智能卡攻擊技術分析及安全防范策略綜述

文章出處：http://www.xujuanpiju.com 作者：黃顯明   人氣： 發表時間：2011年09月23日

    1．前言 

    近年來智能卡市場呈現出以幾何級數增長的態勢．智能卡以其特有的安全可靠性，被廣泛應用于從單個器件到大型復雜系統的安全解決方案。然而隨著智能卡的日益普及．針對智能卡的各種專用攻擊技術也在同步發展。分析智能卡面臨的安全攻擊，研究相應的防范策略，對于保證整個智能卡應用系統的安全性有重大的意義 

    2．智能卡攻擊技了忙及其安呈昕范策略 

    對智能卡的攻擊可分為三種基本類型：物理攻擊、邊頻攻擊和失效分析攻擊。下面就這三種攻擊技術的具體實施方式加以分析。

    2．1 物理攻擊 

    雖然智能卡的所有功能似乎都封閉在單個的芯片中，但是仍然有可能對其實施反向工程。用于實施物理攻擊的主要方法包括： 

    (1)微探針技術：攻擊者通常在去除芯片封裝之后，通過恢復芯片功能焊盤與外界的電氣連接，最后可以使用微探針獲取感興趣的信號(圖1)，從而分析出智能卡的有關設計信息和存儲結構，甚至直接讀取出存儲器的信息進行分析 。 
    英飛凌公司的所有智能卡芯片都提供很強的防刺探機制，采用復雜的可被CPU控制的主動屏蔽層技術覆蓋整個芯片．一旦芯片被刺探，勢必要破壞或干擾主動屏蔽層的正常功能，則CPU可以即時的探測到主動屏蔽層發出的報警信號，根據COS的設定采用不同級別的主動防御措施。新一代的芯片更是采用專有的多層布局結構．相當于給每層電路都加上各自的主動屏蔽層。目前還沒有采用探針技術(物理攻擊)破解英飛凌芯片的先例。 

圖1芯片探針臺

    (2)版圖重構：利用高倍光學及射電顯微鏡研究電路的連接模式，可以迅速識別芯片上的一些基本結構，如數據線和地址線。英飛凌的智能卡芯片采用加密的存儲器設計(MED)，所有類型的存儲器 RAM、ROM、EEPROM、FLASH等所存儲的信息都是經過特殊的加密機制處理過的，其結果是即便存儲內容被攻擊者非法獲得，這些加密后的信息對攻擊者也是毫無意義的。而且這種被攻擊者直接讀出的概率也是極低的。值得一提的是這種加密存儲器設計對用戶是不可見的并由物理實現．開發者絲毫不需考慮存儲內容的加解密，不會給開發者帶來額外的負擔。 
    物理攻擊是實現成功探測的強有力手段，但其缺點在于入侵式的攻擊模式．同時需要昂貴的高端實驗室設備和專門的探測技術。應對物理攻擊的關鍵在于提高芯片設計的復雜程度和芯片制造的精細程度。英飛凌的新一代智能卡控制器均采用．13urn 的設計工藝。

    2 2邊頻攻擊 

    邊頻攻擊是通過觀察電路中的某些物理量如能量消耗、電磁輻射、時間等的變化規律來分析智能卡的加密數據。邊頻攻擊方法主要包括以下幾種方式：

    (1)DPA(Diferential Power Analysis．差分能量分析1DPA攻擊是通過用示波鏡檢測電子器件的能量消耗來獲知其行為的(圖2) DPA攻擊的基礎是假設被處理的數據與能量消耗之問存在某種聯系，即假設處理0比1所用不同的能量，那么對兩個不同數據執行同一算法的兩個能量軌跡會由于輸入數據的不同而產生微小的差別，即差分軌跡．其中的峰值時刻即是輸入數據產生差別的時鐘周期。如此檢查加密算法的所有輸入以及每一對0和1產生的差分軌跡，就可以識別出它們出現在程序代碼中的確切時間，從而獲取加密密鑰。 

圖2 DPA原理示意圖

    DPA使得加密算法的內部處理過程可以被研究。理論上講，所有加密算法都可用DPA破解．加之這種攻擊方法應用十分簡單且只需很小的投資，因此解決DPA問題成為智能卡制造商最急需面對的問題之一。英飛凌的智能卡芯片在設計時采用了一種雙軌預充電邏輯保證數據的處理與能量消耗的無關性．并且對內部總線進行邏輯加擾和不規則電流處理，從硬件上根本杜絕DPA的可能性，并且英飛凌能為其用戶提供多種定制的軟件策略．從而完美地解決DPA攻擊的問題。 

    (2)DEMA：所有的電子設備都會有電磁輻射產生?；陔姶泡椛浞治龅墓舴椒?Differential ElectroMagnetic radiation Analyses，DEMA)和DPA類似，其前提也是假設被處理的數據與電磁輻射量之間存在某種聯系(圖3)。

