Tamperproofing - Tamperproofing

  (Omdirigert fra Tamper-motstand )

Tamperproofing , konseptuelt, er en metodikk som brukes for å hindre, avskrekke eller oppdage uautorisert tilgang til en enhet eller omgå et sikkerhetssystem. Siden en hvilken som helst enhet eller system kan bli foliert av en person med tilstrekkelig kunnskap, utstyr og tid, er uttrykket "sabotasjesikker" en feilnummer, med mindre noen begrensninger i sabotasjepartiets ressurser er eksplisitte eller antas.

En gjenstand som er sikret med spesielle skruehoder kan betraktes som manipulasjonssikker av tilfeldige forbipasserende, men kan fjernes av noen utstyrt med spesielt verktøy.

Tampermotstand er motstand mot manipulering (forsettlig funksjonssvikt eller sabotasje ) av enten de normale brukerne av et produkt, pakke eller et system eller andre med fysisk tilgang til det.

Motstand motstand varierer fra enkle funksjoner som skruer med spesielle stasjoner , mer komplekse enheter som gjør seg ubrukbare eller krypterer alle dataoverføringer mellom individuelle brikker, eller bruk av materialer som trenger spesialverktøy og kunnskap. Sikre-motstandsdyktige enheter eller funksjoner er vanlige på pakker for å avverge pakking eller produktfeil.

Anti-manipuleringsenheter har en eller flere komponenter: sabotasjemotstand, sporing av sabotasje, sabotasjonsrespons og sabotasjebevis. I noen applikasjoner er enheter bare sabotasjeaktive i stedet for sabotasjebestandige.


tukling

Maling innebærer bevisst endring eller forfalskning av et produkt, pakke eller system. Løsninger kan omfatte alle faser av produktproduksjon, emballasje , distribusjon, logistikk , salg og bruk. Ingen enkelt løsning kan betraktes som "manipuleringssikker". Ofte må flere nivåer av sikkerhet tas opp for å redusere risikoen for manipulering.

En sabotasjens tydelig etikett med et perforert tape som permanent viser en visuell 'VOID OPENED' -melding etter at den ble åpnet.

Noen hensyn kan omfatte:

  • Identifiser hvem en potensiell tukler kan være: gjennomsnittsbruker, barn, psykopat, feilaktig joker, saboteur, organiserte kriminelle, terrorister, korrupt regjering. Hvilket kunnskapsnivå, materiale, verktøy, etc. kan de ha?
  • Identifiser alle mulige metoder for uautorisert tilgang til et produkt, pakke eller et system. I tillegg til de viktigste innreisemidlene, bør du også vurdere sekundære eller "bakdør" -metoder.
  • Kontrollere eller begrense tilgangen til produkter eller systemer av interesse.
  • Forbedre sabotasjemotstanden for å gjøre sabotasje vanskeligere, tidkrevende osv.
  • Legg til tydelige funksjoner for å manipulere for å indikere at det er manipulering.
  • Lær folk å se etter bevis på manipulering.

metoder

Mekanisk

Noen enheter inneholder ikke-standard skruer eller bolter i et forsøk på å forhindre tilgang. Eksempler er telefonomkoblingsskap (som har trekantede bolthoder som en sekskantkontakt passer), eller bolter med 5-sidige hoder som brukes til å feste dører til utendørs elektrisk distribusjon transformatorer. Et standard skruehode fra Torx kan lages i en sabotasjebestandig form med en pinne i midten, noe som utelukker standard Torx-drivere. Diverse andre sikkerhetsskruehoder har blitt utviklet for å hindre tilfeldig tilgang til det indre av slike enheter som forbrukerelektronikk.

