芯片安全介绍

9
目录
•芯片破解现状 •有关CC认证 •Flash与ROM差异 •其他行业安全现状
CC EAL 介绍
Common Criteria 是多个国家联合组成评估信息安 全产品组织。致力于评估信息安全产品的安全水 平，其成员有：
澳大利亚、新西兰 加拿大、美国 法国、德国 荷兰、西班牙 英国、日本等26个国家
芯片安全介绍
2011年
2
目录
•芯片破解现状 •有关CC认证 •Flash与ROM差异 •其他行业安全现状
Mifare1破解始末及影响
2008年2月 美国和德国黑客宣称完全破解了Mifare1 Mifare1为NXP(原Philips）公司的非接触逻辑加密IC 卡产品 广泛应用于公交、门禁系统中。 国内公交市场 累计到2008年总量1.5亿 90%采用M1，10% CPU卡
实现物理访问芯片硬件，手段为电 子显微镜，酸性溶液，探针 20万美金设备，6个月，300个样 片，此前收集各种芯片并准备工作 2年； 该芯片通过CC EAL5+认证，硬件的 最高安全等级；
SLE66被攻击始末及影响
Tarnovsky 采用的是非常规的探针攻击， 通过一些极其复杂的物理和化学手段绕过芯片上的主 动屏蔽层(active shield)， 从而探测CPU 内部的明文数据。
CCEAL4+与5+对比
Ø产品实体测试是认证的一部分
Ø认证取决于产品定位，EAL4+与EAL5+产品在成本 上差距为0.5～2RMB之间，与芯片生产数量有关。
Ø通过了CC EAL认证的企业，可以证明其wenku.baidu.com司产品 和管理的安全已达到国际水平
Ø握奇是国内首家家开展COS CCEAL4认证的企 业，计划2012年上半年获得认证
24
VISA:
Official Statement regarding Flash Usage for Banking applications
•The current requirement is, that Visa branded payment applications need to be implemented in ROM. Over the past years, flash memory technology has matured and makes them suitable to be used as an alternative of mask-programmed ROM. èAs a result, Visa allows flash memory to be used as ROM as long as sensitive data and code can be “locked down” securely and sensitive data and code is loaded in a secure and controlled environment. •Therefore, Visa requires that: •The lock down mechanism has been evaluated during Visa chip security testing.
EAL1：功能测试 EAL2：从结构测试 EAL3：方法测试和检查 EAL4：方法设计，测试，并审查 EAL5：半正式的设计，测试 EAL6：半正式的验证，设计，和测试 EAL7：正式验证，设计和测试
软件的最高级别 软件硬件结合 软件硬件结合
“＋”：增强代表超过同一个级别的水平，接近下一个级别
CCEAL4+与5+对比
Flash Ø测试完成即成品 Ø开发－供货周期2个月 Ø数据区大小可配置 Ø无需定制生产 Ø擦写寿命50万次
21
目录
•芯片破解现状 •有关CC认证 •Flash与ROM差异 •其他行业安全现状
金融IC卡安全要求
Ø国际银行卡通用安全级别为 CC EAL 4+ Ø国际金融支付卡组织Visa MasterCard和JCB 联合建立了IC芯片认证机构EMVCo。 ØEMVCo当前采用了类似CC EAL 4+ 的认证方 法（AVA焦点式脆弱性分析方法） Ø全球EMV智能卡10亿张，年交易额5万亿美金
早期的Flash产品是一块单独的区域，没有保护。 现在的Flash针对程序区和数据区进行了划分，可 单独对程序区进行物理读取保护和一次性锁定。 硬件安全等级与ROM一致。 英飞凌，三星，ST都有通过CCEAL5+ 认证的芯片
Flash 与 ROM其他特性
ROM＋EEPROM Ø测试后掩模再测试 Ø开发－供货周期6～9个月 Ø数据区不可配置 Ø定制生产芯片 Ø擦写寿命50万次
•Loading sensitive data and code in flash memory and the “lock
EMV认证现状及后续安全要求
ØMasterCard认为只要FLASH 产品能与ROM产品一样通过 CAST测试就可以做为ROM产 品的替代 Ø对代码管理和下载地点需 要进行审计认证
CC EAL4+与5+ 具体差异
保证类 开发
生命周期支持
实体测试 脆弱性评估
保证族
保证组件
功能规范
EAL 4+
EAL 5+
4 完整功能规范 5 完整半形式化功能
规范
内部组织安 无要求 全功能
2 组织良好的目标安 全功能
设计描述 3 基本模块化设 4 半形式化模块化设
