ЧТО ПОКАЗАЛО ВСКРЫТИЕ

Берд Киви (kiwi@computerra.ru)

Спецвыпуск Xakep, номер #036, стр. 036-056-8

В начале 1990-х годов в Кавендишской лаборатории Кембриджа была создана технология обратного восстановления схемы сложных кремниевых чипов, позволяющая аккуратно снимать слои микросхемы один за другим. Одно из примененных здесь новшеств - техника показа примесных N и Р слоев на основе эффекта Шоттки: тонкая пленка из золота или палладия накладывается на чип, образуя диод, который может быть виден в электронном луче. Изображения последовательных слоев чипа вводятся в компьютер, специальное программное обеспечение очищает первоначально нечеткие образы, выдает их ясное представление и распознает стандартные элементы чипа. Эта система была протестирована на процессоре Intel 80386 и ряде других устройств. Работа над восстановлением 80386 заняла две недели, причем для правильной реконструкции обычно требуется около шести образцов чипа. Результатом работ могут быть диаграммы масок и схем или даже список библиотечных ячеек, из которых чип был сконструирован.

В условиях, когда конструкция и принципы функционирования чипа уже известны, существует очень мощная технология, разработанная в IВМ для исследования чипа в работе даже без удаления защитного слоя. Для измерения рабочих характеристик устройства над ним помещают кристалл ниобата лития. Показатель преломления этой субстанции изменяется при изменении электрического поля, и потенциал находящегося под ней кремния может считываться с помощью ультрафиолетового лазерного луча, проходящего через кристалл под скользящим углом наклона. Возможности этой технологии таковы, что можно считывать сигнал в 5 В с частотой до 25 МГц. По сути, это стандартный путь для хорошо оснащенных лабораторий при восстановлении криптоключей в чипах, конструкция которых известна.

Чаще всего критика в адрес дифференциального анализа искажений (особенно со стороны выпускающих смарт-карты фирм) сводилась к тому, что вся эта методика носит сугубо теоретический характер. Ведь никто не продемонстрировал на практике, что сбойные ошибки можно вызывать именно в криптосхеме, причем конкретно в алгоритме разворачивания ключа.

Но уже весной 1997 года появилось описание не теоретической, а весьма практичной атаки, получившей название "усовершенствованный метод ДАИ". Авторы атаки (кембриджский профессор Росс Андерсон и его аспирант из Германии Маркус Кун) продемонстрировали, что могут извлекать ключ из смарт-карты менее чем по 10 блокам шифртекста. В основу нового метода была положена модель принудительных искажений или "глич-атак" (от английского glitch - всплеск, выброс), реально практикуемых крякерами при вскрытии смарт-карт платного телевидения.

Под глич-атаками понимаются манипуляции с тактовой частотой или напряжением питания смарт-карт, что позволяет выдавать дампы с ключевым материалом на порт выхода устройства. Эффективность глич-атак продемонстрирована кембриджскими авторами как на симметричных криптосхемах, так и на вскрытии алгоритмов с открытым ключом. Ссылки на соответствующие статьи дыбай на сайте Росса Андерсона - www.cl.cam.ac.uk/users/rja14/#Reliability.