Elektrisk

Denne stilen med sabotasjebestandighet finnes ofte i innbruddsalarmer . De fleste trippeanordninger (f.eks. Trykkputer , passive infrarøde sensorer ( bevegelsesdetektorer ), dørbrytere ) bruker to signalledninger som, avhengig av konfigurasjon, normalt er åpne eller normalt lukket . Sensorene trenger noen ganger strøm, så for å forenkle kabelløp brukes flerkjernekabel. Selv om 4 kjerner normalt er nok for enheter som krever strøm (og etterlater to ekstra for dem som ikke gjør det), kan kabel med ekstra kjerner brukes. Disse ekstra kjernene kan kobles til en spesiell såkalt "sabotasjekrets" i alarmsystemet. Tamperkretser overvåkes av systemet for å gi en alarm hvis en forstyrrelse av enheter eller ledninger oppdages. Kapslinger til enheter og kontrollpaneler kan være utstyrt med manipulasjonsbrytere. Vil være inntrengere risikerer å utløse alarmen ved å prøve å omgå en gitt enhet.

Sensorer som bevegelsesdetektorer, vippedetektorer, lufttrykksensorer, lyssensorer, etc., som kan brukes i noen innbruddsalarmer, kan også brukes i en bombe for å hindre defusing.

Sikkerhet

Nesten alle apparater og tilbehør kan bare åpnes med bruk av en skrutrekker (eller en erstatningsartikkel som spikerfil eller kjøkkenkniv). Dette forhindrer barn og andre som er uforsiktige eller uvitende om farene ved å åpne utstyret fra å gjøre det og skade seg selv (fra elektriske støt, forbrenninger eller kutt, for eksempel) eller å skade utstyret. Noen ganger (spesielt for å unngå søksmål ) går produsentene lenger og bruker sabotasjebestandige skruer, som ikke kan løsnes med standardutstyr. Sikringsresistente skruer brukes også på elektriske beslag i mange offentlige bygninger, hovedsakelig for å redusere manipulering eller hærverk som kan føre til fare for andre.

Garantier og support

En bruker som bryter utstyr ved å endre det på en måte som ikke er beregnet av produsenten, kan benekte at de gjorde det, for å kreve garantien eller (hovedsakelig i tilfelle av PC-er) ringe helpdesk for hjelp til å fikse det. Tamper-tydelige seler kan være nok til å håndtere dette. Imidlertid kan de ikke lett sjekkes eksternt, og mange land har lovbestemte garantibetingelser som betyr at produsenter fortsatt kan ha service på utstyret. Sikringssikre skruer vil forhindre de fleste tilfeldige brukere i å manipulere i utgangspunktet. I USA hindrer Magnuson-Moss garantiloven produsenter fra å annullere garantier utelukkende på grunn av tukling. En garanti kan bli vanæret bare hvis manipuleringen faktisk påvirket delen som har sviktet, og kunne ha forårsaket feilen.

chips

Tamperresistente mikroprosessorer brukes til å lagre og behandle privat eller sensitiv informasjon, for eksempel private nøkler eller elektronisk pengekreditt. For å forhindre at en angriper henter eller modifiserer informasjonen, er brikkene designet slik at informasjonen ikke er tilgjengelig via eksterne midler og bare kan nås av den innebygde programvaren, som skal inneholde passende sikkerhetstiltak.

Eksempler på manipuleringsresistente brikker inkluderer alle sikre kryptoprocessorer , for eksempel IBM 4758 og brikker som brukes på smartkort , samt Clipper-brikken .

Det er blitt hevdet at det er veldig vanskelig å gjøre enkle elektroniske enheter sikre mot manipulering, fordi mange angrep er mulig, inkludert:

  • fysisk angrep av forskjellige former (mikroprobing, øvelser, filer, løsemidler osv.)
  • fryser enheten
  • bruke spenninger uten strøm eller strømstøt
  • bruke uvanlige klokkesignaler
  • indusere programvarefeil ved bruk av stråling (f.eks. mikrobølger eller ioniserende stråling )
  • måling av nøyaktige tids- og effektbehov for visse operasjoner (se strømanalyse )

Tamperresistente brikker kan være designet for å nullisere sine sensitive data (spesielt kryptografiske nøkler ) hvis de oppdager penetrering av sikkerhetsinnkapslingen eller miljøsparameter uten spesifikasjoner. En brikke kan til og med bli vurdert for "kald nullisering", muligheten til å nullisere seg selv etter at strømforsyningen er blitt ødelagt. I tillegg kan de skreddersydde innkapslingsmetodene som brukes for brikker som brukes i noen kryptografiske produkter, være utformet på en slik måte at de er forhåndsspent internt, slik at brikken vil sprekke hvis den forstyrres.

