●应用与设计1引言随着信息化的不断进步,信息安全成为事关国家安全和人们生活的一个重要话题。
作为信息安全的核心部件,以提供加密、认证、安全存储等密码服务为主要功能的安全芯片应用越来越广。
相应地,针对安全芯片进行的攻击手段也不断增多。
为此,如何有效地保护安全芯片的物理防护已变得愈来愈重要。
本文探析芯片物理攻击的几种常见方法的原理,并针对具体攻击手段探讨相应的安全防护措施。
2安全芯片物理级攻击方法2.1静态攻击分析静态攻击是指在芯片没有工作,但电源可能接通的情况下,采用腐蚀剂、高倍显微镜、照相机、操作台和探针等设备和材料对安全芯片进行分析,这种攻击手段没有时间限制,可以按照攻击者的进程展开攻击。
这类攻击主要来自外部,攻击者一般采用侵入式攻击的手段来窃取密钥等可复用的信息,通过反向工程(reverseengineering)的方法获取安全芯片的设计信息以供动态攻击使用。
比如安全芯片领域中应用最广泛的智能卡都是按照ISO标准封装在塑胶镀层上,四周是导电的接触区域,它的一面是芯片接口与读卡器的接触区域,硅掩膜固化在另一面。
塑胶镀层被一层环氧树脂所覆盖。
刮开卡片塑胶就会露出环氧树脂,通过化学试剂,可以很容易地溶解掉环氧树脂,露出硅掩膜的表面。
这时,只要把探测区域内的钝化层移除就可以用探针来探测SoC安全芯片物理级攻击方法及安全防护探析易青松,戴紫彬(信息工程大学电子技术学院,河南郑州450004)摘要:安全芯片使得信息安全性大为增强,其应用正日益广泛地融入到国家安全和百姓生活中。
但与此同时针对安全进行的攻击也层出不穷,这使得研究安全芯片的安全防护成为迫切需要。
如今专门针对芯片的攻击技术已经不仅仅是解剖与反向提取,已发展到深层次的简单功耗分析SPA、差分功耗分析DPA、故障分析攻击等,其攻击手段还在继续进步。
探析了这几种攻击方法的原理,并针对相应的攻击探讨一些可行的防护措施。
关键词:片上系统(SoC);信息安全;简单功耗分析;差分功耗分析中图分类号:TN492;TP309文献标识码:A文章编号:1006-6977(2007)05-0023-04StudyofsecuritySoCphysicalattack&protectionYIQing-song,DAIZi-bin(SchoolofElectronicTechnology,InformationEngineeringUniversity,Zhengzhou450004,China)Abstract:Nowadays,securitychipisusedwidelyinnationalsafetyandpeoplelife,whichenhancesthelevelofinformationsecurity.Butinfact,attackmeansthataimatthesecuritychipareemergedinendlesslymustbestudiedtoresistallkindsoftamperthatmayarise.Atpresent,thetampertechnologytochipisnotlimitedindissectionandreverseengineering.Furthermore,itdevelopedSPA,DPAandDFA.Moreover,thosemeasuresaregoingahead.Elementsofthoseattackionareanalysed,andsomeproctectionsarepresentfocusingonmeansinthepaper.Keywords:SoC;informationsecurity;SPA;DPASoC安全芯片物理级攻击方法及安全防护探析-23-《国外电子元器件》2007年第5期2007年5月内部数据。
如图1和图2所示。
最近的研究又提出了一种利用电子束攻击揭露芯片内部结构的方法。
利用电子束可以清楚地看到芯片内部用于构成晶体管的细微的金属薄膜,将其放大后利用计算机的图像处理技术就可以将芯片内部结构展现出来。
一旦获知芯片的结构和功能,就可以观察其内部操作。
不用移除芯片上的钝化层,利用紫外激光束通过一个铌化锂晶体照射,可以清楚地知道芯片中电压的变化。
如果了解安全芯片的操作流程,就很容易在动态攻击中探寻出密钥。
另一种静态攻击方式是利用红外线的波长或超声波震动攻击。
红外线波长的激光束或超声波震动可以从芯片的背面穿透其保护层而看清内部结构,通过高能离子的设备,可以轻易切断芯片底层的连线并分离或刻出新的连线,通过灌输离子改变芯片上硅涂层的面积,甚至可以在芯片的最底层生成新的导电通路等。
利用这些强有力的工具,对芯片的攻击变得相对比较简单,攻击的成功率很高。
这类攻击是致命的。
常见的静态攻击方法如下:(1)通过扫描电子显微镜对存储器或芯片内部其他逻辑直接进行分析读取;(2)通过测试探头读取存储器内容;(3)通过光学成像探测芯片内部结构;(4)通过从外部无法获取的接口(如厂家测试点)直接对存储器或处理器进行数据存取。
2.2动态攻击分析动态攻击则指在芯片工作的状况下展开的攻击行为,此时必须要进行足够的数据采集并具备较好的测量设备,如高速ADC。
