Защита TPM 2.0

Preview:

Citation preview

Особенности архитектуры защиты TPM 2.0 Возможен ли новый взлом?

Вернер Олег Витальевич,к.т.н., начальник лаборатории доверенной среды

• 1999: Trusted Computing Platform Alliance (TCPA)• 2001: Спецификации TCPA версии 1.0, рабочие группы

TPM, ПК, спецификации TPM 1.1• 2003: Trusted Computer Group (TCG), спецификации

TPM 1.2, TNC, TSS, Mobile Platform, Storage, Infrastructure, …

• …• 2011: Спецификации Virtualized Trusted Platform

Architecture• 2013: Спецификации TPM 2.0

Trusted Computer Group: ИСТОРИЯ

СтандартыTCG

Использование микрочипов• для организации мобильной связи в сим-картах

сотовых телефонов и в системах межмашинного взаимодействия M2M (Machine-to-Machine);

• в платежных системах (в кредитных или дебетовых банковских картах, электронных кошельках - ePurse);

• в электронных паспортах, идентификационных смарт-картах, электронных картах медицинского и социального страхования, водительского удостоверения и прочих системах персональной идентификации, а также идентификации объектов;

• для организации защищенной среды в системах платного телевидения, доверенных вычислений (чипы TPM - Trusted Platform Module), для обеспечения безопасности встроенных систем (Embedded Security).

Физическая безопасность микропроцессорных чипов

Общая структура чипа

Методы атакиАтаки на встроенное программное обеспечение (Software)

Использование уязвимости конкретной реализации программного обеспечения.

Атаки, рассчитанные на ошибку/сбой (Fault attacks)Физические манипуляции с первичным источником питания (Vcc), тактовым сигналом (clock), температурой, воздействие ультрафиолетовым (UV) и рентгеновским (X-Rays) излучением.

Атаки по побочным каналам (Side channel attacks)Мониторинг аналоговых сигналов, т.е. времени исполнения, энергопотребления, электромагнитного излучения.

Атаки с проникновением (Invasive attacks)Реинжиниринг содержимого ROMЗондирование (Probing data)Модификация схемы…

Базовые классы атак

1. Пассивные атаки (Passive или Observing Attacks).

2. Активные атаки без проникновения (Non-invasiveили Manipulating Attacks).

3. Проникающие или полупроникающие атаки (Invasive или Semi-Invasive Attacks).

Анализ содержимого памяти

Цель атаки:Считывание хранимых (секретных) данных или программных кодов во время выполнения.

Метод атаки:После вскрытия корпуса щупы электрических зондов подсоединяются к внутренней шине и измеряются сигналы функционирующего чипа.

Противодействие анализу содержимого памяти

Контрмеры:- Полное покрытие чипа проводящими линиями (conducting lines), целостность которых постоянно тестируются (active shield). Атака обнаруживается чипом по нарушению целостности покрытия.- Шифрование данных на шине (Bus encryption).

Spikes-атакиЦель атаки:Добиться ошибок в криптографических вычислениях, позволяющих с помощью Differential Fault Analysis (DFA) определить вводимый криптографический ключ или обойти проверку системы защиты, т.е. ввод пароля.

Метод атаки:На сигнальные линии или источник питания воздействуют короткими электрическими импульсами.

Защита от Spikes-атак

Контрмеры:Встраивание разнообразных сенсоров контроля условий работы микросхемы (voltage sensor and spike sensor). При обнаружении ненормальных условий активизируется режим тревоги.

Результат Spike атаки для защищенного контроллера

Защита от атак световым импульсомЦель атаки:Добиться ошибок в последовательности выполнения команд программы для обхода системы аутентификации (как и при spikeатаке) или вызвать появление на выходе важной для атакующего информации (т.е. дампа памяти, содержащего секретные данные).

Метод атаки:После вскрытия корпуса, чип (или часть чипа) облучается во время работы вспышками света или лазером.

