Безопасный криптопроцессор - Secure cryptoprocessor

Western Electric Криптопроцессор 229G.

А безопасный криптопроцессор это посвященный компьютер на кристалле или микропроцессор для проведения криптографический операции, встроенные в упаковку с несколькими физическая охрана меры, которые придают ему степень сопротивление взлому. В отличие от криптографических процессоров, которые выводят расшифрованные данные на шину в защищенной среде, защищенный криптопроцессор не выводит расшифрованные данные или расшифрованные программные инструкции в среде, где безопасность не всегда может поддерживаться.

Назначение защищенного криптопроцессора - действовать в качестве краеугольного камня подсистемы безопасности, устраняя необходимость защищать остальную часть подсистемы с помощью физических мер безопасности.[1]

Примеры

А аппаратный модуль безопасности (HSM) содержит один или несколько защищенных криптопроцессоров. чипсы.[2][3][4] Эти устройства представляют собой защищенные криптопроцессоры высокого уровня, используемые с корпоративными серверами. Аппаратный модуль безопасности может иметь несколько уровней физической безопасности, при этом однокристальный криптопроцессор является его наиболее безопасным компонентом. Криптопроцессор не раскрывает ключи или исполняемые инструкции на шине, кроме как в зашифрованной форме, и обнуляет ключи при попытках зондирования или сканирования. Крипточип (ы) также может быть в горшке в аппаратном модуле безопасности с другими процессорами и микросхемами памяти, которые хранят и обрабатывают зашифрованные данные. Любая попытка удалить заливку приведет к обнулению ключей в криптографическом чипе. Аппаратный модуль безопасности также может быть частью компьютера (например, Банкомат ), который работает внутри запертого сейфа для предотвращения кражи, подмены и взлома.

Современный смарт-карты являются, вероятно, наиболее широко применяемой формой защищенного криптопроцессора, хотя более сложные и универсальные защищенные криптопроцессоры широко используются в таких системах, как Банкоматы, ТЕЛЕВИЗОР телеприставки, военное применение и портативное оборудование связи с высоким уровнем защиты.[нужна цитата ] Некоторые защищенные криптопроцессоры могут запускать даже операционные системы общего назначения, такие как Linux внутри границы их безопасности. Шифровальные процессоры вводят программные инструкции в зашифрованном виде, расшифровывают инструкции в простые инструкции, которые затем выполняются в той же микросхеме криптопроцессора, где дешифрованные инструкции недоступны. Никогда не раскрывая расшифрованные программные инструкции, криптопроцессор предотвращает подделку программ техническими специалистами, которые могут иметь законный доступ к шине данных подсистемы. Это известно как шифрование шины. Данные, обрабатываемые криптопроцессором, также часто зашифровываются.

В Модуль доверенной платформы (TPM) - это реализация защищенного криптопроцессора, в которой реализовано понятие доверенные вычисления к обычному ПК путем создания безопасная среда.[нужна цитата ] Текущие реализации TPM сосредоточены на обеспечении защищенной от несанкционированного доступа загрузочной среды, а также на постоянном и энергозависимом шифровании хранилища.

Также доступны микросхемы защиты для встроенных систем, которые обеспечивают такой же уровень физической защиты ключей и другого секретного материала, как процессор смарт-карт или TPM, но в меньшем, менее сложном и менее дорогом корпусе.[нужна цитата ] Их часто называют криптографическими. аутентификация устройств и используются для аутентификации периферийных устройств, принадлежностей и / или расходных материалов. Как и TPM, они обычно представляют собой интегральные схемы под ключ, предназначенные для встраивания в систему, обычно припаянные к печатной плате.

особенности

Меры безопасности, используемые в защищенных криптопроцессорах:

  • Обнаружение несанкционированного доступа и очевидный сдерживание.
  • Проводящие экранирующие слои в микросхеме, предотвращающие считывание внутренних сигналов.
  • Контролируемое выполнение для предотвращения раскрытия секретной информации с задержкой по времени.
  • Автоматический обнуление секретов в случае взлома.
  • Цепочка доверия загрузчик, который аутентифицирует операционную систему перед ее загрузкой.
  • Операционная система с цепочкой доверия, которая аутентифицирует прикладное программное обеспечение перед его загрузкой.
  • Аппаратный способность регистры, реализующие односторонний разделение привилегий модель.

Степень безопасности

Безопасные криптопроцессоры, хотя и полезны, не неуязвимы для атак, особенно для хорошо оснащенных и решительных противников (например, правительственной разведки), которые готовы потратить огромные ресурсы на проект.[нужна цитата ]

Одна атака на защищенный криптопроцессор была нацелена на IBM 4758.[5] Команда из Кембриджского университета сообщила об успешном извлечении секретной информации из IBM 4758, используя комбинацию математики и специального назначения. взлом кода оборудование. Однако эта атака была непрактичной в реальных системах, потому что требовала от злоумышленника полного доступа ко всем функциям API устройства. В обычных и рекомендуемых практиках используется встроенная система контроля доступа для разделения полномочий, чтобы никто не мог организовать атаку.

