Elektronický klíč se snadnou možností destrukce ?

Jan Waclawek wek@evona.sk
Pondělí Březen 13 10:41:43 CET 2006


Velmi pekny exemplar komplikovanej chronickej paranoie :-)))

Mozem zopar poznamok?

Thomas Shaddack wrote:
> Na urovni cipu samotneho nemame sanci s nasim rozpoctem neceho 
> vyznamnejsiho dosahnout. Pouzijme tedy reseni jiz aplikovana v jinych 
> podobnych kontextech, tedy cipy pro smart karty. Na prvni pohled takovy 
> Atmel AT90SC6464C-USB vypada zajimave, s hardwarovou podporou pro RSA, 
> AES, a SHA256, hardwarovym generatorem nahodnych cisel, a interfacem pro 
> USB.

Toto pochopitelne nie je absolutne nevyhnutna poziadavka; vo vacsine 
pripadov sa RSA, AES atd. da pocitat softwarovo a nie je nejaka 
restriktivna poziadavka na rychlost; ale ak su "poruke", je kazdopadne 
ich dobre pouzit.
Tieto "secure" chipy maju vyhodu, ze su na nich niekedy urobene pokusy o 
zamedzenie napadnutia aspon tymi beznymi metodami; je otazne, nakolko to 
odola "chlapikom s mikroskopmi" - priamo by som v ramci paranoie 
predpokladal, ze takito maju preklepnute prednostne tieto cipy a maju 
pre ne uz predzute riesenie, takze nakoniec ta vyhoda ani nie je 
bohvieakou vyhodou; ale protivnikovi sa treba snazit stazit pracu 
kombinaciou vsetkych dostupnych metod.

Akurat ta dostupnost, no, akosi som ich v GMku nevidel...

> Dalsi uroven zalezi na ulozeni citlivych dat v RAM. Jelikoz data maji 
> urcitou trvanlivost i po vypnuti, je treba je v pameti obcas presoupavat 
> sem a tam. Jelikoz klic potrebujeme relativne maly (napr. 256 bitu), a 
> pameti mame spoustu, muzeme pouzit kombinace n bytu v pameti a pocitat z 
> nich treba paritu, a postupne je v nahodnem poradi prehazovat nebo XORovat 
> mezi sebou. Zde je treba dat pozor na to, aby prislusne operace byly pokud 
> mozno co nejpodobnejsi mezi sebou z hlediska odberu proudu, nezavisle na 
> obsahu pametovych bunek; tim zabranime tomu, aby se obsah paneti dal 
> neprimo odvodit z elektromagnetickych emisi cipu nebo z jeho odberu 
> proudu. Jelikoz cip musi tohle provozovat nonstop, spolu s par dalsimi 
> vecmi, takze modul musi obsahovat vlastni napajeni, nejlepe lithiovou 
> baterii.
> 

Kedze baterka je/musi z principu byt vo vnutri "nedobytneho" puzdra, 
meranie prudu je irelevantne. Dekodovanie z elektromagnetickych emisii 
je v pripade zapuzdrenia (t.j. cip je dostatocne daleko od povrchu) 
prakticky nemozne aj v pripade znameho algoritmu (ak nema nejaku fakt 
brutalnu chybu); mysliet na to sa vsak samozrejme moze, ale nepokladal 
by som to za prilis dolezitu poziadavku.


> Klic vcetne zdroje musi byt zality do pryskyrice. Mel by byt schopny 
> detekovat pokus o naruseni pryskyrice, napr. pokus o odbrouseni nebo 
> odleptani; napajeni mezi baterii a procesorem by se treba dalo vest 
> tenkymi draty mnohonasobne omotanymi kolem jednotky predtim nez se tato 
> zalije do nepruhledne pryskyrice. 

Mno, ja vo vseobecnosti doporucujem beton s nahadzanymi odistenymi 
rucnymi granatmi :-)))
Drot samotny pri odleptani samozrejme ostane neporuseny, ak ostane 
neporuseny aj cip... :-) Ale merat z cipu by sa dalo kadeco.

> 
> Tamper-resistant moduly se delaji i tak, ze se pouzije hermeticke pouzdro 
> pod tlakem naplnene dusikem, a ztrata tlaku uvnitr se vyhodnoti jako 
> otevreni pouzdra.

