Контакты
Подписка
МЕНЮ
Контакты
Подписка

Нападения на биометрическую информацию в микросхемах и методы защиты

Нападения на биометрическую информацию в микросхемах и методы защиты

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Нападения на биометрическую информацию в микросхемах и методы защиты

Любое изделие может быть успешно атаковано – все зависит от уровня подготовки злоумышленников и доступных средств. Каждая успешная атака способна нарушить штатное функционирование работы микросхемы или считать с нее ключевую информацию. При этом немаловажную роль играет тип изделия, которое подвергается нападению, и особенности его применения
Александр Лебедев
Руководитель департамента по разработке
программных аппаратных модулей АО "Ангстрем-Т"

Микросхемы, применяющиеся в транспортных картах и использующиеся для обеспечения оплаты проезда и хранения денежных средств для оплаты (от 100 до 1000 рублей), содержат простые элементы защиты - на уровне аутентификации в информационной системе посредством уникального ChipID и криптоалгоритмов Crypto-1 или AES 128. Вся защита построена на уровне информационной системы. Потеря до 1000 рублей в данном конкретном случае не является большим уроном, поэтому применение более сложных элементов и алгоритмов защиты, которые увеличивают стоимость изделия как для заказчика, так и для потребителя, нецелесообразно.

Если же рассматривать другие классы изделий, такие как банковские карты или ID-документы (биометрические), то вопрос защиты данных, хранящихся в памяти подобных типов микросхем, становится более актуальным

Процесс биометрической идентификации

Развитие технологий биометрической идентификации привело к широкому использованию записи биометрических шаблонов на пластиковых картах для проведения идентификации и верификации.

В целях определения личности человека применяются следующие данные:

  • биометрические (фотография лица, отпечатки пальцев, радужная оболочка глаза, отпечаток ладони);
  • персональные (имя, фамилия, отчество, дата рождения, дата создания документа, дата окончания действия документа, данные выдавшего документ органа, подпись владельца документа и т.д.).

Считается, что совокупность такой информации даст возможность с большой вероятностью идентифицировать человека. Согласно современным требованиям (Федеральный закон от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма") идентификация личности должна проводиться с использованием биометрических данных. При этом сама информация хранится внутри чипа (smart-карта, eToken, Flash-накопитель) либо в базе данных.

Идентификация может производиться удаленно с помощью носителя информации (смарт-карта, e-token, др. устройство, хранящее/содержащее биометрические данные человека) и устройства сопряжения, которое снимает с человека эти биометрические данные.

Идентификация может производиться также с помощью устройства сопряжения, которое снимает с человека биометрические данные и передает их по сетям для сверки с базой данных.

Как и в первом, так и во втором случае информацию в процессе передачи с помощью различных инструментов либо хранения необходимо защищать. При этом можно обезопасить и само устройство, и микросхемы, входящие в его состав.

Процесс защиты от атак злоумышленника при использовании баз данных требует больших материальных и технических вложений (защита канала связи от перехвата путем передачи шифрованных данных, защита от атак с помощью побочного электромагнитного излучения и т.д.) Микросхемы, которые используются для обеспечения "закрытого" канала, также должны быть защищены от атак злоумышленников и не содержать встроенных закладок.

В случае применения smart-карты или eToken идентификация происходит на них самих, поэтому информация не может выйти за их пределы.

Специфика биометрических документов

Биометрические документы c электронным носителем информации позволяют хранить биометрические данные о личности в защищенном виде.

В качестве электронного носителя информации используется микросхема (чип), которая состоит из CPU, ОЗУ, Flash или EEPROM-памяти для хранения данных, криптосопроцессора и специальных средств защиты от взлома.

На сегодняшний день спектр использования биометрических документов очень широк:

  • системы видеонаблюдения с функцией распознавания;
  • системы контроля и управления доступом на охраняемую территорию (что очень важно для специальных объектов, таких как атомные станции, закрытые учреждения и т.д.);
  • системы автомобильной сигнализации;
  • загранпаспорта;
  • социальные карты;
  • общегражданские паспорта;
  • персональные электронные карты военнослужащего;
  • карты для тахографов;
  • карты и паспорта мигрантов и т.д.