圖3 DEMA原理示意圖

    一般的，對照信號與噪聲的信噪比．差分電磁攻擊(DEMA)獲得比差分能量攻擊(DPA)較好的峰值。所以，電磁信號的信噪比大于能量信號的信噪比[5]。雖然電磁曲線比能量曲線更雜亂，但數據信號的特征更分明。另外，電磁攻擊還有一個優點，就是可以明確對該位置信息的變化能力，這種幾何學的自由度對查明疑問點的泄露信息非常有用。應對電磁輻射分析攻擊的策略也同防DPA策略類似 英飛凌的智能卡芯片能很好的應對DEMA攻擊。

    2．3失效分析攻擊 

    用作智能卡控制器的集成電路芯片，通常都是由硅片制成的。而硅片的電性能會隨不同的環境參數而改變。例如，硅片的電性能會對不同的電壓、溫度、光強、電離射線等做出不同的反應，也會受電磁場的影響。通過改變環境參數，攻擊者試圖誘發失效行為，包括智能卡控制器的程序流程錯誤等。目前．更多的攻擊者都關注在所謂DFA(differential fauh attacks)，通過擾亂加密系統來產生錯誤結果，而這些錯誤結果就可以被用來推導出需要的密鑰。最糟的情況下，一個簡單的失效運算就足以讓攻擊者推導出完整的密鑰。失效分析攻擊方法主要包括以下幾種方式： 

    (1)尖峰電涌攻擊
    在多種失效分析攻擊方法中．多年來最簡單、應用最廣泛的方法就是修改智能卡控制器的信號輸入或供電。目前市場上廣泛存在的衛星電視黑卡就是用這種方法破解的(圖4)。供電中的瞬時能量脈沖被稱為電涌Spike；所謂的Glitch尖峰脈沖則被定
義為對時鐘信號的特別修改。由于電源和時鐘信號都是智能卡控制器運行的必需條件，尖峰和電涌攻擊都會導致控制器故障，即某些電子模塊會暫時失效，因此會跳過或實施錯誤的操作。

圖4 尖峰電涌攻擊電路板

    (2)電磁攻擊
    雖然尖峰和電涌攻擊能夠得到一些效果，更復雜的方法已經能把電壓和信號的改變融合進半導體芯片中。例如，對GSM SIM卡的PIN碼攻擊可以使攻擊者完全不需懂得PIN碼的知識就能分析出卡中的保護數據。為了把擾亂的信號注入智能卡．經常使用電磁線圈，需要把它直接放到芯片表面 電磁攻擊雖然更復雜，但比起傳統的尖峰或電涌攻擊方法來，一個明顯的進步是可以把智能卡放在一個特殊的模塊上進行本地的攻擊。這就導致相應的防范策略更難被開發。如果一個安全控制器可以監視它的外部供電壓，可以監測到一些尖峰和電涌．但是如果一個電磁脈沖被加到一個專門的模塊上，例如加密協處理器．就很難被監測出了。

    (3)光攻擊
    光攻擊是指用光照射正在工作的智能卡控制器表面，南于光的入侵，智能卡芯片的硅片內部會產生電壓和電流．從而導致失效行為。采用這種技術的攻擊者可以繞過密碼或PIN碼，而得到私密數據；或者對加密操作進行攻擊從而產生m密鑰數據。如果整個芯片表面被入侵，則稱為全局光攻擊。采用全局光攻擊，一個未被保護的智能卡甚至在不撤去芯片表面塑料的情況下就能被攻擊失效。光源被放在卡的背面。這種攻擊需要很強的光照，這就意味著需要用到閃光燈．甚至激光。還有一種更復雜的方法—— 局部光攻擊，需要更線，甚至可以侵入芯片的背面．這時任何芯片覆蓋層都不能提供有意義的屏障。

圖5局部光攻擊設備

    (4)熱攻擊
    修改環境溫度也可被用作對智能卡控制器的攻擊方法。在最近的文獻中，有對PC內存中的內容進行攻擊的詳細描述。通過增加周邊環境的溫度，RAM 內存的一些位會被修改，這種方法可被用來攻擊各種虛擬機架構。此時，只需簡單的燈泡就足以增加周邊的環境溫度。相反．降低溫度也可用來進行攻擊—— 極低的溫度可以導致RAM 中存儲信息的凍結，即便是外部供電已被關閉。溫度攻擊用于智能卡的有效性很大程度上取決于智能卡控制器采用哪種內存類型。理論上講，如果沒有引入相應的防攻擊策略，智能卡都能被攻擊。一般最基本的對策是，在智能卡控制器上加裝溫度傳感器用來測量硅片的丁作條件．如果溫度超過界限，則發出警報。

