用于电子护照的非接触安全控制器
发布时间:2008/5/27 0:00:00 访问次数:405
在2006年10月26日之后通过美国免签证计划(vwp)办理的任何护照必须是电子护照,这样就可以免签证进入美国。电子护照是集成了非接触安全控制器的护照,其中保存了印制在护照纸面上的相同信息,包括持有者的名字、出生日期,以及其他生平信息。这些电子护照必须符合由国际民航组织(icao)制定的国际技术标准,该组织规定要求在安全控制器上保存安全等级和生物信息。vwp是推动电子护照实施的主要动力,从2006年11月开始,大约有33个国家推出或开始推行电子护照。
随着电子护照的实施,也出现了很多公开讨论非接触控制器用于电子护照的安全性问题。市场上存在三种主要的“非接触”芯片:“纯粹”的rfid芯片,标准的微控制器和非接触安全控制器。“纯粹”的rfid芯片主要用于对象识别,不包含微控制器。因此,就安全性和功能来讲,仅仅适合他们当前所使用的场合。配置适当射频接口的标准微控制器可以用于非安全性的非接触应用,但是与“纯粹的”rfid芯片一样,他们的使用并不适合个人身份文件。只有设计得当的非接触安全控制器才能满足电子护照应用的数据安全和隐私保护的高要求(见图1)。
对于用于电子护照的半导体芯片来说,它必须保护存储在其中的数据不受非法篡改。电子护照对非接触安全控制器的通常规范要求包括:
1. 低功率非标准cpu内核;
2. 超过64k字节的安全eeprom用于应用程序和数据;
3. 在25摄氏度下,eeprom每个页面的可擦写次数至少大于500,000次;
4. 支持iso/iec 14443标准的b类和a类非接触接口;
5. 经过验证的真正随机数发生器,支持ais-31要求;
6. 双密钥三倍des加速器支持对称des算法;
7. 先进的加密引擎支持非对称的rsa和椭圆形曲线算法;
8. 符合cc eal 5+的通用标准认证,支持bsi-pp-0002保护规范。
另外,芯片制造商的目标是设立防范多种威胁的有效、经过测试和认证的措施,这些威胁可以划归为三个主要的类别:故障诱导型攻击、物理型攻击和旁路攻击。
图1:rfid与非接触安全控制器之间的差异。
故障诱导型攻击
当今对智能卡的攻击已经发展成某种‘艺术性的行为’,这种行为的发起者在全球数以千计,从业余的到真正的专业人士。因此,“故障诱导攻击”(也称为“半入侵式攻击”)已经成为安全评估和安全控制器认证的一个主要关注焦点。
用作智能卡控制器的集成电路通常是由硅晶片制成。硅片的电气性能可能会受到不同的环境参数影响。例如,对于不同的电压、温度、光线、电离辐射以及电磁场,硅片的电气特性会不一样。改变这些环境参数,攻击者就会尝试引起故障,包括智能卡控制器中的程序错误。通常,攻击者会想办法让芯片做出一个错误的判断(例如,接受一个错误的登录授权码),从而允许访问存储器中保存的秘密数据。
另外一个有趣的变量是“存储器转存”(memory dump)—而不是泄露非秘密的身份数据,在故障诱导攻击之后,安全控制器会输出非常多的数据,包括部分的软件、机密数据,或者甚至存储的密钥。使用“dfa”(差分错误攻击法),在某些情况下只要一次故障计算,攻击者就能通过使用成熟的数学算法获得密钥。
已知诱导故障的各种方法包括变化功耗、电磁诱导、利用可见光辐射芯片表面,或者使用放射性材料辐射芯片表面以及改变温度(见图2)。其中一些方法可以利用低成本的设备实现,使得他们成为业余攻击者的理想选择。
图2:α辐射故障攻击。
攻击者试图诱导故障以获得机密信息
尽管当前的安全控制器的产品手册中已经给出了防范这些攻击方法的措施,但是只有测试才能验证这些防范措施在实际使用中是否有效。由于这些控制器的性能可能有非常大的不同,因此通过独立的评估和认证检验安全等级就非常重要。当前电子护照中使用的芯片在他们正式被确定使用之前,就需要通过全面的安全测试,但是这些安全测试的标准对于各国所使用的不同系统来说会有所不同。
从不同的观点来看,针对故障诱导攻击的各种测试都必须做,以便建立一种相互之间严格的依存关系。目前的芯片卡控制器的安全观念基于以下三条防范要求:
1. 防止故障诱导;
2. 发现故障诱导条件;
3. 测试安
在2006年10月26日之后通过美国免签证计划(vwp)办理的任何护照必须是电子护照,这样就可以免签证进入美国。电子护照是集成了非接触安全控制器的护照,其中保存了印制在护照纸面上的相同信息,包括持有者的名字、出生日期,以及其他生平信息。这些电子护照必须符合由国际民航组织(icao)制定的国际技术标准,该组织规定要求在安全控制器上保存安全等级和生物信息。vwp是推动电子护照实施的主要动力,从2006年11月开始,大约有33个国家推出或开始推行电子护照。
