Доклады, выступления, видео и электронные публикации

Обзор датчиков для обнаружения инвазивных атак

Введение

В наше время почти вся информация так или иначе храниться в цифровой среде на различных устройствах. В связи с этим возникает необходимость защищать данные устройства от большого количества разных атак, целями которых являются кража или повреждение информации.

По способу доступа к объекту атаки делятся на инвазивные и неинвазивные. Неинвазивными атаками называются атаки на различные устройства, которые используют только информацию и данные, доступные извне, то есть не требуют физического доступа к устройству и могут быть проведены удаленно. Инвазивными атаками называются атаки, осуществляемые путем физического доступа к устройству для получения различного рода информации.

Обнаружение инвазивных атак осуществляется с помощью мониторинга состояния объекта. Состояние объекта должно постоянно отслеживаться путем считывания показаний имеющихся у объекта датчиков для того, чтобы при выходе показаний датчиков за пределы допустимых значений, предпринять меры по изменению режима работы на более безопасный [1-3]. Однако, какие именно датчики должны использоваться для достижения этой цели? Ответ на данный вопрос является целью данной статьи. Мониторинг состояния объекта включает в себя мониторинг напряжения питания, механизм обеспечения безопасного тактирования и обнаружение физического доступа [4], который подразумевает под собой возможность детектирования вскрытия корпуса прибора и принятия мер для смены режима работы на безопасный или уничтожения чувствительной информации.

Все датчики, которые рассматриваются в данной работе потребляют энергию, поэтому логичный шаг, который необходимо предпринять злоумышленнику при проведении инвазивной атаки, - обесточить устройство, тем самым лишив питания датчиков, благодаря которым происходит обнаружения инвазивных атак. Для того, чтобы этого не произошло, необходимо использовать источники бесперебойного питания, которые способны обеспечивать устройство и датчики питанием до тех пор, пока не будут произведены необходимые действия по переходу в безопасный режим. После этого датчики могут продолжать работу до полной разрядки источника бесперебойного питания или перейти в спящий режим с целью энергосбережения.

Глава 1. Инвазивные атаки с вскрытием корпуса

Инвазивные атаки, осуществляемые зондированием кристалла, шлифованием, резкой, травлением и ионным травлением кристалла, на данный момент являются теми атаками, защите от которых некоторые производители микросхем уделяют отдельное внимание. Все эти атаки объединяет одно общее требование — необходимость вскрытия или повреждение корпуса устройства с целью получения доступа к микросхемам.

Для обнаружения данного типа атак необходимы датчики, которые способны отслеживать вскрытие и//или повреждение корпуса устройства. Таковыми датчиками являются группа датчиков перемещения и усилий, способные отслеживать факт вскрытия корпуса устройства или, в некоторых случаях их попытки. Существует классификация по физическому принципу действия, которая применима к каждому типу датчиков (Рис.1) [5].

Большинство датчиков перемещения и усилий хоть и имеют свои особенности, обусловленные физическим принципом действия, но способны отлавливать лишь перемещение крышки корпуса устройства, поэтому большинство из них в данной работе рассматриваться не будут. В данной работе будут рассмотрены наиболее популярные типы датчиков.

1.jpg

Рис.1. Классификация датчиков перемещения и усилий

Самый популярный тип датчиков, используемых для обнаружения инвазивных атак со вскрытием корпуса — это тамперы. Тампер является разновидностью резистивных датчиков, а именно электромеханическим датчиком, поскольку преобразует перемещение первичного объекта (замыкание контакта) в скачкообразное изменение сопротивления электрической цепи постоянного или переменного тока. Другими словами, тампер –  это контакт, находящийся под крышкой устройства и срабатывающий при снятии последней. В некоторых датчиках данного типа присутствует дополнительный, второй контакт, реагирующий на отрывание устройства от места фиксации. Тамперы широко используются в различных устройствах благодаря дешевизне, простоте конструкции и легкости установки [6].

