智能卡攻擊技術(shù)分析及安全防范策略綜述

文章出處：http://psychicreadingswithdeb.com 作者：黃顯明   人氣： 發(fā)表時(shí)間：2011年09月23日

    1．前言 

    近年來(lái)智能卡市場(chǎng)呈現出以幾何級數增長(cháng)的態(tài)勢．智能卡以其特有的安全可靠性，被廣泛應用于從單個(gè)器件到大型復雜系統的安全解決方案。然而隨著(zhù)智能卡的日益普及．針對智能卡的各種專(zhuān)用攻擊技術(shù)也在同步發(fā)展。分析智能卡面臨的安全攻擊，研究相應的防范策略，對于保證整個(gè)智能卡應用系統的安全性有重大的意義 

    2．智能卡攻擊技了忙及其安呈昕范策略 

    對智能卡的攻擊可分為三種基本類(lèi)型：物理攻擊、邊頻攻擊和失效分析攻擊。下面就這三種攻擊技術(shù)的具體實(shí)施方式加以分析。

    2．1 物理攻擊 

    雖然智能卡的所有功能似乎都封閉在單個(gè)的芯片中，但是仍然有可能對其實(shí)施反向工程。用于實(shí)施物理攻擊的主要方法包括： 

    (1)微探針技術(shù)：攻擊者通常在去除芯片封裝之后，通過(guò)恢復芯片功能焊盤(pán)與外界的電氣連接，最后可以使用微探針獲取感興趣的信號(圖1)，從而分析出智能卡的有關(guān)設計信息和存儲結構，甚至直接讀取出存儲器的信息進(jìn)行分析 。 
    英飛凌公司的所有智能卡芯片都提供很強的防刺探機制，采用復雜的可被CPU控制的主動(dòng)屏蔽層技術(shù)覆蓋整個(gè)芯片．一旦芯片被刺探，勢必要破壞或干擾主動(dòng)屏蔽層的正常功能，則CPU可以即時(shí)的探測到主動(dòng)屏蔽層發(fā)出的報警信號，根據COS的設定采用不同級別的主動(dòng)防御措施。新一代的芯片更是采用專(zhuān)有的多層布局結構．相當于給每層電路都加上各自的主動(dòng)屏蔽層。目前還沒(méi)有采用探針技術(shù)(物理攻擊)破解英飛凌芯片的先例。 

圖1芯片探針臺

    (2)版圖重構：利用高倍光學(xué)及射電顯微鏡研究電路的連接模式，可以迅速識別芯片上的一些基本結構，如數據線(xiàn)和地址線(xiàn)。英飛凌的智能卡芯片采用加密的存儲器設計(MED)，所有類(lèi)型的存儲器 RAM、ROM、EEPROM、FLASH等所存儲的信息都是經(jīng)過(guò)特殊的加密機制處理過(guò)的，其結果是即便存儲內容被攻擊者非法獲得，這些加密后的信息對攻擊者也是毫無(wú)意義的。而且這種被攻擊者直接讀出的概率也是極低的。值得一提的是這種加密存儲器設計對用戶(hù)是不可見(jiàn)的并由物理實(shí)現．開(kāi)發(fā)者絲毫不需考慮存儲內容的加解密，不會(huì )給開(kāi)發(fā)者帶來(lái)額外的負擔。 
    物理攻擊是實(shí)現成功探測的強有力手段，但其缺點(diǎn)在于入侵式的攻擊模式．同時(shí)需要昂貴的高端實(shí)驗室設備和專(zhuān)門(mén)的探測技術(shù)。應對物理攻擊的關(guān)鍵在于提高芯片設計的復雜程度和芯片制造的精細程度。英飛凌的新一代智能卡控制器均采用．13urn 的設計工藝。

    2 2邊頻攻擊 

    邊頻攻擊是通過(guò)觀(guān)察電路中的某些物理量如能量消耗、電磁輻射、時(shí)間等的變化規律來(lái)分析智能卡的加密數據。邊頻攻擊方法主要包括以下幾種方式：

