20 января 2016, 17:36
Количество просмотров 252

Смарт-краты взгляд на безопасность при свете фотовсыпшки

В ходе прошедшей 15-16 мая 2002г. в Дублине 4-й ежегодной конференции MasterCard International, посвященной проблемам борьбы с карточным мошенничеством,...
Смарт-краты взгляд на безопасность при свете фотовсыпшки

Недавние слухи о том, что любой сообразительный юный фотограф вскоре сможет взламывать микропроцессорные карты прямо в своей домашней фотостудии, оказались несколько преувеличены. Однако технический прогресс не стоит на месте...

В ходе прошедшей 15-16 мая 2002г. в Дублине 4-й ежегодной конференции MasterCard International, посвященной проблемам борьбы с карточным мошенничеством, рядом журналистов специализированных изданий были озвучены достаточно острые вопросы, связанные с анонсированным буквально за несколько дней до мероприятия исследованием двух ученых из Компьютерной лаборатории Университета Кембриджа – Сергея Скоробогатова и Росса Андерсона. В докладе, с которым они выступили на конференции в г.Окленд (США), была описана методика, позволяющая осуществлять принципиально новый вид снятия конфиденциальной информации с защищенных микропроцессоров, имплантированных в смарт-карты, с помощью направленного воздействия на микроконтроллеры световым излучением.

Краткое предисловие
Нетрудно догадаться, что обнародование столь сенсационного утверждения вызвало широкий резонанс среди представителей смарт-индустрии и мирового карточного рынка, уже несколько лет уверенно идущего по пути миграции на микропроцессорные технологии. Учитывая высокий интерес, проявленный участниками конференции к данной информации, и те негативные последствия, которые может повлечь за собой возможность появления новой технологии взлома смарт-карточных микропроцессоров, в этом номере мы сочли необходимым подробно ознакомить читателей “ПЛАС” с основными положениями доклада исследователей из кембриджского университета. Наиболее значимые моменты этого выступления мы попросили прокомментировать Владимира Евтушенко, исполнительного директора компании SmartCard-Service.

Надеемся, что данная публикация, лишенная столь распространенного в таких случаях налета сенсационности, даст объективное представление о сути новой технологии и о реальном уровне опасности, которую может повлечь ее преступное использование как для производителей смарткарт, так и для участников мирового карточного рынка. Ведь очевидно, что если не предпринять адекватные контрмеры, оптическое зондирование может быть использовано для наведения ошибок в криптографических вычислениях или протоколах, а также для нарушения потока управления процессором. Подобная уязвимость может создать большую проблему для смарт-индустрии, похожую на те, что были вызваны атаками зондирования (DFA) в середине 90-х и атаками анализа потребления питания (DPA) в конце 90-х.

На наш взгляд, своевременное ознакомление с особенностями подобной технологии, с одной стороны, даст возможность участникам рынка взять ее на вооружение раньше, чем это сделают мошенники, а с другой – позволит избежать неоправданной дискредитации самой идеи повсеместного внедрения смарт-карт, актуальность которой ни в коем случае не может быть умалена в связи с обнаружением такого рода технологических “подводных камней” в области безопасности.

Последнее представляется весьма важным моментом, особенно на фоне мнений, которые сегодня все чаще озвучиваются в кругах участников карточного бизнеса. Так, в беседе с представителем “ПЛАС”, состоявшейся в кулуарах майской конференции по вопросам безопасности, корреспондент английского журнала Fraud Watch признался, что в странах Западной Европы, и в частности в Великобритании, в настоящее время упорно циркулируют слухи о том, что широко применяемая сегодня технология использования открытых ключей не является панацеей от атак карточных мошенников. Более того, в упомянутом докладе Сергей Скоробогатов прямо указывает на наличие на рынке известных ему криптоконтроллеров, из которых можно получить закрытый ключ RSA методом прямой атаки.

Учитывая данное обстоятельство, наше издание намерено в последующих публикациях обратиться за соответствующими комментариями в ряд государственных и коммерческих структур, занимающихся проблемами информационной безопасности, включая ФАПСИ, а также ряд российских и западных IT-компаний.

Смарт-краты взгляд на безопасность при свете фотовсыпшки - рис.1
Атаки могут быть пассивными и активными. При последних сигналы навязываются извне

Что же касается дальнейшего исследования конкретной проблемы, рассматриваемой нами в этот раз, то один из разработчиков методики влияния светового излучения на защищенные микропроцессоры – Сергей Скоробогатов – любезно согласился предоставить нам для опубликования в следующем номере “ПЛАС” полный вариант доклада, содержащий технические подробности эксперимента и иллюстративные материалы, а также описание разработанной его авторами эффективной технологии блокировки нового поколения атак на микропроцессоры.