Контрмеры:Встраивание распределенных по всей поверхности чипа световых сенсоров. При обнаружении света активизируется режим тревоги.

Группа атак по линии питания (1)Использование утечек криптографической информации по линии питания.

Пример 1: реализации операции умножения со сложением (Multiply-Add, MAD) RSA оказывают ярко выраженное влияние на линию питания.

Пример 2: идентификация 16-ти раундов алгоритма DES простым измерением питания.

Группа атак по линии питания (2)При атаке типа SimplePowerAnalysisпутем интерпретации одиночного профиля потребления идентифицируют отдельные инструкции программы микрочипа и делают заключение об актуальных операндах.

При атаке типа DifferentialPowerAnalysis собирается до нескольких тысяч профилей потребления при различных входных данных. Последующий статистический анализ позволяет определить значение битов секретного ключа.

Атаки типа дифференциальный анализ с использованием побочных каналовЦель атаки:Определение секретного ключа криптографической функции путем использования DPA (Differential Power Analysis) или EMA (Electro-Magnetic radiation Analysis).

Метод атаки:Использование корреляции между обрабатываемыми данными и потребляемым питанием или электромагнитным излучением во время криптографических вычислений.

Атаки типа дифференциальный анализ с использованием побочных каналов

Контрмеры:Использование безопасного криптоускорителя (Secure accelerator).

Генерация случайного шума на линии питания (CURSE).

Типичный профиль питания. Профиль питания генерируемый CURSE.

Небезопасная реализация криптографической функции.

Secure accelerator.

Физическая безопасность семейства серий SLE66P/PE и SLE88P

• датчики и фильтры контроля условий работы микросхемы (к таким датчикам и фильтрам относятся световые и температурные датчики, а также фильтры, сглаживающие броски напряжения и изменения тактовой частоты);

• шифрование данных всех видов памяти (ROM, EEPROM, RAM) для предотвращения возможности анализа содержимого памяти;

• скремблинг или шифрование данных, передаваемых в шинах адресов и данных;• использование модуля управления памятью (Memory Management Unit или MMU) для

шифрования данных, хранящихся в памяти EEPROM и RAM, и управления доступом к различным типам памяти;

• средства борьбы с атаками, основанными на измерении по излучению микросхемы потребляемой ей энергии: камуфляжное излучение или, наоборот, уменьшение излучения за счет специальных фильтров; переменная логика выполнения одной и той же программы;

• использование специального дизайна процессора;• использование специального криптопроцессора для выполнения алгоритмов RSA и DES;• использование специального аппаратного генератора случайных чисел, применяемого для

генерации ключей в схеме RSA;• использование активных средств защиты от проникающих атак.

Black Hat 2010: Christopher Tarnovsky сообщил, что ему удалось взломать TPM Infineon

SLE 66 CL PC

Взлом TPM

Stefan Rüping, Marcus Janke и Andreas Wenzel –номинанты Немецкой премии будущего

за 2012 год

Новая концепция безопасности

Анализ более чем двадцатилетнего опыта защиты от атак на систему безопасности микрочипов показал необходимость смены парадигмы физической безопасности. Защита «против известных атак» оказалась недостаточной.

Класс атаки Manipulating Observing Semi-Invasive

Время на разработку

месяцы дни месяцы

Время на реализацию

дни часы минуты

Стоимость > 100.000 € > 10.000 € > 100 €

Пример Microprobing Power Analysis Spike Attack

Классы атак

Атаки с использованием вспышек лазера и радиационного облучения

Уровень угрозы зависит от стоимости используемого оборудования (SwitchableWavelength Laser, High-End Laser Test Setup, Control for Laser Attacks) - от 100 Euro to 500.000 Euro. Вместе с тем, дешевое оборудование может использоваться большим числом любителей (непрофессионалов), что также повышает уровень угрозы.

Атаки с использованием радиационного облучения направлены на отдельные элементы электрической схемы. Сегодня и любители могут получить доступ к источникам радиации для организации подобных атак.