计
计
配置管理范 4 问题跟踪覆盖 5 开发工具配置管理
17
目录
•芯片破解现状 •有关CC认证 •Flash与ROM差异 •其他行业安全现状
Flash 与 ROM
ROM是最早出现的存储器 Flash与EEPROM特点是 其特点是固化，不可更改。 掉电不丢失，可修改。 存放操作系统和稳定应用。 用于存放用户数据
Flash 与 ROM 安全性
ROM中的数据进行了物理读取保护，保证只能在内部运 行，不可读出。
在演示中，当读出部分芯片 自检产生的字节后，芯片立 即停止了工作。
此类探针攻击属于CCEAL的标 准评测项目。该款芯片已经 针对此种攻击进行了保护。
SLE66被攻击始末及影响
芯片停止工作的原因是：芯片中的保护措施启动了。
Tarnovsky的攻击属成熟的手段，不属于芯片安全漏洞。 他的操作没有导出密钥， 未获得有价值的用户信息或是整个操作系统的结构， 不能复制出相同的产品。
国内公交系统2009～2011年新发卡5000万，60%为 CPU卡
英飞凌芯片被攻击及影响
2010年2月12日2010年黑帽会议（Black Hat） 展示对IFX SLE66 CL PE进行破解的成果
Christopher Tarnovsky，前美国军事安全专家，为安 全公司Flylogic工作
围
覆盖
工具和技术 1 定义良好的开 2 符合实现标准的开
发工具
发工具
测试深度 子系统级测试 模块级测试
脆弱性分析 聚焦的脆弱性分 系统的脆弱性分析 析
子系统本身及子系统间接口测试 子系统下各模块本身和模块间接口的测试
CCEAL4+与5+对比
EAL4以上对与芯片的安全检验子系统
Ø程序区防止复制 Ø异常检测方法 ØRAM快速擦除 Ø硬件控制存储区锁定 Ø随机数发生器 ØCRC循环冗余校验 Ø动态加密：包括存储区，总线加密，多密钥 ØMemory Encryption Decryption 存储加密解密 Ø加密算法的保护
难于获利，对芯片平台和系统安全没有普遍影响。
跟M1破解性质完全不同。
卡系统的安全体系介绍
后台数据
系统架构
管 理
应用流程
应用流程
流 程
应应用应用数用数据数据据
应应用应用数用数据数据据
操操作操作系作系统系统统 操操作操作系作系统系统统
芯芯片芯片硬片硬件硬件件 芯芯片芯片硬片硬件硬件件
应应用应用数用数据数据据 操操作操作系作系统系统统 芯芯片芯片硬片硬件硬件件
26
EMV认证现状及后续安全要求
ØEMVCo允许FLASH做为ROM 的一种替代，条件是敏感 数据和代码以安全可控的 方式下载到FLASH中，且 不可更改 Ø已有FLASH产品通过 EMVCo认证-SLE77 S系列
27
攻击英飞凌芯片的人在做什么？
Ø此人仍在攻击其他芯片，他们包括NXP的Java卡采用 的SmartMX芯片平台，ST公司的ST21和ST23芯片平台 Ø在他的博客中最后一篇文章中这样评价：英飞凌 SLE66的芯片是一个非常安全的设备，有其长处和短处。 Ø他说发现了ST23芯片的弱点（这个芯片通过了 CCEAL6＋的认证）
28
– When the Chip Card Product is submitted for testing the product needs to be https://pinarftinnearnl ectownorfkig.vuisraa.tcioomn/vapnnd/glloobcakl/ecdatedgoowryn.dos?eccautergeolyry.Id=39&documentId=64&userRegion=215
22
EMVCo 流程
Ø识别需要安全保护的对象 Ø识别针对该对象的威胁 Ø识别产品安全功能 Ø验证产品安全功能是否适当 Ø对产品设计进行脆弱性分析 Level3 Ø执行针对性测试 Ø给出安全等级评估结果
CAST
23
EMV认证现状及后续安全要求
Ø2009年前Visa要求Visa品牌卡产品必须以ROM方式 实现 Ø随着FLASH技术的成熟，Visa允许FLASH做为ROM的 一种替代 Ø条件是敏感数据和代码以安全可控的方式下载到 FLASH中，且不可更改
每个国家都一个颁证机构和有若干个授权的测试 实验室
CC 认证流程
CC认证流程图
EAL(评估保证级)提供了一个递增的尺度， 该尺度的确定权衡了所获得的保证级与达到 该保证程度所需的代价和可行性。
EAL简介
Evaluation Assurance Level (评估保证级)提供了一个递增的阶梯的安全 等级，该等级的确定要达到指定安全程度所 需的代价和可行性。
Mifare1破解始末及影响
德国的学者Henryk Plotz， 和弗吉尼亚大学的在读博士Karsten Nohl 两人采用反向工程和物理电路分析，逐层分析数万个 逻辑电路单元 确定其算法的核心是16字节随机数 找到预测随机数规律，能够预测下一次的随机数
算法体系被破解。
全世界M1卡系统都存在风险。
Ø认证周期、流程相同：首次12个月，之后6个月
Ø认证费用差异大，EAL 4+约为200K欧元、EAL 5+ 约为500~600K欧元，不包括投入人力
ØEAL 1~EAL 4+以平缓经济的代价逐步增加产品安 全保证级别 ØEAL 5+在EAL 4+基础上要求增加更昂贵的代价以 提升安全保证级别
Ø一份CCEAL芯片测试报告