В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций
Микросхемы, применяющиеся в транспортных картах и использующиеся для обеспечения оплаты проезда и хранения денежных средств для оплаты (от 100 до 1000 рублей), содержат простые элементы защиты - на уровне аутентификации в информационной системе посредством уникального ChipID и криптоалгоритмов Crypto-1 или AES 128. Вся защита построена на уровне информационной системы. Потеря до 1000 рублей в данном конкретном случае не является большим уроном, поэтому применение более сложных элементов и алгоритмов защиты, которые увеличивают стоимость изделия как для заказчика, так и для потребителя, нецелесообразно.
Если же рассматривать другие классы изделий, такие как банковские карты или ID-документы (биометрические), то вопрос защиты данных, хранящихся в памяти подобных типов микросхем, становится более актуальным
Развитие технологий биометрической идентификации привело к широкому использованию записи биометрических шаблонов на пластиковых картах для проведения идентификации и верификации.
В целях определения личности человека применяются следующие данные:
Считается, что совокупность такой информации даст возможность с большой вероятностью идентифицировать человека. Согласно современным требованиям (Федеральный закон от 7 августа 2001 г. № 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма") идентификация личности должна проводиться с использованием биометрических данных. При этом сама информация хранится внутри чипа (smart-карта, eToken, Flash-накопитель) либо в базе данных.
Идентификация может производиться удаленно с помощью носителя информации (смарт-карта, e-token, др. устройство, хранящее/содержащее биометрические данные человека) и устройства сопряжения, которое снимает с человека эти биометрические данные.
Идентификация может производиться также с помощью устройства сопряжения, которое снимает с человека биометрические данные и передает их по сетям для сверки с базой данных.
Как и в первом, так и во втором случае информацию в процессе передачи с помощью различных инструментов либо хранения необходимо защищать. При этом можно обезопасить и само устройство, и микросхемы, входящие в его состав.
Процесс защиты от атак злоумышленника при использовании баз данных требует больших материальных и технических вложений (защита канала связи от перехвата путем передачи шифрованных данных, защита от атак с помощью побочного электромагнитного излучения и т.д.) Микросхемы, которые используются для обеспечения "закрытого" канала, также должны быть защищены от атак злоумышленников и не содержать встроенных закладок.
В случае применения smart-карты или eToken идентификация происходит на них самих, поэтому информация не может выйти за их пределы.
Биометрические документы c электронным носителем информации позволяют хранить биометрические данные о личности в защищенном виде.
В качестве электронного носителя информации используется микросхема (чип), которая состоит из CPU, ОЗУ, Flash или EEPROM-памяти для хранения данных, криптосопроцессора и специальных средств защиты от взлома.
На сегодняшний день спектр использования биометрических документов очень широк:
В связи с этим становятся актуальными вопросы:
И если последний из перечисленных вопросов очевиден и в большей степени находит ответ в применении современных способов печати с труднореализуемыми элементами (голограммы, рисунки в ультрафиолете и т.д.), то ответы на первые два вопроса – более сложные. Прежде всего потому, что информация, которая хранится в микросхеме, не может быть проверена без применения определенных знаний и специального оборудования. Кстати говоря, это еще один фактор защиты. Не у каждого злоумышленника есть элементарное понимание процессов, которые происходят внутри микросхемы Но если такое понимание есть, как и желание повлиять на систему идентификации человека с помощью хранимых в микросхеме данных, то это может привести к катастрофическим последствиям. Поэтому информация, которая хранится в энергонезависимой памяти микросхемы (EEPROM или Flash), должна быть защищена, как и сама микросхема в целом
Все атаки на микросхемы можно разделить на две группы (табл. 1):
Рассмотрим подробнее особенности каждого типа атаки
Данный тип атаки предназначен для получения доступа к шинам данных или к накопителю памяти
При этом сама атака может проводиться с помощью как FIB (сфокусированным электронным пучком) для "сверления" отверстия внутри микросхемы для доступа к той или иной шине и для наращивания после с помощью платины или вольфрама контакта, так и зондового микроскопа для установки игл толщиной 1 мкм в информационные шины микросхемы.