    (1)DPA(Diferential Power Analysis．差分能量分析1DPA攻擊是通過(guò)用示波鏡檢測電子器件的能量消耗來(lái)獲知其行為的(圖2) DPA攻擊的基礎是假設被處理的數據與能量消耗之問(wèn)存在某種聯(lián)系，即假設處理0比1所用不同的能量，那么對兩個(gè)不同數據執行同一算法的兩個(gè)能量軌跡會(huì )由于輸入數據的不同而產(chǎn)生微小的差別，即差分軌跡．其中的峰值時(shí)刻即是輸入數據產(chǎn)生差別的時(shí)鐘周期。如此檢查加密算法的所有輸入以及每一對0和1產(chǎn)生的差分軌跡，就可以識別出它們出現在程序代碼中的確切時(shí)間，從而獲取加密密鑰。 

圖2 DPA原理示意圖

    DPA使得加密算法的內部處理過(guò)程可以被研究。理論上講，所有加密算法都可用DPA破解．加之這種攻擊方法應用十分簡(jiǎn)單且只需很小的投資，因此解決DPA問(wèn)題成為智能卡制造商最急需面對的問(wèn)題之一。英飛凌的智能卡芯片在設計時(shí)采用了一種雙軌預充電邏輯保證數據的處理與能量消耗的無(wú)關(guān)性．并且對內部總線(xiàn)進(jìn)行邏輯加擾和不規則電流處理，從硬件上根本杜絕DPA的可能性，并且英飛凌能為其用戶(hù)提供多種定制的軟件策略．從而完美地解決DPA攻擊的問(wèn)題。 

    (2)DEMA：所有的電子設備都會(huì )有電磁輻射產(chǎn)生?；陔姶泡椛浞治龅墓舴椒?Differential ElectroMagnetic radiation Analyses，DEMA)和DPA類(lèi)似，其前提也是假設被處理的數據與電磁輻射量之間存在某種聯(lián)系(圖3)。

圖3 DEMA原理示意圖

    一般的，對照信號與噪聲的信噪比．差分電磁攻擊(DEMA)獲得比差分能量攻擊(DPA)較好的峰值。所以，電磁信號的信噪比大于能量信號的信噪比[5]。雖然電磁曲線(xiàn)比能量曲線(xiàn)更雜亂，但數據信號的特征更分明。另外，電磁攻擊還有一個(gè)優(yōu)點(diǎn)，就是可以明確對該位置信息的變化能力，這種幾何學(xué)的自由度對查明疑問(wèn)點(diǎn)的泄露信息非常有用。應對電磁輻射分析攻擊的策略也同防DPA策略類(lèi)似 英飛凌的智能卡芯片能很好的應對DEMA攻擊。

    2．3失效分析攻擊 

    用作智能卡控制器的集成電路芯片，通常都是由硅片制成的。而硅片的電性能會(huì )隨不同的環(huán)境參數而改變。例如，硅片的電性能會(huì )對不同的電壓、溫度、光強、電離射線(xiàn)等做出不同的反應，也會(huì )受電磁場(chǎng)的影響。通過(guò)改變環(huán)境參數，攻擊者試圖誘發(fā)失效行為，包括智能卡控制器的程序流程錯誤等。目前．更多的攻擊者都關(guān)注在所謂DFA(differential fauh attacks)，通過(guò)擾亂加密系統來(lái)產(chǎn)生錯誤結果，而這些錯誤結果就可以被用來(lái)推導出需要的密鑰。最糟的情況下，一個(gè)簡(jiǎn)單的失效運算就足以讓攻擊者推導出完整的密鑰。失效分析攻擊方法主要包括以下幾種方式： 

    (1)尖峰電涌攻擊
    在多種失效分析攻擊方法中．多年來(lái)最簡(jiǎn)單、應用最廣泛的方法就是修改智能卡控制器的信號輸入或供電。目前市場(chǎng)上廣泛存在的衛星電視黑卡就是用這種方法破解的(圖4)。供電中的瞬時(shí)能量脈沖被稱(chēng)為電涌Spike；所謂的Glitch尖峰脈沖則被定
義為對時(shí)鐘信號的特別修改。由于電源和時(shí)鐘信號都是智能卡控制器運行的必需條件，尖峰和電涌攻擊都會(huì )導致控制器故障，即某些電子模塊會(huì )暫時(shí)失效，因此會(huì )跳過(guò)或實(shí)施錯誤的操作。

圖4 尖峰電涌攻擊電路板

    (2)電磁攻擊
    雖然尖峰和電涌攻擊能夠得到一些效果，更復雜的方法已經(jīng)能把電壓和信號的改變融合進(jìn)半導體芯片中。例如，對GSM SIM卡的PIN碼攻擊可以使攻擊者完全不需懂得PIN碼的知識就能分析出卡中的保護數據。為了把擾亂的信號注入智能卡．經(jīng)常使用電磁線(xiàn)圈，需要把它直接放到芯片表面 電磁攻擊雖然更復雜，但比起傳統的尖峰或電涌攻擊方法來(lái)，一個(gè)明顯的進(jìn)步是可以把智能卡放在一個(gè)特殊的模塊上進(jìn)行本地的攻擊。這就導致相應的防范策略更難被開(kāi)發(fā)。如果一個(gè)安全控制器可以監視它的外部供電壓，可以監測到一些尖峰和電涌．但是如果一個(gè)電磁脈沖被加到一個(gè)專(zhuān)門(mén)的模塊上，例如加密協(xié)處理器．就很難被監測出了。

    (3)光攻擊
    光攻擊是指用光照射正在工作的智能卡控制器表面，南于光的入侵，智能卡芯片的硅片內部會(huì )產(chǎn)生電壓和電流．從而導致失效行為。采用這種技術(shù)的攻擊者可以繞過(guò)密碼或PIN碼，而得到私密數據；或者對加密操作進(jìn)行攻擊從而產(chǎn)生m密鑰數據。如果整個(gè)芯片表面被入侵，則稱(chēng)為全局光攻擊。采用全局光攻擊，一個(gè)未被保護的智能卡甚至在不撤去芯片表面塑料的情況下就能被攻擊失效。光源被放在卡的背面。這種攻擊需要很強的光照，這就意味著(zhù)需要用到閃光燈．甚至激光。還有一種更復雜的方法—— 局部光攻擊，需要更線(xiàn)，甚至可以侵入芯片的背面．這時(shí)任何芯片覆蓋層都不能提供有意義的屏障。

圖5局部光攻擊設備

    (4)熱攻擊
    修改環(huán)境溫度也可被用作對智能卡控制器的攻擊方法。在最近的文獻中，有對PC內存中的內容進(jìn)行攻擊的詳細描述。通過(guò)增加周邊環(huán)境的溫度，RAM 內存的一些位會(huì )被修改，這種方法可被用來(lái)攻擊各種虛擬機架構。此時(shí)，只需簡(jiǎn)單的燈泡就足以增加周邊的環(huán)境溫度。相反．降低溫度也可用來(lái)進(jìn)行攻擊—— 極低的溫度可以導致RAM 中存儲信息的凍結，即便是外部供電已被關(guān)閉。溫度攻擊用于智能卡的有效性很大程度上取決于智能卡控制器采用哪種內存類(lèi)型。理論上講，如果沒(méi)有引入相應的防攻擊策略，智能卡都能被攻擊。一般最基本的對策是，在智能卡控制器上加裝溫度傳感器用來(lái)測量硅片的丁作條件．如果溫度超過(guò)界限，則發(fā)出警報。

    今天的英飛凌控制器上采用的安全特性遠比這種基本的傳感器防護策略復雜．足以對抗最新的熱攻擊方法— — 所謂的TIVA(Thermally Induced Voltage Alteration)(圖6)TIVA采用紅外激光進(jìn)行局部照射：它的光束可以直接穿透芯片背面進(jìn)入硅片，引起局部熱效應，從而導致控制器電子器件的失效行為。TIVA的一個(gè)特別的特性是激光器可以選擇特定的波長(cháng)．令其能量恰好不會(huì )觸發(fā)傳統的光攻擊傳感器。盡管TIVA設計的初衷是測試可靠性和進(jìn)行失效分析(并不是用來(lái)攻擊)，但對攻擊者來(lái)說(shuō)接下來(lái)的幾年內會(huì )對這種方法感興趣。 

圖6局部熱攻擊設備TlVA

    (5)Mpha射線(xiàn)攻擊 
    目前，對智能卡芯片用Alpha射線(xiàn)照射已成為及其簡(jiǎn)單且有效的攻擊(圖6) 但這種攻擊方法仍存在一些局限性 采用Alpha射線(xiàn)，攻擊者將不能夠預測失效發(fā)生的確切時(shí)刻，也就是說(shuō)，這種攻擊純屬統計過(guò)程。而且．對Alpha射線(xiàn)的聚焦并不容易。必需通過(guò)對多次失效結果的紀錄，然后進(jìn)行后期的分析。這就導致攻擊的實(shí)時(shí)性不好。 

