非接觸式IC卡防攻擊策略

       目前，擾亂智能卡的功能演變成一種比較令則攻擊方法，全世界范圍內(nèi)從業(yè)余到非常職業(yè)的成千上萬的黑客都采用這種方法。因此，這種誤感應(yīng)攻擊(也被稱作為半人侵攻擊)已經(jīng)變成安全控制器的安全性能評估和驗(yàn)證的主要對象。       

    智能卡控制器通常采用硅片制成。而硅片的電性能會(huì)隨著不同的環(huán)境參數(shù)而不同。例如，硅片的電性能將隨著不同的電壓、溫度、光、電離輻射以及周圍電磁場的變 化而改變。攻擊者將通過改變這些環(huán)境參數(shù)，來試圖引入一些錯(cuò)誤的行為，包括對智 能卡控制器的程序流中引入錯(cuò)誤。通常，攻擊者會(huì)迫使芯片做出錯(cuò)誤的決定(例如接收錯(cuò)誤的輸入鑒權(quán)碼)，允許訪問存儲(chǔ)器中的保密數(shù)據(jù)。這種所謂的“存儲(chǔ)器轉(zhuǎn) 儲(chǔ)”正逐漸成為錯(cuò)誤攻擊感興趣的地方。       

    然而，對于攻擊者提取采用復(fù)雜算法的完備密鑰來說，采用“不同的錯(cuò)誤攻擊(DFA)”在某些情況下只對某種單一的錯(cuò)誤運(yùn)算有效。有各種誘導(dǎo)未知錯(cuò)誤的方 法，包括改變電源、電磁感應(yīng)、用可見光或輻射性材料來照射智能卡的表面、或者改變溫度等。上述中的某些方法可以用很低成本的設(shè)備來實(shí)現(xiàn)，從而成為業(yè)余攻擊 者的理想選擇。       

    雖然在安全控制器的數(shù)據(jù)資料中都給出了針對上述這些攻擊的反制措施．但只有通過實(shí)際測試才能證明這些措施是否真正有效。由于這些反制措施的性能變化范圍高 達(dá)幾個(gè)數(shù)量級．故通過獨(dú)立的評估和驗(yàn)證來檢查其安全等級是極其重要的。在芯片被批準(zhǔn)用于身份證或電子護(hù)照之前，必須經(jīng)受大量的安全測試。不過，對于不同同 家的不同身份證系統(tǒng)來說，這些安全測試的標(biāo)準(zhǔn)也是不一樣的。針對錯(cuò)誤誘導(dǎo)式攻擊的概念的實(shí)現(xiàn)必須從不同的觀點(diǎn)上來看，必須構(gòu)建一個(gè)嚴(yán)格的相互合作機(jī)制。英 飛凌公司先進(jìn)的芯片卡控制器的安全理念建立在以下三個(gè)方面：       

        1．防止錯(cuò)誤誘導(dǎo)：
　　 2．測錯(cuò)誤誘導(dǎo)條件；
　　 3．各種抵御安全控制器錯(cuò)誤行為的措施。       

    過濾電源和輸入信號(hào)作為第一道屏障，利用快速反應(yīng)穩(wěn)定器來阻止給定范罔的電壓突變。同樣，某些有關(guān)時(shí)鐘電源的不規(guī)則行為也被阻止。例如，如果安全控制器受 到僅用一般的規(guī)則是無法抵御的非常高的電壓的攻擊．傳感器就被用作為第二道屏障的一部分。如果傳感器監(jiān)測到環(huán)境參數(shù)的臨界值，就會(huì)觸發(fā)告警．芯片就會(huì)設(shè)置 到安全狀態(tài)。電壓傳感器用來檢查電源，時(shí)鐘傳感器檢查頻率的不規(guī)則行為，而溫度和光傳感器則檢查光和溫度攻擊。南于光攻擊可以通過芯片的背面來實(shí)現(xiàn)，該光 傳感器對于器件兩面的攻擊都有效。第 道屏障是從安全控制器內(nèi)核本身建立的。通過硬件和軟件的相結(jié)合形成了有效的第三道屏障。這里，硬件與軟件的相結(jié)合是至關(guān)重要的，因?yàn)樵谀承┣闆r下，純軟件 措施的本身就是錯(cuò)誤攻擊的對象。       

    可控的掬理層攻擊       

    攻擊者可能也會(huì)以更直接的方式來操控芯片上的電路，例如，利用電器設(shè)備直接連接微控制器上的信號(hào)線．來讀取線上所傳輸?shù)谋Ｃ軘?shù)據(jù)或?qū)⒐粽咦约旱臄?shù)據(jù)注人芯片中。       

    為了對付物理攻擊，最重要的是在芯片內(nèi)部對存儲(chǔ)器和總線系統(tǒng)進(jìn)行加密，這指的是存在芯片上的數(shù)據(jù)本身就要用強(qiáng)大的密碼算法進(jìn)行加密．這就是的即便是攻擊者能夠得到這些數(shù)據(jù)，也只能產(chǎn)生無用的信息。       

    另一方面，可以采用有效的屏蔽網(wǎng)對攻擊者構(gòu)成有效的屏障。這種情況下，采用微米級的超細(xì)保護(hù)線來覆蓋安全控制器。這些保護(hù)線被連續(xù)地監(jiān)控，如果某些線與其 它短路、切斷或損壞，就會(huì)啟動(dòng)報(bào)警。采用這么多層次的保護(hù)措施，就可以對控制器起到相當(dāng)?shù)谋Ｗo(hù)作用，以免于遭受物理攻擊，即便是來自高級攻擊設(shè)備的攻 擊。       

    旁路攻擊       

    攻擊者也會(huì)采用方法來獲取保密數(shù)據(jù)信息(例如鑒權(quán)碼)，這是通過芯片工作時(shí)仔細(xì)地觀察各種參數(shù)來實(shí)現(xiàn)的。利用功率分析(SPA—— 簡單功葺夏分析．DPA—— 不同功率分析．EMA—— 電磁分析)的方法，攻擊者可以根據(jù)功耗或電磁輻射來提取信息，因?yàn)楦鶕?jù)操作類型的不同以及芯片中所處理的數(shù)據(jù)不同，功耗和輻射強(qiáng)度是變化的。       

    過去、現(xiàn)在和將來       

    考慮到攻擊者將會(huì)不斷地改變攻擊方法甚至采用更新的技術(shù)．必須認(rèn)清有效地防護(hù)目前和未來的攻擊需要整套的安全概念。因此，英飛凌公司決定研發(fā)公司自己的高 安全處理器內(nèi)核，來用于公司的芯片卡。在技術(shù)研究和產(chǎn)品研發(fā)以及安全測試和驗(yàn)證過程中，安全和產(chǎn)品性能都得到最佳優(yōu)化。盡管研發(fā)自己的內(nèi)核的決定也與其它 考慮有關(guān)，在第一次安全測試完成后通常優(yōu)點(diǎn)可以立即體現(xiàn)。英飛凌公司采用最先進(jìn)的攻擊技術(shù)，對其產(chǎn)品的*擊措施和安全性能進(jìn)行了徹底的測試。為了證明目標(biāo) 安全等級的價(jià)值，獨(dú)立的安全評估和驗(yàn)證也具有顯赫的重要性公司在安全方法學(xué)和*擊方面的研究決不會(huì)停止。公司正在考慮未來的攻擊技術(shù)的演進(jìn)，通過設(shè)計(jì)新的 安全產(chǎn)品，來提供有效的保護(hù)并應(yīng)對未來的攻擊技術(shù)。