凌科芯安告訴您如何選擇真正有效的加密芯片
2024/12/2 11:38:01點擊:
凌科芯安憑借在嵌入式加密領域多年的經驗積累,對于加密芯片的選擇,我們提出了要從三個方面考慮:1)、芯片平臺 2)、芯片操作系統安全性3)、可行性加密方案。下面,將會逐一對3個方面進行闡述。
1)、芯片平臺的選擇
我們都知道,目前嵌入式加密行業內,存在兩大陣營,一個是傳統的邏輯加密芯片,采用的IIC接口,其原理是EEPROM外圍,加上硬件保護電路,內置某種算法;另外一個是采用智能卡芯片平臺,充分利用智能卡芯片本身的高安全性,老抗擊外部的各種攻擊手段。邏輯加密芯片,本身的防護能力很弱,大多數的解密公司都可以輕松破解,已經逐步被淘汰。取而代之的是被證明*好的智能卡平臺。為了提高智能卡芯片高安全性,需要選擇的智能卡芯片具有國際安全認證委員會的EAL4+以上的芯片,否則安全性也難以達到要求。凌科芯安公司的LKT系列加密芯片,完全都符合這個要求,而其他公司采用智能卡芯片平臺的加密芯片,卻無法達到。
2)、芯片操作系統的安全性
在我們確定智能卡芯片平臺的前提下,需要考慮的是芯片操作系統的安全性,凌科芯安的LKCOS操作系統,經過了權威部門的嚴格檢測,具有極高的安全性,不存在安全漏洞。而沒有經過PBOC認證的加密芯片系統,是無法具有高安全性的。此外,凌科芯安的LKCOS,對芯片內部資源可以進行有效的管理,同時對底層接口的防護,做了大量切實有效的防護,保證盜版商無法從芯片操作系統來攻擊或破解。這一點非常重要, 其他采用智能卡芯片平臺的加密芯片供應商,只是提供了算法下載的接口,對芯片資源管理和接口的底層防護,幾乎沒有做任何的處理,那么,盜版商是可以作為漏洞進行攻擊的。凌科芯安研發團隊,在仔細對比了同類產品后,得出了上述結論。
3)、加密方案的選擇
傳統的加密芯片,都是采用算法認證的方案,他們所鼓吹的是加密算法如何復雜,如何難以破解,卻沒有考慮到算法認證方案本身存在極大的安全漏洞。我們清楚的知道,單片機是一個不安全的載體,可以說對盜版商來講,是完全透明的也不為過,做算法認證,勢必要在單片機內部提前寫入密鑰或密碼,每次認證后給單片機一個判斷標志,作為單片機執行的一個判斷依據,那么盜版商就可以輕松的抓住這一點進行攻擊,模擬給出單片機一個信號,輕松繞過加密芯片,從而達到破解的目的。如果說,要破解芯片內部數據,那么通過傳統的剖片、紫外光、調試端口、能量分析等多種手段,都可以破解。
采用智能卡芯片平臺的加密芯片,本身就可以有效防護這些攻擊手段,將MCU中的部分代碼或算法植入到加密芯片內部,在加密芯片內部來執行這些程序,使得加密芯片內部的程序代碼成為整個MCU程序的一部分,從而可以達到加密的目的,因為MCU內部的程序不完整,即便被盜版了,由于缺少關鍵代碼,也無法進行復制,那么選擇什么樣的代碼或程序,放入到加密芯片內部,就是考驗MCU編程者的功力了,盡可能的多植入程序,盡可能的增加算法的強度,就可以有效防止被破譯的可能。所以LKT4200 32位的智能卡芯片平臺,就可以解決所有的問題,甚至在芯片內部做浮點運算都是沒有問題的。
所以,我們建議,選擇加密芯片,*選智能卡芯片平臺,更要選擇32位的智能卡芯片平臺。
二、LKT4200高端加密芯片性能介紹
硬件安全性:
電壓檢測模塊對抗高低電壓攻擊
