三种破解MCU 技能
MCU的安全等级正在逐步提升,一些公司乃至推出了安全主控,这是很好的征象,解释大家越来越重视嵌入式领域的信息安全和程序安全了。但对付很多分外行业,比如消费类电子产品,低本钱的通讯模块、电源掌握模块等等,迫于本钱压力以及更新换代速率问题,都无法利用更安全的主控MCU,有很大一部分产品乃至还在利用51单片机。
大家可能都知道破解51单片机是很随意马虎的,但为什么随意马虎,又是如何来破解的,可能很多人就不大清楚了,我在这里结合网上一些前辈整理的资料,和自己的履历,对MCU破解技能做个大略剖析。
大家不要把解密想的很繁芜,他不像研发一款产品那样,先确定客户需求或者新产品紧张功能,然后立项确定技能指标,分配软硬件开拓任务,基于硬件调试程序,然后验证功能,测试bug,还要做环境试验。行业里解密的方法有很多,每个人破解的思路也不一样。但是大致分为几种。
1、软件破解
利用软件破解目标单片机的方法,利用这种方法,不会对目标MCU元器件造成物理损伤。紧张是对WINBONGD,SYNCMOS单片机和GAL门阵列,这种利用软件解密设备,按照一定的步骤操作,实行片内的程序送到片外的指令,然后用解密的设备进行截获,这样芯片内部的程序就被解密完成了(GAL采取逻辑预测),就可以得到加密单片机中的程序。
2、硬件破解
流程如下:
① 测试
利用高档编程器等设备测试芯片是否正常,并把配置字保存。
② 开盖
采取手工或专用开盖设备进行开盖处理,这里说的开盖并不是说单片机或者其他MCU真有一个盖。大略阐明一下,MCU实在是一个大规模集成电路,它是由N个电路组合而成的,而晶圆便是搭载集成电路的载体。将晶圆进行封装后,就形成了我们日常所用的IC芯片,封装形式可以有多种,比如TSSOP28、QFN28等。
③ 做电路修正
对不同芯片,供应对应的图纸,让厂家做电路修正,目的是让MCU的存储区变得可读。有些MCU默认不许可读出Flash或者E2PROM中的数据,由于有硬件电路做保护,而一旦割断加密连线,程序就暴露可读了。如下图所示:
(切割掉加密熔丝,这样就可以直接读出芯片内部程序)
④ 读程序
取回修正过的MCU,直接用编程器读出程序,可以是HEX文件,或者BIN文件。
⑤ 烧写样片给客户
按照读出的程序和配置,烧写到目标MCU中,这样就完成了MCU的破解。至此,硬件破解法成功完成。
3、软硬兼施
采取软件和硬件结合的方法,须要对芯片的内部构造非常的熟习。
其余还有其他一些破解技能,例如电子探测攻击、差错产生技能等等,但是终极目的只有一个,便是能够模拟出目标MCU的功能就可以了。
看到这里大家该当明白一个道理,破解MCU并不能做到把MCU中的程序原封不动的还原出来。目前的技能也做不到,至少海内该当做不到。针对以上情形,加密芯片应运而生,初期确实能很好的保护MCU的安全,但很快就被找到了漏洞。
我举个实际破解的例子剖析一下,大家就能够明白了。
加密事理:
MCU和加密芯片各存储一条认证秘钥,存储同样的加密算法;
MCU产生随机数发给加密芯片,后者用秘钥加密后将密文返回,此时MCU解密后,比对明文是否和天生的随机数相等。如果相等,程序正常运行;如果不相等,出错处理。
由于盗版商没有这条秘钥,加密芯片与MCU交互的数据又是随机变革的,无法找到规律,以是只能把加密芯片的程序破解了,再复制一片加密芯片才能让MCU的程序跑起来。而加密芯片不同于通用MCU,它内部有很多安全机制,破解难度非常大。
这种加密方案看似非常安全,但实在还是有漏洞的。
破解方法:
1.首先按照第二种破解方法,获取到MCU的HEX文件。此处省略N步,不再复述。
2.利用软件进行HEX反编译,反编译软件目前有很多。
3.在反编译的程序中,找到比拟点,比如下图所示,CJNE语句可能便是这个比拟点。因此只要把箭头2那行语句删除,然后重新把汇编措辞下载到MCU中,破解事情就完成了。此时纵然没有加密芯片,MCU也能正常运行了。
实在缘故原由很大略。MCU是要对加密芯片的返回值进行判断的,那么不让他做判断,这样一来不管加密芯片返回值是什么,程序都能正常运行。
