Классификация атак на смарт-карты

  Категория » GPS/GSM/RFID системы » Защита информации   


В стандарте ISO 13491-1 описаны концепции, требования и методы оценки криптографически защищенного оборудования в банковском секторе. На основе этого стандарта можно выполнить систематизацию и классификацию разных типов атак на смарт-карты. Такая классификация дает возможность произвести оценку потенциальных атак и предпринять против них соответствующие меры.

Существуют различные подходы к систематизированной классификации атак на смарт-карты. Как определено стандартом ISO 10202-1, для классификации возможных атак по времени их проведения могут быть использованы фазы жизненного цикла смарт-карты. Рассмотрим классификацию атак в трех основных фазах жизненного цикла смарт-карты:
1. разработке смарт-карт;
2. производстве смарт-карт;
3. применении смарт-карт в приложениях.

Классификация атак на смарт-карты

Атаки в фазе разработки смарт-карты, связаны с этапами проектирования системы, разработки чипа, разработки операционной системы и генерации приложений. Безопасность, подобно качеству, должна браться в расчет с самого начала разработки проекта. Уже на этапе разработки аппаратного обеспечения микроконтроллера и программного обеспечения для операционных систем смарт-карт применяется ряд мер безопасности. Что касается атак на стадии разработки, то можно в целом утверждать, что доступ к разрабатываемым средствам очень труден, а требуемый уровень специальных знаний очень высок. Поэтому атаки в фазе разработки не привлекают злоумышленников с недостаточным уровнем знаний. Тем не менее потенциальная опасность успешной атаки на этом этапе значительна, поскольку существуют очень широкие возможности для манипулирования аппаратным и программным обеспечением.

Атаки в фазе производства смарт-карт, в принципе, связаны со всеми производственными процессами, охватывая весь диапазон от производства полупроводниковых пластин до персонализации карт и их отправки конечным пользователям. Следует отметить, что атаки на этапе производства чипов и смарт-карт являются типичными атаками изнутри, поскольку среда, в которой происходят производственные процессы, закрыта. Доступ строго контролируется, и каждый вход регистрируется. Тем не менее на стадии производства нельзя обходиться без мер безопасности, поскольку на этой стадии могут быть выполнены некоторые технически сложные и эффективные атаки.

Атаки в фазе применения смарт-карт в приложениях характеризуется активизацией атак на смарт-карты и прикладные системы, использующие смарт-карты. Действительно, доступ к компонентам смарт-карты после ее выпуска в обращение обычно намного легче, чем на предыдущих фазах ее жизненного цикла. Вот почему вероятность получения доступа к данным смарт-карты становится относительно высокой, когда смарт-­карта оказывается в обращении. Например, в этом квартале для завода электромонтажного оборудования "ASD-electric", который производит различные электромонтажные изделия, нами была закончена опытно-промышленная эксплуатация и осуществлен ввод в промышленную эксплуатацию системы контроля доступа на базе смарт-карт в офис предприятия и в производственные цеха, что дало возможность Заказчику получить современную и надежную систему пропуска сотрудников и клиентов.

Классификация атак на смарт-карты

Атаки на смарт-карты можно разделить по уровню их проведения на три основных категории:
1. атаки на социальном уровне;
2. атаки на физическом уровне;
3. атаки на логическом уровне.

Атаки на смарт-карты на социальном уровне в основном направлены против людей, которые работают со смарт-картами на разных фазах жизненного цикла карты. Объектами атаки могут быть разработчики чипов, разработчики программного обеспечения, работники полупроводниковых производств, держатели смарт-карт. Эти атаки могут быть частично отражены техническими мерами, но главным образом их нужно предотвращать с помощью организационных мер. Например, можно легко предотвратить перехват РIN-кода при подсматривании процесса его набора на клавиатуре, если установить непрозрачные экраны по обе стороны клавиатуры. Атаки на социальном уровне против программистов смарт-карты становятся бесполезными при разработке ими процедур, которые будут использоваться открыто, а также при привлечении третьей стороны для оценки программных кодов, разработанных этими программистами. В этом случае безопасность будет определяться только секретными ключами, а знания разработчиков программного обеспечения не смогут быть использованы атакующими.