Хотя уязвимость, которую они использовали, была недостатком в программном обеспечении, загруженном на 4758, а не в архитектуре самого 4758, их атака служит напоминанием о том, что система безопасности настолько безопасна, насколько надежно ее самое слабое звено: сильное звено 4758 аппаратное обеспечение стало бесполезным из-за недостатков в конструкции и спецификации загруженного на него программного обеспечения.

Смарт-карты значительно более уязвимы, поскольку они более уязвимы для физических атак. Кроме того, аппаратные бэкдоры могут подорвать безопасность смарт-карт и других криптопроцессоров, если не будут вложены средства в методы разработки антибэкдоров.[6]

На случай, если полное шифрование диска приложений, особенно если они реализованы без ботинок ШТЫРЬ, криптопроцессор не будет защищен от холодная атака[7] если остаточные данные может быть использован для сброса объем памяти содержимое после Операционная система получил криптографические ключи из его TPM.

Однако, если все конфиденциальные данные хранятся только в памяти криптопроцессора, а не во внешнем хранилище, и криптопроцессор спроектирован так, чтобы не иметь возможности раскрывать ключи или расшифрованные или незашифрованные данные на кристалле контактные площадки или припаянные шишки, то такие защищенные данные будут доступны только при проверке микросхемы криптопроцессора после удаления всех упаковок и металлических защитных слоев с микросхемы криптопроцессора. Это потребует как физического владения устройством, так и навыков и оборудования помимо большинства технического персонала.

Другие методы атаки включают в себя тщательный анализ синхронизации различных операций, которые могут варьироваться в зависимости от значения секрета, или отображение текущего потребления в зависимости от времени, чтобы определить различия в способе внутренней обработки битов «0» и битов «1». Или злоумышленник может применить экстремальные температуры, слишком высокие или низкие тактовые частоты или напряжение питания, которое превышает спецификации, чтобы вызвать сбой. Внутренняя конструкция криптопроцессора может быть адаптирована для предотвращения этих атак.

Некоторые защищенные криптопроцессоры содержат двухъядерные процессоры и при необходимости генерируют недоступные ключи шифрования, так что даже если схема подвергается обратному проектированию, она не обнаруживает никаких ключей, необходимых для безопасного дешифрования программного обеспечения, загружаемого из зашифрованной флэш-памяти или передаваемого между ядрами.[8]

Первый однокристальный криптопроцессор был разработан для защита от копирования программного обеспечения для персональных компьютеров (см. патент США 4 168 396 от 18 сентября 1979 г.) и был вдохновлен Биллом Гейтсом Открытое письмо любителям.

История

Дальнейшая информация: Модуль аппаратной безопасности § История

В аппаратный модуль безопасности (HSM), тип защищенного криптопроцессора,[3][4] был изобретен Египетско-американский инженер Мохамед М. Аталла,[9] в 1972 г.[10] Он изобрел модуль высокой безопасности, получивший название «Ящик Аталлы», который зашифровал ШТЫРЬ и Банкомат сообщения и защищенные автономные устройства с помощью неизвестного ключа для генерации PIN-кода.[11] В 1972 году он подал патент для устройства.[12] Он основал Корпорация Аталла (сейчас же Утимако Аталла ) этот год,[10] и коммерциализировали "Atalla Box" в следующем году,[11] официально как система Identikey.[13] Это было картридер и система идентификации клиентов, состоящий из картридер консоль, два клиента Контактные площадки, интеллектуальный контроллер и встроенный электронный интерфейсный блок.[13] Это позволяло клиенту вводить секретный код, который преобразовывается устройством, используя микропроцессор, в другой код для кассира.[14] Во время сделка, потребители номер счета был прочитан картридером.[13] Это имело успех и привело к широкому использованию модулей повышенной безопасности.[11]

Опасаясь, что Atalla будет доминировать на рынке, банки и компании, выпускающие кредитные карты, начали работать над международными стандартами в 1970-х годах.[11] В IBM 3624, запущенная в конце 1970-х, адаптировала процесс проверки PIN, аналогичный предыдущей системе Atalla.[15] Аталла был одним из первых конкурентов IBM на рынке банковской безопасности.[12]

На конференции Национальной ассоциации банков взаимных сбережений (NAMSB) в январе 1976 года компания Atalla представила обновленную систему Identikey, получившую название Interchange Identikey. Добавлены возможности обработка онлайн-транзакции и имея дело с сетевая безопасность. Разработан с акцентом на банковские операции онлайн, система Identikey была расширена до операций с общими объектами. Он был совместим и совместим с различными переключение сети, и был способен сбросить себя электронным способом до любого из 64000 необратимых нелинейный алгоритмы по указанию данные карты Информация. Устройство Interchange Identikey было выпущено в марте 1976 года.[14] Позже, в 1979 году, Аталла представила первый процессор сетевой безопасности (NSP).[16] Продукты Atalla HSM защищают 250 миллион карточные операции ежедневно с 2013 г.,[10] и обеспечить безопасность большинства транзакций через банкоматы в мире по состоянию на 2014 год.[9]