Предлагаемая вашему вниманию статья, как уже отмечалось, преследует своей целью первичное ознакомление читателей с результатами кембриджских исследователей, а также содержит комментарии и попытки анализа влияния подобного рода исследований на состояние рынка микропроцессорных карт в целом.

Введение
Как известно, защищенные от взлома микроконтроллеры и смарт-карты разрабатываются для защиты одновременно и конфиденциальности, и целостности важной информации. Этого недостаточно для того, чтобы помешать лицу, предпринимающему атаку, получить значения хранимых криптографических ключей; также не должно допускаться возможности установить часть ключа в известное значение или навести такие ошибки в вычислениях, которые делают возможным восстановление секретных данных. Эти ошибки могут быть ошибками данных, такими, например, как некорректная цифровая подпись, выдающая значение ключа подписи, или ошибками в исполняемом коде, например, неверный условный переход, уменьшающий количество итераций в блочных шифрах. До настоящего времени наиболее широко известной техникой наведения таких ошибок был глитчинг (glitching) – создание кратковременных сбоев питания или тактирование исследуемого чипа. Сегодня большинство чипов защищено от такого рода атак. Большинство современных микроконтроллеров содержат датчики понижения тактовой частоты и напряжения питания. Самым эффективным решением в случае обнаружения таких сбоев является сброс памяти микроконтроллера.

Атаки могут быть проникающими, использующими такое оборудование для тестирования чипа, как зондирующие станции и рабочие станции фокусированного ионного излучения для извлечения данных непосредственно из чипа, или непроникающими – с использованием электромагнитного излучения, просчетов в проектировании протоколов и других слабых звеньев микропроцессора, доступных для внешнего обнаружения.

Смарт-краты взгляд на безопасность при свете фотовсыпшки - рис.2
До сих пор проникающие атаки требовали относительно высоких инвестиций в лабораторное оборудование

Кроме того, атаки могут быть также пассивными и активными. Стандартная пассивная проникающая атака предполагает микрозондирование и мониторинг шины смарт-карты в процессе выполнения программы; при активной атаке сигналы могут быть также навязаны извне. Пассивная непроникающая атака – это анализ электромагнитного поля в окрестности устройства, в то время как глитчинг является классическим примером активной атаки.

Идеи мониторинга шины данных микроконтроллера могли бы быть достаточно плодотворными. Действительно, нарушая случайным образом работу микропрограммы, можно ожидать появления вовне, например, секретных ключей или искажения важных финансовых данных в энергонезависимой памяти. По аналогии, пользователи Windows 3.1, возможно, помнят, как некорректное обращение с памятью приложений приводило к выходу в DOS или выводу на экран фрагментов тела операционной системы.

Специалисты хорошо помнят недавнюю нешуточную шумиху, основанную на вполне логичном утверждении о том, что при изменении количества единиц, например, в секретном ключе, изменяется энергопотребление, следовательно, имея достаточно точную аппаратуру, можно прогнозировать битовый состав ключа и значительным образом сократить пространство перебора при прямой атаке.

Однако в современных чипах применяются методы шифрования шины, а, например, в микросхемах Siemens семейства 66x каждое устройство имеет индивидуальный ключ коммутации шины.

До сих пор проникающие атаки требовали относительно высоких инвестиций в лабораторное оборудование, плюс умеренные инвестиции в работы над каждым индивидуальным чипом. Непроникающие атаки, такие как анализ потребления питания (DPA), требуют только ограниченных инвестиций, плюс ограниченные инвестиции в усилия по разработке атаки на конкретный тип устройства; соответственно, удельная стоимость проведения атаки на одно отдельно взятое устройство становится низкой. Таким образом, непроникающие атаки являются чрезвычайно привлекательными в тех случаях, когда они могут быть применимы.

Однако “работу” злоумышленников заметно осложняет то обстоятельство, что многие производители чипов встраивают защитные механизмы против большинства известных непроникающих атак. Эти механизмы включают случайное тактирование для затруднения атак анализа питания, а также схемы, которые реагируют на глитчинг, сбрасывая память процессора. Между тем проникающие атаки с каждым днем становятся все более трудоемкими и дорогостоящими, поскольку размер компонент уменьшается, а степень интеграции устройств увеличивается. На этом внешне благополучном фоне представляется целесообразным рассмотреть принципиально новый, более мощный, чем ранее описанные, механизм атаки на чипы.

В докладе кембриджских ученых речь идет о новом классе атак, обозначенном как полупроникающие атаки. Так же, как при проникающих атаках, здесь требуется распаковка чипа с целью получения доступа к его поверхности. Однако верхний защитный слой (слой пассивации) остается неповрежденным – полупроникающие методы не требуют электрического контакта с металлической поверхностью или разрушения кремния.

