VeKey安全技术大起底

唯链区块大康2019-05-12 23:32:01  阅读 -评论 0  阅读原文

VeKey身份硬件之所以具有超强的安全性能,首先要归功于其内置的ARM SC300处理器。该处理器配备有嵌套矢量中断控制器、唤醒中断控制器、内存保护单元、AHB-Lite、数据观测断点(Data Watchpoint)、断点单元及JTAG接口,在支持Burst传输、单边操作、芯片内部测试、ITM跟踪调试、ETM跟踪调试及串行网络调试等功能的同时,自带防侧信道攻击、防故障注入和防探测功能,提供更强大的安全性能。

SC300架构图

SC300处理器基于Cortex-M3处理器开发,并在其中融入ARM SecurCore处理器的安全特性,集成易用、高效的Thumb-2指令集,得以成倍提升功耗效率和性能,在更小的空间集成更多的功能,高速处理多接口任务。该种型号处理器广泛应用于Secure Element之中,帮助SE芯片实现远超普通芯片的安全防护表现。

芯片模块划分

攻防有道,让威胁无处遁形

加入配备有SC300处理器的SE芯片,让VeKey能够高效应对各种攻击威胁,提供普通硬件难以媲美的安全防护。下面,我们将对常见的攻击手段及VeKey的安全防护能力加以介绍。

目前,设备面临的威胁主要可以分为物理攻击和软件攻击两大类。

物理攻击

物理攻击手段主要包括三种,即:

  • 非侵入式攻击
  • 侵入式攻击
  • 半侵入式攻击

非侵入式攻击又称为侧信道攻击,此种攻击的特点在于不会破坏芯片封装及芯片结构。通过诱导秘密信息泄漏或对泄漏的电压功耗、电磁辐射等信息进行统计分析获取秘钥。常见的非侵入式攻击方式包括:

  • 能量攻击分析(DPA)
  • 直接能量分析(SPA)
  • 电磁分析(EMA)
  • 射频分析(RFA)

非侵入式攻击

由于该种攻击不会对芯片造成破坏,用户无从知晓设备是否已遭到攻击,也就无法及时采取补救措施,所以非侵入式攻击是目前威胁最大的攻击方式。

侵入式攻击通过去除芯片封装、改变芯片结构实现干扰安全模块正常工作、破坏芯片安全防护功能的目的,从而获取敏感信息。在进行侵入式攻击时,黑客需要蚀刻或切割金属层,再通过探查芯片、FIB及电镜扫描,直接探测或修改电路,从而窃取敏感信息。

侵入式攻击

侵入式攻击需要使用化学试剂、高分辨率光学显微镜、激光切割系统、微探针平台、示波器、信号发生器、扫描电镜、FIB设备等专业设备,成本高昂。

半侵入式攻击又被成为故障注入攻击,是介于前两者之间的一种技术,该种攻击方式需要去除芯片封装,但不会改变芯片内部结构。

故障注入攻击

故障注入攻击通过激光注入(LASER)、时钟毛刺、电压毛刺或紫外线在芯片工作过程中注入故障信号,从而改变芯片内部程序的运行流程,使芯片产生包括跳过PIN码验证在内的错误输出结果,进而窃取敏感信息。

软件攻击

软件攻击是目前最常见的攻击方式,黑客通过利用软件漏洞对设备发起攻击,窃取资料。

从芯片到应用,端到端全方位防护

为了应对这两类威胁,唯链VeKey配备了从芯片到应用的端到端全方位安全防护方案。

芯片端:

  • 采用ARM SecurCore SC300 CPU,自带防侧信道攻击、防故障注入和防探测等功能,广泛应用于银行、政府机构、交通行业等。
  • 采用MPU(memory protection unit)限制内存、flash等的访问权限,对于加密区域或者敏感区域,采用MPU保护,应用层或者外界无法访问受保护的区域,只有授权的代码才能访问。
  • 环境安全防护:采用电压检测器、频率检测器、温度检测器、电源Glitch检测器、光检测器、时钟毛刺过滤器、真随机数发生器等,在检测到对应的事件发生时,可以自定义需要采取的行为。
  • 采用Active fuse,提供对芯片测试态的保护;布局上对关键信号线特殊处理,防止物理探测。

封装端:

  • 顶层金属覆盖,采用主动防剥离探测技术,使得金属覆盖在被剥离时能被检测到并主动清除芯片内资料。
  • 芯片采用金属覆盖,有效屏蔽芯片运行中产生的电磁脉冲,防止电磁泄漏,从根本上杜绝电磁分析的可能性。

系统端:

加密算法采用隐藏技术,消除密码设备的能量消耗与设备所执行的操作和所处理的中间值之间的相关性。

  • 时间维度的隐藏
  • 幅度维度的隐藏

加密算法同时还支持掩码技术,能够随机化密码设备所处理的中间值,使其能量消耗不依赖于设备所执行的密码算法的中间值。

  • 对输入的明文和密钥掩码
  • 对算法中间数据掩码

应用端:

  • 系统应用到的敏感数据,包括私钥、密码等都加密保存,每台设备的加密密码都不同,且保存采用混淆机制。
  • 关闭调试接口及其他的接口,防止外部通过这些接口进行注入。
  • 远程身份认证。

作为企业级安全身份硬件解决方案,VeKey以ARM SC300安全处理器内核为基础,结合专门针对区块链应用场景开发的固件和算法,在兼顾效率、操作简便性的同时,能够提供银行级别的安全防护,轻松应对多种不同类型的攻击,免去用户的后顾之忧。

本期内容主要对VeKey的安全特性进行了简要解析,未来,我们还将介绍VeKey现有的应用场景,包括:

  • 链上生态治理:数字低碳生态,第三方权威认证机构DNV GL使用VeKey完成参数修改、数据审核、积分发放等工作。
  • 链上KYC审核:应用于VeVID,用于识别、确认以及审查系统内的参与者,赋予其唯一的链上身份。
  • 数字资产管理:门限签名解决方案,通过密钥分散实现私钥拆分,完善数字资产管理体系。

更多唯链软、硬件技术相关分享,敬请期待!

声明:链世界登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。此文如侵犯到您的合法权益,请联系我们kefu@lianshijie.com

参与讨论 (0 人参与讨论)

相关推荐

区块链+公共安全 大有可为

区块链+公共安全 大有可为

本文来源于《华夏时报》,原文标题为:数字资产洗黑钱流动量超过百亿美金 南京公安就"链上天眼"谈公共安全治理)随着区块链技术越来越被大众所熟知,"区块链+金融"凭借其丰富的应用场景和想象空间备受人们的关注。同时也诱发了利用数字资产洗黑钱、非法交易等经济犯罪频率的逐年增高,且案值也在不断增大。如何应对基于加密货币的违法行为,俨然成为各级政府、相关企业乃至区块链从业者们需要面对的共同课题之一。9月1日,

本体技术视点 | 身份的五种思维模型(二)

通过理解五种思维模型,我们可以更好地进行身份系统的讨论和工程设计。供应商关系管理、以用户为中心的身份以及自主身份背后都是这种思维模型。

多地“政务上链”,新数据孤岛、安全风险等问题待解

记者调查发现,一些政务区块链技术标准不统一,可能带来新的数据孤岛问题,网络安全风险更是不容小觑。随着疫情出现新的情况,食品安全备受关注。此外,不同的政务区块链缺乏统一标准,可能造成新的数据孤岛。

以太坊基金会正在组建一支以太坊2.0安全团队

以太坊基金会正在组建一支以太坊2.0安全团队

暴走时评:据称,以太坊基金会将为以太坊 2.0建立一个专门的安全团队,研究下一代以太坊网络中任何潜在的网络安全和加密经济问题。该基金会正在为软件和即将到来的升级的通用模式寻找招聘各种安全和审计专业人员。

旅行公司CWT向黑客支付价值450万美元比特币赎金,后者给出安全改进建议

旅行公司CWT向黑客支付价值450万美元比特币赎金,后者给出安全改进建议

律动BlockBeats 消息,美国总部位于美国的商务旅游公司 CWT 向窃取该公司敏感文件的黑客支付了价值 450 万美元的比特币赎金。

Matter lab推出新Layer 2扩容方案zkPorter,结合zkRollup和分片技术

律动BlockBeats 消息,Matter lab 近日官方提出了一种新以太坊 Layer2 扩容方案 zkPorter,该方案将 zkRollup 和分片技术结合,以此来降低成本并且提高性能。zkPorter 使用一种混合方法处理数据可用性,该方法结合了 zkRollup 和分片的思想。

区块链产品经理讲述“区块链”的通知 重点方向包括区块链安全

区块链产品经理讲述“区块链”的通知 重点方向包括区块链安全

"区块链工程技术人员""区块链应用操作员"被列入国家新职业后,京东数科技术产品部区块链产品创新负责人张作义说:上述两种职业的工作任务,和自己团队目前做的工作是高度匹配的。什么是区块链技术?消费者在网上下单买了厄瓜多尔的香蕉,从厄瓜多尔香蕉园到海关,再到国际公海,再到中国的港口通关,每个环节处理完毕就上传到区块链里,"这是一个非常长的链条,只有区块链技术可以搞定,它具有不可更改原始数据的特性,可以实

比特币有什么缺点?

1.交易平台的脆弱性。比特币网络很健壮,但比特币交易平台很脆弱。交易平台通常是一个网站,而网站会遭到黑客攻击,或者遭到主管部门的关闭。2.交易确认时间长。比特币钱包初次安装时,会消耗大量时间下载历史交易数据块。而比特币交易时,为了确认数据准确性,会消耗一些时间,与p2p网络进行交互,得到全网确认后,交易才算完成。3.价格波动极大。由于大量炒家介入,导致比特币兑换现金的价格如过山车一般起伏。使得比

麦妖榜
更新日期 2019-09-03
排名用户贡献值
1牛市来了30910
2BitettFan24187
3等待的宿命23810
4区块大康20369
5六叶树20310
6linjm122719429
7天下无双16192
8lizhen00215280
9让时间淡忘14586
10yelanyi050511349
返回顶部 ↑