[Zusammenfassung] Dieser Artikel stellt gängige Methoden zum Knacken interner Passwörter von Mikrocontrollern vor und konzentriert sich dabei auf die detaillierten Schritte invasiver/physischer Angriffe. Abschließend werden aus Anwendungssicht verschiedene Vorschläge zur Bekämpfung solcher Angriffe unterbreitet. [Schlüsselwörter] Mikrocontroller; Knacken; Invasiver/Physischer Angriff 1 Einleitung Mikrocontroller verfügen in der Regel über internen ROM/EEPROM/Flash-Speicher zur Speicherung von Programmen. Um unbefugten Zugriff auf oder das Kopieren des internen Programms zu verhindern, sind die meisten Mikrocontroller mit Verschlüsselungsbits oder -bytes geschützt. Ist das Verschlüsselungsbit während der Programmierung aktiviert (gesperrt), kann das Programm im Mikrocontroller nicht direkt mit einem herkömmlichen Programmiergerät ausgelesen werden; dies ist der sogenannte Kopierschutz. Tatsächlich sind solche Schutzmaßnahmen jedoch sehr schwach und leicht zu umgehen. Angreifer können mithilfe spezialisierter oder selbstgebauter Ausrüstung Schwachstellen im Chipdesign oder Softwarefehler ausnutzen und durch verschiedene technische Mittel Schlüsselinformationen aus dem Chip extrahieren, um so das interne Programm des Mikrocontrollers zu erhalten. Daher ist es für Entwickler elektronischer Produkte unerlässlich, die neuesten Angriffstechniken für Mikrocontroller zu verstehen, um sich selbst und ihre Gegner zu kennen und gut informiert zu sein. So können sie effektiv verhindern, dass die Produkte, die sie mit viel Zeit und Geld entwickelt haben, über Nacht gefälscht werden. 2. Angriffstechniken für Mikrocontroller Aktuell gibt es vier Haupttechniken für Angriffe auf Mikrocontroller: (1) Softwareangriff Diese Technik nutzt in der Regel die Kommunikationsschnittstelle des Prozessors und greift Sicherheitslücken in Protokollen, Verschlüsselungsalgorithmen oder diesen Algorithmen an. Ein typisches Beispiel für einen erfolgreichen Softwareangriff ist der Angriff auf die frühen Mikrocontroller der ATMEL AT89C-Serie. Angreifer nutzten eine Schwachstelle im Timing-Design der Löschoperation dieser Mikrocontroller-Serie aus. Mithilfe eines selbstgeschriebenen Programms verhinderten sie den nächsten Löschschritt im On-Chip-Programmspeicher nach dem Löschen des Verschlüsselungs-Lockbits. Dadurch wurde der verschlüsselte Mikrocontroller unverschlüsselt. Anschließend konnten sie mit einem Programmer das On-Chip-Programm auslesen. (2) Elektronischer Sondierungsangriff: Diese Technik überwacht üblicherweise die analogen Eigenschaften aller Stromversorgungs- und Schnittstellenverbindungen des Prozessors während des normalen Betriebs mit hoher zeitlicher Auflösung und führt Angriffe durch Überwachung seiner elektromagnetischen Strahlungseigenschaften durch. Da ein Mikrocontroller ein aktives elektronisches Gerät ist, ändert sich sein Stromverbrauch entsprechend der Ausführung verschiedener Befehle. Durch die Analyse und Erkennung dieser Änderungen mithilfe spezieller elektronischer Messgeräte und mathematisch-statistischer Methoden können spezifische Schlüsselinformationen im Mikrocontroller gewonnen werden. (3) Fehlererzeugungstechniken: Diese Technik nutzt anormale Betriebsbedingungen, um Fehlfunktionen des Prozessors hervorzurufen und so zusätzlichen Zugriff für den Angriff zu erhalten. Zu den am häufigsten verwendeten Fehlererzeugungstechniken gehören Spannungs- und Taktspitzen. Angriffe mit niedriger und hoher Spannung können verwendet werden, um Schutzschaltungen zu deaktivieren oder den Prozessor zu fehlerhaften Operationen zu zwingen. Taktspitzen können Schutzschaltungen zurücksetzen, ohne geschützte Informationen zu zerstören. Spannungs- und Taktspitzen können die Dekodierung und Ausführung einzelner Befehle in einigen Prozessoren beeinträchtigen. (4) Sondierungstechniken: Diese Technik legt die interne Verdrahtung des Chips direkt frei und beobachtet, manipuliert und stört den Mikrocontroller, um das Ziel des Angriffs zu erreichen. Zur Vereinfachung