芯片解密背景知识.docVIP

芯片解密背景知识 一.硅芯片安全措施的演变 ??? 无加密的时代。在早期，除法律和经济外，几乎没有保护措施来防止复制这些设备。例如：ROM 是用低成本的掩模技术制造的，可用 EPROM 轻易复制，但后者通常要贵 3-10 倍或更多。或定制掩模ROM，那就需要很长的时间和很大的投资。 ??? 工业控制器的硬件安全措施与嵌入式系统同时开始发展。40年前的可编程工业控制器是由分离的部件如 CPU，ROM，RAM，I/O 缓冲器，串口和其他通信与控制接口组成的。 PCB 上的每个部件很容易辨别且极易被复制。如下图： ??? 第1代加密：是在游戏机中广泛使用的简易ASIC，这些ASIC主要用于I/O部分来取代数十个逻辑器件，在降低成本的同时防止竞争者的复制，使之不得不应用更大且更贵的解决方案。实际上ASIC不会更安全，用示波器来简单分析信号或穷举所有可能的引脚组合就可以在数小时内得知它的具体功能。??? 游戏机中的专用集成电路（ASIC）,实例如下图： ??? 第2代加密：从70年代后期开始，微控制器提供一种非常好的取代基于 CPU控制板方法。它有内部存储器和通用 I/O 接口，还有一些保护措施以防止未经授权访问内部存储器的内容。 不幸的是，早期的单片机没有提供非易失存储能力，重要数据不得不存在单片机外部存储器中，很容易被读出数据。最近销售的一些廉价 USB 狗也用此法来进行软件保护，如图所示： ??? 第3代加密：安全工艺措施是把EEPROM数据存储芯片和单片机MCU装在同一封装内部。破解这些芯片是不容易的。一种专业的方法是打开样品的封装，用微探针来获得数据。或将芯片重新焊在一个分开的封装内。这两种设备都不是低级破解者所能拥有的。这些破解者会尝试用自制的微探针（旧芯片的焊线区域是相当大的）或利用软件上的缺陷来读出数据。 ??? 第3代加密实例1：微芯Microchip的PIC12CE518微控制器打开封装后的照片，可见非易失数据存储器和 MCU 是分开封在同一封装内部的。如下图所示： ??? 第3代加密实例2：近来的堆叠芯片，如手机中用的Flash+SRAM的combo存储器，结构与之类似，不同的是在垂直方向叠加。破解方法亦类似。例如ST某型32位MCU 打开封装后的SEM，如下图： ??? 第4代加密，特殊的加密：个别一些公司设计的 MCU（单片机） 始终没有任何特殊的硬件安全保护。它们仅仅是基于不公开编程算法来保护。这可能有伪装回读功能，或用校验功能来代替。一般这些 MCU 不会提供非常好的保护能力。实际上，在一些智能卡中，适当使用校验功能能够起到很强的保护作用。 ??? 第5代加密：增强数据安全的措施是增加一个硬件安全熔丝(security fuse 安全熔丝就是寄存器)来禁止访问数据。这很容易做到，无需完全重新设计MCU架构，仅利用熔丝（寄存器）控制编程接口的回读功能。缺点是熔丝位很容易被定位并进行入侵攻击。例如：熔丝（寄存器）状态可以通过直接把熔丝位（寄存器）的输出连到电源或地线上来进行修改。有些例子中仅仅用激光或聚焦离子束来切断熔丝的感应电路就可以了。用非侵入式攻击也一样可以成功。下图实例： PIC12C508 微控制器的安全熔丝位于程序存储器阵列的外部。 ??? 第6代加密：是将安全熔丝和存储器阵列集成到一起，如已设好熔丝（寄存器），可禁止外部读写数据。一般的熔丝（寄存器）与主存储器离得很近，或干脆与主存储器共享一些控制线。因为晶圆厂使用与主存储器相同的工艺来制造，熔丝（寄存器）很难被定位和复位。非侵入式攻击仍然可用，但需要时间去寻找。同样，半侵入式攻击也可用。当然破解者需要更多的时间去寻找安全熔丝（寄存器）或控制电路负责安全监视的部分，但这些可以自动完成的。进行侵入式攻击将是很困难的，需要手工操作，那将花费更多的成本来破解。 ??? 实例如下图：飞思卡尔 Freescale 的 MC68HC705C9A 微控制器在 200 倍显微镜下可见安全熔丝是存储器读写控制逻辑的一部分。 ??? 第7代加密： ??? 第8代加密：增加顶层金属网格，使入侵攻击开销更多。所有的网格都用来监控短路和开路，一旦触发，会导致存储器复位或清零。在智能卡中，电源和地之间铺了一些这样的网格线。在这些方法中发现一些设计缺陷使得可以进行微探测攻击。同样，这些网格不能保护非侵入式攻击。因为导线之间有电容，并且光线可以通过导线抵达电路的有效区域，半侵入式攻击仍然可能。示例如下图：意法ST 的 ST16 系列智能卡芯片表面金属层的敏感网格。 ??? 普通的 MCU 不会使用这种保护方法，因为设计较难，且在异常运行条件下也会触发，如：高强度电磁场噪声，低温或高温，异常的时钟信号或供电不良。