    已知的Alpha射線(xiàn)攻擊的效果包括對內存內容的更改和信號時(shí)序的延遲等。用Alpha射線(xiàn)的攻擊對某些應是很危險的，因為不需要昂貴的設備。一個(gè)微弱的Alpha粒子源，或者夜光鐳表盤(pán)．或者煙感火災報警器，其能量都已足夠形成攻擊。Alpha攻擊的成功主要取決于攻擊者的經(jīng)驗，特別當攻擊者熟知智能卡內部的軟件代碼時(shí)： 

    對付失效分析攻擊的策略不僅需要具有對各種攻擊弱點(diǎn)的針對性，還要考慮協(xié)作性不能引起任何沖突：英飛凌的智能卡控制器的現代安全概念基于以下3點(diǎn)防御策略：
 
    -防止失效分析
    -失效分析條件的檢測
    -失效行為的監測 

    對電源和輸入信號的過(guò)濾作為第一道屏障：快速反應穩壓器可以防止電壓的瞬變，也可防止時(shí)鐘供應的反常。 

    傳感器被作為第二道防線(xiàn)。例如．一個(gè)安全控制器被很高的電壓攻擊．如果傳感器監測到臨界值，則智能卡會(huì )觸發(fā)一個(gè)警報進(jìn)入安全狀態(tài)。電壓傳感器檢查電源供應，時(shí)鐘傳感器監測頻率異常，溫度和光傳感器檢查光攻擊和熱攻擊。因為光攻擊也能夠通過(guò)芯片背面進(jìn)行．所以光傳感器的布置就不是僅限于前面的照射。第j道屏障是在設計安全控制器內核時(shí)建立的 硬件和軟件相結合的策略被用作有效的第三道屏障。既然純軟件對策在某些情況下能夠成為失效分析的目標．則硬件和軟件的結合就成為必不可少的。

    3．安全認證體系

    考慮到大量的失效分析攻擊，很明顯對現有和未來(lái)攻擊的有效防護需要建立在集成安全的概念上。首先，防范策略和安全特性不得不被生產(chǎn)廠(chǎng)用先進(jìn)的攻擊技術(shù)來(lái)測試。其次，獨立的安全評估和認證也是特別重要的，可以使目標的安全水平價(jià)值被中立的認證實(shí)體所證明。

    英飛凌的安全控制器通過(guò)了由德國聯(lián)邦信息安全辦公室(BSI)主持的歷時(shí)數月的周密評估與測試，現已成功通過(guò)全球最嚴格的智能卡應用安全測試CC EAL5+。 

    EAL5+測試以智能卡集成電路平臺保護規定(BSI—PP一0002)為基礎。該規定被世界最大的智能卡行業(yè)協(xié)會(huì )Eurosmart認可．符合國際認可的標準ISO／IEC 15408(通用標準)。Infineon使用新的PP0002來(lái)獲得認證。英飛凌將一直持續這種戰略，將為其智能卡芯片取得公認的安全認證。
 
    4． 結束語(yǔ)

    智能卡應用系統是一個(gè)安全環(huán)境很復雜的系統 本文為分析這個(gè)系統面臨的安全攻擊提供了一個(gè)思路．為系統的安全設計提供了依據。未來(lái)的攻擊手段不得不今天就考慮，特別當設計一個(gè)新的安全產(chǎn)品時(shí)．必須對明天的攻擊進(jìn)行有效的防護。

    【作者簡(jiǎn)介】黃顯明(1976-)，男，工學(xué)博士，高工，英飛凌科技(中國)有限公司，現從事智能卡與移動(dòng)安全研究。

     【參考文獻】
    [1] 許志杰，雷菁，李永彬．智能卡安全技術(shù)研究．現代電子技術(shù)2005，15
    [2] 張志紅．智能卡安全技術(shù)及在PKI巾的應用．網(wǎng)絡(luò )安全，2005，6
    [3] 譚皓彪．新一代銀行卡的發(fā)展及應用．金卡T程，2006．1
    [4] 薛元星，趙春平，李吳．電信智能卡芯片安全技術(shù)分析．中國集成電路，2005．3
    [5]袁征，毛明，李勝利．電磁攻擊方法與能量攻擊方法的對比．現代電子技術(shù)，2003，8

    原文下載：http://www.yktchina.com/bbs/Read-b3-t4453-p10.htm