В связи с этим становятся актуальными вопросы:

  1. как хранить информацию, относящуюся к разряду личной;
  2. как избежать подделки/подмены данных в выданном государственным органом документе;
  3. как защитить документ от подделки.

И если последний из перечисленных вопросов очевиден и в большей степени находит ответ в применении современных способов печати с труднореализуемыми элементами (голограммы, рисунки в ультрафиолете и т.д.), то ответы на первые два вопроса – более сложные. Прежде всего потому, что информация, которая хранится в микросхеме, не может быть проверена без применения определенных знаний и специального оборудования. Кстати говоря, это еще один фактор защиты. Не у каждого злоумышленника есть элементарное понимание процессов, которые происходят внутри микросхемы Но если такое понимание есть, как и желание повлиять на систему идентификации человека с помощью хранимых в микросхеме данных, то это может привести к катастрофическим последствиям. Поэтому информация, которая хранится в энергонезависимой памяти микросхемы (EEPROM или Flash), должна быть защищена, как и сама микросхема в целом

Классификация атак

Все атаки на микросхемы можно разделить на две группы (табл. 1):

  • активные - физические (физическое воздействие на микросхему, вплоть до ее разрушения, с целью получения данных или искажения информации внутри микросхемы);
  • пассивные - аналитические (информационные атаки с целью снятия данных путем применения различного рода оборудования и анализа результатов).


Рассмотрим подробнее особенности каждого типа атаки

Процесс защиты от атак злоумышленника при использовании баз данных требует больших материальных и технических вложений.
Микросхемы, которые используются для обеспечения "закрытого" канала, также должны быть защищены от атак злоумышленников и не содержать встроенных закладок

Атака путем вскрытия микросхемы

Данный тип атаки предназначен для получения доступа к шинам данных или к накопителю памяти

При этом сама атака может проводиться с помощью как FIB (сфокусированным электронным пучком) для "сверления" отверстия внутри микросхемы для доступа к той или иной шине и для наращивания после с помощью платины или вольфрама контакта, так и зондового микроскопа для установки игл толщиной 1 мкм в информационные шины микросхемы.

Для защиты от данного типа атак применяют такой механизм, как активная сетка (активный экран).

Сетка - основной элемент защиты кристалла от физических атак: весь кристалл покрывается сеткой в виде так называемой змейки Сам принцип работы активной сетки прост и заключается в срабатывании датчика при изменении резистивной или емкостной составляющей активной сетки или при отсутствии прохождения информационной последовательности. Рассмотрим его более подробно.


По сетке из точки А в точку Б пересылается активный сигнал. В отсутствие сигнала на входе в точке Б срабатывает датчик сетки Опрос датчика сетки происходит при подаче питания, и если произошло нарушение целостности активной сетки независимо от типа срабатывания, то микросхема уходит в состояние POR (Power of Reset) - то есть микросхема всегда будет находиться в состоянии сброса (Reset).

В большинстве случаев сетка выполнена металлическим слоем, который отражает УФ-излучение, направленное на микросхему.

При наличии активной сетки атака на микросхему производится с помощью как FIB, так и химического травления.

В процессе вскрытия и последующего восстановления сетки посредством FIB происходит "перерезание" или же "утончение" сетки для доступа к необходимым шинам данных или областям памяти для считывания/подмены информации.

Удалив активную сетку, злоумышленник с помощью игл получает доступ к шинам передачи информации или доступ к накопителю данных. В результате подачи питания на осциллографе или цифровом анализаторе преступник может видеть обмен данными. После чтения или искажения информации происходит восстановление "поврежденного" участка активной сетки, его обычно проводят с помощью платинового или вольфрамового источника (сопротивление восстановленного участка ниже, чем при использовании платины).

Не у каждого злоумышленника есть элементарное понимание процессов, которые происходят внутри микросхемы. Но если такое понимание есть, как и желание повлиять на систему идентификации человека с помощью хранимых в микросхеме данных, то это может привести к катастрофическим последствиям


Вскрытие сетки путем химического травления осуществляется с помощью воздействия плазмой, когда активная сетка полностью убирается и злоумышленник имеет доступ ко всему кристаллу. Восстановление сетки проходит посредством FIB.


