Защита от несанкционированного доступа

Концептуально защита от несанкционированного доступа — это методология, используемая для предотвращения, сдерживания или обнаружения несанкционированного доступа к устройству или обхода системы безопасности. Поскольку любое устройство или систему может вывести из строя человек, обладающий достаточными знаниями, оборудованием и временем, термин «защита от несанкционированного доступа» является неправильным, если только некоторые ограничения ресурсов стороны, осуществляющей вмешательство, не являются явными или предполагаемыми.

Случайные прохожие могут счесть предмет, закрепленный специальными головками винтов, защищенным от несанкционированного доступа, но его может снять человек, оснащенный специальными инструментами.

Устойчивость к несанкционированному вмешательству — это устойчивость к несанкционированному вмешательству (намеренному сбою или саботажу ) как обычными пользователями продукта, упаковки или системы, так и другими лицами, имеющими к ним физический доступ.

Устойчивость к несанкционированному вмешательству варьируется от простых функций, таких как винты со специальными приводами , до более сложных устройств, которые выводят себя из строя или шифруют всю передачу данных между отдельными чипами, или использования материалов, требующих специальных инструментов и знаний. На упаковках обычно используются устройства или функции, защищающие от несанкционированного доступа, которые предотвращают несанкционированное вмешательство в упаковку или продукт.

Устройства защиты от несанкционированного доступа имеют один или несколько компонентов: устойчивость к несанкционированному вмешательству, обнаружение несанкционированного доступа, реакция на несанкционированный доступ и свидетельство несанкционированного доступа. ^[1] В некоторых приложениях устройства являются только защищенными от несанкционированного доступа , а не защищенными от несанкционированного доступа.

Вмешательство

Фальсификация включает в себя преднамеренное изменение или фальсификацию продукта, упаковки или системы. Решения могут включать все этапы производства продукции, ее упаковки , распределения, логистики , продажи и использования. Ни одно решение не может считаться «защищенным от несанкционированного доступа». Часто необходимо обеспечить несколько уровней безопасности , чтобы снизить риск взлома. ^[2]

Некоторые соображения могут включать в себя:

Определите, кем может быть потенциальный взломщик: обычный пользователь, ребенок, человек, находящийся под медицинским наблюдением, заблудший шутник, заключенный, диверсант, организованная преступность, террористы, коррумпированное правительство. Каким уровнем знаний, материалов, инструментов и т. д. они могут обладать?
Определите все возможные методы несанкционированного доступа к продукту, упаковке или системе. Помимо основных способов входа, рассмотрите также вторичные методы или методы «черного хода».
Контролируйте или ограничивайте доступ к интересующим продуктам или системам.
Улучшите устойчивость к несанкционированному вмешательству, чтобы сделать несанкционированное вмешательство более трудным, трудоемким и т. д.
Добавьте функции защиты от несанкционированного доступа , чтобы указать на факт несанкционированного доступа.
Научите людей следить за доказательствами фальсификации.

Методы

Механический

Некоторые устройства содержат нестандартные винты или болты, чтобы ограничить доступ. Примерами являются телефонные коммутационные шкафы (которые имеют треугольные головки болтов, подходящие под шестигранную головку) или болты с пятигранными головками, используемые для крепления дверей к наружным распределительным трансформаторам. Стандартная головка винта Torx может быть изготовлена в защищенной от несанкционированного доступа форме со штифтом в центре, что исключает использование стандартных отверток Torx. Различные другие головки защитных винтов были разработаны для предотвращения случайного доступа внутрь таких устройств, как бытовая электроника.

Электрический

Этот тип защиты от несанкционированного доступа чаще всего встречается в охранной сигнализации . Большинство устройств отключения (например, нажимные подушки, пассивные инфракрасные датчики ( детекторы движения ), дверные выключатели ) используют два сигнальных провода, которые, в зависимости от конфигурации, являются нормально разомкнутыми или нормально замкнутыми . Датчикам иногда требуется питание, поэтому для упрощения прокладки кабеля используется многожильный кабель. Хотя 4-х ядер обычно достаточно для устройств, которым требуется питание (оставляя два запасных для тех, которым этого не нужно), можно использовать кабель с дополнительными ядрами. Эти дополнительные жилы могут быть подключены к специальной, так называемой, тамперной цепи системы сигнализации. Система контролирует тамперные цепи и подает сигнал тревоги в случае обнаружения нарушения работы устройств или проводки. Корпуса устройств и панели управления могут быть оборудованы тамперными выключателями. Потенциальные злоумышленники рискуют вызвать срабатывание сигнализации, пытаясь обойти данное устройство.