Еще одним популярным типом датчиков являются фотоэлектрические датчики или фотодатчики. Данный тип датчиков, в отличие от тамперов, способен отследить не только вскрытие крышки корпуса устройства, но и нарушение его целостности (возникновение отверстий).  Однако для нормального функционирования фотоэлектрических датчиков необходим полностью закрытый корпус, не пропускающий световые лучи от других источников, что может являться минусом в некоторых случаях. Фотодачики бывают следующих типов: фотоспоротивление, фотодиод с p-n переходом, PIN-фотодиод и фототранзистор. Каждый из этих типов имеет особенности, обусловленные принципом действия, и являются представителями различных ценовых категорий. Так датчики на основе фотосопротивления имеют большее значение отклика, однако имеют хорошую точность измерений и слабо зависят от состояния окружающей среды. В свою же очередь фотодиоды обладают малым временем отклика, но не могут похвастаться независимостью измерений от других факторов. Фототранзистор точен и слабо подвержен влиянию среды, однако его отклик не является линейной величиной. Некоторые представители различных фотодатчиков представлены в таблице ниже [7].

Табл. 1. Некоторые представители упомянутых типов фотодетекторов

Прибор/Изготовитель

Тип

Спектральный диапазон

Время отклика

VT935G / «EG&G Вактек»

Фотосопротивление

550 нм

5-35 мс

SFH213 / «Сименс»

Si p-n

850 нм

5 нс

BPX65/ «Синтроник»

Si PIN

850 нм

3,5 нс

BPV1I / TFK

Фототранзистор

950 нм

3,8 мкс

Стоит отметить один из серьезных недостатков данных датчиков. Фотодатчики не способны корректно работать в среде со световым «шумом», то есть при наличии периодических световых сигналов в корпусе устройства. Таковым «шумом» может являться мигание диодов основного устройства. Еще одним недостатком является возможность атаки, при которой во время открытия устройства на светодиод не падает световые лучи, другими словами «атаки в темноте», в результате чего светодиод может не отследить начало инвазивной атаки.

Следующие типы датчиков хоть и не имеют широкого распространения, но заслуживают упоминание в виду их особенностей. Датчикам давления в отличие от фотодатчиков для обнаружения инвазивной атаки необходима не просто закрытость корпуса, а его полная герметичность. При вскрытии корпуса давление внутри корпуса изменится, в результате чего сработает датчик. Существует разные подтипы датчиков с различными характеристиками и чувствительностями.

И последний тип датчиков, заслуживающий упоминания, – ультразвуковые датчики перемещения. Принцип работы данных датчиков основан на взаимодействии ультразвуковых колебаний с измеряемой средой с помощью фиксации отражённой от объекта ультразвуковой волны. Кроме того, ультразвуковые приборы могут применяться для точного измерения толщины различных материалов без нарушения их целостности. Еще ультразвуковые датчики имеют такие плюсы, как низкая погрешность, высокая надежность и независимость от температуры. Однако данные датчики не смогут исправно работать в средах с большим уровнем шума и вибрациями. То есть, такие датчики нежелательно устанавливать в местах, подверженных вибрации. Например, если рассматривать корпус персонального компьютера, то сильно шумящие вентиляторы могут помешать нормальному функционированию ультразвуковых датчиков [5].

Также стоит упомянуть еще один способ обнаружения инвазивной атаки, осуществляемой с помощью вскрытия корпуса устройства. Однако, данный способ более подходит не к микросхемам, а к большим объектам, таким как банковские аппараты или персональные компьютеры. Видеокамеры имеют ряд возможностей, которыми не обладают другие датчики. Благодаря видеофиксации возможен просмотр всего процесса инвазивной атаки, благодаря которому возможно определить личность, совершающую инвазивную атаку, и способ проведения этой атаки. Сегодня этот способ является одним из самых распространенных способов обнаружения инвазивной атаки.

Глава 2. Инвазивные атаки с использованием экстремальных температур

Рассмотрим следующий тип инвазивной атаки на устройства, который использует изменение температуры устройства. Один из таких способов – cold boot attack. В основе данного типа атак используется эффект сохранения данных в ОЗУ типа DRAM и SRAM после выключения питания. Данные частично сохраняются в течение периода от нескольких секунд до минут. Однако с помощью охлаждения до температуры ниже -50°C данные могут сохраняться дольше [8].  Другой возможный способ инвазивной атаки заключается в использовании высокой температуры для повреждения корпуса или микросхемы. Это может быть концентрированная серная кислота, разогретая до 300 градусов Цельсия, с помощью которой возможно растворение корпуса устройства, или обычный сварочный аппарат, который может использоваться для тех же самых целей. Инвазивные атаки с использованием экстремальных температур также являются инвазивными атаками со вскрытием корпуса, поэтому она может быть обнаружена датчиками перемещения и усилий. Однако не все датчики способны исправно работать при экстремальных температурах, в связи с чем появляется необходимость отслеживать возникновение подобных температур.

