案例 | 金融电子领域安然产品侧信道进击案例与思虑

北京理工大学 王安

随着数字经济的快速发展，金融电子化这一观点越来越多地涌如今人们的视野中。

利用电子技能为传统金融领域赋能，实现金融创新，是当前金融电子化的趋势所向。
数字经济的发达发展带动了家当和企业的集聚，同时也引发了各种安全威胁。

在数字经济时期，安全已经成为数字经济发展的基石之一。
密码、口令等安全技能在ATM机、POS机、智能卡、U盾等金融安全产品中的广泛运用，直接吸引了学术界、技能圈乃至黑客们的研究兴趣。
实际中，数字财产所依赖的安全产品极其随意马虎遭受侧信道攻击，该攻击紧张借助黑客持有的安全产品在实行口令操作、密码运算时花费的韶光、功耗，或者辐射的电磁波、发出的声音等物理信息来推测口令或密钥等敏感信息。
广义上讲，采取专业设备滋扰安全产品的电源、时钟，或通过激光和电磁波滋扰安全产品的芯片，从而实现身份校验步骤的跳过或敏感信息的规复，也属于侧信道攻击的范畴。

侧信道攻击的范例案例

作为一种新型的攻击手段，侧信道攻击可以绕过严谨的口令验证和繁芜的密码运算，直接规复口令和密钥，从而对金融安全设备构成了严重的威胁。
在金融电子化干系领域，出身了许多侧信道攻击的范例案例。

1.针对智能卡的侧信道攻击案例

2009年，英国学者针对British High Street Bank发行的一款银行卡开展电源毛刺故障注入攻击。
他们在银行卡的供电电源上实现了一种振荡电路，考试测验采取特定的频率滋扰个中的随机数发生器。
实验结果表明，该银行卡输出随机数的随机性大大减弱，乃至涌现了连续数十位相同的数字。
在银行系统中，一旦随机数可以被掌握或预测，银行卡的安全性将大大降落。

2012年，荷兰学者对手机开机入网过程中手机SIM卡实行的认证算法开展研究，他们采集了该认证过程中实行COMP128-1密码算法时SIM卡花费的能量波形，利用能量信息与密码算法中间值之间的干系性来得到COMP128-1算法的密钥信息，终极规复出了SIM卡的完全密钥，从而实现SIM卡的复制。
图1为海内企业复现该攻击实验时搭建的实验平台，实际中，部分商用智能卡可通过该类平台实现攻击。

图1 用于手机SIM卡侧信道攻击的实验平台

2.针对U盾的侧信道攻击案例

名为“Titan”的U盾是谷歌于2018年发布的密码产品，个中内置了NXP公司的一款密码芯片。
2021年，法国研究职员通过采集和剖析Titan U盾实行数字署名过程中辐射出的电磁信息，精准定位了电磁波中的透露时候，并准确地得到了部分密钥信息，末了结合一些数学剖析手段成功规复了Titan U盾的完全密钥。

2021年，德国研究职员谈论了开源U盾的安全问题，共调研了7款开源的安全U盾，个中包括运用广泛的SoloKeys和Nitrokey。
不幸的是，各款U盾均被创造有不同程度的安全漏洞问题。
以SoloKeysSolo为例，该U盾在进行安全运算时采取了椭圆曲线数字署名算法，攻击者可通过不雅观察或剖析设备电磁波形，直接推测出该U盾正在实行的密钥信息，如图2所示。
此外，还创造部分U盾实行密码运算的韶光与参数长度存在线性关系，利用开源工具开展韶光侧信道攻击也可以成功规复U盾的密钥。

图2 已知U盾密钥为1（上图）和密钥为0（下图）时的电磁波形，以及待区分密钥对应的电磁波形（中图）

3.针对口令的侧信道攻击案例

随着口令在ATM机、POS机、手机支付等领域的广泛运用，针对于出口令的侧信道攻击也层出不穷，取得了明显的效果。
以ATM键盘为例，专家建议用户输入口令时用另一只手遮挡键盘，可防止偷窥或偷拍类攻击。
但是，人体按过键盘后会留下热量，待用户的手拿开后，攻击者可采取红外热敏感摄像头捕获键盘上残余的温度信息，从而得知用户按过哪几个键，乃至推断出其按键的先后顺序，如图3所示。

图3 按键“Password”20秒后的热成像照片

公开场合免费的一些公共资源如Wi-Fi中可能存在安全隐患。
2020年，上海交通大学学者创造，用户输入口令的手势会影响到空间中的Wi-Fi旗子暗记，攻击者得到Wi-Fi旗子暗记后即可以推断出用户输入的口令。
图4所示实验中，他们成功从Wi-Fi旗子暗记中规复出一定间隔外的用户在手机上输入的电子支付口令，同时他们还创造规复口令的准确率与旗子暗记源和用户之间的间隔有直接的关系。

图4 用Wi- Fi旗子暗记规复电子支付口令的场景

此外，智能可穿着设备的运动传感器也可能透露电子支付的口令信息。
2015年，美国学者创造佩戴智好手表的用户在键盘上敲击时，如图5所示，腕表中的陀螺仪、加速度计等传感器数据会透露他所敲击的信息。
现实中，攻击者较为随意马虎得到这些数据，由于智能设备中的传感器数据是对APP公开的。

图5 用户先按F键后按T键时，腕表的移动轨迹示意图

金融电子领域侧信道攻击防护思考

在IT行业，安全和效率每每是抵牾的。
金融电子产品在设计之初，每每考虑的是效率，厂商们一方面希望产品能够高效率地实现其根本功能，另一方面又希望产品快速完成设计并迅速抢占市场。
在这一过程中，安全每每被忽略了。

站在厂商的角度，应该在产品设计阶段充分考虑信息安全风险，将侧信道安全性纳入产品的整体设计中，识别和避免可能存在的侧信道透露风险。
技能上，可利用如掩码、伪操作、随机延时等专业技能手段来实现算法级的物理安全；管理上，可以聘请专业团队和检测机构对设计方案进行咨询和评审。
而站在行业协会或监管机构的角度，可以制订干系标准规范，并进行必要的检测认证，在金融电子化康健稳定发展的进程中发挥主要浸染。

习近平总布告在网络安全和信息化事情漫谈会上指出：“古往今来，很多技能都是‘双刃剑’，一方面可以造福社会、造福公民，另一方面也可以被一些人用来危害社会公共利益和民众利益。
”这一形象的比喻再次警示我们，技能的发展并非纯挚的进步，而是一项伴随着任务的义务。
金融电子化发展必须坚持安全第一的原则，该当进一步加强监管并开展法律法规的培植，以保障技能的康健发展和社会的和谐稳定。

（此文刊发于《金融电子化》2024年1月上半月刊）