Это и в самом деле удручающая подробность. Дело в том, что целостность слоя пассивации или внешней защиты поверхности кремния также контролируется встроенными механизмами микроконтроллера, однако никакой датчик не в состоянии определить направленное ионизированное или инфракрасное излучение, проникающее без нарушения слоя. Остается все же вопрос, каким образом удается проникнуть через зачастую металлизированный верхний защитный слой, а также восстановить карту памяти и установить физическое расположение конкретного бита в случае применения шифрования шины данных.

При этом полупроникающие атаки не являются совершенно новыми. Электромагнитный анализ наилучшим образом выполняется на “оголенном” чипе, а старый прием взлома EEPROM посредством экспозиции бита защиты записи в ультрафиолетовом свете обычно предполагает распаковку чипа. Полупроникающие атаки теоретически могут быть выполнены с использованием таких инструментов, как ультрафиолетовый свет, рентгеновские лучи, лазеры, электромагнитные поля и локальное нагревание. Они могут быть использованы отдельно или в сочетании между собой. Однако данная область в настоящее время практически не исследована.

По заявлению авторов доклада, они располагают объективными доказательствами того, что именно этим путем крайне мощные атаки на карточные микропроцессоры могут быть предприняты быстро, эффективно и с использованием крайне дешевого и простого оборудования.

История вопроса
С тех пор как был изобретен полупроводниковый транзистор, обнаружилось, что он более чувствителен к ионизированному излучению, вызванному ядерным взрывом, рентгеновскими или космическими лучами, чем ранее используемые термоионные электронные лампы. В середине 60-х годов в процессе экспериментов с импульсными лазерами было обнаружено, что когерентный свет вызывает некоторые похожие феномены. Лазеры начали использоваться для эмуляции эффектов ионизированного облучения полупроводников.

Со временем технология кардинально усовершенствовалась. Дорогие инертно-наполненные и твердотельные лазеры сменились дешевыми полупроводниковыми. Как результат, технология перенеслась из лаборатории в широкую потребительскую электронику.

Немедленно за этим сложилась ситуация, когда высокие технологии в очередной раз перестали стоять на пути злоумышленников. Инструменты для осуществления атак стали общедоступны.

Несмотря на то, что на сегодняшний день встречается масса публикаций относительно использования импульсных лазеров для имитации ионизирующего облучения, опубликованной информации об использовании их для контроля или изменения поведения интегрированных схем авторам доклада найти не удалось. Поэтому было решено применить источник интенсивного света к полупроводниковому чипу и, в частности, к логике CMOS с тем, чтобы увидеть, возможно ли таким образом изменить состояние ячейки памяти и насколько сложна эта методика для практического применения.

Первый эксперимент сотрудниками кембриджского университета был проведен со SRAM. ( SRAM – Static Read Access Memory. Статическая оперативная память, аналог оперативной памяти PC – DRAM, однако не требующий регенерации; применяется в миниатюрных CMOS устройствах.) Структура стандартной шеститранзисторной ячейки SRAM такова, что путем экспозиции одного из транзисторов статус ячейки может быть изменен на обратный. Основной ожидаемой трудностью является фокусировка ионизирующего излучения с точностью до микрон и выбор подходящей интенсивности.

Не вдаваясь в технические подробности, отметим, что смысл атаки состоит в воздействии на элементарную полупроводниковую ячейку, входящую в состав однобитового элемента памяти.

Экспериментальный метод
Для эксперимента был выбран обычный микроконтроллер PIC16F84, имеющий 68 байт памяти SRAM на чипе. К чипу была применена стандартная процедура распаковки, т. е. снятия корпуса.

Поскольку бюджет эксперимента был ограничен и применение лазера выглядело нерентабельным, исследователи решили использовать дешевую фотовспышку, приобретенную в фотомагазине за 20 фунтов стерлингов. Несмотря на то, что яркость ее лампы значительно меньше, чем яркость импульсного лазера, необходимого уровня ионизации удалось достигнуть с помощью соответствующего увеличения.

Как нетрудно заметить, авторы доклада прибегают к несколько “театральному” эффекту, в результате чего большинство обывателей может сделать вывод о том, что взлом смарткарт доступен даже простому фотографу. Изрядная доля иронии в выборе инструмента, однако, не умаляет значимости результата в целом.

Микроконтроллер был запрограммирован на запись и считывание своей памяти. Методом заполнения всей памяти константами, экспозиции в свете вспышки и считывания результата планировалось наблюдать, какие ячейки изменили свой статус.


