Защита от взлома - Tamperproofing

С концептуальной точки зрения защита от взлома - это методология, используемая для предотвращения, предотвращения или обнаружения несанкционированного доступа к устройству или обхода системы безопасности. Поскольку любое устройство или система может быть взломана человеком, обладающим достаточными знаниями, оборудованием и временем, термин «защищенный от несанкционированного доступа» является неправильным, если только некоторые ограничения на ресурсы стороны взлома не являются явными или предполагаемыми.

Предмет, закрепленный специальными головками винтов, может считаться защищенным от взлома случайными прохожими, но может быть удален кем-то, у кого есть определенные инструменты.

Устойчивость к несанкционированному вмешательству - это сопротивление вмешательству (преднамеренному сбою или саботажу ) со стороны обычных пользователей продукта, упаковки или системы или других лиц, имеющих к ним физический доступ.

Устойчивость к взлому варьируется от простых функций, таких как винты со специальными приводами , до более сложных устройств, которые выводят себя из строя или шифруют все передачи данных между отдельными чипами, или использования материалов, требующих специальных инструментов и знаний. На упаковках обычно присутствуют устойчивые к взлому устройства или функции, предотвращающие фальсификацию упаковки или продукта.

Устройства защиты от несанкционированного доступа состоят из одного или нескольких компонентов: защита от несанкционированного доступа, обнаружение несанкционированного доступа, реакция на вмешательство и свидетельство о вмешательстве. В некоторых приложениях устройства защищены только от взлома, а не от взлома.

Вмешательство

Фальсификация предполагает преднамеренное изменение или фальсификацию продукта, упаковки или системы. Решения могут включать все этапы производства, упаковки , распределения, логистики , продажи и использования продукта . Ни одно решение не может считаться «защищенным от взлома». Часто необходимо обеспечить несколько уровней безопасности, чтобы снизить риск взлома.

Этикетка с защитой от несанкционированного вскрытия с перфорированной лентой, которая постоянно отображает визуальное сообщение «VOID OPENED» после открытия.

Некоторые соображения могут включать:

• Определите, кто может быть потенциальным взломщиком: обычный пользователь, ребенок, психопат, заблудший шутник, саботажник, организованные преступники, террористы, коррумпированное правительство. Какой у них может быть уровень знаний, материалов, инструментов и т. Д.?
• Определите все возможные методы несанкционированного доступа к продукту, пакету или системе. В дополнение к основным средствам входа следует также рассмотреть дополнительные методы или методы «черного хода».
• Контролируйте или ограничивайте доступ к интересующим продуктам или системам.
• Повысьте устойчивость к взлому, чтобы сделать его более трудным, трудоемким и т. Д.
• Добавьте функции защиты от несанкционированного доступа, чтобы указать на наличие взлома.
• Обучайте людей следить за доказательствами фальсификации.

Методы

Механический

Некоторые устройства содержат нестандартные винты или болты, чтобы предотвратить доступ. Примерами являются шкафы телефонной коммутации (с треугольными головками болтов, которые подходят под шестигранник) или болты с 5-гранными головками, используемые для крепления дверей к трансформаторам распределения электроэнергии вне помещений. Стандартная головка винта Torx может быть изготовлена ​​с защитой от несанкционированного доступа со шпилькой в ​​центре, что исключает стандартные отвертки Torx. Для предотвращения случайного доступа к внутренним частям таких устройств, как бытовая электроника, были разработаны различные другие головки предохранительных винтов .

Электрические

Этот тип защиты от несанкционированного доступа чаще всего встречается в охранной сигнализации . Большинство устройств отключения (например , нажимные подушки , пассивные инфракрасные датчики ( датчики движения ), дверные переключатели ) используют два сигнальных провода, которые, в зависимости от конфигурации, являются нормально разомкнутыми или нормально замкнутыми . Датчикам иногда требуется питание, поэтому для упрощения прокладки кабеля используется многожильный кабель. Хотя для устройств, которым требуется питание, обычно достаточно 4 жил (оставив два запасных для тех, которые этого не делают), можно использовать кабель с дополнительными жилами. Эти дополнительные жилы можно подключить к специальной так называемой «тамперной цепи» в системе охранной сигнализации. Цепи несанкционированного вскрытия контролируются системой, чтобы подавать сигнал тревоги в случае обнаружения нарушения работы устройств или проводки. Корпуса для устройств и пультов управления могут быть оснащены тамперными выключателями. Потенциальные злоумышленники рискуют вызвать тревогу, пытаясь обойти данное устройство.