Процесс вскрытия и восстановления активной сетки показан на рис. 1 и 2

Атака лазером

Атака с помощью лазера является одним из способов создания вычислительных ошибок и перевода микросхемы в состояние "сброс" [1, 2]. Данный тип атаки также нацелен на изменение значения ячейки памяти.

Рассмотрим процесс атаки на следующем примере.

Микросхема, находящаяся в условном корпусе, не закрытом крышкой, распаяна на макетную плату, подключенную к компьютеру. С помощью компьютера на микросхему посредством макетной платы передаются сигналы управления. Во время работы происходит "выстрел" лазером в направлении микросхемы. После этого проводится тестирование микросхемы на обнаружение возможностей нарушения в ее работе. При отсутствии нарушений выбирается другая точка или же увеличивается мощность лазерного пучка.


В работе [1] был предложен автоматизированный подход к атаке. Была использована передвижная платформа с зафиксированной на ней микросхемой и синхронизирующая плата, которая, как и сама микросхема, подключена к компьютеру. Программный интерфейс позволяет выбрать начальное положение платы и перемещать ее в пространстве по двум осям.


Если микросхема содержит активную сетку, то данная атака не приведет к нарушению функционирования микросхемы. Объясняется это следующим фактором: при воздействии лазерного излучения на активную сетку происходит изменение задержки переключения цифровых логических вентилей, вызванное протеканием фотоиндуцированного тока. Изменение задержки переключения цифровых вентилей приемного и передающего блоков сетки приведет к срабатыванию датчика сетки Таким образом, предложенный механизм обеспечивает полную защиту от атак лазером и вскрытия микросхемы.

Backside-атака

Данный принцип атаки такой же, как и при вскрытии микросхемы, за исключением того, что атака идет не на верхний уровень микросхемы, как было описано ранее, а со стороны подложки

Сетка – основной элемент защиты кристалла от физических атак: весь кристалл покрывается сеткой в виде так называемой змейки. Принцип работы активной сетки прост и заключается в срабатывании датчика при изменении резистивной или емкостной составляющей активной сетки или при отсутствии прохождения информационной последовательности

Атака с помощью пуска ионов

Еще одной разновидностью атак с помощью FIB или зондового микроскопа является воздействие посредством пучка ионов [3]

Цель данной атаки - не нарушая целостность активной сетки, получить доступ к информационным шинам микросхемы или накопителю памяти. С помощью пучка ионов Ga+ происходит "сверление" отверстия между линиями активной сетки без повреждения последней. В этом случае шина активной сетки полностью не удаляется и не разрушается, а утончается для доступа к шине данных с помощью зондового микроскопа или щупов осциллографа.


На рис. 5 показан результат воздействия пучком ионов Ga+ на поверхность кристалла ИС в течение 2 мин. Снимок сделан в РЭМ. Объяснение этого феномена: при воздействии пучком ионов Ga+ на поверхность кристалла ИС на шине металлизации активной сетки образуется потенциал порядка 10 кВ (при длительности воздействия электронным пучком в 1 мин). Это напряжение вызовет протекание значительного тока через обратносмещенный диод с его локальным нагреванием с последующим тепловым пробоем (необратимый пробой) [4].

Атака с помощью ультрафиолетового излучения

Для изменения значения или же полного стирания энергонезависимой памяти микросхемы применяется атака с помощью УФ-излучения В большинстве случаев микросхемы содержат активную сетку, которая отражает направленное на микросхему УФ-излучение, что позволяет защититься от атаки

Атака с помощью рентгеновского облучения

Как и в предыдущем пункте, цель данного типа атаки - частичное или полное стирание энергонезависимой памяти или же изменение информации, хранящейся в ней.

Для примера рассмотрим ячейку Flash-памяти третьего поколенияот компании SST (SuperFlash Gen 3), показанную на рис. 6 (Split-Gate Cell).