因此这种加密方案很快就被破解了。当然也不是这么绝对,由于有些MCU纵然剖片也不能得到里面的HEX或者BIN文件,以是这种破解方案也要看MCU的安全等级够不足高。但是足以解释一个问题,这种通过比拟加密结果来实现加密的方案,安全等级还是不足高,还是有破解漏洞的。
若何防住那些想破解MCU的人
要破解MCU,学校里不会有人讲这个,大概很多老师们也不会。为什么要破解,为了兴趣?研究?挣钱?还可能是太无聊了。不管若何,学习下MCU的防破解技能,就像理解你家的门锁一样有代价。
微掌握器的硬件安全方法与嵌入式系统同时开始发展。三十年前的系统是由分离的部件如CPU,ROM,RAM,I/O缓冲器,串口和其他通信与掌握接口组成的。
在早期,除法律和经济外,险些没有保护方法来防止复制这些设备。例如,ROM是用低本钱的掩模技能制造的,可用EPROM轻易复制,但后者常日要贵3-10倍或更多。或定制掩模ROM,那就须要很长的韶光和很大的投资。另一种是在游戏机中广泛利用的大略单纯ASIC。这些ASIC紧张用于I/O部分来取代数十个逻辑器件,在降落本钱的同时防止竞争者的复制,使之不得不应用更大且更贵的办理方案。实际上ASIC不会更安全,用示波器来大略剖析旗子暗记或穷举所有可能的引脚组合就可以在数小时内得知它的详细功能。
从七十年代后期开始,微掌握器供应一种非常好的取代基于CPU的掌握板的方法。它们不仅有内部存储器和通用I/O接口,还有一些保护方法以防止未经授权访问内部存储器的内容。
不幸的是,早期的MCU没有供应非易失落存储能力,主要的数据不得不存在MCU外部的分离芯片上,因此很随意马虎被读出数据。一些廉价USB狗也用此法来进行软件保护。
图 1 Aladdin HASP4 USB狗
下一步进展便是把EEPROM芯片放在与MCU同一封装的内部。破解这些芯片是不随意马虎的。一种专业的方法是打开样品的封装,用微探针来得到数据。或将芯片重新焊在一个分开的封装内。这两种设备都不是低级破解者所能拥有的。这些破解者会考试测验用低廉甜头的微探针(旧芯片的焊线区域是相称大的)或利用软件上的毛病来读出数据。
图2 PIC12CE518微掌握器打开封装后的照片,可见非易失落数据存储器和MCU是分开封在同一封装内部的。
图3某型32位MCU打开封装后的SEM图
一些MCU始终没有任何分外的硬件安全保护。它们仅仅是基于不公开编程算法来保护。这可能有伪装回读功能,或用校验功能来代替。一样平常这些MCU不会供应非常好的保护能力。实际上,在一些智能卡中,适当利用校验功能能够起到很强的保护浸染。
下一步增强安全保护的方法便是增加一个硬件安全熔丝(security fuse——安全熔丝便是寄存器)来禁止访问数据。这很随意马虎做到,不须要完备重新设计MCU架构,仅利用熔丝来掌握编程接口的回读功能。缺陷是熔丝位很随意马虎被定位并进行入侵攻击。例如:熔丝的状态可以通过直接把熔丝位的输出连到电源或地线上来进行修正。有些例子中仅仅用激光或聚焦离子束来割断熔丝的感应电路就可以了。用非侵入式攻击也一样可以成功。
由于一个分离的熔丝版图异于正常的存储阵列。可以用组合外部旗子暗记来使熔丝位处不能被精确读出的状态,那样就可以访问存在内部芯片上的信息了。用半侵入式攻击可以使破解者快速取获胜利但须要打开芯片的封装来靠近晶粒。一个众所周知的方法便是用紫外线来擦掉安全熔丝。
图4 PIC12C508微掌握器的安全熔丝位于程序存储器阵列的外部。
再下一步便是将安全熔丝做成存储器阵列的一部分,如果已设好熔丝,可禁止外部读写数据。一样平常的熔丝与主存储器离得很近,或干脆与主存储器共享一些掌握线。由于晶圆厂利用与主存储器相同的工艺来制造,熔丝很难被定位和复位。非侵入式攻击仍旧可用,但须要韶光去探求。同样,半侵入式攻击也可用。当然破解者须要更多的韶光去探求安全熔丝或掌握电路卖力安全监视的部分,但这些可以自动完成的。进行侵入式攻击将是很困难的,须要手工操作,那将花费更多的成本来破解。
图5 MC68HC705C9A微掌握器在200倍显微镜下可见安全熔丝是存储器读写掌握逻辑的一部分