Стандартная схемотехника CMOS в крайней степени уязвима для атаки оптическим зондированием


Путем экранирования света лампы через отверстие в алюминиевой фольге удалось добиться изменения состояния только одной ячейки. Конечное состояние ячейки зависело от области, облученной вспышкой. Это подтверждало предположения, что изменение содержания SRAM с помощью недорогой полупроникающей атаки возможно.

Справедливости ради следует заметить, что атака выполнялась на “голый” чип. Исследователям не пришлось столкнуться с проблемами распаковки и преодоления слоя пассивации современного защищенного микроконтроллера.

Результаты
В ходе проведенного эксперимента было обнаружено, что данная методика позволяет производить изменение любого индивидуального бита массива SRAM.

Кроме того, путем последовательной экспозиции ячеек исследователям удалось построить карту соответствия адресов физическому расположению каждой ячейки памяти. Все это наглядно демонстрирует, как просто и эффективно методы полупроникающей атаки могут быть использованы для реверс-инжиниринга карты адресов памяти. Единственное ограничение, по словам исследователей, состоит в том, что, как уже отмечалось, лампа вспышки не производит равномерного монохроматического излучения, поэтому очень тяжело контролировать область, на которую должна быть направлена точка света. Однако эта проблема может быть решена путем замены лампы на подходящий лазер.

Не боясь впасть в патетику, этот действительно научный результат можно назвать блестящим. Однако от практического взлома защищенного микроконтроллера он отстоит так же далеко, как, скажем, открытие радиоактивности от создания атомной бомбы. С другой стороны, кто во времена Кюри мог предположить, что атомная бомба будет создана так быстро?..

Дальнейшая работа
Работа, о которой рассказано в докладе, показывает, что атаки оптическим зондированием возможны с использованием дешевого оборудования. Используя похожее оборудование, авторы планируют осуществить широкий спектр атак наведением ошибок, предложенных другими исследователями. В частности, им достоверно известно, что данная техника является эффективной при атаке Боне** на подпись RSA против как минимум одной смарт-карты, обращающейся на сегодняшнем рынке. (Закон Digital Millennium Copyright Act*** делает в буквальном смысле рискованными более детальные отчеты.)

Выводы
Атака оптическим зондированием, описанная выше, это новая эффективная техника для атаки смарт-карт и других защищенных процессоров.

Это может иметь знаковый коммерческий эффект для индустрии в целом и ускорит пересмотр требований защищенности и внедрение новых защитных технологий.

Существующие передовые техники защиты чипа, такие как покрытие металлическим слоем и шифрование шины, могут сделать атаки такого рода более трудоемкими, но этого недостаточно. Искушенный злоумышленник может миновать металлическое покрытие путем проникновения сквозь поверхность чипа инфракрасным лазером, в то время как шифрование шины может быть преодолено путем прямой атаки на регистры.

Атака на регистры, расположенные непосредственно внутри процессора, кажется научной фантастикой, однако ценность исследований такого свойства и состоит в определении потенциальных путей взлома еще до того, как по ним продвинутся реальные злоумышленники.

Стандартная схемотехника CMOS в крайней степени уязвима для атаки оптическим зондированием. Путем облучения транзистора лазерным лучом или даже фокусированным светом лампы-вспышки можно “дирижировать” чипом. Располагая только оборудованием ограниченной стоимости, атакующий может наводить ошибки в интегральных схемах CMOS, на любой выбранный транзистор, в любой выбранный такт времени. Это дает возможность моделирования многих эффектов, которые могут быть использованы злоумышленником. Проведенный авторами доклада эксперимент наглядно продемонстрировал, как облучение конкретной области ячейки SRAM может быть использовано для установки ее в 0 или 1. Это может быть использовано, например, для загрузки короткой программы, которая выводит секретные данные. При этом необходимо учесть, что перед нами – последствия лишь первых шагов на этом малоизученном пути.

Как считают сами исследователи, необходимость аппаратных контрмер уже сегодня становится вполне очевидной.

Такие меры, касающиеся главным образом новых принципов физической организации памяти, были предложены ими в докладе на конференции в Окленде.

Очевидно, что совершенствование технологий защиты должно опережать развитие технологии взлома, какими бы сугубо теоретическими последние ни казались. По этой причине всем участникам карточного бизнеса и смарт-индустрии необходимо иметь объективное и четкое представление о недавно обозначенной проблеме, понимая необходимость ее комплексного решения. Ведь только в этом случае производители микропроцессоров смогут опережающими темпами внедрять предлагаемые учеными методы защиты, а проектировщики и системные интеграторы – применять совершенные криптографические и организационно-технологические схемы.

Полный текст статьи читайте в журнале «ПЛАС» № 6-7 (76-77) ’2002 стр. 20

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube