10) 傳感器
(11) 不規(guī)則總線?
(12) 封膠?邏輯
3.3 安全設(shè)計(jì)策略
面對(duì)上述種種攻擊手段,智能卡在設(shè)計(jì)時(shí)應(yīng)根據(jù)所要求的安全級(jí)別采用響應(yīng)安全設(shè)計(jì)策略,其基本思想是:增加芯片上集成電路的復(fù)雜性;提高電路的抗干擾能力;增加噪聲來掩蓋真正的電源功率的消耗;提高對(duì)異常信號(hào)的控制功能等等。具體預(yù)防措施如下:
(1)限制程序計(jì)數(shù)器技術(shù)
在上面所述的短脈沖攻擊中,由于攻擊者可以利用程序計(jì)數(shù)器來增加對(duì)內(nèi)存數(shù)據(jù)的訪問, 因此在智能卡程序設(shè)計(jì)時(shí)一定要限制程序計(jì)數(shù)器的使用, 以免被攻擊者所利用。
(2)隨機(jī)的時(shí)鐘信號(hào)
許多邏輯和邊頻攻擊技術(shù)是要攻擊者預(yù)見某條指令執(zhí)行的準(zhǔn)確時(shí)間。如果處理器在每一次復(fù)位后執(zhí)行一個(gè)相同的指令,很容易被攻擊者發(fā)現(xiàn)。推測處理器的行為也能簡化對(duì)協(xié)議的分析。因此預(yù)防措施是在可觀察和關(guān)鍵的操作之間插入隨機(jī)的時(shí)鐘,這樣可以有效地防止這種攻擊。
(3)低頻傳感器
當(dāng)智能卡芯片用低頻的時(shí)鐘電路驅(qū)動(dòng)時(shí),用電子流測試來觀察總線的技術(shù)日益簡單。因此芯片的設(shè)計(jì)者要對(duì)低于某一時(shí)鐘頻率的行為報(bào)警,以防止這種行為的發(fā)生。應(yīng)設(shè)計(jì)這樣一種電路:外部的復(fù)位信號(hào)不能直接作用到內(nèi)部復(fù)位線上, 只能引起一個(gè)外部分頻器來降低時(shí)鐘信號(hào)頻率,以激發(fā)低頻探測器,而它又可激發(fā)內(nèi)部復(fù)位線,最終停止分頻器,而處理器通過傳感器測試并開始正常的操作。這種設(shè)計(jì)的處理器在上電后沒有正常的內(nèi)部復(fù)位就不會(huì)運(yùn)行。其它防御非入侵式攻擊的傳感器也要嵌入到處理器的正常操作中去,否則可以通過破壞電路的方式繞過它們。
為了增加攻擊者的難度, 可以將電路設(shè)計(jì)為多個(gè)電路層。使微探針技術(shù)的使用受到一定限制,從而保證了一定的安全性。但同時(shí)也增加了電路設(shè)計(jì)的復(fù)雜性和提高了制造成本。
(5)頂層的傳感器網(wǎng)
在芯片的表面加上一層格狀的網(wǎng)絡(luò)能夠有效地防止激光切割及探針類的探測技術(shù)。這種技術(shù)也能有效地防止對(duì)低層電路的進(jìn)一步探測。這種傳感器網(wǎng)與一個(gè)寄存器的標(biāo)志位相關(guān)聯(lián),當(dāng)入侵行為發(fā)生的時(shí)候,寄存器的標(biāo)志位發(fā)生改變,使內(nèi)存的內(nèi)容清零。
(6)自毀技術(shù)
在芯片的最外層沉積一層薄薄的金屬膜, 并在其上可加UZ 的電壓,然后在最外面用塑料封裝起來。這樣,芯片就好像穿了一層導(dǎo)電的衣服。如攻擊者用精密機(jī)械探針插入芯片內(nèi)企圖探測里面的密碼時(shí), 會(huì)引起短路而燒毀芯片。
(7)抗電磁探測密碼技術(shù)
采用平衡電路降低信號(hào)能量以及設(shè)置金屬防護(hù)以抑制電磁發(fā)射。導(dǎo)電衣服對(duì)芯片內(nèi)發(fā)出的電磁輻射有一定的屏蔽或衰減作用,使其輻射出來的電磁波減弱。因此可以在芯片里面加上1個(gè)隨機(jī)數(shù)發(fā)生器, 其結(jié)果是使輻射出的電磁波更加混亂, 即便是靈敏的電磁探頭測到它的電磁輻射也無法分析到里面的真實(shí)密鑰。
(8)鎖存電路
在智能卡的處理器中設(shè)置鎖存位。當(dāng)出現(xiàn)異常情況,如溫度、壓力、電壓、電流等出現(xiàn)不安全的情況并對(duì)芯片內(nèi)的敏感數(shù)據(jù)產(chǎn)生威脅時(shí),它會(huì)發(fā)出解鎖電平,同時(shí)立即清除芯片中的敏感數(shù)據(jù)&注意此項(xiàng)功能的設(shè)置與用戶所采用的安全策略有關(guān),否則容易引起用戶不滿。
(9)隨機(jī)多線程
設(shè)計(jì)多線程處理器結(jié)構(gòu),由硬件控制處理器,在每一個(gè)指令組隨機(jī)有N 個(gè)或多個(gè)線程在執(zhí)行。這樣的處理器由多組寄存器、程序計(jì)數(shù)器、指令寄存器等組成,組合邏輯采取隨機(jī)改變的方式。
(10)破壞測試電路:在智能卡卡生產(chǎn)時(shí)一般會(huì)保留測試電路用以測試智能卡卡是否合格,而有些智能卡卡在發(fā)行時(shí)仍然保留了這些測試電路,從而為攻擊者提供了巨大的便利,因此,在智能卡檢測合格后,應(yīng)該破壞掉這些電路。
4 結(jié)論
智能卡應(yīng)用系統(tǒng)是一個(gè)安全環(huán)境很復(fù)雜的系統(tǒng),本文為分析這個(gè)系統(tǒng)面臨的安全攻擊提供了一個(gè)思路,為系統(tǒng)的安全設(shè)計(jì)提供了依據(jù)。下一步工作是量化各安全設(shè)計(jì)策略,探索在降低安全威脅與增加安全成本之間尋找最佳平衡點(diǎn)的方法。