    今天的英飛凌控制器上采用的安全特性遠比這種基本的傳感器防護策略復雜．足以對抗最新的熱攻擊方法— — 所謂的TIVA(Thermally Induced Voltage Alteration)(圖6)TIVA采用紅外激光進行局部照射：它的光束可以直接穿透芯片背面進入硅片，引起局部熱效應，從而導致控制器電子器件的失效行為。TIVA的一個特別的特性是激光器可以選擇特定的波長．令其能量恰好不會觸發傳統的光攻擊傳感器。盡管TIVA設計的初衷是測試可靠性和進行失效分析(并不是用來攻擊)，但對攻擊者來說接下來的幾年內會對這種方法感興趣。 

圖6局部熱攻擊設備TlVA

    (5)Mpha射線攻擊 
    目前，對智能卡芯片用Alpha射線照射已成為及其簡單且有效的攻擊(圖6) 但這種攻擊方法仍存在一些局限性 采用Alpha射線，攻擊者將不能夠預測失效發生的確切時刻，也就是說，這種攻擊純屬統計過程。而且．對Alpha射線的聚焦并不容易。必需通過對多次失效結果的紀錄，然后進行后期的分析。這就導致攻擊的實時性不好。 

    已知的Alpha射線攻擊的效果包括對內存內容的更改和信號時序的延遲等。用Alpha射線的攻擊對某些應是很危險的，因為不需要昂貴的設備。一個微弱的Alpha粒子源，或者夜光鐳表盤．或者煙感火災報警器，其能量都已足夠形成攻擊。Alpha攻擊的成功主要取決于攻擊者的經驗，特別當攻擊者熟知智能卡內部的軟件代碼時： 

    對付失效分析攻擊的策略不僅需要具有對各種攻擊弱點的針對性，還要考慮協作性不能引起任何沖突：英飛凌的智能卡控制器的現代安全概念基于以下3點防御策略：
 
    -防止失效分析
    -失效分析條件的檢測
    -失效行為的監測 

    對電源和輸入信號的過濾作為第一道屏障：快速反應穩壓器可以防止電壓的瞬變，也可防止時鐘供應的反常。 

    傳感器被作為第二道防線。例如．一個安全控制器被很高的電壓攻擊．如果傳感器監測到臨界值，則智能卡會觸發一個警報進入安全狀態。電壓傳感器檢查電源供應，時鐘傳感器監測頻率異常，溫度和光傳感器檢查光攻擊和熱攻擊。因為光攻擊也能夠通過芯片背面進行．所以光傳感器的布置就不是僅限于前面的照射。第j道屏障是在設計安全控制器內核時建立的 硬件和軟件相結合的策略被用作有效的第三道屏障。既然純軟件對策在某些情況下能夠成為失效分析的目標．則硬件和軟件的結合就成為必不可少的。

    3．安全認證體系

    考慮到大量的失效分析攻擊，很明顯對現有和未來攻擊的有效防護需要建立在集成安全的概念上。首先，防范策略和安全特性不得不被生產廠用先進的攻擊技術來測試。其次，獨立的安全評估和認證也是特別重要的，可以使目標的安全水平價值被中立的認證實體所證明。

    英飛凌的安全控制器通過了由德國聯邦信息安全辦公室(BSI)主持的歷時數月的周密評估與測試，現已成功通過全球最嚴格的智能卡應用安全測試CC EAL5+。 

    EAL5+測試以智能卡集成電路平臺保護規定(BSI—PP一0002)為基礎。該規定被世界最大的智能卡行業協會Eurosmart認可．符合國際認可的標準ISO／IEC 15408(通用標準)。Infineon使用新的PP0002來獲得認證。英飛凌將一直持續這種戰略，將為其智能卡芯片取得公認的安全認證。
 
    4． 結束語

    智能卡應用系統是一個安全環境很復雜的系統 本文為分析這個系統面臨的安全攻擊提供了一個思路．為系統的安全設計提供了依據。未來的攻擊手段不得不今天就考慮，特別當設計一個新的安全產品時．必須對明天的攻擊進行有效的防護。

    【作者簡介】黃顯明(1976-)，男，工學博士，高工，英飛凌科技(中國)有限公司，現從事智能卡與移動安全研究。

     【參考文獻】
    [1] 許志杰，雷菁，李永彬．智能卡安全技術研究．現代電子技術2005，15
    [2] 張志紅．智能卡安全技術及在PKI巾的應用．網絡安全，2005，6
    [3] 譚皓彪．新一代銀行卡的發展及應用．金卡T程，2006．1
    [4] 薛元星，趙春平，李吳．電信智能卡芯片安全技術分析．中國集成電路，2005．3
    [5]袁征，毛明，李勝利．電磁攻擊方法與能量攻擊方法的對比．現代電子技術，2003，8

    原文下載：http://www.yktchina.com/bbs/Read-b3-t4453-p10.htm