簡(jiǎn)單的攻擊是使用一個(gè)定制程序的智能卡，并具有記錄和分析功能。數(shù)年前這是幾乎不可能實(shí)現(xiàn)的，因?yàn)橹挥袕纳贁?shù)公司才能獲得智能卡和用于制造它們的微處理器芯片。今天智能卡和配置的程序可以從許多公司公開訂貨，當(dāng)然就敞開了攻擊者增多的選擇。即使沒有這些，略作努力就可用一張塑料卡，一個(gè)表面安裝器件SMD（Surface Mounted Device）封裝的標(biāo)準(zhǔn)微處理器組裝起一張智能卡，這樣的一張卡至少可用來模仿一張真正的智能卡的電氣接口并以同樣的方式進(jìn)行數(shù)據(jù)傳送。智能卡的Java技術(shù)同樣也提供了新的可能性，它能比較容易生成程序并裝入啞卡之中。

　　用這樣的一張啞卡，至少可記錄下一部分和終端的通信并對(duì)這些信息進(jìn)行評(píng)估，幾次嘗試后，就有可能像一張真實(shí)的智能卡那樣以完全相同的方式執(zhí)行部分通信。

　　這樣的攻擊能否取得成功是可懷疑的，因?yàn)樗性O(shè)計(jì)的應(yīng)用對(duì)重要的活動(dòng)都是加密保護(hù)的。只要不知道秘密密鑰，攻擊就不可能取得超過第1次鑒別的進(jìn)展。如果已經(jīng)知道了密鑰或是整個(gè)應(yīng)用的運(yùn)行沒有任何加密保護(hù)時(shí)，這樣的攻擊就可能取得成功。如果真的存在著這樣的攻擊，值得疑慮地是由這種類型的攻擊所取得的利益，是否足以補(bǔ)償為安排這一攻擊所需的花費(fèi)。

　?。?）分析：確定智能卡的命令組

　　智能卡所支持的命令和指令類別并不總是公開的，但可以很容易確定它們是什么。關(guān)于完全確定智能卡的命令組比攻擊智能卡的安全性要有趣一些，而攻擊卻可以是構(gòu)建在這一信息的基礎(chǔ)之上。

圖1說明用來確定命令表的過程。首先用一個(gè)可自由編程的終端產(chǎn)生一命令A(yù)PDU并把它傳送給IC卡，在APDU 中的類別字節(jié)隨每一APDU而改變，覆蓋了自“00”至“Ⅲ”的范圍，隨著接收到的回送代碼不是“無效類別 ”，則第1個(gè)有效類別字節(jié)就確定了。通常有兩或三個(gè)有效類別，在下一輪中可用來試出所有可能的指令字 節(jié)。有不同指令字節(jié)的命令A(yù)PDU被傳送至智能卡，而那些不產(chǎn)生“未知指令”回送代碼的則被記錄下來。終 端中特定的合適的軟件，用這一方法能在1～2分鐘內(nèi)斷定一給定的智能卡支持那些命令。某種程度上，這樣 的識(shí)別法也可能把一些參數(shù)以類似的方式確定下來。

　　圖1 詳盡搜索被智能卡操作系統(tǒng)支持的所有命令的基本流程。除了指令的調(diào)用不受狀態(tài)機(jī)的控制外，這一過 程將識(shí)別所有受支持的命令。其工作原理為系統(tǒng)依次試出所有類別字節(jié)（CLS）和指令字節(jié)（INS）的編碼， 而與任何命令內(nèi)容（安全通信，邏輯通信，Vpp控制等等）無關(guān)如果只采用ISO/IEC 7816-4標(biāo)準(zhǔn)所允許使用 的類別字節(jié)，并允許指令字節(jié)作為索引變量時(shí)，則所述算法可顯著加快，把安全報(bào)文通信和邏輯通道考慮在 內(nèi)可大大減小類別字節(jié)的編碼空間。類似的改進(jìn)可由僅采用偶數(shù)值的指令字節(jié)作出，因?yàn)楸娝苤?，奇?shù)值 編碼含有Vpp的控制信息，已不再是必要的了。

　　這種關(guān)于指令類別、命令和參數(shù)的簡(jiǎn)單搜索算法，它能如此有效的原因在于所有智能卡操作系統(tǒng)中的命令 解釋器，對(duì)接收到的命令的處理是從識(shí)別類字節(jié)開始而逐步擴(kuò)展到跟隨其后的各個(gè)字節(jié)的。隨著識(shí)別出第1 個(gè)無效字節(jié)后，此過程就立即結(jié)束，并產(chǎn)生一個(gè)適當(dāng)?shù)幕厮痛a回送至終端。

　　然而，這樣的過程只是在沒有全局狀態(tài)機(jī)監(jiān)視命令序列的智能卡時(shí)才這樣工作的。如果存在有這樣的狀態(tài) 機(jī)，至少有可能用此方法以步進(jìn)的方式確定命令序列。

　　攻擊者能從這一過程中取得的好處并不那么大，因?yàn)橥ǔＣ罱M不是秘密。然而它畢竟提供了一個(gè)簡(jiǎn)單而 快速地方法去確定所有命令。在確定操作系統(tǒng)供應(yīng)商有無在軟件中引人任何未為文件規(guī)定的命令時(shí)，它是很 有用處的。

　?。?）攻擊：竊聽數(shù)據(jù)傳輸

　　一張略作修改的智能卡可用來在一會(huì)話期中竊聽數(shù)據(jù)傳送并在需要時(shí)操縱數(shù)據(jù)。所做修改包括在I／0接觸 面的頂部粘貼一個(gè)絕緣的啞觸頭，新的（啞的）觸頭和原來的I／0觸頭都接至一臺(tái)快速計(jì)算機(jī)，經(jīng)適當(dāng)編程 這臺(tái)計(jì)算機(jī)可刪去或插人任何所需的數(shù)據(jù)到終端和智能卡的通信中去。如果計(jì)算機(jī)足夠快，終端和卡都不能 檢查出正常的和被操縱的通信之間的區(qū)別。

　　很顯然，用這一方法能影響會(huì)話期中的過程。攻擊者是否能由此方法獲得任何利益取決于智能卡中的 應(yīng)用。一個(gè)的設(shè)計(jì)原則是對(duì)通信的竊聽、刪除數(shù)據(jù)和插人數(shù)據(jù)均不允許對(duì)安全性有所削弱。如果這條原 則未得到遵守，攻擊者就可用此方法得到好處。已經(jīng)有使用模擬存儲(chǔ)卡進(jìn)行欺詐的。

　　為了對(duì)這種攻擊提供防范，某些終端將有閘門裝置（如圖2所示）以切斷附加在智能卡上的任何導(dǎo)線，也可 以有效地使用安全通信來可靠地檢測(cè)出在數(shù)據(jù)傳輸時(shí)對(duì)數(shù)據(jù)的任何操縱。

圖2 在終端的機(jī)殼之外擴(kuò)充一智能卡適配器對(duì)卡進(jìn)行測(cè)試（在左方可以看到8個(gè)觸點(diǎn)，而右方則有著一個(gè)區(qū) 域可以安裝電子線路）

　　許多終端只能在受監(jiān)控的情況下使用，這使得難于在這種終端上使用帶有引線和相伴隨的計(jì)算機(jī)的受控卡 。簡(jiǎn)言之，這種類型的攻擊可看作是理論上極受關(guān)注的和十分有前途的，但在實(shí)踐中卻是不可能的，而且亦 不能可靠地獲得成功。

　?。?）攻與防：切斷電源供應(yīng)

　　直到近為止，一種對(duì)許多智能卡進(jìn)行的有效攻擊是在執(zhí)行一條命令的某個(gè)時(shí)刻切斷電源。這種攻擊的背 景是對(duì)常規(guī)的編程而言所有寫入EEPROM頁面的操作是相繼地執(zhí)行的。如果程序員未能明智地安排寫操作的順 序時(shí)，則在適當(dāng)時(shí)機(jī)切斷電源將有利于攻擊者。

　　這一點(diǎn)可用簡(jiǎn)單的例子來說明。在電子錢包的應(yīng)用中，如果錢包在一條裝入命令執(zhí)行后的余額是在記錄文 件更新前就增加了。對(duì)攻擊者來說就有一個(gè)好機(jī)會(huì)可自由向智能卡裝人，只要在正確的時(shí)刻切斷電源，或以 微秒的（!）把卡從終端快速拉出即可。錢包內(nèi)容的余額已經(jīng)改變?yōu)樾轮担珔s沒有關(guān)于此項(xiàng)交易的任何記載和對(duì)此命令的響應(yīng)。對(duì)在過去使用的簡(jiǎn)單的電子錢包系 統(tǒng)，這樣的攻擊的確有實(shí)實(shí)在在的可能性（原理見圖3）。

圖3 在電子錢包中寫人新余額（DM：德國(guó)馬克）的過程。本例中，假定EEPROM的擦除狀態(tài)為1，這就是說， 由干EEPROM的工作方式，即使只有一位需要由I改變?yōu)?，也必須擦去整個(gè)ELPROM頁面（即把它所有的們均置 為1）。本例中，如果智能卡的電源被準(zhǔn)確地在EEPROM被擦除后切斷，即在第3步之后，則錢包余額被設(shè)定為 其值，從而使攻擊者竊得了錢.這當(dāng)然可用元進(jìn)程（atomic Process）來可靠地予以防止

　　為了確定結(jié)束處理的時(shí)刻，攻擊者只要用一臺(tái)電子計(jì)數(shù)器去計(jì)數(shù)當(dāng)命令發(fā)生后的時(shí)鐘脈沖數(shù)，作一系 列的試驗(yàn)逐漸增加時(shí)鐘計(jì)數(shù)直到確定正確時(shí)刻為止，很難用一臺(tái)計(jì)算機(jī)（增加和減少）來使整個(gè)過程自動(dòng)化 。

　　雖然，這種類型的攻擊看起來很有意思而且易于模仿，但在實(shí)際上還是有有效對(duì)策的。簡(jiǎn)單的手段就是 使用一個(gè)選擇好的EEPROM寫入命令序列。這方面關(guān)于多扇區(qū)電子錢包的EN 1546標(biāo)準(zhǔn)就很值得一試，因?yàn)樵?該標(biāo)準(zhǔn)中描述的所有電子錢包都明顯地對(duì)這類攻擊實(shí)行了防護(hù)。

　　然而，即使完善的寫操作序列也不能使其本身得到的保護(hù)。可用另一個(gè)例子來說明，當(dāng)前例的電子錢 包已經(jīng)裝入后，在寫處理之前有必要擦除EEPROM，如果EEPROM的擦除態(tài)為錢包余額的值，就像在通常的 情況中那樣，只需在正確的時(shí)刻切斷電源就可使錢包裝入值，當(dāng)擦除操作剛剛完成而寫操作尚未開始時(shí) 就是恰當(dāng)?shù)臅r(shí)刻。

　　操作系統(tǒng)設(shè)計(jì)者知道一種對(duì)此類攻擊的有效對(duì)策，元進(jìn)程的特點(diǎn)是它是不可分割的，這就是說要么它被完 整地執(zhí)行要么就完全不執(zhí)行。這就對(duì)剛剛敘述的這類攻擊提供了恰當(dāng)?shù)谋Ｗo(hù)，即使是在EN 1596標(biāo)準(zhǔn)中敘述 的EEPROM寫操作的序列仍然在幾個(gè)地方需要元進(jìn)程去防止這種類型的攻擊的實(shí)現(xiàn)。

　?。?）攻與防：在PIN比較時(shí)的電流分析

　　一項(xiàng)技術(shù)上非常惹人注目的攻擊是特征比較，例如PIN?？梢杂脤?duì)一參數(shù)的實(shí)體測(cè)量和邏輯值變化的組合來 實(shí)行，這種類型的攻擊涉及到傳送數(shù)據(jù)給智能卡并在卡中與相應(yīng)之值比較，按照比較結(jié)果使重試計(jì)數(shù)器增量 等所有這些方面。

　　攻擊工作的原理是測(cè)量卡所汲取的電流，例如測(cè)量串接在Voc引線中電阻上的壓降。如果一含有比較數(shù)據(jù)的 適當(dāng)命令被傳送給卡，即使在回送代碼被接收之前就有可能從電流測(cè)量中看到重試計(jì)數(shù)器是否被增量。用這 種方法可以確定比較之值，如果在重試計(jì)數(shù)器增量之前就回送代碼，則比較結(jié)果是肯定的。這可由把所有比 較值的可能變化都傳送給智能卡來完成，如果比較結(jié)果是否定的，則在重試計(jì)數(shù)器增量之前就切斷卡的電源，一個(gè)肯定的結(jié)果可由相關(guān)的回送代碼清楚地識(shí)別出來，它是在寫人重試計(jì)數(shù)器之前傳送的。

　　有兩種基本的方法可抵御這種類型的攻擊。簡(jiǎn)單的防御包括永遠(yuǎn)在比較之前先對(duì)重試計(jì)數(shù)器增量，如果有必要時(shí)而后再減去此值。不管攻擊者在什么時(shí)候切斷卡的電源，也不可能取得任何好處，因?yàn)橹卦囉?jì)數(shù)器已經(jīng)增量了。第2種防御比較復(fù)雜，但可滿足同樣的防御功能。在此方法中，重試計(jì)數(shù)器隨著否定的比較被增量，而隨著肯定的比較結(jié)果則寫人一未占用的EEPROM單元，在處理中這些寫入訪問發(fā)生在同一時(shí)刻，所以攻擊者不能從比較結(jié)果得出有關(guān)的結(jié)論，只有在接收到回送代碼時(shí)才能了解比較結(jié)果，而在這時(shí)再去切斷電源來阻止對(duì)重試計(jì)數(shù)器的寫訪問已經(jīng)是太遲了。

　?。?）攻與防：對(duì)PIN的比較時(shí)間安排的分櫪

　　程序員ElJU是為使程序執(zhí)行得盡可能快而付出大量的關(guān)注。通常，這也是一個(gè)重要的因素。而事實(shí)是一項(xiàng)被化了的處理的執(zhí)行時(shí)間，可被用于有足夠成功機(jī)會(huì)的攻擊。若PIN被送至智能卡以便比較，負(fù)責(zé)比較的子程序通常把接收的PIN與存儲(chǔ)的PIN之值逐字節(jié)地比較，一個(gè)沒有安全意識(shí)的程序員所編制的程序?qū)⒃趦蓚€(gè)比較值第1次出現(xiàn)差異時(shí)就立即結(jié)束子程序并返回調(diào)用程序。這將引起比較的執(zhí)行時(shí)間的細(xì)小差別，它可用適當(dāng)?shù)脑O(shè)備，例如一臺(tái)存儲(chǔ)示波器明確地予以測(cè)量，這一信息可被攻擊者以比較簡(jiǎn)單的方式用來決定秘密的PIN代碼。

　　直到數(shù)年前，這種類型的攻擊對(duì)智能卡仍然有效，今天它是一種已知的攻擊類型，比較子程序也設(shè)計(jì)得總是要把PIN的所有數(shù)位都比較完畢。這就是說在肯定與否定的比較結(jié)果之間沒有時(shí)間差。

　　（7）防護(hù)：無干擾加密算法

　　智能卡應(yīng)用的安全性是建立在加密算法的秘密密鑰的基礎(chǔ)之上。為了對(duì)卡執(zhí)行某種類型的訪問或采取某種措施，終端總是首先必須在秘密密鑰的幫助下鑒明其本身。對(duì)于攻擊者來說，卡對(duì)終端的鑒別成為極受關(guān)注的攻擊目標(biāo)是可以理解的。關(guān)于對(duì)卡的攻擊，由終端對(duì)智能卡的鑒別并不令人感興趣，因?yàn)槭褂靡粋€(gè)（啞）終端就能按需要操縱智能卡。

　　智能卡給終端發(fā)送一隨機(jī)數(shù)來鑒別它，終端加密后回送給卡，然后智能卡執(zhí)行相同的加密并比較此結(jié)果與自終端接收之值。如果一致，則終端已被鑒明它將收到一相應(yīng)的回送代碼。如果鑒別失敗，卡將回送不同之代碼。攻擊者的出發(fā)點(diǎn)就是在傳送命令后的處理時(shí)間與智能卡響應(yīng)返回的時(shí)間之間進(jìn)行分析。

　　在90年代的初期，仍有某些在使用中的加密算法其執(zhí)行時(shí)間明顯地依賴于密鑰和有關(guān)的明文（參見圖8．37），由此所導(dǎo)致的密鑰空間的縮小，使攻擊者可用一種強(qiáng)力的攻擊去搜索秘密密鑰。需要多長(zhǎng)的搜索時(shí)間依賴于算法受多大的干擾而定，時(shí)間差別越大，密鑰空間就越小，因而就較易且較快地搜索到密鑰。如果所提及的算法在目標(biāo)計(jì)算機(jī)上的實(shí)現(xiàn)為已知，這一信息也可被包括在內(nèi)作為產(chǎn)生計(jì)時(shí)表的參考。在Paul Kocher于1995年的一份出版物［kocher95］中，把這類攻擊公開稱為“計(jì)時(shí)攻擊”（timing attack），它主要考慮的是RSA和DSS算法的時(shí)間依賴性。

　　原理上，計(jì)時(shí)分析對(duì)智能卡的安全性具有極其危險(xiǎn)的威脅。然而，由于這類攻擊已經(jīng)被了解到較長(zhǎng)時(shí)間了，所有今天的智能卡只使用無干擾的加密算法，這就是說加密和解密占用的時(shí)間與輸入值無關(guān)，從而就堵塞了這類攻擊。然而程序員們對(duì)此有相矛盾的觀點(diǎn)，因?yàn)闊o干擾的算法通常需要較多的程序代碼并且總比有干擾的版本要慢些，原因在于無干擾算法必須設(shè)計(jì)得使通過程序的路徑對(duì)所有的明文數(shù)據(jù)、密文數(shù)據(jù)和密鑰都是等長(zhǎng)的。于是長(zhǎng)的所需路徑就成了基準(zhǔn)值，而所有其他路徑必須適當(dāng)?shù)匦薷囊员闩c此長(zhǎng)度相匹配。

圖4 密文和明文對(duì)受干擾的加密算法的影響之例（圖中給出了密文和明文空間的一部分，

　　它是用一個(gè)老的DES算法實(shí)現(xiàn)產(chǎn)生的，對(duì)每個(gè)測(cè)量值進(jìn)行了100 000次迭代）

　　為了提供額外的安全性，在某些應(yīng)用中所有鑒別密鑰有它自己的重試計(jì)算器，只能執(zhí)行有限次數(shù)的不成功鑒別。一旦重試計(jì)數(shù)器達(dá)到值，智能卡將封鎖所有對(duì)鑒別的更進(jìn)一步的嘗試。

　?。?）操縱：差分故障分析DFA

　　眾所周知，電子元器件的性能當(dāng)它們?cè)陔姶鸥蓴_之下時(shí)將被削弱。例如一臺(tái)移動(dòng)電話的干擾能使含有多種類型處理器的小型計(jì)算機(jī)控制的應(yīng)用崩潰，其內(nèi)容可被高頻交流場(chǎng)所改變，使存儲(chǔ)單元失效。1996年，Dan Boneh，Richard DeMillo和Richard Lipton出版了論文［Boneh96］，描述了用引入擴(kuò)散硬件故障來確定非對(duì)稱加密算法的秘密密鑰的理論模型。由于這三位發(fā)現(xiàn)者，那時(shí)在貝爾通信研究（Bellcore）實(shí)驗(yàn)室工作，這種類型的攻擊通常被稱為Bellcore攻擊。僅在兩個(gè)月后，Eli Biham和Adi Shamir就發(fā)表了對(duì)Bellcore攻擊的擴(kuò)充，稱為差分故障分析（DFA）［Biham 96］，它還包括了對(duì)稱加密算法，諸如DES。這就是說，至少在理論上，許多智能卡應(yīng)用受到了這類方式的攻擊。

　　以上兩種攻擊的基本原理是比較簡(jiǎn)單的。第1步，任意的明文用待破解之密鑰加密，并將結(jié)果的密文存起來，接著在卡處理加密算法的操作時(shí)受到了干擾，例如將它暴露在離子輻射或高頻輻射之下，使得在計(jì)算進(jìn)行時(shí)密鑰的任何位置上的某單獨(dú)一位被改變。這樣就產(chǎn)生了由于此位之改變而未被正確加密的密文。這一過程被重復(fù)若干次之后，所有的結(jié)果均被用來分析，剩下的決定密鑰值的處理就純粹是數(shù)學(xué)的事了，這些內(nèi)容詳細(xì)敘述在剛才提到的論文中。

　　這一攻擊之所以強(qiáng)烈主要是基于這樣的事實(shí)，即甚至不必要去知道秘密密鑰中被改變位的位置。Biham和Shamir在他們的論文中斷言對(duì)于單個(gè)破壞了的密鑰位，200加密字組就足夠用來計(jì)算DES密鑰了。如果是以3DES（密鑰為168位）來代替單元的DES，所需密文數(shù)量并沒有明顯的增長(zhǎng)，即使是多于一位的改變，這一攻擊仍舊有效，惟一的結(jié)果是需要較多的不正確加密的密文。

　　這種攻擊實(shí)踐起來并不像聽起來那么簡(jiǎn)單。如果需要在所有的可能中只有一位改變，或僅有很少數(shù)位改變，然而當(dāng)整個(gè)微控制器完全籠罩在微波輻射中，大多數(shù)的情況下有很多位將會(huì)改變，一般來說，毫無例外的是處理器將崩潰。結(jié)果只好用特別準(zhǔn)備的閃變信號(hào)（glitch）①注人到電源或時(shí)鐘中去以試圖誘發(fā)處理器產(chǎn)生受隔離的計(jì)算錯(cuò)誤。如果在相關(guān)的輸入引線端的濾波器不能抑制掉這些閃變信號(hào)，它們就可能產(chǎn)生所期待的處理錯(cuò)誤。

　　然而，智能卡在面對(duì)Bellcore攻擊或DFA時(shí)，只要使用了適當(dāng)?shù)念A(yù)防措施就不會(huì)是完全無能的，簡(jiǎn)單的防御就是把加密算法計(jì)算兩遍并比較這兩個(gè)結(jié)果。如果它們完全相同，則說明沒有改變?nèi)魏我晃坏耐獠扛蓴_。這里假定有意引人的擴(kuò)散差錯(cuò)決不可能在一列的同一位改變兩次。這也是一個(gè)符合實(shí)際的假定，因?yàn)榧僭O(shè)能選擇性地改變智能卡處理器中的某一特定位，則攻擊就可能比DFA要簡(jiǎn)單而快速得多。兩遍計(jì)算的主要缺點(diǎn)是需要額外的時(shí)間，可能會(huì)引出新的問題，這些攻擊主要用于耗費(fèi)時(shí)間的非對(duì)稱加密處理，諸如RSA和DSS。

　　另一個(gè)可以達(dá)到有效防御差分故障分析的方法是永遠(yuǎn)加密不同的明文，簡(jiǎn)單的方案就是對(duì)要加密的明文前綴以一隨機(jī)數(shù)，就是說使加密算法永遠(yuǎn)加密不同的數(shù)據(jù)，這樣就使DFA成為不可能的了。

　　總之，對(duì)于沒有適當(dāng)保護(hù)手段的智能卡，Bellcore攻擊和差分故障分析無疑是有可能成功的攻擊類型。所有智能卡操作系統(tǒng)和應(yīng)用都會(huì)在它們被解密后立即做了修改以保護(hù)自己免于這類攻擊，所以當(dāng)前不論是Bellcore攻擊或是DFA都已不再成為嚴(yán)重的威脅。

　　歡迎轉(zhuǎn)載，信息來源維庫電子市場(chǎng)網(wǎng)（www.hbjingang.com）