ACK:安全芯片到底在保护什么?(下)_STACK

撰文|Cobo金库大掌柜在《安全芯片到底在保护什么?》中,我们讲了安全芯片能够生成真随机数来预防秘钥泄露。除此之外,相比较其他电子元器件,安全芯片还有一些特别的设计,用以抵御针对硬件的直接攻击。旁路攻击Side-ChannelAttack

旁路攻击是一种基于从密码系统的物理实现中获取信息的攻击方法。“物理实现”一般指直接对电路板进行信息侦测,从而破解秘钥。这里“信息侦测”包括时间间隔信息、功率消耗、电磁泄露或甚是声音等。一般的电子器件和电路对旁路攻击的防御非常薄弱。典型的案例:2019年4月,研究机构发现,高通的部分芯片的置信空间在遭受旁路攻击时,会导致秘钥泄露。攻击操作视频请戳:RSAPowerAnalysis-旁路攻击关于旁路攻击,掌柜的另一篇文章《离线电脑或手机VS专业硬件钱包》也展示了很多种旁路攻击窃取离线电脑或者手机中的私钥的攻击手段,可以参阅。针对旁路攻击,安全芯片使用地址串扰和数据加密存储的方式,防止直接从Flash读取数据;使用动态时钟防止计时攻击,用随机掩码和真伪操作混合的方式来消减功耗,电磁等信息的相关性,从而防止能量分析攻击和电磁分析攻击;还使用了混合布局布线,主动金属屏蔽层等手段,让旁路攻击几乎不可能实施。冷启动攻击ColdBootAttack

Worldcoin发布安全审计报告,称大部分问题均已修复:金色财经报道,Worldcoin公布安全审计报告称,从2023年4月开始,审计公司Nethermind和Least Authority对该协议进行了两次单独的安全审计。

其中Nethermind重点审计该协议的智能合约,包括 World ID 合约、World ID 状态桥、World ID 示例空投合约、Worldcoin 代币 (WLD) 赠款合约以及 WLD ERC-20 代币合约和其相关的归属钱包。在本次安全评估期间出现的 26 项中,92.6%(24 项)在验证阶段后被确定为已修复,同时一项已得到缓解,其余一项已得到确认。Least Authority发现了三个问题并提出了六项建议,所有这些“已经解决或计划解决”,Least Authority表示:“我们发现Worldcoin协议的加密组件总体上是经过精心设计和实施的。”[2023/7/29 16:05:35]

严格意义上来说,冷启动攻击也是旁路攻击的一种。冷启动攻击是在用冷启动的方式,重新启动计算机后,从系统中获取信息的一种攻击手段。这里“获取信息”获取的是RAM中的数据或者秘钥。攻击操作视频请戳:冷启动攻击冷启动攻击不仅仅在电脑上可以发挥作用,在手机等小型移动设备上一样可以发挥作用。从视频中可以看到,为了延长内存中数据存留的时间,实施冷启动攻击的时候,攻击者往往会用低温喷雾对内存进行降温。一般电路系统没有特殊的机制来防护这种攻击。但是在安全芯片中,有异常环境的检测模块。一旦遇到温度的急剧变化,会立即进行复位,擦除RAM上面的信息,从而对抗冷启动攻击。故障攻击FaultAttack

3月发生较典型安全事件超17起:据成都链安区块链安全态势感知系统Beosin-Eagle Eye数据监测显示,3月发生较典型安全事件超17起,涉及以太坊Defi安全、交易所安全、跑路问题,包含虚拟货币资产安全问题和用户数据安全问题。Defi共发生3起较典型安全事件:bZx闪电贷二度开花攻击,导致用户损失14万美元;以ETH作为抵押资产的MakerDao去中心化Defi项目清算,有1462场拍卖以0dai成交,导致平台共计损失780万美元;Defi项目Synthetix公开一个合约漏洞;交易所方面发生2起较典型安全事件:黑客田寅寅、李家东在数家交易所超1亿美元;OMNI链上出现新USDT假充值攻击;跑路、加密局方面共发生4起典型事件:有不法分子进行与新冠病有关的加密局;BTC出现虚假二维码局;雪碧交易所上线空气币PETH且开盘归零,涉案金额约40万人民币;区块链资金盘“硅谷区块鸡”疑似跑崩盘路;其他方面发生4起安全事件:加密投资基金Trident遭黑客攻击;微博用户5.23亿用户数据泄露;韩国发生涉及虚拟货币付款N号房事件;以太坊“一键发币”平台通过向开发的代币合约植入后门获得非法利润。[2020/4/3]

故障攻击是安全芯片运算过程中受到干扰时可能出现硬件故障或运算错误,利用这些故障行为或错误信息分析获取芯片内密钥和敏感信息的一种攻击方式。安全芯片内置了电压、频率的异常检测模块来防止故障攻击。此外,安全芯片还使用了真伪操作混合的方式进一步杜绝。芯片内同时发送真伪操作的结果,即使是实施了故障攻击,也难以分辨是伪操作还是真操作被实施了故障攻击后的结果。真操作的结果还会进行互相校验,一旦校验不通过,Flash会被擦除,所有机密信息也随之消失。除了防护以上的攻击方式,安全芯片还有其特殊的抗攻击设计,用以防护光攻击等各种其他攻击形式。综上所述,大家在选购硬件钱包的时候,建议选择使用了安全芯片的产品。掌柜会持续更新更多硬核又有趣的硬件钱包安全知识,不管对你有用没用,先关注了再说!参考链接:https://www.youtube.com/https://www.youtube.com/https://www.nccgroup.trust/https://www.researchgate.net/https://en.wikipedia.org/https://www.ledger.com/http://www.bjgm.gov.cn/

声音 | V神:PoS将使以太坊比比特币更加安全:Vitalik Buterin在以太坊开发者大会Devcon 5上表示,在以太坊区块链中实施权益证明(PoS)共识算法后,潜在攻击的成本较高,以太坊将比比特币更加安全。(cointelegraph)[2019/10/12]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:519ms