2.2.1SPA攻击简易功率分析(SPA:SimplePowerAnalysis)是一种直接分析功率消耗测定值的技术,在进行加密解密的过程中,由于密码芯片在执行不同部件时所消耗功率的大小随微处理器执行的指令不同而不同,变化明显,故它们较大的特征在较高的放大倍数下可能被识别出。
SPA攻击者在一定时刻采样足够样本值,根据功耗曲线的特征及攻击者的经验直观地分析出指令执行的顺序,把那些曲线与相应的密钥对应起来,从而达到攻击的目的。
它通常被用来破解指令顺序及某些数据相关的算法及密钥信息。
在SPA攻击中,攻击者直接观察一个系统的功耗。
例如,通过揭示乘法运算与平方运算之间的差异,SPA分析将能够用于攻破RSA的实现方法。
类似的,许多DES算法实现中的置换和移位过程有明显的差异,因此也可用SPA来攻击。
SPA的工作原理并不是太复杂,只要在电源输入端或接地端串联一只小电阻,微处理器的电流损耗可以通过测量电源回路中的串联电阻的电压降获得,用一个高分辨率的模数转换器进行数字化抽样测量,如图3所示。
根据所处理的命令与数据的不同,微处理器电流损耗也会有所不同。
2.2.2DPA攻击SPA攻击主要是利用可见的重复采样和对芯片技术的了解来识别相关的功率波动,而差分功率分析(DPA:DifferentialPowerAnalysis)攻击是一种以功耗为基础,再以统计方式推演主密钥的攻击技术,它主要通过统计分析和纠错技术从采集的能量信息中抽取密钥相关信息。
可以从功耗曲线的微小变化分析出所需的关键信息。
DPA攻击比SPA攻击图2腐蚀后显现出的电路结构图1对芯片进行腐蚀图3SPA测量电路示意图-24-更加有效,而且更加难以预防。
DPA偏差信号包括信号部分和噪声部分。
信号部分中包含了攻击者用于判断密钥正确性的有用信号,即偏差尖峰;噪声部分是信号的剩余部分。
成功的DPA攻击要求攻击者从噪声信号中侦测出有用信号。
这种情形与从一个噪声通道中接收有用信号的问题相似。
差分功率攻击过程分为数据收集与分类阶段、数据分析阶段。
在收集与分类信息阶段,攻击者监测硬件进行m次加密运算的功耗曲线Ti[j],其中,i=1,2,…m;j=1,2,…k。
同时记录每次运算后所得到的密文C1,C2,…,Cm。
其中,k是每次测量功耗的采样点数,m是加密运算次数。
其次,分析采样信息。
攻击者根据已知算法信息,选择一个与密钥相关的函数D(ki,c)。
其中Ki是假定的子密钥,C是密文。
接下来计算△D[1,2,…,k],即m次加密的差分曲线:如果ki正确,则lim△D[j]≠0;如果ki不正确,则lim△D[j]=0。
正确的ki可以从k次采样的差分曲线△D[1,2,…k]的跃变或突变进行判断。
2.2.3能量脉冲干扰能量脉冲干扰是利用物理量干扰和更改安全芯片的行为。
通过观察电路工作时某些物理量,如能量消耗、电磁辐射、时间等的变化规律,分析芯片的加密数据;或通过干扰电路中的某些物理量,如电压、电磁辐射、温度、光和X射线、频率等,控制芯片的行为。
安全芯片要求在稳定的电压下工作,能量供应的中断就好像突然冲击程序运行或复位电路。
然而,一个短而巧妙的脉冲可以引起单步程序错误而程序仍能继续执行。
例如,读取芯片存储单元的内容时,晶体管使用一个阈值检测存储单元的数值,以确定所读取的是“0”还是“1”。
突然出现的能量短脉冲对存储值和逻辑值都会产生影响。
不同的内容容量会使存储值受到不同的影响,有可能会使真实的值被歪曲。
如图4所示,与逻辑“0”对应的低电压在正常的操作状态下可能低于阈值电平,然而由于短脉冲的能量下压可能导致其高于阈值电平。
差分故障分析就是将正确的密码编码与错误的相比较,从而分析出密钥。
许多加密算法都易受这类故障注入的影响,差分故障分析的故障注入主要应用于安全处理过程关键的决定时刻。
若某一应用执行一个诸如PIN校验的安全检查,则攻击者将有可能将PIN校验失败转为成功以欺骗处理器。
另一种应用是以操纵通信活动为目标。
通过故障注入成功地攻击发送限制计数器,可以将整个存储器的内容发送到需要的通信接口。
3针对物理攻击的安全防护技术基于以上对攻击方法的分析,芯片的安全防护技术首先得从设计的源头出发,为使其受攻击的可能性减至最低,其一:可以在芯片内设置光敏检测电路、电压检测电路、温度检测电路以及频率检测电路等模块对芯片工作环境进行监控,当芯片遭受解剖重新上电或者工作环境不够理想时,产生警告信息;其二:为进一步加强安全性,对其内部总线以及存储器等重要敏感电路部分可以加上一层物理保护层,以阻止入侵者利用探针等手段窃取信息,还可以对总线进行扰乱;其三:可以通过设计随机振动的电源提高抗功耗分析攻击的能力。
其安全防护模型如图5所示。
3.1安全检测预警电路的保护预警保护电路主要包括光敏检测、电压检测、温度检测、频率检测及保护控制模块5个部分,其图4读存储器时能量短脉冲干扰图5安全防护模型SoC安全芯片物理级攻击方法及安全防护探析-25-结构模型如图6所示。
3.1.1电压检测电路每块安全芯片都应有电压监控器。
当供电电压低于或超过允许电压极限时,应产生警告信号,然后关闭时钟或电源,清除存储器重要信息,使芯片不能在边缘情况下工作。
因为边缘工作状态下可能出现诸多不稳定的情况,导致受控制的跳转,此时很有可能被攻击者利用差分故障分析攻击。
3.1.2温度检测电路对于安全芯片而言,工作环境的外部温度同样是一个很重要的条件。