Смотрите также

использованная литература

  1. ^ Управление цифровыми правами: концепции, методологии, инструменты и приложения. Ассоциация управления информационными ресурсами. Херши, Пенсильвания: Справочник по информатике (отпечаток IGI Global). 2013. с. 609. ISBN  9781466621374. OCLC  811354252.CS1 maint: другие (ссылка на сайт)
  2. ^ Рамакришнан, Виньеш; Венугопал, Прасант; Мукерджи, Тухин (2015). Труды Международной конференции по информационной инженерии, управлению и безопасности 2015: ICIEMS 2015. Ассоциация ученых, разработчиков и факультетов (ASDF). п. 9. ISBN  9788192974279.
  3. ^ а б «Защитите конфиденциальные данные с помощью аппаратного модуля безопасности BIG-IP» (PDF). F5 Сети. 2012. Получено 30 сентября 2019.
  4. ^ а б Грегг, Майкл (2014). CASP CompTIA Advanced Security Practitioner Study Guide: Экзамен CAS-002. Джон Уайли и сыновья. п. 246. ISBN  9781118930847.
  5. ^ атака на IBM 4758 В архиве 2004-09-16 на Wayback Machine
  6. ^ Ваксман, Адам (2010), "Микропроцессоры с защитой от взлома" (PDF), Материалы симпозиума IEEE по безопасности и конфиденциальности, Окленд, Калифорния
  7. ^ Дж. Алекс Халдерман, Сет Д. Шон, Надя Хенингер, Уильям Кларксон, Уильям Пол, Джозеф А. Каландрино, Ариэль Дж. Фельдман, Джейкоб Аппельбаум, и Эдвард В. Фелтен (21 февраля 2008 г.). «Чтобы мы не помнили: атаки холодного запуска на ключи шифрования». Университет Принстона. Получено 2008-02-22. Цитировать журнал требует | журнал = (Помогите)CS1 maint: несколько имен: список авторов (ссылка на сайт)
  8. ^ Защищенный ЦП соответствует требованиям Министерства обороны США по защите от несанкционированного доступа
  9. ^ а б Стиеннон, Ричард (17 июня 2014 г.). «Управление ключами в быстрорастущем пространстве». БезопасностьТекущий. IT-Harvest. Получено 21 августа 2019.
  10. ^ а б c Лэнгфорд, Сьюзен (2013). "Атаки с обналичиванием банкоматов" (PDF). Hewlett Packard Enterprise. Hewlett Packard. Получено 21 августа 2019.
  11. ^ а б c d Батис-Лазо, Бернардо (2018). Cash and Dash: как банкоматы и компьютеры изменили банковское дело. Oxford University Press. С. 284 и 311. ISBN  9780191085574.
  12. ^ а б «Экономические последствия программы стандарта шифрования данных (DES) NIST» (PDF). Национальный институт стандартов и технологий. Министерство торговли США. Октябрь 2001 г.. Получено 21 августа 2019.
  13. ^ а б c «Система идентификации разработана как модернизация NCR 270». Computerworld. IDG Enterprise. 12 (7): 49. 13 февраля 1978 г.
  14. ^ а б «Представлены четыре продукта для онлайн-транзакций». Computerworld. IDG Enterprise. 10 (4): 3. 26 января 1976 г.
  15. ^ Конхейм, Алан Г. (1 апреля 2016 г.). «Банкоматы: их история и протоколы аутентификации». Журнал криптографической инженерии. 6 (1): 1–29. Дои:10.1007 / s13389-015-0104-3. ISSN  2190-8516. S2CID  1706990.
  16. ^ Берки, Даррен (май 2018 г.). «Обзор безопасности данных» (PDF). Микро Фокус. Получено 21 августа 2019.

дальнейшее чтение

  • Росс Андерсон, Майк Бонд, Джолион Клулоу и Сергей Скоробогатов, Криптографические процессоры - обзор, апрель 2005 г. (PDF). Это не обзор криптографических процессоров; это обзор актуальных проблем безопасности.
  • Роберт М. Бест, патент США 4,278,837, 14 июля 1981 г.
  • Р. Эльбаз и др., Аппаратные средства для шифрования шины - обзор, 2005 г. (PDF).
  • Дэвид Ли, «Казнь только память», [1].
  • Извлечение ключа 3DES из IBM 4758
  • Дж. Д. Тайгар и Беннет Йи, Система использования физически безопасных сопроцессоров, Диада