更进一步的是用主存储器的一部分来掌握外部对数据的访问。这可以用上电时锁定特定区域地址的信息,将它作为安全熔丝。或用密码来掌握对存储器的访问。例如德仪的MSP430F112,只有输入精确的32字节密码后才能进行回读操作。如果没输入密码,只有擦掉芯片后才能操作。只管这个保护方法看上去比先前的更有效,它有一些缺陷可以用低本钱的非侵入式攻击如时序剖析和功耗剖析来破解。如果安全熔丝的状态是上电或复位后的存储器的一部分,这就给破解者用电源噪声来破解的机会,逼迫电路进入存储器中的缺点状态。
图6 PIC16F648A伪顶层金属层图案使得对芯片进行微探测攻击更困难,200倍放大
别的一些使入侵攻击开销更多的方法包括利用顶层金属网格。所有的网格都用来监控短路和开路,一旦触发,会导致存储器复位或清零。普通的MCU不会利用这种保护方法,由于设计较难,且在非常运行条件下也会触发,如:高强度电磁场噪声,低温或高温,非常的时钟旗子暗记或供电不良。故有些普通的MCU利用更廉价的伪顶层金属网格,但这也有非常高效的光学剖析进行微探测攻击的方法。在智能卡中,电源和地之间铺了一些这样的网格线。在这些方法中创造一些设计毛病使得可以进行微探测攻击。同样,这些网格不能保护非侵入式攻击。由于导线之间有电容,并且光芒可以通过导线抵达电路的有效区域,半侵入式攻击仍旧可能。
可编程的智能卡制造商走得更远,干脆砍掉标准的编程接口。取而代之的是启动模块,可以在代码载入后擦掉或屏蔽掉自己。这些卡只能在初始化时被编程一次,之后只能相应利用者的嵌入软件所支持的读写存在卡里的数据或程序。
图7 ST16系列智能卡芯片表面金属层的敏感网格
近期的一些智能卡利用存储器总线编码(Bus encryption)技能来防止微探测攻击。纵然破解者得到数据总线的数据也不可能知道密码或别的敏感信息。这种保护方法直指侵入式和半侵入式攻击。但非侵入式攻击仍旧可以像正常的CPU一样访问掌握非编码信息。事实上,几年前就创造廉价地破解编码信息的方法。
图8 100倍显微镜下的SLE66系列的智能卡芯片上的硬件总线编码模块,保护存储器免受微探测攻击。
其余一些须要提及的改进是将标准的模块构造如解码器,寄存器文件,ALU和I/O电路用类似ASIC逻辑来设计。这些设计称为稠浊逻辑(Glue logic),广泛用于智能卡。稠浊逻辑使得实际上不可能通过手工探求旗子暗记或节点来得到卡的信息进行物理攻击。这种技能广泛用于盗版,并可提升常见CPU内核的性能和安全性。例如,SX28微掌握器的引脚和程序都兼容于微芯的PIC16C57,但它利用了稠浊逻辑设计,闪存,大容量RAM使它的性能得到大幅提升。在PIC微掌握器中,破解者很随意马虎跟踪内存到CPU的数据总线,但在SX微掌握器中,险些不可能知道总线的物理位置,反向工程和微探测攻击将是非常困难且耗费韶光。
图9 SX28微掌握器引入稠浊逻辑设计,提升了性能和安全性。
更常用的是芯片由不同模块组成,但每个模块利用稠浊逻辑设计。如CY7C63001A微掌握器。在这种情形下,破解者更随意马虎跟踪模块之间的总线和掌握线,并对芯片进行侵入式和半侵入式攻击。稠浊逻辑设计不能防止非侵入式攻击,但须要更快更昂贵的设备。半侵入式攻击面临伪设计模块的问题。当然破解者可以自动操作来进行穷举搜索并考试测验攻击所有可能区域。结果很可能是花了很永劫光并没有取获胜利。另一方面,破解者可以直接攻击存储器器或它的掌握电路。
图10的CY7C63001A微掌握器利用部分稠浊逻辑设计,但内部总线很随意马虎被访问。
技能的进步增加了入侵攻击的本钱。十年前很随意马虎利用激光切割器和大略的探针台就可以读写芯片表面的任何点,但对付当代的深亚微米半导体芯片就须要用到不一般的且昂贵的技能,这难倒了很多潜在的破解者。如PIC16F877很随意马虎在显微镜下不雅观察并进行反向工程,藏在顶层金属下的第二层金属和多晶硅层仍旧可见。但在PIC16F887A微掌握器中利用了平坦化工艺,使得不会显示更深的层。唯一的方法是用物理或化学的方法撤除顶层金属。