Датчики, такие как датчики движения, датчики наклона, датчики давления воздуха, световые датчики и т. Д., Которые могут использоваться в некоторых системах охранной сигнализации, также могут использоваться в бомбе для предотвращения обезвреживания.

Безопасность

Почти все приборы и аксессуары можно открыть только с помощью отвертки (или другого предмета, например пилки для ногтей или кухонного ножа). Это предохраняет детей и других лиц, которые неосторожно или не подозревают об опасности открывания оборудования, от этого и нанесения себе травм (например, от удара электрическим током, ожогов или порезов) или повреждения оборудования. Иногда (особенно во избежание судебных разбирательств ) производители идут дальше и используют защищенные от взлома винты, которые невозможно открутить с помощью стандартного оборудования. Винты с защитой от взлома также используются на электрической арматуре во многих общественных зданиях, в первую очередь, для предотвращения взлома или вандализма, которые могут представлять опасность для окружающих.

Гарантии и поддержка

Пользователь, который ломает оборудование, модифицируя его способом, не предусмотренным производителем, может отрицать, что он это сделал, чтобы потребовать гарантии или (в основном в случае ПК) обратиться в службу поддержки за помощью в починке. Пломбы с функцией контроля вскрытия могут быть достаточными, чтобы справиться с этим. Однако их нелегко проверить удаленно, и во многих странах действуют установленные законом условия гарантии, которые означают, что производителям все равно придется обслуживать оборудование. Винты с защитой от несанкционированного доступа в первую очередь остановят большинство случайных пользователей от несанкционированного доступа. В США Закон о гарантии Магнусона-Мосса запрещает производителям аннулировать гарантии только из-за подделки. Гарантия может быть аннулирована только в том случае, если вмешательство действительно повлияло на вышедшую из строя деталь и могло стать причиной отказа.

Чипсы

Защищенные от взлома микропроцессоры используются для хранения и обработки частной или конфиденциальной информации, такой как закрытые ключи или электронные деньги . Чтобы злоумышленник не мог получить или изменить информацию, микросхемы спроектированы таким образом, чтобы информация не была доступна через внешние средства и могла быть доступна только встроенному программному обеспечению, которое должно содержать соответствующие меры безопасности.

Примеры защищенных от взлома микросхем включают все защищенные криптопроцессоры , такие как IBM 4758 и микросхемы, используемые в смарт-картах , а также микросхему Clipper .

Утверждалось, что очень сложно защитить простые электронные устройства от несанкционированного доступа, поскольку возможны многочисленные атаки, в том числе:

• физическая атака различных форм (микрозонд, сверла, напильники, растворители и т. д.)
• замораживание устройства
• применение нестандартных напряжений или скачков напряжения
• применение необычных тактовых сигналов
• создание программных ошибок с использованием излучения (например, микроволн или ионизирующего излучения )
• измерение точного времени и требований к мощности для определенных операций (см. анализ мощности )

Защищенные от взлома микросхемы могут быть разработаны для обнуления их конфиденциальных данных (особенно криптографических ключей ), если они обнаруживают проникновение в их инкапсуляцию безопасности или параметры среды, не соответствующие спецификации. Микросхема может быть даже рассчитана на «холодное обнуление», то есть способность обнулять себя даже после выхода из строя источника питания. Кроме того, индивидуальные методы инкапсуляции, используемые для микросхем, используемых в некоторых криптографических продуктах, могут быть спроектированы таким образом, чтобы они подвергались внутреннему предварительному напряжению, поэтому микросхема будет ломаться, если в нее будут возникать помехи.

Тем не менее, тот факт, что злоумышленник может владеть устройством столько, сколько пожелает, и, возможно, получить множество других образцов для тестирования и практики, означает, что невозможно полностью исключить вмешательство со стороны достаточно мотивированного противника. По этой причине одним из наиболее важных элементов защиты системы является общий дизайн системы. В частности, системы с защитой от несанкционированного доступа должны « плавно выходить из строя », гарантируя, что взлом одного устройства не поставит под угрозу всю систему. Таким образом, злоумышленник может быть фактически ограничен атаками, стоимость которых меньше ожидаемой прибыли от компрометации одного устройства. Поскольку стоимость проведения наиболее сложных атак оценивается в несколько сотен тысяч долларов, тщательно спроектированные системы могут оказаться неуязвимыми на практике.

Военные

Anti-tamper (AT) требуется во всех новых военных программах в США.

DRM

Защита от несанкционированного доступа находит применение в смарт-картах , телевизионных приставках и других устройствах, использующих управление цифровыми правами (DRM). В этом случае проблема заключается не в том, чтобы помешать пользователю сломать оборудование или причинить себе вред, а в том, чтобы либо помешать ему извлекать коды, либо получить и сохранить декодированный поток битов. Обычно это достигается за счет того, что многие функции подсистемы скрыты внутри каждого чипа (так, чтобы внутренние сигналы и состояния были недоступны), а также путем обеспечения шифрования шин между чипами.

Механизмы DRM также во многих случаях используют сертификаты и криптографию с асимметричным ключом . Во всех таких случаях защита от несанкционированного доступа означает запрет пользователю устройства доступа к действующим сертификатам устройства или публично-частным ключам устройства. Процесс повышения устойчивости программного обеспечения к атакам несанкционированного доступа называется «программным обеспечением защиты от несанкционированного доступа».

Упаковка

В упаковке иногда требуется защита от взлома , например:

• Это требуется правилами для некоторых фармацевтических препаратов.
• Дорогие товары могут быть украдены.
• Доказательства должны оставаться неизменными для возможных судебных разбирательств.

Устойчивость к взлому может быть встроена или добавлена ​​к упаковке . Примеры включают:

• Дополнительные слои упаковки (ни один слой или компонент не защищены от взлома)
• Упаковка, требующая инструментов для входа
• Сверхпрочная и безопасная упаковка
• Пакеты, которые нельзя повторно запечатать
• Пломбы с защитой от вскрытия , защитные ленты и особенности

Устойчивость упаковки к взлому могут оценить консультанты и эксперты в данной области. Кроме того, сравнение различных пакетов может быть произведено путем тщательного полевого тестирования среди непрофессионалов.

Программное обеспечение

Программное обеспечение также считается защищенным от несанкционированного доступа, если оно содержит меры по усложнению обратного проектирования или по предотвращению внесения пользователем изменений в него вопреки желанию производителя (например, снятие ограничения на то, как его можно использовать). Один из часто используемых методов - обфускация кода .

Однако эффективная защита от взлома в программном обеспечении намного сложнее, чем в аппаратном обеспечении, поскольку программной средой можно манипулировать в почти произвольной степени с помощью эмуляции.

В случае реализации доверенные вычисления сделают изменение программного обеспечения защищенных программ не менее сложным, чем взлом оборудования, поскольку пользователю придется взламывать доверенный чип, чтобы выдавать ложные сертификаты, чтобы обойти удаленную аттестацию и запечатанное хранилище. Однако текущая спецификация ясно дает понять, что микросхема не будет защищена от несанкционированного доступа к любым достаточно изощренным физическим атакам; то есть оно не должно быть таким же безопасным, как устройство с защитой от несанкционированного доступа.

Побочным эффектом этого является то, что обслуживание программного обеспечения становится более сложным, потому что обновления программного обеспечения необходимо проверять, а ошибки в процессе обновления могут привести к ложному срабатыванию механизма защиты.

Смотрите также

• Убийства Тайленола в Чикаго
• Упаковка с защитой от детей
• FIPS 140-2
• Чернильный тег
• Упаковка и маркировка
• Кража пакета
• Переключатель с защитой от взлома
• Технология защиты от несанкционированного доступа
• Обернуть ярость

Ссылки

Библиография

• Смит, Шон; Вейнгарт, Стив (1999). «Создание высокопроизводительного программируемого защищенного сопроцессора». Компьютерные сети . 31 (9): 831–860. CiteSeerX  10.1.1.22.8659 . DOI : 10.1016 / S1389-1286 (98) 00019-X .
• Розетта, Джек L (1992). Улучшение упаковки с защитой от вскрытия: проблемы, тесты и решения . ISBN 978-0877629061.

внешние ссылки

• Устойчивость к несанкционированному вмешательству - предупреждение
• Принципы разработки процессоров смарт-карт с защитой от взлома
• Недорогие атаки на защищенные от взлома устройства