随着电子护照的实施,也出现了很多公开讨论非接触控制器用于电子护照的安全性问题。市场上存在三种主要的“非接触”芯片:“纯粹”的rfid芯片,标准的微控制器和非接触安全控制器。“纯粹”的rfid芯片主要用于对象识别,不包含微控制器。因此,就安全性和功能来讲,仅仅适合他们当前所使用的场合。配置适当射频接口的标准微控制器可以用于非安全性的非接触应用,但是与“纯粹的”rfid芯片一样,他们的使用并不适合个人身份文件。只有设计得当的非接触安全控制器才能满足电子护照应用的数据安全和隐私保护的高要求(见图1)。
对于用于电子护照的半导体芯片来说,它必须保护存储在其中的数据不受非法篡改。电子护照对非接触安全控制器的通常规范要求包括:
1. 低功率非标准cpu内核;
2. 超过64k字节的安全eeprom用于应用程序和数据;
3. 在25摄氏度下,eeprom每个页面的可擦写次数至少大于500,000次;
4. 支持iso/iec 14443标准的b类和a类非接触接口;
5. 经过验证的真正随机数发生器,支持ais-31要求;
6. 双密钥三倍des加速器支持对称des算法;
7. 先进的加密引擎支持非对称的rsa和椭圆形曲线算法;
8. 符合cc eal 5+的通用标准认证,支持bsi-pp-0002保护规范。
另外,芯片制造商的目标是设立防范多种威胁的有效、经过测试和认证的措施,这些威胁可以划归为三个主要的类别:故障诱导型攻击、物理型攻击和旁路攻击。
图1:rfid与非接触安全控制器之间的差异。
故障诱导型攻击
当今对智能卡的攻击已经发展成某种‘艺术性的行为’,这种行为的发起者在全球数以千计,从业余的到真正的专业人士。因此,“故障诱导攻击”(也称为“半入侵式攻击”)已经成为安全评估和安全控制器认证的一个主要关注焦点。
用作智能卡控制器的集成电路通常是由硅晶片制成。硅片的电气性能可能会受到不同的环境参数影响。例如,对于不同的电压、温度、光线、电离辐射以及电磁场,硅片的电气特性会不一样。改变这些环境参数,攻击者就会尝试引起故障,包括智能卡控制器中的程序错误。通常,攻击者会想办法让芯片做出一个错误的判断(例如,接受一个错误的登录授权码),从而允许访问存储器中保存的秘密数据。
另外一个有趣的变量是“存储器转存”(memory dump)—而不是泄露非秘密的身份数据,在故障诱导攻击之后,安全控制器会输出非常多的数据,包括部分的软件、机密数据,或者甚至存储的密钥。使用“dfa”(差分错误攻击法),在某些情况下只要一次故障计算,攻击者就能通过使用成熟的数学算法获得密钥。
已知诱导故障的各种方法包括变化功耗、电磁诱导、利用可见光辐射芯片表面,或者使用放射性材料辐射芯片表面以及改变温度(见图2)。其中一些方法可以利用低成本的设备实现,使得他们成为业余攻击者的理想选择。
图2:α辐射故障攻击。
攻击者试图诱导故障以获得机密信息
尽管当前的安全控制器的产品手册中已经给出了防范这些攻击方法的措施,但是只有测试才能验证这些防范措施在实际使用中是否有效。由于这些控制器的性能可能有非常大的不同,因此通过独立的评估和认证检验安全等级就非常重要。当前电子护照中使用的芯片在他们正式被确定使用之前,就需要通过全面的安全测试,但是这些安全测试的标准对于各国所使用的不同系统来说会有所不同。
从不同的观点来看,针对故障诱导攻击的各种测试都必须做,以便建立一种相互之间严格的依存关系。目前的芯片卡控制器的安全观念基于以下三条防范要求:
1. 防止故障诱导;
2. 发现故障诱导条件;
3. 测试安
相关技术资料- 7-15高分子混合铝电解电容器应用探究
- 7-15高效节能4kW双向PFC电源方案解读
- 7-15离散半导体元件(晶体管、二极管等)技术参数设计
- 7-15CommonGround Human AI核心技术简
- 7-15520线车规级数字化激光雷达应用前景
- 7-15MPronto-12 (M12 Push Pull 连接器R
- 7-14NeuPro NPUs+ SensPro DSP技术参数设计
- 7-14双通道ATA-2022H高压放大器
- 7-14旗舰大模型Grok 4、Grok 4 API发展趋势
- 7-14耦合仿真技术及高保真模型试验技术应用探究
- 7-14GPU、FPGA、ASIC。GPU、FPGA技术解释
- 7-14ASIC/FPGA/GPU芯片及边缘-云端
- 相关IC型号
公网安备44030402000607