图11 500倍显微镜下,通过PIC16F877的顶层看到第二层金属和多晶硅层。
图12 500倍显微镜下,看不到PIC16F877A的顶层金属下有什么特殊的。
安全保护的类型
通过编程接口对片上存储器进行写,校验,读和擦除操作,这可以用硬件(JTAG)或软件(bootloader)来实现。在硬件接口方面,安全保护常日是利用安全熔丝来掌握接口的操作,如,阻挡存储器中的数据发送到输出缓冲器里。至于软件接口,一样平常利用密码保护,但常日软件会检测某个硬件安全熔丝的状态。一些微掌握器利用了这两种方法,软件启动载入模块掌握系统的编程,另一个快速的硬件接口用来大批量生产的编程。每一种都有它的上风和劣势。通过软件,有更好的灵巧性和更好的编程掌握能力,但会在韶光延迟和功耗方面泄露一些信息。硬件的实行速率更快,对噪声攻击不敏感,不会通过功耗泄露信息。在硅芯片的资源上,两者都占用类似大小的空间,对付当代的微掌握器,与其它较大的部分如程序存储器,处理器和仿照接口比较,这部分险些可以忽略不计。制造商就可以在同一个芯片上放置两种或更多的编程接口。如通过异步接口进行在线串行编程,标准的并行编程,软件启动模块通过异步接口编程。
一些制造商故意不供应它们的微掌握器的编程规格。这对它本身并没有供应很好的保护,只是给破解稍稍增加本钱而已。这些信息可以通过在开拓板上或通用编程器对芯片进行编程而得到。
很明显,对付第一流级的安全,系统没有任何编程接口,并且不能读写所存储的数据。这常日用于掩模ROM微掌握器和智能卡。对这种保护,实用破解方法是用微探针打仗数据总线来规复信息或利用功耗剖析和噪声攻击来利用软件的毛病。当微掌握器进行编程但不供应任何返复书息,只有校验和写检讨,这可以供应相对高的安全等级。当然,这须要完备实行以避免破解者逼迫系统一次只校验一个字节。
大部分当代的微掌握器有一个或多个安全熔丝来掌握片上存储器的读写。这些熔丝可以用软件或硬件来实现。软件的方法便是密码存储在存储器中或一个特定的存储器位置当作一个安全熔丝。例如,在MC68HC908系列,利用了密码保护。
MC68HC705B系列的熔丝位于数据EEPROM存储器的第一个字节。两种方法的安全性都较高,由于很难从物理上找到熔丝和密码的位置并复位它们。同时,破解者会考试测验利用噪声攻击来跳过安全检讨,或利用功耗剖析来不雅观察预测的密码精确与否。
硬件实行方面,安全熔丝物理上位于芯片上。这可以是主存储器阵列边上的分离的单个单元,乃至更远。所有的PIC和AVR微掌握器都这样。这两者的安全性能并不高,熔丝很随意马虎被找到并被屏蔽。
安全熔丝在主存储器中可以供应供应更好的保护,这很难找到并屏蔽它们。主存储器和熔丝可以通过位线(Bit line)接在一起。如Z86E33微掌握器,或通过字线(Word line)接在一起,快意法的ST62T60。有趣的是MC68HC705C9A利用了多种安全方法。熔丝单元放在主存储器单元之间,合用位线。如果熔丝被紫外线擦除了,主存储器也会被擦掉。对存储器进行反向工程,创造很难分辨哪部分属于存储器,哪部分属于熔丝。但同时,半侵入式攻击可以很好事情,由于熔丝有分开的掌握电路,这很随意马虎被破解而不影响主存储器。
图13 200倍显微镜下,Z86E33微掌握器的熔丝沿位线紧挨着主存储器
图14 200倍显微镜下,ST62T60微掌握器的熔丝沿字线紧挨着主存储器
硬件安全保护方面的新进展是将熔丝区域嵌入到主存储器阵列中,共享掌握或数据线,这样的安全性能更好,熔丝已经成为存储器的一部分,很难进行定位。 将某一部分存储器作为安全熔丝可以达到更高的安全性能。这种情形下,不扰乱其它部分存储器的内容,找到位置并复位是非常困难的。这并不虞味着别的破解方法不能凑效。但可以减少成功的机会。
安全熔丝可以通过多种方法来监控。最大略的方法便是在上电时;复位时;进入编程模式时检讨熔丝的状态。利用电源噪声或激光脉冲,可以用很短的韶光就改变熔丝的状态。熔丝状态保存在触发器或寄存器中并不好,由于触发器的状态可以通过毛病注入攻击来改变。
MCU制造商必需节制的7种攻防技能
什么是非侵入式攻击?