Датчики, способные отслеживать инвазивные атаки, осуществляемые с помощью высоких или низких температур, называются термодатчиками. Существует несколько подтипов данных датчиков, которые имеют те или иные особенности, но в данной работе будет акцентировано внимание на четырех типах температурных, датчиков наиболее используемых и пригодных для обнаружения инвазивной атаки – термопары, терморезисторы, полупроводниковые и акустические.

Термопара - этот датчик, принцип действия которого основан на разнице температур, представляет собой два проводника из разных металлов, спаянные в одной точке, в которой измеряется температура и сравнивается с температурой свободных, так называемых «холодных», концов, находящихся при постоянной температуре. Преимущества термопар – большой температурный диапазон измерения (от -200°C до +1000°C), а недостатками является невысокая точность и необходимость вносить поправку на температуру «холодного» конца.

Терморезисторы являются датчиками для измерения температуры, принцип действия которых основан на зависимости электрического сопротивления от температуры. Они имеют как преимущества, так и недостатки перед термопарами. Плюсами являются более высокая точность измерения и стабильность, практически линейная характеристика, и отсутствие необходимости компенсации холодного спая. Минусами же являются малый диапазон измерений (большинство измеряет температуру от -10°C до +70°C, но существуют варианты с диапазоном от -50°C до +125°C).

Полупроводниковые термодатчики работают на принципе изменения характеристик p-n перехода под воздействием температуры. Несомненными плюсами такого решения является дешевизна, высокая точность данных, и линейность характеристик на всем диапазоне измерения. Однако, данному подтипу характерен малый диапазон температуры (от -50°C до +150°C). Принцип работы акустических термодатчиков основан на разнице скорости звука в среде при разной температуре. Это бесконтактный метод, позволяющий измерять температуру от -270 до +1100 °С в закрытых полостях, а также в среде, недоступной для прямого измерения [1].

Глава 3. Атаки по ошибкам вычислений

Атаки по ошибкам вычислений также носят инвазивный характер. Основная идея заключается в осуществлении различных воздействий на шифратор с целью создания искажения информации на некоторых этапах шифрования. Управляя этими искажениями и сравнивая результаты на р­азных этапах работы устройства, криптоаналитик может восстановить секретный ключ. Например, можно попытаться поменять состояние внутреннего регистра или ячейки памяти, спровоцировать сбой при выполнении криптографической операции или записи в EEPROM. Инструментами для проведения таких атак служат, например, импульсная многолучевая лазерная установка, FIB или просто генератор импульсных помех.

Поскольку некоторые методы осуществления инвазивной атаки по ошибкам вычислений подразумевают непосредственный доступ к микросхемам, то обнаружив вскрытие или повреждение корпуса с помощью датчиков, описанных ранее (фотодатчиков, тамперов, магнитно-механических датчиков и ультразвуковых датчиков), возможно обнаружить данный тип атаки.

Еще один способ атаки по ошибкам вычисления — атака с помощью изменения напряжения питания устройства для нарушения его нормального функционирования [3]. Для мониторинга напряжения питания используются аналого-цифровые преобразователи (далее АЦП), которые преобразуют входной аналоговый сигнал (напряжение) в цифровой код. Существует несколько основных групп АЦП, разделенных по принципу работы: параллельные АЦП, АЦП с двойным интегрированием, АЦП с обратной связью. У каждой из них свои достоинства и недостатки. Таблица сравнения различных АЦП представлена ниже. Как видно из таблицы АЦП с обратной связью является золотой серединой между быстрыми параллельными АЦП и точными АЦП с двойным интегрированием.

Табл. 2. Сравнение различных типов АЦП

Аналого-цифровой преобразователь

Цена

Скорость

Параллельный

Высокая

Очень высокая (30 нс)

Двойного интегрирования

Низкая

Низкая (40 мс)

С обратной связью

Выше средней

Высокая (от 25мкс до 400 нс)

Существуют способы осуществления инвазивной атаки по ошибкам вычислений, не требующие вскрытия корпуса. Одним из методов проведения подобной атаки является инжекция помех - использование переменного магнитного поля для создания помех. С помощью воздействия переменного магнитного поля на устройство, в цепях устройства возникают вихревые токи, которые способны изменять состояния ячеек памяти. Также с помощью данного метода возможно перевести устройство в некорректный режим работы, способный дать атакующей стороне дополнительную информацию о режимах работы устройства [3]. Для обнаружения подобного типа атак возможно использовать датчики Холла и датчики Виганда, которые принадлежат группе магнитно-механических датчиков.

