一種確保安全的非接觸智能卡安全控制器

文章出處：http://www.jrzgy.com 作者： 人氣： 發表時間：2012年02月26日

    智能卡安全控制器經常遭受大量的黑客攻擊。最近，攻擊方法的巨大改進，宣布了以前許多設計聲稱其產品非常安全的說法的終結。對于原本設計具有很長設計壽命的用于護照之類的高安全性芯片來說，現在也不得不采取最新的反制措施來應對，而需要接受最廣泛的各種測試。

    應該清楚地區分純正的RFID芯片和帶有標準的微控制器和安全控制器。純正的RFID芯片主要用于物品識別類的應用，其中并不包含微控制器。這類芯片的功能性和安全措施有限，因而只能用于其特定的應用。

    對于非接觸卡應用來說，則需要非常高級別的私密保護和數據保護。而特別設計的安全為控制器，則能夠滿足這類應用的私密保護和數據保護的高級需求。

    從各類研討來看，人們對識別文件領域的芯片技術的應用的關注正在興起。但目前的絕大多數的討論焦點都集中在電子識別系統技術的實際應用上。不過，人們還必須對一個不太容易看到的方面(即芯片技術本身)引起重視。

    對于用于像電子識別卡或護照這類的非接觸卡中的半導體芯片，必須設計有保護所存數據不被非法篡改的能力。黑客通過對芯片內部的數據進行操作來實現非法的篡改。當卡本身被篡改后，黑客能夠使內容符合某國的身份證信息，從而使得印刷信息和芯片內信息相一致。有些識別系統能夠實現鑒權功能，即閱讀設備能夠檢查身份證或護照的信息的完整性和真實性，甚至是反之亦然，這被稱作為互鑒權。對于這兩種應用，安全控制器對帶有用于檢查的單獨密鑰。但是，一旦這個密鑰被公開，安全也將不復存在。因此，這類芯片還必須能夠保護其安全鑒權密鑰不被非法讀取。

    總之，芯片制造商的目標就是設計有效的、可測試并可鑒定的安全措施，以抵御以下三大類的威脅：誤感應攻擊、物理攻擊和旁路通道攻擊。

    半入侵攻擊

    目前，擾亂智能卡的功能演變成一種比較令則攻擊方法，全世界范圍內從業余到非常職業的成千上萬的黑客都采用這種方法。因此，這種誤感應攻擊(也被稱作為半入侵攻擊)已經變成安全控制器的安全性能評估和驗證的主要對象。

    智能卡控制器通常采用硅片制成。而硅片的電性能會隨著不同的環境參數而不同。例如，硅片的電性能將隨著不同的電壓、溫度、光、電離輻射以及周圍電磁場的變化而改變。攻擊者將通過改變這些環境參數，來試圖引入一些錯誤的行為，包括對智能卡控制器的程序流中引入錯誤。通常，攻擊者會迫使芯片做出錯誤的決定(例如接收錯誤的輸入鑒權碼)，允許訪問存儲器中的保密數據。這種所謂的“存儲器轉儲”正逐漸成為錯誤攻擊感興趣的地方。

圖1：光學錯誤攻擊；專家實驗室評估設備建立。

    然而，對于攻擊者提取采用復雜算法的完備密鑰來說，采用“不同的錯誤攻擊(DFA)”在某些情況下只對某種單一的錯誤運算有效。

    有各種誘導未知錯誤的方法，包括改變電源、電磁感應、用可見光或輻射性材料來照射智能卡的表面、或者改變溫度等。上述中的某些方法可以用很低成本的設備來實現，從而成為業余攻擊者的理想選擇。

    雖然在安全控制器的數據資料中都給出了針對上述這些攻擊的反制措施，但只有通過實際測試才能證明這些措施是否真正有效。由于這些反制措施的性能變化范圍高達幾個數量級，故通過獨立的評估和驗證來檢查其安全等級是極其重要的。在芯片被批準用于身份證或電子護照之前，必須經受大量的安全測試。不過，對于不同國家的不同身份證系統來說，這些安全測試的標準也是不一樣的。

    針對錯誤誘導式攻擊的概念的實現必須從不同的觀點上來看，必須構建一個嚴格的相互合作機制。英飛凌公司先進的芯片卡控制器的安全理念建立在以下三個方面：

    1. 防止錯誤誘導；
    2. 監測錯誤誘導條件；
    3. 各種抵御安全控制器錯誤行為的措施。

    過濾電源和輸入信號作為第一道屏障，利用快速反應穩定器來阻止給定范圍的電壓突變。同樣，某些有關時鐘電源的不規則行為也被阻止。例如，如果安全控制器受到僅用一般的規則是無法抵御的非常高的電壓的攻擊，傳感器就被用作為第二道屏障的一部分。如果傳感器監測到環境參數的臨界值，就會觸發告警，芯片就會設置到安全狀態。電壓傳感器用來檢查電源，時鐘傳感器檢查頻率的不規則行為，而溫度和光傳感器則檢查光和溫度攻擊。由于光攻擊可以通過芯片的背面來實現，該光傳感器對于器件兩面的攻擊都有效。第三道屏障是從安全控制器內核本身建立的。通過硬件和軟件的相結合形成了有效的第三道屏障。這里，硬件與軟件的相結合是至關重要的，因為在某些情況下，純軟件措施的本身就是錯誤攻擊的對象。

圖2：物理攻擊；顯示保密信號的探針。

    可控的物理層攻擊

    攻擊者可能也會以更直接的方式來操控芯片上的電路，例如，利用電器設備直接連接微控制器上的信號線，來讀取線上所傳輸的保密數據或將攻擊者自己的數據注入芯片中。

    為了對付物理攻擊，最重要的是在芯片內部對存儲器和總線系統進行加密，這指的是存在芯片上的數據本身就要用強大的密碼算法進行加密，這就是的即便是攻擊者能夠得到這些數據，也只能產生無用的信息。

    另一方面，可以采用有效的屏蔽網對攻擊者構成有效的屏障。這種情況下，采用微米級的超細保護線來覆蓋安全控制器。這些保護線被連續地監控，如果某些線與其它短路、切斷或損壞，就會啟動報警。采用這么多層次的保護措施，就可以對控制器起到相當的保護作用，以免于遭受物理攻擊，即便是來自高級攻擊設備的攻擊。

    旁路攻擊

    攻擊者也會采用方法來獲取保密數據信息(例如鑒權碼)，這是通過芯片工作時仔細地觀察各種參數來實現的。利用功率分析(SPA――簡單功率分析，DPA――不同功率分析，EMA――電磁分析)的方法，攻擊者可以根據功耗或電磁輻射來提取信息，因為根據操作類型的不同以及芯片中所處理的數據不同，功耗和輻射強度是變化的。

圖3：電磁分析；從芯片中得到旁路信息的感應線圈。

    過去、現在和未來

    考慮到攻擊者將會不斷地改變攻擊方法甚至采用更新的技術，必須認清有效地防護目前和未來的攻擊需要整套的安全概念。因此，英飛凌公司決定研發公司自己的高安全處理器內核，來用于公司的芯片卡。在技術研究和產品研發以及安全測試和驗證過程中，安全和產品性能都得到最佳優化。盡管研發自己的內核的決定也與其它考慮有關，在第一次安全測試完成后通常優點可以立即體現。英飛凌公司采用最先進的攻擊技術，對其產品的??擊措施和安全性能進行了徹底的測試。為了證明目標安全等級的價值，獨立的安全評估和驗證也具有顯赫的重要性。

    公司在安全方法學和擊方面的研究決不會停止。公司正在考慮未來的攻擊技術的演進，通過設計新的安全產品，來提供有效的保護并應對未來的攻擊技術。

    作者：Peter Laackmann 產品安全主管 Marcus Janke 產品安全高級專家 英飛凌科技公司