非侵入式攻击不须要对元器件进行初始化。攻击时可以把元器件放在测试电路等分析,也可单独连接元器件。一旦成功,这种攻击很随意马虎遍及,并且重新进行攻击不须要很大的开销。其余,利用这种攻击不会留下痕迹。因此,这被认为是对任意元器件的硬件安全最大的威胁。同时,常日须要很多韶光和精力来探求对特定元器件的非侵入式攻击方法。这常日须要对元器件进行反向工程,包括反汇编软件和理解硬件版图。
非侵入式攻击可以是被动的或主动的。被动攻击,也叫侧面攻击,不会对被攻击元器件发生浸染,但常日是不雅观察它的旗子暗记和电磁辐射,如功耗剖析和时钟攻击。主动攻击,如穷举攻击和噪声攻击,特点是将旗子暗记加到元器件上,包括电源线。
一个大略的非侵入式攻击可以是复制一个上电配置的基于SRAM的FPGA。接上配置芯片用的JATG接口,用示波器或逻辑剖析仪,捕捉所有旗子暗记。然后可以通过剖析波形并回答独占的命令。
只利用到一半的FPGA资源时,可以轻微改变数据流来伪装盗版的事实。配置时留下一点空间而不影响元器件的运行。JTAG接口在发送旗子暗记时序时也有一些自由,故盗版的波形可以设置成看上去与原始旗子暗记不一样的。其余,破解者可以在上传时交流行地址,给人的印象是完备不同的设计。
什么是暗昧与安全?
半导系统编制造商给大客户供应了增强产品防破解能力的方法:包装上的客户印字代替了标准的芯片型号。这给人的印象是产品是由定制的集成电路设计的。众所周知,ASIC供应了很好地保护方法来防止多种攻击,只有极少数履历丰富且装备精良的破解者才有可能成功破解。这会使很多潜在的破解者望而生畏。但一个信心武断的破解者会考试测验用大略的方法确定芯片是不是真的ASIC。最大略的方法是不雅观察连接到电源,地,时钟,复位,串口或别的接口的引脚。与数据库中被疑惑的微掌握器比较较,这种结果非常可靠,因每种微掌握器都有自己的引脚特点。一旦创造相似的,就把它放在通用烧写器上考试测验读出结果。
另一个大略的方法是限定访问程序存储器。常日用在智能卡中,但一些微掌握器中也用到。这不是很可靠且实用的方法。当然在智能卡中用得很好,所有的客户与芯片制造商迫被签署不扩散协议。但微掌握器极少这样,能被通用烧写器烧写的微掌握器天下上很多公司都能供应。纵然文件中没有烧写的规格,用低本钱的示波器几个小时就可以套出须要的波形。如果微掌握器不被分外通用烧写器所支持,仍旧可以通过从制造商购买开拓板来得到直接完全的协议。
1、时序攻击(Timing attacks)
一些与安全干系的操作,利用输入的值和密钥,由半导体芯片实行不同的韶光来比较。小心的时序丈量和剖析就能规复出密钥。这个方法最早在1996年的文献上提到。稍后这种攻击成功破解了实际的RSA署名的智能卡。
为了攻击成功,须要网络装置的信息,与处理韶光整合比较,如问答延迟(question-answerdelay)。很多密码算法随意马虎受到时序攻击,紧张缘故原由是软件来实行算法。包括实行应时跳过须要的分支和操作条件 ; 利用缓存 ; 不固定时间处理指令如倍频和分频 ; 还有大量的其他缘故原由。结果便是实行能力范例地取决于密钥和输入的数据。
为防止此类攻击可以利用盲署名(Blinding signatures)技能。这个方法是利用选定的随机数与输入数据稠浊来防止破解者知道输入数据的数学运算法则。
时序攻击可用于安全保护是基于密码的微掌握器,或利用确定数字的卡或密码来进行访问掌握的系统,如达拉斯的iButton产品。这些系统中共有的风险是输入的连续数字在数据库进行再次校验。系统需常常检讨输入到数据库的密钥的每个字节,一旦创造禁绝确的字节就会立即停滞,然后切换到下一个直到末了一个。以是破解者很随意马虎丈量出输入末了一个密钥倒要求另一个的韶光,并得出发现的密钥相似度。考试测验相对小的数字,有可能找到匹配的密钥。
为防止这些攻击,设计者须要小心打算处理器的周期。当密码进行比较时确保精确和缺点的韶光是一样的,例如:飞思卡尔的68HC08微掌握器的内部存储器载入模块在输入精确的八字节密码后可以访问内部闪存。为达到精确和缺点的密码都处理相同的韶光,程序中增加了额外的空操作指令。这对时序攻击供应了很好的保护。一些微掌握器有内部阻容振荡器,那样处理器的事情频率与电压和芯片的温度干系。这使得时序剖析很困难,攻击时须要稳定元器件的温度并减少电源线上的噪声和电压颠簸。一些智能卡有内部随机时钟旗子暗记使得攻击时丈量韶光延迟无效。