Для защиты от данного типа атак применяют такой механизм, как активная сетка (активный экран).
Сетка - основной элемент защиты кристалла от физических атак: весь кристалл покрывается сеткой в виде так называемой змейки Сам принцип работы активной сетки прост и заключается в срабатывании датчика при изменении резистивной или емкостной составляющей активной сетки или при отсутствии прохождения информационной последовательности. Рассмотрим его более подробно.
По сетке из точки А в точку Б пересылается активный сигнал. В отсутствие сигнала на входе в точке Б срабатывает датчик сетки Опрос датчика сетки происходит при подаче питания, и если произошло нарушение целостности активной сетки независимо от типа срабатывания, то микросхема уходит в состояние POR (Power of Reset) - то есть микросхема всегда будет находиться в состоянии сброса (Reset).
В большинстве случаев сетка выполнена металлическим слоем, который отражает УФ-излучение, направленное на микросхему.
При наличии активной сетки атака на микросхему производится с помощью как FIB, так и химического травления.
В процессе вскрытия и последующего восстановления сетки посредством FIB происходит "перерезание" или же "утончение" сетки для доступа к необходимым шинам данных или областям памяти для считывания/подмены информации.
Удалив активную сетку, злоумышленник с помощью игл получает доступ к шинам передачи информации или доступ к накопителю данных. В результате подачи питания на осциллографе или цифровом анализаторе преступник может видеть обмен данными. После чтения или искажения информации происходит восстановление "поврежденного" участка активной сетки, его обычно проводят с помощью платинового или вольфрамового источника (сопротивление восстановленного участка ниже, чем при использовании платины).
Вскрытие сетки путем химического травления осуществляется с помощью воздействия плазмой, когда активная сетка полностью убирается и злоумышленник имеет доступ ко всему кристаллу. Восстановление сетки проходит посредством FIB.
Процесс вскрытия и восстановления активной сетки показан на рис. 1 и 2
Атака с помощью лазера является одним из способов создания вычислительных ошибок и перевода микросхемы в состояние "сброс" [1, 2]. Данный тип атаки также нацелен на изменение значения ячейки памяти.
Рассмотрим процесс атаки на следующем примере.
Микросхема, находящаяся в условном корпусе, не закрытом крышкой, распаяна на макетную плату, подключенную к компьютеру. С помощью компьютера на микросхему посредством макетной платы передаются сигналы управления. Во время работы происходит "выстрел" лазером в направлении микросхемы. После этого проводится тестирование микросхемы на обнаружение возможностей нарушения в ее работе. При отсутствии нарушений выбирается другая точка или же увеличивается мощность лазерного пучка.
В работе [1] был предложен автоматизированный подход к атаке. Была использована передвижная платформа с зафиксированной на ней микросхемой и синхронизирующая плата, которая, как и сама микросхема, подключена к компьютеру. Программный интерфейс позволяет выбрать начальное положение платы и перемещать ее в пространстве по двум осям.
Если микросхема содержит активную сетку, то данная атака не приведет к нарушению функционирования микросхемы. Объясняется это следующим фактором: при воздействии лазерного излучения на активную сетку происходит изменение задержки переключения цифровых логических вентилей, вызванное протеканием фотоиндуцированного тока. Изменение задержки переключения цифровых вентилей приемного и передающего блоков сетки приведет к срабатыванию датчика сетки Таким образом, предложенный механизм обеспечивает полную защиту от атак лазером и вскрытия микросхемы.
Данный принцип атаки такой же, как и при вскрытии микросхемы, за исключением того, что атака идет не на верхний уровень микросхемы, как было описано ранее, а со стороны подложки
Еще одной разновидностью атак с помощью FIB или зондового микроскопа является воздействие посредством пучка ионов [3]
Цель данной атаки - не нарушая целостность активной сетки, получить доступ к информационным шинам микросхемы или накопителю памяти. С помощью пучка ионов Ga+ происходит "сверление" отверстия между линиями активной сетки без повреждения последней. В этом случае шина активной сетки полностью не удаляется и не разрушается, а утончается для доступа к шине данных с помощью зондового микроскопа или щупов осциллографа.
На рис. 5 показан результат воздействия пучком ионов Ga+ на поверхность кристалла ИС в течение 2 мин. Снимок сделан в РЭМ. Объяснение этого феномена: при воздействии пучком ионов Ga+ на поверхность кристалла ИС на шине металлизации активной сетки образуется потенциал порядка 10 кВ (при длительности воздействия электронным пучком в 1 мин). Это напряжение вызовет протекание значительного тока через обратносмещенный диод с его локальным нагреванием с последующим тепловым пробоем (необратимый пробой) [4].
Для изменения значения или же полного стирания энергонезависимой памяти микросхемы применяется атака с помощью УФ-излучения В большинстве случаев микросхемы содержат активную сетку, которая отражает направленное на микросхему УФ-излучение, что позволяет защититься от атаки
Как и в предыдущем пункте, цель данного типа атаки - частичное или полное стирание энергонезависимой памяти или же изменение информации, хранящейся в ней.
Для примера рассмотрим ячейку Flash-памяти третьего поколенияот компании SST (SuperFlash Gen 3), показанную на рис. 6 (Split-Gate Cell).
Одна ячейка способна хранить 2 бит информации и состоит из следующих элементов:
Области стока (легирование N+) соединены с шиной BL (Bit Line), область истока (легирование N+) соединена с шиной SL (Source Line).
При воздействии ионизирующего излучения на ячейки памяти SuperFlash Gen 3 - в работе [5] приводятся данные, представленные в табл. 3
Сдвиг порогового напряжения ячейки памяти в зависимости от эквивалентной накопленной дозы показан в табл. 4.
Приведенные данные говорят о возможной деградации блока Flash-памяти при воздействии ионизирующего излучения.
Для подтверждения теоретических расчетов из работы [5] проводились воздействия УФ-излучения мощностью не более 1 кВт в течение 8 часов на ИС. Деградации блока Flash-памяти не выявлено. Нечувствительность ячеек памяти типа SuperFlash Gen 3 косвенно подтверждается публикацией [6] (рассматривается ячейка памяти SuperFlash предыдущего поколения).
Дифференциальный анализ питания микросхемы - это теоретическая, а не физическая атака, которая помогает анализировать, при каких сигналах и воздействиях какой блок микросхемы будет работать. С помощью осциллографа или спектроанализатора производится запись "трасс" различных сигналов, поданных на микросхему, и затем посредством математического аппарата ведется оцифровка и выделение нужных сигналов. В настоящее время для защиты от этой атаки используется механизм защитной сетки, по которой пускают некую случайную последовательность для наложения зашумления на сигналы.
Атаки на микросхемы и защиту от них разрабатывают два класса борющихся между собой специалистов. На каждую придуманную новую атаку сразу создается новая защита, что вызвано необходимостью обезопасить находящиеся в микросхеме данные.
Как было показано выше, защита микросхем, содержащих биометрическую или иную информацию, которая в дальнейшем будет использоваться при аутентификации, крайне важна, и все крупнейшие компании - производители микросхем уделяют этой проблеме повышенное внимание.
Необходимо также отметить, что при использовании в системах аутентификации микросхем сигналы не выходят наружу, а все сравнение проводится внутри smart-карты или документа
Литература
Опубликовано: Журнал "Системы безопасности" #5, 2018
Посещений: 2701
Автор
| |||
В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик | К списку авторов | К списку публикаций