Атака на тактовую частоту микроконтроллера также является инвазивной атакой по ошибкам вычислений. Смысл атаки на тактовую частоту не сильно отличается от остальных атак по ошибкам вычислений. С помощью данной атаки можно управлять отклонением тактовый частоты от заданного нормы и тем самым добиться полного изменения выполнения инструкций в устройстве, вплоть до невыполнения определенной инструкции.

Механизм обеспечения безопасного тактирования (подобный элемент присутствует в линейке микроконтроллеров STM32, где называется CSS – clock security sistem) обеспечивает безопасное переключение тактовых частот различных источников. Принцип работы механизма обеспечения безопасного тактирования заключается в следующем: при запуске внешнего тактирующего генератора включается детектор частоты, который при сбое внешнего генератора (даже если он не является источником системной частоты) сразу же выключает данный генератор, включает внутренний тактирующий генератор, устанавливает его источником системной частоты, посылает сигнал ошибки системной частоты расширенным таймерам и генерирует прерывание, извещая программу о сбое во внешнем тактирующем генераторе. Таким образом, с помощью механизма обеспечения безопасного тактирования происходит обнаружение и защита от инвазивной атаки [1].

Заключение

В данной работе был рассмотрен мониторинг состояния устройства, который осуществляется благодаря считыванию информации с различных датчиков, имеющихся у данного устройства, как способ обнаружения инвазивных атак на различные устройства, такие как микросхемы, банкоматы или персональные компьютеры. Для обнаружения различных способов инвазивных атак используются различные датчики:

  • группа датчиков перемещения и усилий (обнаруживают вскрытие корпуса устройства);
  • датчики температуры (отслеживают инвазивные атаки с помощью экстремальных температур);
  • датчики Холла и Виганда (отслеживают атаки по ошибкам вычислений с помощью переменного магнитного поля);
  • Тамперы (определяют перемещение устройства с места фиксации);
  • Аналого-цифровые преобразователи (фиксируют атаки по цепям питания);
  • CSS (используется для обнаружения атак на тактовую частоту).

Для обнаружения одной и той же атаки в некоторых случаях подходят различные виды датчиков. Выбор того или иного датчика зависит от его характеристик и условий, в которых он будет использоваться. Для увеличения эффективности обнаружения инвазивных атак на устройство необходимо одновременно использовать несколько различных типов датчиков, отвечающих за обнаружение различных видов инвазивных атак. Например, использование фотодатчиков вместе с датчиком Холла и датчиком температуры способны обнаружить большинство инвазивных атак.

СПИСОК ЛИТЕРАТУРЫ:

  1. Моц М. Кибербезопасность на уровне микроконтроллеров // Control Engineering Россия. 2019. № 83. С. 70—74.
  2. Мытник К. Я., Панасенко С. П. Смарт-карты и информационная безопасность. М.: ДМК Пресс, 2019. — 516 с.
  3. Емельянов М. Средства противодействия угрозам безопасности в микроконтроллерах STM32G0 [Электронный ресурс]. URL: https://www.compel.ru/lib/131887 (дата обращения 11.05.2021) 4. Иго Т. Arduino, датчики и сети для связи устройств. 2-е изд. СПб.: БХВ-Петербург, 2015. — 544 с.
  4. Зудин В.Л., Жуков Ю. П., Маланов А. Г. Датчики: измерение перемещений, деформаций и усилий: учебное пособие для вузов. 2-е изд. М.: Издательство Юрайт, 2020. — 199 с.
  5. Немного теории. Тампер. [Электронный ресурс]. URL: https://www.easy-ops.ru/nemnogo-teorii/tamper (дата обращения 11.05.2021).
  6. Джексон Р. Г. Новейшие датчики. М.: Техносфера, 2007. — 384 с.
  7. Cool Boot Attack: вспомнить все. 2008 [Электронный ресурс]. URL: https://xakep.ru/2008/02/28/42561/ (дата обращения 11.05.2021).

Автор: Маркин И. М.

Дата публикации: 20.08.2021

Выходные данные: Комплексная защита информации: материалы XXVI научно-практической конференции. Минск. 25–27 мая 2021 г. Минск: Издатель Владимир Сивчиков, 2021. С. 365–369.


Scientia potestas est
Кнопка связи