2、穷举攻击(也称暴力攻击Bruteforce attacks)
暴力对付半导体硬件和密码来说是另一种意思。对付密码,暴力攻击是对系统考试测验数量浩瀚的密钥。常日是利用高速打算机来探求匹配的密钥。
一个例子是微掌握器中的密码保护设置。以TI的MSP430为例,密码本身长度为32字节(256位),抵挡暴力攻击已经足够了。但密码分配在与处理器中断矢量相同的存储器地址。那么,首先减少存储器内矢量一贯指向的区域。然后当软件被更新时,只有小部分的密码被修正,由于大部分中断子程序指向的矢量是相同的地址。结果是,如果破解者知道早前密码中的一个,就很随意马虎做系统的搜索,在合理的韶光内找到精确的密码。
暴力攻击也可用在ASIC或CPLD的硬件设计来实现。这种情形下,破解者利用所有可能的逻辑组合到元器件可能的输入端并不雅观察所有输出。这种方法也称为黑箱剖析(Black-box analysis),由于破解者不知道被测试元器件的情形。通过所有可能的旗子暗记组合,考试测验得到元器件的功能。这种方法对相对小的逻辑器件很有效。另一个问题是破解者利用的ASIC或CPLD有触发器,故输出将可能是当前状态或输入的状态。但如果预先检讨并剖析旗子暗记,搜索的范围可以显著减少。例如,时钟输入,数据总线和一些掌握旗子暗记是很随意马虎认出的。
另一种可能的暴力攻击,对很多半导体芯片有效,是将外部高压旗子暗记(常日是两倍于电源电压)加到芯片引脚上,来试图进入工厂测试或编程模式。事实上,这些引脚用数字万用表很随意马虎创造,由于它们没有保护二极管到电源脚。一旦创造对高压敏感的引脚,破解者就可以考试测验可能的逻辑旗子暗记组合来加到别的引脚上,找出用于进入工厂测试或编程模式的部分。
破解者也可用元器件的通信协议来找出设计者嵌入在软件中的测试和更新用得隐蔽功能。
芯片制造商常常供应给后期测试用得嵌入硬件测试接口。如果这些接口的安全保护没有适当设计,破解者很随意马虎利用它来读写片上存储器。在智能卡中,这些测试接口常日位于芯片电路之外,并在测试后从物理上撤除。
任何安全系统,不管软件和硬件,在设计上都可能有缺陷,对付破解者来说都是机会,暴力攻击有可能找到它。小心设计安全保护系统,进行适当的评估,可以避免很多问题,并使得这些攻击事实上不可行。
3、功耗剖析(Power analysis)
一个运算设备的功耗取决于它当前的状态。依照CMOS晶体管的事理,各部分动态时的功耗比静态的要大。当输入电压加到反向器上,会引起一个晶体管短路,这个晶体管电流的增加比静态花费的寄生泄电要大得多。在电源线上加个10-20欧的电阻,就可以丈量电流的颠簸。为达到更好的效果,须要利用至少12位精度和50MHz采样速率的模数转换器。这些得到的参数可以用来差异处理器的不同指令并估计总线上同时翻转的位数。
通过均匀多次重复同样操作的电流,纵然是没有通过总线的很小旗子暗记也能差异开。有些旗子暗记如移位状态特殊有用,由于很多密码的密钥产生算法利用移位操作来逐一移出单个密钥倒进位标志。纵然状态位的变革不能直接丈量,它们常日会改变指令次序或微码的实行,这会导致功耗的明显变革。
不同指令导致不同级别的指令解码和运算单元的活动,可被清晰地区别开,故运算部分能被推测出。处理器的不同单元在时钟沿干系的不同韶光里有独占的开关状态,能被高频仪器分离出来。
有多种不同的功耗剖析技能用在破解密码算法上。全体剖析过程是相对大略的,只须要标准的现有的廉价仪器设备。
功耗剖析技能紧张有两种:大略功耗剖析(SPA:Simple PowerAnalysis)和差分功耗剖析(DPA:Difference Power Analysis)。SPA是在密码或别的安全干系操作时直接不雅观察功耗,可以得知设备运行时的信息如密钥资料。如果破解者知道密码算法,很随意马虎通过不雅观察处理器指令次序,特殊是移位条件转移,找到一些位的信息。如果算法或逻辑运算的结果很随意马虎被看出,如进位状态,零或负标志,就可以得到更多的信息。DPA是种更有效的技能,由于破解者不须要知道密码算法是如何实行的。它利用静态剖析和已知密码运算的大量功耗迹线来获取隐蔽信息。用统计方法鉴别功耗的眇小差异,可用来规复密钥中的单个的位信息。