Атаки на смарт-карты на физическом уровне обычно требуют применения сложного технического оборудования, поскольку атакующему необходимо получить физический доступ к аппаратным средствам микроконтроллера смарт-карты. Эти атаки могут быть либо статическими, при которых к микроконтроллеру не подается никакое питание, либо динамическими, при работающем микроконтроллере. Статические атаки на физическом уровне не накладывают никаких временных ограничений на атакующего, который может выполнять свои действия в своем собственном ритме. Однако при динамической атаке требуются соответствующее измерительное оборудование и достаточно быстрая обработка данных.

Классификация атак на смарт-карты

Атаки на смарт-карты на логическом уровне были осуществлены наиболее успешные атаки на смарт-­карты. Эта категория атак включает классический криптоанализ, а также атаки, использующие известные неисправности в операционной системе смарт-карты и "троянских коней" в исполняемом коде приложений смарт-карты. На практике могут осуществляться также атаки смешанного типа. Атака на физическом уровне может подготовить путь для последующей атаки на логическом уровне, в качестве которой может быть применен, например, дифференциальный анализ после намеренно введенной неисправности.

Атаки на смарт-карты на физическом уровне и логическом уровнях можно, в свою очередь, разделить на два типа:
1. пассивные;
2. активные.
Например, при пассивной атаке атакующий может выполнить измерения на полупроводниковом устройстве либо анализировать шифр-текст или криптографический протокол, не изменяя его. Напротив, при активной атаке атакующий вмешивается в работу микроконтроллера или передачу данных.



Вы можете сохранить эту статью:

Классификация атак на смарт-карты

из категории » Защита информации »  в сервисах:



Просто нажмите на кнопку нужного Вам сервиса и данная статья будет сохранена.

Дополнительная информация по теме:

Методы защиты RFID-систем и смарт-карт Методы защиты RFID-систем и смарт-карт

Системы RFID и смарт-карты часто используются в ответственных приложениях, требующих достаточного уровня безопасности. Чтобы защитить системы RFID и смарт-карты от возможных атак, требуется применение соответствующих мер и средств безопасности. Конечно, невозможно создать такую идеальную систему RFI ...

Обеспечение безопасности систем со смарт-картами Обеспечение безопасности систем со смарт-картами

Важным свойством смарт-карты является ее способность обеспечить безопасную среду для данных и программ приложений. Надежность и безопасность смарт-карты обусловлена тем, что она может контролировать доступ к информации, которая содержится в ее памяти. В сущности, смарт-карта представляет собой высок ...

Безопасность и функциональность смарт-карт Безопасность и функциональность смарт-карт

Смарт-карты предназначены для использования в приложениях, которые предъявляют высокие требования к безопасности хранения и обработки данных в смарт-­карте. Общепризнанный и наиболее безопасный подход к интегральной схеме смарт-карты состоит в компоновке всех ее функциональных элементов (ЦП, СП, пам ...

Применение смарт-карты: активация и деактивация приложения Применение смарт-карты: активация и деактивация приложения

Активация приложения смарт-карты является завершающей операцией в процессе производства смарт-карты. Она включает установку в память флажков, запрещающих любые дальнейшие изменения в этой области памяти, за исключением изменений, выполняемых под непосредственным контролем этого приложения. Эти дейст ...

Фазы жизненного цикла смарт-карт Фазы жизненного цикла смарт-карт

Стандарт ISO 10202-1 обобщенно определяет жизненный цикл карты, который одинаков для всех способов производства, а также для самых разных приложений. Следует отметить, что этот стандарт ориентирован в основном на приложения финансовых транзакций и информационную технологию, которая используется в та ...


Для поиска по всем категориям нашего сайта рекомендуем Вам пройти авторизацию либо зарегистрироваться.

Яндекс.Метрика Rambler's Top100 Рейтинг@Mail.ru   "СМАРТ Системы"      © 2007-2016 Все права защищены.