werden die oben genannten vier Angriffstechniken in zwei Kategorien unterteilt. Die erste Kategorie umfasst invasive Angriffe (physische Angriffe). Diese Angriffsart erfordert das Öffnen des Gehäuses und den Einsatz von Halbleiterprüfgeräten, Mikroskopen und Mikropositionierern. Dies kann in einem spezialisierten Labor mehrere Stunden oder sogar Wochen dauern. Alle Mikrosondierungstechniken fallen unter die Kategorie der invasiven Angriffe. Die drei anderen Methoden sind nicht-invasive Angriffe, bei denen der angegriffene Mikrocontroller nicht physisch beschädigt wird. Nicht-invasive Angriffe sind in bestimmten Situationen besonders gefährlich, da die benötigte Ausrüstung oft selbstgebaut und aufrüstbar ist, was sie sehr kostengünstig macht. Die meisten nicht-invasiven Angriffe erfordern vom Angreifer gute Prozessor- und Softwarekenntnisse. Invasive Sondenangriffe hingegen benötigen keine umfangreichen Vorkenntnisse und können oft gegen eine Vielzahl von Produkten mit ähnlichen Techniken eingesetzt werden. Daher beginnen Angriffe auf Mikrocontroller häufig mit invasivem Reverse Engineering, und die gesammelten Erfahrungen helfen bei der Entwicklung kostengünstigerer und schnellerer nicht-invasiver Angriffstechniken. 3. Der allgemeine Ablauf invasiver Angriffe: Der erste Schritt eines invasiven Angriffs ist das Entfernen des Chipgehäuses. Es gibt zwei Methoden, dies zu erreichen: Die erste besteht darin, das Chipgehäuse vollständig aufzulösen und die Metallverbindungen freizulegen. Die zweite Methode besteht darin, nur die Kunststoffhülle über dem Siliziumkern zu entfernen. Die erste Methode erfordert, den Chip mithilfe einer Bondstation auf einer Testvorrichtung zu befestigen. Die zweite Methode erfordert neben bestimmten Kenntnissen und Fähigkeiten des Angreifers auch Geschick und Geduld, ist aber vergleichsweise einfacher durchzuführen. Der Kunststoff auf dem Chip kann mit einem Messer abgezogen und das Epoxidharz um den Chip herum mit konzentrierter Salpetersäure weggeätzt werden. Heiße, konzentrierte Salpetersäure löst die Chipverkapselung auf, ohne den Chip oder seine Verbindungen zu beeinträchtigen. Dieser Vorgang wird in der Regel unter sehr trockenen Bedingungen durchgeführt, da Wasser die freiliegenden Aluminiumdrahtverbindungen korrodieren kann. Anschließend wird der Chip zunächst in einem Ultraschallbad mit Aceton gereinigt, um restliche Salpetersäure zu entfernen, dann mit Wasser gespült, um Salze zu entfernen, und getrocknet. Steht kein Ultraschallbad zur Verfügung, wird dieser Schritt üblicherweise übersprungen. In diesem Fall wird die Chipoberfläche leicht verschmutzt sein, was die Effektivität der UV-Licht-Bestrahlung jedoch nicht wesentlich beeinträchtigt. Im letzten Schritt wird die Schutzsicherung lokalisiert und mit UV-Licht bestrahlt. Dies geschieht üblicherweise mit einem Mikroskop mit mindestens 100-facher Vergrößerung, indem die Verbindung vom Programmierspannungseingang verfolgt wird. Steht kein Mikroskop zur Verfügung, kann die Suche vereinfacht werden, indem verschiedene Bereiche des Chips mit UV-Licht bestrahlt und die Ergebnisse beobachtet werden. Während des Betriebs sollte der Chip mit einem undurchsichtigen Blatt Papier abgedeckt werden, um den Programmspeicher vor dem Löschen durch UV-Licht zu schützen. Durch die Bestrahlung der Schutzsicherung mit ultraviolettem Licht für 5–10 Minuten wird die Schutzfunktion des Schutzbits aufgehoben. Anschließend kann der Inhalt des Programmspeichers direkt mit einem einfachen Programmiergerät ausgelesen werden. Bei Mikrocontrollern, die eine Schutzschicht zum Schutz der EEPROM-Einheit verwenden, ist das Zurücksetzen der Schutzschaltung mit UV-Licht nicht möglich. Für diese Art von Mikrocontroller wird üblicherweise die Mikrosonde-Technologie zum Auslesen des Speicherinhalts verwendet. Nach dem Öffnen des Chipgehäuses lässt sich der Datenbus, der den Speicher mit anderen Schaltungsteilen verbindet, unter einem Mikroskop leicht finden. Aus unbekannten Gründen sperrt das Chip-Lock-Bit den Speicherzugriff im Programmiermodus nicht. Dieser Fehler wird ausgenutzt, indem man die Messspitze an die Datenleitung hält und so alle gewünschten Daten auslesen kann. Im Programmiermodus ermöglicht ein Neustart des Lesevorgangs und das Anschließen der Messspitze an eine andere Datenleitung das Auslesen aller Informationen im Programm- und Datenspeicher. Eine weitere Angriffsmethode besteht darin, mithilfe von Mikroskopen und Laserschneidern die Sicherung zu lokalisieren und anschließend alle mit diesem Schaltungsteil verbundenen Signalleitungen zu suchen. Aufgrund eines Konstruktionsfehlers kann das einfache Durchtrennen einer Signalleitung von der Sicherung zu anderen Schaltungen die gesamte Schutzfunktion deaktivieren. Aus unbekannten Gründen ist diese Leitung sehr weit von den anderen Leitungen entfernt, sodass sie mit einem Laserschneider durchtrennt werden kann, ohne die benachbarten Leitungen zu beeinträchtigen. Dadurch lässt sich der Inhalt des Programmspeichers direkt mit einem einfachen Programmiergerät auslesen. Obwohl die meisten herkömmlichen Mikrocontroller über eine Schutzfunktion für den internen Code durch das Durchbrennen von Sicherungen verfügen, weisen sie aufgrund ihrer fehlenden Auslegung für Sicherheitsprodukte oft ein niedriges Sicherheitsniveau auf und verfügen daher nicht über gezielte Präventivmaßnahmen. Die weite Verbreitung und die hohen Verkaufszahlen von Mikrocontrollern, die häufige Auftragsfertigung und der Technologietransfer zwischen Herstellern sowie das Durchsickern großer Mengen technischer Informationen erleichtern zudem die Ausnutzung von Design-Schwachstellen in diesen Chips und den Testschnittstellen der Hersteller. So lässt sich das interne Programm von Mikrocontrollern durch invasive oder nicht-invasive Angriffe, wie beispielsweise die Manipulation von Sicherungsschutzbits, auslesen. 4. Empfehlungen zum Umgang mit Mikrocontroller-Hacking: Theoretisch kann jeder Mikrocontroller mit ausreichendem Aufwand und Zeit mithilfe der oben genannten Methoden gehackt werden. Daher sollten bei der Verwendung von Mikrocontrollern für die Verschlüsselungsauthentifizierung oder die Systementwicklung die Kosten und der Zeitaufwand für Angreifer minimiert werden. Dies ist ein grundlegendes Prinzip, das Systementwickler stets berücksichtigen sollten. Zusätzlich sollten folgende Punkte beachtet werden: (1) Vor der Auswahl eines Verschlüsselungschips sollten Sie sich gründlich über die neuesten Entwicklungen im Bereich der Mikrocontroller-Knackertechnologie informieren und herausfinden, welche Mikrocontroller nachweislich angreifbar sind. Vermeiden Sie Chips, die angreifbar sind oder aus derselben Serie bzw. demselben Modell stammen. (2) Vermeiden Sie Mikrocontroller der MCS51-Serie, da diese in China am weitesten verbreitet und am besten erforscht sind. (3) Originalhersteller produzieren in der Regel in großen Stückzahlen. Daher können Sie weniger verbreitete Mikrocontroller wählen, um es Fälschern zu erschweren, diese zu erwerben. (4) Wählen Sie Mikrocontroller, die neue Fertigungsprozesse und Strukturen nutzen und erst seit Kurzem auf dem Markt sind, wie z. B. Mikrocontroller der ATMEL AVR-Serie. (5) Sofern die Entwicklungskosten es zulassen, sollten Sie Smartcard-Chips mit Hardware-Selbstzerstörungsfunktion wählen, um physische Angriffe effektiv abzuwehren. (6) Sofern die Bedingungen es zulassen, können zwei Mikrocontroller unterschiedlicher Modelle als Backups verwendet und gegeneinander verifiziert werden, wodurch die Kosten für das Knacken erhöht werden. (7) Das Entfernen der Chipmodellinformationen oder das Aufdrucken anderer Modellnummern dient der Herstellung einer Fälschung. Um die Entschlüsselung des Mikrocontrollers und die Programmpiraterie grundsätzlich zu verhindern, sind legale Mittel jedoch unerlässlich. Zugehörigkeit des Autors: Navitas Machinery (Suzhou) Co., Ltd. Adresse: 4A, Kuachun Industrial Park, Kuatang Town, Suzhou Industrial Park, 215122, China. E-Mail: [email protected]