功耗特性当然包括噪声部分。额外的噪声可以通过减少获取信号的探针长度并小心利用丈量仪器来降落它。丈量接在地线上的电阻的功耗有一些上风。首先,减少了噪声电平。其次,可以用示波器的探头直接丈量旗子暗记,由于大部分探针站有公共的地线与外部电源地相连。为了增加信噪比,可以通过提高均匀采样数来得到。
有源探头能降落输入电容,增加对输入旗子暗记的带宽。一种方法是用高速低噪声的运放来构建相对大略的探头,另一种是用很短的同轴电缆直连到示波器的输入端。在这些情形下,探头的输入电容显著减少。
我们对现有的功耗剖析步骤进行了改进。这是一种新的方法,尚未有类似的。我们用铁芯变压器来取代连到电源或地的电阻,那样波形就有点不一样,由于旗子暗记的直流身分丢失了,同时又有些有利条件。常用的方法对直流电流险些没有什么限定。但对付10欧电阻来讲100mA的电流意味着有1V的电压降,那可能中断微掌握器的正常操作。减少这个电阻可以办理这个问题,但会使得难以识别功耗的眇小变动。利用变压器后,不须要利用昂贵的有源探头,标准的无源探头就可以给出险些相同的结果。如果旗子暗记太小,调节二次侧的线圈就可以增加振幅。变压器也担当无源滤波器的角色,如波形,同样的处理器指令对电阻和变压器所丈量到的波形有不同的影响。那可以通过对得到的旗子暗记进行处理。为了攻击得到成功,须要采集数千的样本,然后快速剖析处理所展现的秘密。
最近,芯片设计上已考虑这种攻击,并将使得这种攻击方法更难得到成功。
4、噪声攻击(Glitch attacks)
噪声攻击是快速改变输入到微掌握器的旗子暗记,以影响它的正常运行。常日噪声是叠加在电源上或时钟旗子暗记上,但噪声也可以是外加的短暂电场或电磁脉冲。在离芯片表面数百微米处放置两根金属针,然后加上少于1微秒的数百伏电压的窄脉冲,晶圆衬底会感应出一个电场,使得临近晶体管的阈值电压发生变革。最近涌现一种改进的方法:利用几百圈金属线绕在微探针的针尖构成一个小型电感。当电流进入线圈会产生磁场,针尖将集中磁力线。
每个晶体管和与它相连的线路构成有时延特性的RC电路。处理器的最大可用时钟频率取决于该电路的最大延迟。同样的,每个触发器在吸收输入电压和由此引致的输出电压之间有个特色韶光窗口。这个窗口由给定的电压和温度来确定。如果用时钟噪声(比正常的时钟脉要冲短得多)或电源噪声(电源电压的快速颠簸)将会影响芯片里的某些晶体管,导致一个或多个触发器进入缺点状态。通过改变参数,处理器会被导致实行许多完备不同的缺点指令,有时乃至是不被微码支持的。只管我们不会预先知道何种噪声会导致何种芯片的何种缺点,但它能相称大略地进行系统的搜索。
5、时钟噪声攻击(Clock glitches)
时钟旗子暗记的噪声攻击在目前是最大略的,且相称实用。实际运用中的噪声常日用来取代跳转条件并试验先前的测试指令。可以在安全密码问询处理时创建一个攻击窗口,大略预防实行这些指令。指令噪声也能用来扩大循环的韶光。如,串口子程序在输出缓冲后再读更多的内容;或在密钥操作时减少循环次数来传一个弱的密码。
为得到噪声,时钟须要临时增加一个或大于半个周期,有些触发器在到达新状态之前就得到输入。时钟噪声常日针对处理器的指令流。对硬件实行安全保护的微掌握器没有什么效果。实际中,仅利用时钟噪声来攻击微掌握器或智能卡的软件程序接口。
这类保护的破解是相对随意马虎的。如处理器在循环里只实行一个指令,攻击时可用不同的时钟噪声导致处理器误操作。不须要小心地与时钟旗子暗记同步,只须要随机制造噪声就可在数次攻击内成功。插入噪声是相对随意马虎的,无需利用外部发生器,瞬间短路晶振即可。当谐振器在不同的泛音上产生震荡会发出很多噪声。大部分情形下须要在确定的时钟周期内得到所需结果,在这种情形下用旗子暗记发生器更好。
利用时钟噪声来攻击某些微掌握器大概是很困难的。例如德仪的MPS430微掌握器在内部RC震荡器事情的启动模块。很难与内部时钟同步,攻击时很难估计精确的韶光。一些智能卡在处理器指令流里会随机插入延迟,使得攻击更为困难。利用功耗剖析会有帮助,但哀求非常昂贵的设备来实时得到参考旗子暗记。
6、电源噪声攻击(Power glitches)
电源供应电压的颠簸会导致晶体管阈值电平的漂移。结果便是一些触发器在不同的韶光里采样它们的输入,或读出错误的安全熔丝的状态。常日用瞬间增加电源电压或电压跌落来制造噪声,一样平常在10个时钟周期内。电源噪声常日用在微掌握器的程序接口上,能影响处理器运行或硬件安全电路。一样平常地,弱点比时钟噪声更难找到并利用,由于对付时域参数,振幅,上升/低落韶光都是变量。
一个例子是上例提到的攻击MC68C05B6.如果在实行AND $0100指令时电源电压减少50-70%,处理器从EEPROM中取出的值是FFh而不是实际的值。这会对应熔丝未加密状态。窍门是小心打算实行韶光来减少电源电压,否则处理器会停滞运行或进入复位状态。这种任务并不难,复位后目标指令在第一个一百周期内被实行。破解者可以利用矢量发生器或构建一个自己的噪声源。
另一个是微芯的老旧的PIC16F84。芯片的擦除操作会解除安全保护。但同时会打消芯片上程序和数据存储器中的内容。安全保护电路在硬件设计上是在安全熔丝复位之前擦掉存储器。但我们创造在芯片擦除操作时电源电压几微秒内增加到大约10V,会中断存储器擦除操作,但安全熔丝正常完成复位,这使得有可能读出存储器里的内容。如此高压须要谨慎利用,如果韶光过长会损伤芯片。新版本的PIC16F84A增加了防欠压和过压攻击的能力。如果电源电压低于3V或6V,通过编程接口的任意修正存储器的操作会被立即中断。
不是一贯须要电源噪声超过电源电压范围的规格。例如,PIC18F84A微掌握器,保护机制可以阻挡在芯片擦除操作开始后利用大于50mV的噪声。那会导致中止程序存储器的擦除操作但不会擦掉熔丝。
上述例子表明噪声攻击时无需分外工具就有很好的效果。智能卡里有时钟监控电路但极少微掌握器有。
7、数据保持能力剖析(Data remanence)
处理器一样平常会把密钥保存在静态RAM里,如果元器件被修改就会掉电,RAM内容丢失,从而保护密钥不被盗取。众所周知的是在低于零下20度时,SRAM里的内容会“冰冻”。很多元器件把温度低于这个阈值视为发生修改事宜。我们做了一些实验来确定当代SRAM数据保持能力与温度的关系。我们的实验表明传统的思维不再有效。纵然在高温下,数据保持能力也是个问题。数据保持能力不仅仅对SRAM有影响,对DRAM, UV EPROM, EEPROM和闪存也有影响。结果是,仍旧可以从已擦除的存储器中得到一些信息。这会给安全设备带来很多问题。
安全工程师都很关注断电后SRAM器件能保持数据的韶光。缘故原由如下:很多产品利用密钥或类似的方法进行加密和别的安全干系的打算,须要不能被读出或改变。最普遍的办理方法是把安全密钥放在带修改传感器的易失落存储器中。一旦检测到发生修改,易失落传感器会掉电或短路到地。但如果数据保留韶光大于破解者打开元器件并对存储器上电的韶光,那保护机制就被摧毁了。
在二十世纪八十年代,创造低温能将SRAM的数据保存韶光增加到几秒乃至几分钟。对付那个时候的元器件,创造零下20度就可以增加数据保存韶光,并且会随着温度的降落而增加保持的韶光。有些就增加了温度传感器,温度低于零下20度就触发修改事宜,立即清零存储器。本次试验是重复这个事情,查看2000年后的产品是否也有此特性。
另一个须要关注的是纵然部分内容已被毁坏,安全信息也能被复原。假设破解者得到了n=128位密钥中的m=115位,也便是90%的信息。他可以通过搜索n!/(m!(n-m)!=128!/(115!13!)=2.121017~258个可能的密钥。通过1万台电脑,每台每秒进行10亿次搜索密钥的操作,破解者只需6个小时就能搜遍所有密钥。如果只有80%的信息,也便是知道128位密钥中的103位,那就有2.511026~288种可能。险些增大了一百倍,破解者要花百万年来搜索密钥,故认为均匀的128位密钥不能被规复。
芯片制造商们只有节制了各种MCU的破解技能,才能够针对性的提升防护技能。
来源:21ic电子网