To je tiez zaujimava myslienka, pekna do filmu ale v praxi asi uplne 
nepouzitelna... Dobre pre ten Level2, t.j. tamper-evidence, alebo pre 
sejf ci nieco podobne; "nasu krabicku" by som otvaral pochopitelne v 
pretlakovej komore (unik o detailoch konstrukcie nejde vylucit; navyse 
ocividne hermeticky uzavreta nadoba minimalne vzbudi pozornost).

> 
> Likvidaci klice mozno provest dale i "na zadost", napr. stiskem tlacitka 
> destrukce. Procesor pak zapomene svoji RAM a premaze ji nahodnymi cisly.

Toto je klucova poziadavka; mozno by sa mal vyzadovat nejaky doubleclick 
aby sa vylucila nahodna "aktivacia" a mozno by sa mohlo indikovat 
uskutocnenie "destrukcie" kvoli "pohode" uzivatela.

> 
> Dalsi moznost zahrnuje primou termalni likvidaci cipu. 

Toto znie hrozne lakavo ale mne sa nijako nechce verit ze je to 
priechodzie. Nie som expert ale mam obavy, ze to nejde rozumne spravit 
bez rizika poskodenia "uzivatela". Urcite to nebude male a nenapadne. 
Tiez to vylucuje prenosnost lietadlom apod.
> 
> Napad s pouzitim zlomitelneho mini-CD by mohl byt pouzitelny tez. Ovsem 
> jako klic je nutne pouzit nejaky dlouhy soubor, ze ktereho pak kratsi klic 
> ziskame jako jeho hash. Pri ztrate dostatecneho mnozstvi bitu souboru, 
> napr. toho co bylo v miste zlomu, pokud toto nebude zachraneno pomoci 
> error-correcting mechanismu media, pak nedojde k vyznamnejsimu oslabeni 
> klice ani pri zachrane zbytku souboru.

Mno ale to si vyzaduje dokladne skumanie. IMHO tie ciste elektronicke 
riesenia uz skumane su a su aj pomerne verejne zname vysledky.

> Zadavani PINu je vhodne resit na modulu samotnem, cimz se omezi moznost 
> oslabeni systemu pomoci infikovani host pocitace keyloggerem a ziskani 
> PIN. Pozor na odposlechnuti cvakani klaves nebo na pinhole videokamery. 
> Vzhledem k urovni protivnika pozor i na elektromagneticke emise.

Hehe, technologicky pokrocila paranoia... Znova kvoli rozmerom tam 
klavesnicu ci cokolvek ine nedostanete a uzivatel bude tazko ochotny 
zadavat PIN pomocou morzeovky na jednom tlacitku... Nie nie tadialto 
cesta nevedie.

> 
> Vzhledem k hardwarem akcelerovanym sifrovacim algoritmum muze modul i
> slouzit jako externi sifrovaci system pocitace; pak klice v nem ulozene 
> nebo vygenerovane nemusi v plaintextove forme vubec modul opustit.

To mozno ano, ale v ramci stazovania ulohy treba mat hesla vsade, aj v 
kluci, aj mimo. Tento druh paranoie sa dosiahne lahko, bezbolestne, 
nikomu nevadi (akurat si tie kompy trocha zarataju no ale na to su), a 
je to lacne a pritom pomerne ucinne. Ak "chlapci s mikroskopom" zistia, 
ze kluc sice lahko vylusknu do hodiny ale potrebuju ich taku tisicku, 
tak ich to minimalne nastve.

> Netusim jak tu biometriku udelat spolehlive. Nejsem si jisty jestli to uz 
> je dostatecne zrala technologie.

Nie je a nikdy ani nebude. To vsetko sa da prilis lahko oklamat a vzdy 
to tak bude (je taky film kde si borec z "nizsej kasty" dava 
krv/moc/vlasy atd. chlapa z "vyssej kasty" aby sfalsoval identitu, lebo 
bezne tam pouzivaju identifikaciu DNA).
Ale ako "dalsi faktor" je to dobre aj tak ako to je.



> Detaily budou zalezet na konkretni aplikaci.

Hehe no to celkom urcite.


Tak sme sa pri pondelku pobavili... :-)

wek



Další informace o konferenci Hw-list