Такие датчики, как детекторы движения, детекторы наклона, датчики давления воздуха, датчики освещенности и т. д., которые могут использоваться в некоторых охранных сигнализациях, также могут использоваться в бомбе для предотвращения ее обезвреживания.

Безопасность

Почти все приборы и аксессуары можно открыть только с помощью инструмента. Это предназначено для предотвращения случайного или случайного доступа к находящимся под напряжением или горячим частям, а также для предотвращения повреждения оборудования. Производители могут использовать защищенные от несанкционированного доступа винты, которые невозможно открутить обычными инструментами. Винты с защитой от несанкционированного доступа используются в электрооборудовании во многих общественных зданиях для предотвращения несанкционированного вмешательства или вандализма, которые могут представлять опасность для окружающих.

Гарантии и поддержка

Пользователь, который сломал оборудование, модифицировав его способом, не предусмотренным производителем, может отрицать, что он это сделал, чтобы потребовать гарантию или (в основном в случае ПК) позвонить в службу поддержки за помощью в ремонте. Для решения этой проблемы может быть достаточно пломб, защищающих от несанкционированного доступа . Однако их нелегко проверить удаленно, и во многих странах действуют установленные законом условия гарантии, которые означают, что производителям все равно придется обслуживать оборудование. Винты с защитой от несанкционированного доступа в первую очередь защитят большинство обычных пользователей от несанкционированного доступа. В США Закон о гарантиях Магнусона-Мосса не позволяет производителям аннулировать гарантии исключительно из-за фальсификации. ^{[ нужна цитата ]} Гарантия может быть аннулирована только в том случае, если вмешательство действительно затронуло неисправную деталь и могло стать причиной неисправности.

Чипсы

Устойчивые к несанкционированному вмешательству микропроцессоры используются для хранения и обработки частной или конфиденциальной информации, такой как секретные ключи или электронные деньги . Чтобы злоумышленник не смог получить или изменить информацию, чипы сконструированы таким образом, что информация недоступна внешними средствами и доступна только встроенному программному обеспечению, которое должно содержать соответствующие меры безопасности.

К примерам устойчивых к несанкционированному вмешательству чипов относятся все безопасные криптопроцессоры , такие как IBM 4758 и чипы, используемые в смарт-картах , а также чип Clipper .

Утверждалось, что очень сложно защитить простые электронные устройства от несанкционированного доступа, поскольку возможны многочисленные атаки, в том числе:

физическое воздействие различных форм (микрозондирование, сверла, напильники, растворители и т. д.)
замораживание устройства
применение нестандартного напряжения или скачков напряжения
применение необычных тактовых сигналов
вызывание ошибок программного обеспечения с помощью излучения (например, микроволн или ионизирующего излучения )
измерение точного времени и требований к мощности для определенных операций (см. анализ мощности )

Устойчивые к несанкционированному вмешательству чипы могут быть спроектированы таким образом, чтобы обнулить их конфиденциальные данные (особенно криптографические ключи ), если они обнаруживают проникновение в свою инкапсуляцию безопасности или параметры окружающей среды, выходящие за пределы спецификации. Микросхема может даже быть рассчитана на «холодное обнуление», то есть способность обнулять себя даже после отключения питания. Кроме того, специальные методы инкапсуляции, используемые для чипов, используемых в некоторых криптографических продуктах, могут быть разработаны таким образом, что они подвергаются внутреннему предварительному напряжению, поэтому при вмешательстве чип может сломаться. ^{[ нужна цитата ]}

Тем не менее, тот факт, что злоумышленник может владеть устройством сколь угодно долго и, возможно, получить множество других образцов для тестирования и практики, означает, что полностью исключить вмешательство со стороны достаточно мотивированного противника невозможно. По этой причине одним из наиболее важных элементов защиты системы является общая конструкция системы. В частности, устойчивые к несанкционированному вмешательству системы должны « изящно выходить из строя », гарантируя, что взлом одного устройства не поставит под угрозу всю систему. Таким образом, злоумышленник может быть практически ограничен атаками, стоимость которых превышает ожидаемую прибыль от взлома одного устройства. Поскольку стоимость самых сложных атак оценивается в несколько сотен тысяч долларов, тщательно спроектированные системы на практике могут оказаться неуязвимыми.