DPA атакиDPA атаки это относительно небольшая группа из другого класса - ObservingAttacks, подкласс - Side-Channel Attacks. Метод анализа линии питания как побочного канала утечки информации (Power related Side Channel Analysis) известен уже почти 100 лет.

Сегодня даже студенты университетов способны организовать DPA атаку. Соответствующие контрмеры также обычно не рассчитаны на противодействие атакам из других групп данного класса.

Традиционный подход к безопасности

Новый подход – INTEGRITY GUARD

• Полное шифрование в чипе (Full On-Chip Encryption)

• Полный контроль целостности (Comprehensive Error Detection)

• Специальная внутренняя топология (Active I2-shield)

Базовые механизмы INTEGRITY GUARD

Механизм полного контроля целостностиSelf-cheking systemДва процессора в микрочипе позволяют выполнять перекрестные проверки операций для своевременного обнаружения возможных атак.

EDC ProtectionEDC защищает память, шины и элементы ядра микрочипа. Однократные ошибки (в одном бите) исправляются, многократные (multi-bit) ошибки вызывают режим тревоги.

Cache Protection Опубликовано описание различных атак на незащищенный Кэш. Cache Protectionавтоматически контролирует целостность данных Кэш.

Общая схема механизма Full Error Detection

Механизм Full On-Chip EncryptionEncripted MemoryИспользование устойчивого блочного алгоритма шифрования защищает от разнообразных атак на хранящиеся в памяти или передаваемые по шине данные.

Механизм Full On-Chip EncryptionCPU EncryptionПрименение криптопроцессоров, использующих шифрованные вычисления, позволяет противостоять атакам на обрабатываемые в процессоре данные.

Общая схема механизма Full On-Chip Encryption

Active I2-shield

В дополнение к механизмам Full On-Chip Encryption компанияInfineon использует интеллектуальную безопасную разводкумикрочипа. Для безопасного внутреннего дизайна чипаиспользуются специфические, собственные инструментыразработки Infineon. Линии разводки внутри кристалларанжируются в зависимости от их значимости и на базе этойклассификации автоматически трассируются и проверяются.Intelligent Shielding алгоритм распределяет их по слоям,завершая создание так называемого «Active I2-shield».

Итого: базовые положения

• При анализе физической безопасности микрочипов должны рассматриваться три основных класса атак:Physical, Observative и Semi-Invasive.

• Контрмеры должны работать для всего класса атак, а не только для одного специфичного сценария атаки.

• Для реализации долгоживущей защиты необходима смена парадигмы от аналоговой к цифровой безопасности.

INTEGRITY GUARD (SLE 78)

В июне 2010 года семейство высокозащищенныхконтроллеров Infineon SLE 78 получило отправительства Германии разрешающий сертификатдля использования SLE 78 в проектах связанных, с ID-документами и чип-карточными приложениями.

Для чипа TPM сертификат по стандарту Common Criteria был впервые получен фирмой Infenion. • 9-12 месяцев; • подготовлено около 800 страниц

технической документации;• независимыми сторонами проведено

более 150 тестов на проникновение (penetration tests).

Оценка уровня безопасности чипа

EAL 6

EAL 5

EAL 4

EAL 3

EAL 1

EAL 2

EAL 7

Common Criteria

Functionally tested

Structurally tested

Methodically tested

and checked

Methodically designed,

tested and reviewed

Semiformally designed

and tested

Semiformally verified

design and tested

Formally verified

design and tested

Используемые в настоящее время фирмой Infenion меры защиты микроконтроллеров позволяют достигнуть уровня

EAL5+.

Процесс сертификации TPM

Definition of TOE

and Security Targets

Applicant Certification BodyEvaluation Body

TCG Protection Profile

Standard

Evaluation Documentation

acc. to ITSEC / CC

Evaluation through

Trusted 3rd party

Certification

BOOT GUARD

TPM 2.0

Стандарты и технологии сегодня

Благодарю за внимание

elvis.ru

Recommended