Ikke desto mindre betyr det at en angriper kan ha enheten i sin besittelse så lenge de vil, og kanskje skaffe mange andre prøver for testing og praksis, betyr at det er umulig å eliminere tukling av en tilstrekkelig motivert motstander. På grunn av dette er et av de viktigste elementene i å beskytte et system den generelle systemdesignen. Spesielt bør sabotasjebestandige systemer " mislykkes grasiøst " ved å sikre at kompromiss av en enhet ikke går ut over hele systemet. På denne måten kan angriperen være praktisk begrenset til angrep som koster mindre enn forventet avkastning fra å kompromittere en enkelt enhet. Siden de mest sofistikerte angrepene er anslått å koste flere hundre tusen dollar å utføre, kan nøye utformede systemer være sårbare i praksis.

Militær

Anti-sabotasje (AT) er påkrevd i alle nye militære programmer i USA

DRM

Tampermotstand finner anvendelse i smartkort , set-top-bokser og andre enheter som bruker digital rights management (DRM). I dette tilfellet dreier det seg ikke om å stoppe brukeren fra å bryte utstyret eller skade seg selv, men om å enten stoppe dem fra å trekke ut koder, eller skaffe og redde den dekodede bitstrømmen. Dette gjøres vanligvis ved å ha mange undersystemfunksjoner begravet i hver brikke (slik at interne signaler og tilstander er utilgjengelige) og ved å sørge for at bussene mellom brikkene er kryptert.

DRM-mekanismer bruker også sertifikater og asymmetrisk nøkkelkryptografi i mange tilfeller. I alle slike tilfeller betyr sabotasjemotstand å ikke gi enhetsbrukeren tilgang til gyldige enhetssertifikater eller offentlig-private nøkler på enheten. Prosessen med å gjøre programvare robust mot manipulering av angrep blir referert til som "programvare mot manipulering".

emballasje

Noen ganger er det nødvendig å motta motstandsdyktighet mot emballasje , for eksempel

  • Forskrift for noen legemidler krever det.
  • Produkter med høy verdi kan bli utsatt for tyveri.
  • Bevis må forbli uendret for mulig rettslig behandling.

Motstand mot manipulering kan bygges inn eller legges til emballasje . Eksempler inkluderer:

  • Ekstra lag med emballasje (ingen enkelt lag eller komponent er "manipuleringssikker")
  • Emballasje som krever verktøy for å komme inn
  • Ekstra sterk og sikker emballasje
  • Pakker som ikke kan lukkes
  • Egnede pakninger, sikkerhetsbånd og funksjoner

Tampemotstanden til emballasje kan evalueres av konsulenter og eksperter på faget. Sammenligninger av forskjellige pakker kan også gjøres ved nøye feltprøving av lekfolk.

programvare

Programvare sies også å være motstandsdyktig motstandsdyktig når den inneholder tiltak for å gjøre reversering vanskeligere, eller for å forhindre at en bruker modifiserer den mot produsentens ønsker (fjerner en begrensning for hvordan den kan brukes, for eksempel). En ofte brukt metode er kodetydighet .

Imidlertid er effektiv sabotasjemotstand i programvare mye vanskeligere enn i maskinvare, ettersom programvaremiljøet kan manipuleres i nesten vilkårlig grad ved bruk av emulering.

Hvis implementert, vil pålitelig databehandling gjøre programvarehindring av beskyttede programmer minst like vanskelig som tukling av maskinvare, ettersom brukeren må hacke tillitsbrikken for å gi falske sertifiseringer for å omgå ekstern attest og forseglet lagring. Imidlertid gjør den gjeldende spesifikasjonen det klart at brikken ikke forventes å være manipulasjonssikker mot noe rimelig sofistikert fysisk angrep; det vil si at den ikke er ment å være så sikker som en manipuleringsbestandig enhet.

En bivirkning av dette er at programvarevedlikehold blir mer komplekst, fordi programvareoppdateringer må valideres og feil i oppgraderingsprosessen kan føre til en falsk-positiv utløsing av beskyttelsesmekanismen.

Se også

referanser

Bibliografi

Eksterne linker