В Соединенных Штатах спецификации закупок требуют наличия функций защиты от несанкционированного доступа (AT) в военных электронных системах. ^[1]

УЦП

Защита от несанкционированного доступа находит применение в смарт-картах , телевизионных приставках и других устройствах, использующих управление цифровыми правами (DRM). В этом случае речь идет не о том, чтобы пользователь не сломал оборудование или не поранился, а либо о том, чтобы не дать пользователю извлечь коды, либо получить и сохранить декодированный битовый поток. Обычно это достигается за счет того, что многие функции подсистемы скрыты внутри каждого чипа (так что внутренние сигналы и состояния недоступны) и за счет шифрования шин между чипами. ^{[ нужна цитата ]}

Механизмы DRM также во многих случаях используют сертификаты и криптографию с асимметричным ключом . Во всех таких случаях устойчивость к несанкционированному вмешательству означает запрет пользователю доступа к действительным сертификатам устройства или открытым и закрытым ключам устройства. Процесс повышения устойчивости программного обеспечения к несанкционированному вмешательству называется «защитой от несанкционированного доступа к программному обеспечению».

Упаковка

Иногда в упаковке требуется защита от несанкционированного доступа , например:

Этого требуют правила для некоторых фармацевтических препаратов.
Дорогостоящие товары могут стать объектом кражи.
Доказательства должны оставаться неизменными для возможного судебного разбирательства.

Устойчивость к несанкционированному вмешательству может быть встроена в упаковку или добавлена к ней . ^[3] Примеры включают:

Дополнительные слои упаковки (ни один слой или компонент не защищен от несанкционированного доступа).
Упаковка, для входа в которую требуются инструменты
Очень прочная и безопасная упаковка
Пакеты, которые невозможно повторно запечатать
Пломбы , защитные ленты и функции для защиты от несанкционированного доступа

Программное обеспечение

Программное обеспечение также считается устойчивым к несанкционированному вмешательству, если оно содержит меры, усложняющие обратный инжиниринг или не позволяющие пользователю изменять его вопреки желанию производителя (например, снимая ограничения на то, как его можно использовать). Одним из часто используемых методов является обфускация кода .

Однако эффективная защита от несанкционированного доступа в программном обеспечении намного сложнее, чем в аппаратном обеспечении, поскольку программной средой можно манипулировать практически в произвольной степени с помощью эмуляции.

В случае реализации доверенные вычисления сделают программный взлом защищенных программ по меньшей мере таким же трудным, как и аппаратный, поскольку пользователю придется взломать чип доверия, чтобы выдать ложные сертификаты, чтобы обойти удаленную аттестацию и запечатанное хранилище. Однако текущая спецификация ясно дает понять, что чип не должен быть защищен от любого достаточно сложного физического нападения; ^[4] то есть оно не должно быть таким же безопасным, как защищенное от несанкционированного доступа устройство.

Побочным эффектом этого является усложнение обслуживания программного обеспечения, поскольку обновления программного обеспечения необходимо проверять, а ошибки в процессе обновления могут привести к ложноположительному срабатыванию механизма защиты.

Смотрите также

Библиография

Смит, Шон; Вейнгарт, Стив (1999). «Создание высокопроизводительного программируемого безопасного сопроцессора». Компьютерная сеть . 31 (9): 831–860. CiteSeerX 10.1.1.22.8659 . дои : 10.1016/S1389-1286(98)00019-X.
Розетта, Джек Л. (1992). Улучшение упаковки с защитой от несанкционированного вскрытия: проблемы, тесты и решения. ISBN 978-0877629061.

Внешние ссылки

Защита от несанкционированного доступа – предостережение
Принципы проектирования защищенных от несанкционированного доступа процессоров смарт-карт
Недорогие атаки на защищенные от несанкционированного доступа устройства