頻率檢測模塊對抗高低頻率攻擊
多種檢測傳感器:高壓和低壓傳感器,頻率傳感器、濾波器、脈沖傳感器、
溫度傳感器,具有傳感器壽命測試功能,一旦芯片檢測到非法探測,將啟動
內部的自毀功能
芯片防篡改設計,*一序列號,
總線加密,具有金屬屏蔽防護層,探測到外部攻擊后內部數據自毀
硬件DES\3DES算法協處理器
MMU存儲器管理單元,可靈活設置SYS\APP模式及授予相應權限
程序和數據均加密存儲
安全認證目標:EAL5+,32位智能卡芯片
軟件安全性:
LKCos 芯片操作系統擁有自主版權
智能卡芯片通過《中國金融集成電路(IC)卡規范》認證
嵌入式安全操作系統獲得北京市科委軟件產品認證
產品廣泛用于銀行,政府、CA等需要高安全性產品應用的領域
LKT系列嵌入式安全加密芯片是防止客戶系統被復制或修改的有效解決方案,可讓客戶自行存放重要特征數據。與其它加密保護芯片相比,由于該產品的密匙由客戶自己定義,外人無法盜取,極大地增強了產品的安全性能。且芯片本身的可靠性保證了Key無法讀回,且沒有后門可以讀取內容。
在嵌入式應用領域,目前產品設計者面臨的*大問題就是程序被抄襲和破解,在激烈競爭的電子產品行業,很多公司大概都有這樣的經歷,自己費盡心血設計的產品,投放市場不久,就被競爭對手從硬件到軟件原封不動地被克隆,換了一個外殼投放市場。還有一些公司在委托生產廠商進行產品生產時,被生產廠商額外地生產出大量的相同產品,換個品牌投放市場,不但擾亂了市場秩序,還嚴重地損害了產品設計者的利益。更有一些專業的芯片解密公司堂而皇之的把破解各類單片機作為創收途徑。在行業競爭日益激烈的今天,如何保護自己的產品設計方案以提高產品的市場占有率,如何在產品技術轉讓時有一個理想的、可以量化的計量標準已經成為很多公司和產品設計者日益關切的問題。
市場上的加密芯片很多,但大多數加密芯片產品硬件平臺是建立在普通芯片的基礎之上,采用ID號認證、密鑰認證、隨機數加密認證等的方式進行加密。這種加密方式可以被輕松破解,因為只要通過調試工具,找到應用軟件中的分支、跳轉指令,修改跳轉指令代碼,就可以繞過加密芯片。當然,軟件設計人員會故意制造一些陷阱,使得破解的難度增加,但理論上講這種方式是一定可以被破解的,特別是對于那些專門從事這方面工作的高手而言,解密這類加密芯片只是個時間問題。另外目前各種類型的通用MCU可以輕松廉價地被各種專業解公司破解,他們的手段很多,大致有分析芯片總線、分析芯片時序、通過專用設備將芯片解剖后對芯片內部進行分析等,而且收費相當低廉,一個普通的51單片機、PIC單片機只需幾百塊錢的代價,就可以得到芯片內部的代碼。即便是解剖芯片分析,也只需幾千-上萬塊錢。因此這種類型的加密狗形同虛設。目前市場上這類防抄板芯片主要有韓國UB MICRO CO.,LTD的防拷貝IC,福華微電子的FS88x6,臺灣國碩的G7015, 致芯微電子的DM2016等。這幾款IC的加密方式相同,都采用的是密鑰認證的方式,同時這幾個芯片沒有采用安全設計,一旦芯片被解剖,芯片內部電路以及存儲的數據將一覽無余。另外這些芯片都是采用的密鑰認證模式,客戶單片機里的程序是完整的,這樣一旦芯片被破解,那里面的全部程序代碼都會被盜版商得到,這類加密芯片通訊接口采用的是同步串行接口,這樣可以輕松的用邏輯分析儀進行跟蹤。這些芯片適合用于加密強度要求不高的領域。
LKT4101的主要特點是硬件平臺采用特殊的安全芯片(高端智能卡芯片),芯片內部的軟件由用戶自己開發,軟件在芯片內部運行,和主MCU之間通過異步通訊接口交換數據。這樣,采用什么樣的加密手段由用戶自己設計。通常的做法是將某一功能軟件放在芯片內運行,然后由主MCU讀取運行結果,這樣在用戶的主程序中就不會再有分支、跳轉指令。這是和采用密鑰認證方式加密的*大不同點。同時芯片內部還提供了算法數據存儲區,可以用來保存敏感數據。這樣客戶的單片機中的一部分程序在LKT4101中運行,客戶的單片機就算被破解,盜版商得到的只是部分程序,關鍵算法代碼還在LKT4101中,LK4101就成為整個系統中不可分割的一部分。
為保證存儲在芯片內部數據、程序的安全,LKT4101芯片內部采用了多種硬件、軟件安全防護措施,主要技術手段有內部總線加擾技術、防止電壓探測(過低或過高)、防止低溫探測、防止電脈沖探測、防止紫外線探測、防止對內部總線探測等。一旦芯片檢測到上述的非法探測,將啟動內部的自毀功能.內部固件在確認用戶程序成功下載后,將內部的程序存儲區置為特殊的安全狀態。
高端智能卡芯片平臺主要應用于銀行、政府等部門,銀行對智能卡的應用主要是金融支付領域,而高端智能卡芯片的電子錢包電子存折功能是其關鍵,都是金錢方面的交易,對安全性要求極高,這類高端智能卡芯片一般只能采用EAL5+安全性的高端平臺。由于目前市場上存在的大量各種邏輯加密以及密鑰認證模式的平臺以及被各種盜版商所熟悉,破解的代價也越來越低。那我們LKT4101這種由高端高安全性智能卡芯片平臺,以移植算法代碼的方式應用于嵌入式領域數據加密的方案也將會取而代之并大行其道。
1)、芯片平臺的選擇
我們都知道,目前嵌入式加密行業內,存在兩大陣營,一個是傳統的邏輯加密芯片,采用的IIC接口,其原理是EEPROM外圍,加上硬件保護電路,內置某種算法;另外一個是采用智能卡芯片平臺,充分利用智能卡芯片本身的高安全性,老抗擊外部的各種攻擊手段。邏輯加密芯片,本身的防護能力很弱,大多數的解密公司都可以輕松破解,已經逐步被淘汰。取而代之的是被證明*好的智能卡平臺。為了提高智能卡芯片高安全性,需要選擇的智能卡芯片具有國際安全認證委員會的EAL4+以上的芯片,否則安全性也難以達到要求。凌科芯安公司的LKT系列加密芯片,完全都符合這個要求,而其他公司采用智能卡芯片平臺的加密芯片,卻無法達到。
2)、芯片操作系統的安全性
在我們確定智能卡芯片平臺的前提下,需要考慮的是芯片操作系統的安全性,凌科芯安的LKCOS操作系統,經過了權威部門的嚴格檢測,具有極高的安全性,不存在安全漏洞。而沒有經過PBOC認證的加密芯片系統,是無法具有高安全性的。此外,凌科芯安的LKCOS,對芯片內部資源可以進行有效的管理,同時對底層接口的防護,做了大量切實有效的防護,保證盜版商無法從芯片操作系統來攻擊或破解。這一點非常重要, 其他采用智能卡芯片平臺的加密芯片供應商,只是提供了算法下載的接口,對芯片資源管理和接口的底層防護,幾乎沒有做任何的處理,那么,盜版商是可以作為漏洞進行攻擊的。凌科芯安研發團隊,在仔細對比了同類產品后,得出了上述結論。
3)、加密方案的選擇
傳統的加密芯片,都是采用算法認證的方案,他們所鼓吹的是加密算法如何復雜,如何難以破解,卻沒有考慮到算法認證方案本身存在極大的安全漏洞。我們清楚的知道,單片機是一個不安全的載體,可以說對盜版商來講,是完全透明的也不為過,做算法認證,勢必要在單片機內部提前寫入密鑰或密碼,每次認證后給單片機一個判斷標志,作為單片機執行的一個判斷依據,那么盜版商就可以輕松的抓住這一點進行攻擊,模擬給出單片機一個信號,輕松繞過加密芯片,從而達到破解的目的。如果說,要破解芯片內部數據,那么通過傳統的剖片、紫外光、調試端口、能量分析等多種手段,都可以破解。
采用智能卡芯片平臺的加密芯片,本身就可以有效防護這些攻擊手段,將MCU中的部分代碼或算法植入到加密芯片內部,在加密芯片內部來執行這些程序,使得加密芯片內部的程序代碼成為整個MCU程序的一部分,從而可以達到加密的目的,因為MCU內部的程序不完整,即便被盜版了,由于缺少關鍵代碼,也無法進行復制,那么選擇什么樣的代碼或程序,放入到加密芯片內部,就是考驗MCU編程者的功力了,盡可能的多植入程序,盡可能的增加算法的強度,就可以有效防止被破譯的可能。所以LKT4200 32位的智能卡芯片平臺,就可以解決所有的問題,甚至在芯片內部做浮點運算都是沒有問題的。
所以,我們建議,選擇加密芯片,*選智能卡芯片平臺,更要選擇32位的智能卡芯片平臺。
二、LKT4200高端加密芯片性能介紹
硬件安全性:
電壓檢測模塊對抗高低電壓攻擊
頻率檢測模塊對抗高低頻率攻擊
多種檢測傳感器:高壓和低壓傳感器,頻率傳感器、濾波器、脈沖傳感器、
溫度傳感器,具有傳感器壽命測試功能,一旦芯片檢測到非法探測,將啟動
內部的自毀功能
芯片防篡改設計,*一序列號,
總線加密,具有金屬屏蔽防護層,探測到外部攻擊后內部數據自毀
硬件DES\3DES算法協處理器
MMU存儲器管理單元,可靈活設置SYS\APP模式及授予相應權限
程序和數據均加密存儲
安全認證目標:EAL5+,32位智能卡芯片
軟件安全性:
LKCos 芯片操作系統擁有自主版權
智能卡芯片通過《中國金融集成電路(IC)卡規范》認證
嵌入式安全操作系統獲得北京市科委軟件產品認證
產品廣泛用于銀行,政府、CA等需要高安全性產品應用的領域
LKT系列嵌入式安全加密芯片是防止客戶系統被復制或修改的有效解決方案,可讓客戶自行存放重要特征數據。與其它加密保護芯片相比,由于該產品的密匙由客戶自己定義,外人無法盜取,極大地增強了產品的安全性能。且芯片本身的可靠性保證了Key無法讀回,且沒有后門可以讀取內容。
在嵌入式應用領域,目前產品設計者面臨的*大問題就是程序被抄襲和破解,在激烈競爭的電子產品行業,很多公司大概都有這樣的經歷,自己費盡心血設計的產品,投放市場不久,就被競爭對手從硬件到軟件原封不動地被克隆,換了一個外殼投放市場。還有一些公司在委托生產廠商進行產品生產時,被生產廠商額外地生產出大量的相同產品,換個品牌投放市場,不但擾亂了市場秩序,還嚴重地損害了產品設計者的利益。更有一些專業的芯片解密公司堂而皇之的把破解各類單片機作為創收途徑。在行業競爭日益激烈的今天,如何保護自己的產品設計方案以提高產品的市場占有率,如何在產品技術轉讓時有一個理想的、可以量化的計量標準已經成為很多公司和產品設計者日益關切的問題。
市場上的加密芯片很多,但大多數加密芯片產品硬件平臺是建立在普通芯片的基礎之上,采用ID號認證、密鑰認證、隨機數加密認證等的方式進行加密。這種加密方式可以被輕松破解,因為只要通過調試工具,找到應用軟件中的分支、跳轉指令,修改跳轉指令代碼,就可以繞過加密芯片。當然,軟件設計人員會故意制造一些陷阱,使得破解的難度增加,但理論上講這種方式是一定可以被破解的,特別是對于那些專門從事這方面工作的高手而言,解密這類加密芯片只是個時間問題。另外目前各種類型的通用MCU可以輕松廉價地被各種專業解公司破解,他們的手段很多,大致有分析芯片總線、分析芯片時序、通過專用設備將芯片解剖后對芯片內部進行分析等,而且收費相當低廉,一個普通的51單片機、PIC單片機只需幾百塊錢的代價,就可以得到芯片內部的代碼。即便是解剖芯片分析,也只需幾千-上萬塊錢。因此這種類型的加密狗形同虛設。目前市場上這類防抄板芯片主要有韓國UB MICRO CO.,LTD的防拷貝IC,福華微電子的FS88x6,臺灣國碩的G7015, 致芯微電子的DM2016等。這幾款IC的加密方式相同,都采用的是密鑰認證的方式,同時這幾個芯片沒有采用安全設計,一旦芯片被解剖,芯片內部電路以及存儲的數據將一覽無余。另外這些芯片都是采用的密鑰認證模式,客戶單片機里的程序是完整的,這樣一旦芯片被破解,那里面的全部程序代碼都會被盜版商得到,這類加密芯片通訊接口采用的是同步串行接口,這樣可以輕松的用邏輯分析儀進行跟蹤。這些芯片適合用于加密強度要求不高的領域。
LKT4101的主要特點是硬件平臺采用特殊的安全芯片(高端智能卡芯片),芯片內部的軟件由用戶自己開發,軟件在芯片內部運行,和主MCU之間通過異步通訊接口交換數據。這樣,采用什么樣的加密手段由用戶自己設計。通常的做法是將某一功能軟件放在芯片內運行,然后由主MCU讀取運行結果,這樣在用戶的主程序中就不會再有分支、跳轉指令。這是和采用密鑰認證方式加密的*大不同點。同時芯片內部還提供了算法數據存儲區,可以用來保存敏感數據。這樣客戶的單片機中的一部分程序在LKT4101中運行,客戶的單片機就算被破解,盜版商得到的只是部分程序,關鍵算法代碼還在LKT4101中,LK4101就成為整個系統中不可分割的一部分。
為保證存儲在芯片內部數據、程序的安全,LKT4101芯片內部采用了多種硬件、軟件安全防護措施,主要技術手段有內部總線加擾技術、防止電壓探測(過低或過高)、防止低溫探測、防止電脈沖探測、防止紫外線探測、防止對內部總線探測等。一旦芯片檢測到上述的非法探測,將啟動內部的自毀功能.內部固件在確認用戶程序成功下載后,將內部的程序存儲區置為特殊的安全狀態。
高端智能卡芯片平臺主要應用于銀行、政府等部門,銀行對智能卡的應用主要是金融支付領域,而高端智能卡芯片的電子錢包電子存折功能是其關鍵,都是金錢方面的交易,對安全性要求極高,這類高端智能卡芯片一般只能采用EAL5+安全性的高端平臺。由于目前市場上存在的大量各種邏輯加密以及密鑰認證模式的平臺以及被各種盜版商所熟悉,破解的代價也越來越低。那我們LKT4101這種由高端高安全性智能卡芯片平臺,以移植算法代碼的方式應用于嵌入式領域數據加密的方案也將會取而代之并大行其道。
- 上一篇:第十五屆上海公共安全產品國際博覽會將舉行 2024/12/2
- 下一篇:無線可視門鈴下一個技術突破 2024/11/27