Одна ячейка способна хранить 2 бит информации и состоит из следующих элементов:

  • шина SG/WL (Select Gate or Word Line);
  • плавающий затвор EG (Floating Gate);
  • шина EG (Erase Gate);
  • шина CG (Coupling Gate).

Области стока (легирование N+) соединены с шиной BL (Bit Line), область истока (легирование N+) соединена с шиной SL (Source Line).

При воздействии ионизирующего излучения на ячейки памяти SuperFlash Gen 3 - в работе [5] приводятся данные, представленные в табл. 3


Сдвиг порогового напряжения ячейки памяти в зависимости от эквивалентной накопленной дозы показан в табл. 4.


Приведенные данные говорят о возможной деградации блока Flash-памяти при воздействии ионизирующего излучения.

Для подтверждения теоретических расчетов из работы [5] проводились воздействия УФ-излучения мощностью не более 1 кВт в течение 8 часов на ИС. Деградации блока Flash-памяти не выявлено. Нечувствительность ячеек памяти типа SuperFlash Gen 3 косвенно подтверждается публикацией [6] (рассматривается ячейка памяти SuperFlash предыдущего поколения).

Защита микросхем, содержащих биометрическую или иную информацию, которая в дальнейшем будет использоваться при аутентификации, крайне важна, и все крупнейшие компании – производители микросхем уделяют этой проблеме повышенное внимание

Дифференциальный анализ питания

Дифференциальный анализ питания микросхемы - это теоретическая, а не физическая атака, которая помогает анализировать, при каких сигналах и воздействиях какой блок микросхемы будет работать. С помощью осциллографа или спектроанализатора производится запись "трасс" различных сигналов, поданных на микросхему, и затем посредством математического аппарата ведется оцифровка и выделение нужных сигналов. В настоящее время для защиты от этой атаки используется механизм защитной сетки, по которой пускают некую случайную последовательность для наложения зашумления на сигналы.

Гонка технологий

Атаки на микросхемы и защиту от них разрабатывают два класса борющихся между собой специалистов. На каждую придуманную новую атаку сразу создается новая защита, что вызвано необходимостью обезопасить находящиеся в микросхеме данные.

Как было показано выше, защита микросхем, содержащих биометрическую или иную информацию, которая в дальнейшем будет использоваться при аутентификации, крайне важна, и все крупнейшие компании - производители микросхем уделяют этой проблеме повышенное внимание.

Необходимо также отметить, что при использовании в системах аутентификации микросхем сигналы не выходят наружу, а все сравнение проводится внутри smart-карты или документа

Литература

  1. Коркикян Р. Г. Применение лазера для создания сбоя в работе микроконтроллера // Материалы XVII Всероссийской научно-практической конференции "Проблемы информационной безопасности в системе высшей школы". М.: МИФИ, 2011. - Т. 18, № 1 (2011). - С. 100-101.
  2. Киви Б. Что показало вскрытие // Хакер. - 2003. - № 36. - С. 56-62.
  3. Orloff J., Swanson L.W and Utlaut M. Fundamental Limits on Imaging Resolution in Focused ion Beam Systems. J. Vac. Sci. Tech. B14, 1996.
  4. Рау Э.И. Механизмы зарядки диэлектриков при облучении электронными пучками средних энергий // Физика твердого тела. - 2008. - Т. 50, выпуск 4. - С. 599-607.
  5. Yitao Chen. SST SuperFlash Modeling and Simulation Under Ionizing Radiation, Arizonf State University - 2016 August - Pр. 100.
  6. Cao Zigui, Sun Ling, Lee Elton, Characterization of the Triple-Gate Flash Memory Endurance Degradation Mechanism // Chines Journal of Semiconductors. - 2009. Vol. 30, Issue 1, article id. 014003, Рp. 4.

Опубликовано: Журнал "Системы безопасности" #5, 2018
Посещений: 544


  Автор
Александр Лебедев

Александр Лебедев

Руководитель департамента по разработке программных аппаратных модулей АО "Ангстрем-Т"

Всего статей:  2

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций