4. Использование микрочипов
• для организации мобильной связи в сим-картах
сотовых телефонов и в системах межмашинного
взаимодействия M2M (Machine-to-Machine);
• в платежных системах (в кредитных или дебетовых
банковских картах, электронных кошельках - ePurse);
• в электронных паспортах, идентификационных смарт-
картах, электронных картах медицинского и
социального страхования, водительского
удостоверения и прочих системах персональной
идентификации, а также идентификации объектов;
• для организации защищенной среды в системах
платного телевидения, доверенных вычислений (чипы
TPM - Trusted Platform Module), для обеспечения
безопасности встроенных систем (Embedded Security).
6. Методы атаки
Атаки на встроенное программное обеспечение (Software)
Использование уязвимости конкретной реализации
программного обеспечения.
Атаки, рассчитанные на ошибку/сбой (Fault attacks)
Физические манипуляции с первичным источником питания (Vcc),
тактовым сигналом (clock), температурой, воздействие
ультрафиолетовым (UV) и рентгеновским (X-Rays) излучением.
Атаки по побочным каналам (Side channel attacks)
Мониторинг аналоговых сигналов, т.е. времени исполнения,
энергопотребления, электромагнитного излучения.
Атаки с проникновением (Invasive attacks)
Реинжиниринг содержимого ROM
Зондирование (Probing data)
Модификация схемы
…
7. Базовые классы атак
1. Пассивные атаки (Passive или Observing Attacks).
2. Активные атаки без проникновения (Non-invasive
или Manipulating Attacks).
3. Проникающие или полупроникающие атаки
(Invasive или Semi-Invasive Attacks).
8. Анализ содержимого памяти
Цель атаки:
Считывание хранимых (секретных)
данных или программных кодов во
время выполнения.
Метод атаки:
После вскрытия корпуса щупы
электрических зондов подсоединяются к
внутренней шине и измеряются сигналы
функционирующего чипа.
9. Противодействие анализу содержимого
памяти
Контрмеры:
- Полное покрытие чипа проводящими
линиями (conducting lines), целостность
которых постоянно тестируются (active
shield). Атака обнаруживается чипом по
нарушению целостности покрытия.
- Шифрование данных на шине (Bus
encryption).
10. Spikes-атаки
Цель атаки:
Добиться ошибок в
криптографических вычислениях,
позволяющих с помощью Differential
Fault Analysis (DFA) определить
вводимый криптографический ключ
или обойти проверку системы
защиты, т.е. ввод пароля.
Метод атаки:
На сигнальные линии или источник
питания воздействуют короткими
электрическими импульсами.
11. Защита от Spikes-атак
Контрмеры:
Встраивание разнообразных
сенсоров контроля условий работы
микросхемы (voltage sensor and spike
sensor). При обнаружении
ненормальных условий
активизируется режим тревоги.
Результат Spike атаки для
защищенного контроллера
12. Защита от атак световым импульсом
Цель атаки:
Добиться ошибок в последовательности выполнения команд
программы для обхода системы аутентификации (как и при spike
атаке) или вызвать появление на выходе важной для атакующего
информации (т.е. дампа памяти, содержащего секретные данные).
Метод атаки:
После вскрытия корпуса, чип (или часть чипа) облучается во время
работы вспышками света или лазером.
Контрмеры:
Встраивание распределенных по всей поверхности чипа световых
сенсоров. При обнаружении света активизируется режим тревоги.
13. Группа атак по линии питания (1)
Использование утечек
криптографической информации по
линии питания.
Пример 1: реализации операции
умножения со сложением (Multiply-
Add, MAD) RSA оказывают ярко
выраженное влияние на линию
питания.
Пример 2: идентификация 16-ти
раундов алгоритма DES простым
измерением питания.
14. Группа атак по линии питания (2)
При атаке типа SimplePowerAnalysis
путем интерпретации одиночного
профиля потребления идентифицируют
отдельные инструкции программы
микрочипа и делают заключение об
актуальных операндах.
При атаке типа
DifferentialPowerAnalysis собирается до
нескольких тысяч профилей
потребления при различных входных
данных. Последующий статистический
анализ позволяет определить значение
битов секретного ключа.
15. Атаки типа дифференциальный анализ с
использованием побочных каналов
Цель атаки:
Определение секретного ключа криптографической
функции путем использования DPA (Differential Power
Analysis) или EMA (Electro-Magnetic radiation Analysis).
Метод атаки:
Использование корреляции между обрабатываемыми
данными и потребляемым питанием или
электромагнитным излучением во время
криптографических вычислений.
16. Атаки типа дифференциальный анализ с
использованием побочных каналов
Контрмеры:
Использование безопасного
криптоускорителя (Secure
accelerator).
Генерация случайного
шума на линии питания
(CURSE).
Типичный профиль питания. Профиль питания генерируемый CURSE.
Небезопасная реализация
криптографической функции.
Secure accelerator.
17. Физическая безопасность семейства серий
SLE66P/PE и SLE88P
• датчики и фильтры контроля условий работы микросхемы (к таким датчикам и фильтрам
относятся световые и температурные датчики, а также фильтры, сглаживающие броски
напряжения и изменения тактовой частоты);
• шифрование данных всех видов памяти (ROM, EEPROM, RAM) для предотвращения
возможности анализа содержимого памяти;
• скремблинг или шифрование данных, передаваемых в шинах адресов и данных;
• использование модуля управления памятью (Memory Management Unit или MMU) для
шифрования данных, хранящихся в памяти EEPROM и RAM, и управления доступом к
различным типам памяти;
• средства борьбы с атаками, основанными на измерении по излучению микросхемы
потребляемой ей энергии: камуфляжное излучение или, наоборот, уменьшение излучения за
счет специальных фильтров; переменная логика выполнения одной и той же программы;
• использование специального дизайна процессора;
• использование специального криптопроцессора для выполнения алгоритмов RSA и DES;
• использование специального аппаратного генератора случайных чисел, применяемого для
генерации ключей в схеме RSA;
• использование активных средств защиты от проникающих атак.
18. Black Hat 2010: Christopher Tarnovsky сообщил, что
ему удалось взломать TPM Infineon
SLE 66 CL PC
Взлом TPM
19. Stefan Rüping, Marcus Janke и Andreas Wenzel –
номинанты Немецкой премии будущего
за 2012 год
20. Новая концепция безопасности
Анализ более чем двадцатилетнего опыта защиты от атак на
систему безопасности микрочипов показал необходимость
смены парадигмы физической безопасности. Защита
«против известных атак» оказалась недостаточной.
21. Класс атаки Manipulating Observing Semi-Invasive
Время на
разработку
месяцы дни месяцы
Время на
реализацию
дни часы минуты
Стоимость > 100.000 € > 10.000 € > 100 €
Пример Microprobing Power Analysis Spike Attack
23. Атаки с использованием вспышек лазера и
радиационного облучения
Уровень угрозы зависит от стоимости
используемого оборудования (Switchable
Wavelength Laser, High-End Laser Test Setup,
Control for Laser Attacks) - от 100 Euro to
500.000 Euro. Вместе с тем, дешевое
оборудование может использоваться
большим числом любителей
(непрофессионалов), что также повышает
уровень угрозы.
Атаки с использованием радиационного
облучения направлены на отдельные
элементы электрической схемы. Сегодня и
любители могут получить доступ к источникам
радиации для организации подобных атак.
24. DPA атаки
DPA атаки это относительно небольшая
группа из другого класса - Observing
Attacks, подкласс - Side-Channel Attacks.
Метод анализа линии питания как
побочного канала утечки информации
(Power related Side Channel Analysis)
известен уже почти 100 лет.
Сегодня даже студенты университетов
способны организовать DPA атаку.
Соответствующие контрмеры также
обычно не рассчитаны на
противодействие атакам из других
групп данного класса.
27. • Полное шифрование в чипе (Full On-
Chip Encryption)
• Полный контроль целостности
(Comprehensive Error Detection)
• Специальная внутренняя топология
(Active I2-shield)
Базовые механизмы INTEGRITY GUARD
28. Механизм полного контроля целостности
Self-cheking system
Два процессора в микрочипе позволяют
выполнять перекрестные проверки операций
для своевременного обнаружения
возможных атак.
EDC Protection
EDC защищает память, шины и элементы ядра
микрочипа. Однократные ошибки (в одном
бите) исправляются, многократные (multi-bit)
ошибки вызывают режим тревоги.
Cache Protection
Опубликовано описание различных атак на
незащищенный Кэш. Cache Protection
автоматически контролирует целостность
данных Кэш.
30. Механизм Full On-Chip Encryption
Encripted Memory
Использование устойчивого блочного
алгоритма шифрования защищает от
разнообразных атак на хранящиеся в
памяти или передаваемые по шине
данные.
31. Механизм Full On-Chip Encryption
CPU Encryption
Применение криптопроцессоров,
использующих шифрованные
вычисления, позволяет противостоять
атакам на обрабатываемые в
процессоре данные.
33. Active I2-shield
В дополнение к механизмам Full On-Chip Encryption компания
Infineon использует интеллектуальную безопасную разводку
микрочипа. Для безопасного внутреннего дизайна чипа
используются специфические, собственные инструменты
разработки Infineon. Линии разводки внутри кристалла
ранжируются в зависимости от их значимости и на базе этой
классификации автоматически трассируются и проверяются.
Intelligent Shielding алгоритм распределяет их по слоям,
завершая создание так называемого «Active I2-shield».
34. Итого: базовые положения
• При анализе физической безопасности микрочипов
должны рассматриваться три основных класса атак:
Physical, Observative и Semi-Invasive.
• Контрмеры должны работать для всего класса атак, а
не только для одного специфичного сценария атаки.
• Для реализации долгоживущей защиты необходима
смена парадигмы от аналоговой к цифровой
безопасности.
35. INTEGRITY GUARD (SLE 78)
В июне 2010 года семейство высокозащищенных
контроллеров Infineon SLE 78 получило от
правительства Германии разрешающий сертификат
для использования SLE 78 в проектах связанных, с ID-
документами и чип-карточными приложениями.
36. Для чипа TPM сертификат по стандарту
Common Criteria был впервые получен
фирмой Infenion.
• 9-12 месяцев;
• подготовлено около 800 страниц
технической документации;
• независимыми сторонами проведено
более 150 тестов на проникновение
(penetration tests).
Оценка уровня безопасности чипа
EAL 6
EAL 5
EAL 4
EAL 3
EAL 1
EAL 2
EAL 7
Common Criteria
Functionally tested
Structurally tested
Methodically tested
and checked
Methodically designed,
tested and reviewed
Semiformally designed
and tested
Semiformally verified
design and tested
Formally verified
design and tested
Используемые в настоящее время фирмой Infenion меры
защиты микроконтроллеров позволяют достигнуть уровня
EAL5+.
37. Процесс сертификации TPM
Definition of TOE
and Security Targets
Applicant Certification BodyEvaluation Body
TCG Protection Profile
Standard
Evaluation Documentation
acc. to ITSEC / CC
Evaluation through
Trusted 3rd party
Certification