 描述
设备不包含或包含不正确实现电路或传感器来检测和降低电压和时钟故障和保护敏感信息或软件包含在设备上。
扩展描述
设备可以支持特性,比如安全引导与硬件和固件支持补充。这包括建立信任链,从一个不可变的信任根检查下一个阶段的签名(最终操作系统和运行时软件)对黄金的价值转移控制。中间阶段通常设置系统在一个安全的状态通过配置多个访问控制设置。同样,安全逻辑锻炼一个调试或测试接口可以实现在硬件、固件,或两者兼而有之。设备需要防范错误攻击如故障电压和时钟故障,攻击者可能会使用系统为了妥协。
的关系
模式的介绍
 不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
保密
完整性
可用性
访问控制
|
技术的影响:获得特权或假设的身份;旁路保护机制;读记忆;修改内存;执行未经授权的代码或命令
|
|
示范例子
示例1
下面是一个代表的C代码片段secure-boot流的一部分。一个签名的runtime-firmware形象对黄金价值计算和比较。如果签名匹配,引导装载程序加载运行时固件。如果没有匹配,停止发生一个错误。如果底层硬件执行这段代码不包含任何电路或传感器来检测电压或时钟故障,攻击者可能推出一个错误注射攻击当签名检查正在发生(评论)标记的位置,导致绕过signature-checking过程。
… 如果(signature_matches) / / <故障 {
load_runtime_firmware ();
} 其他的 {
do_not_load_runtime_firmware ();
}
…
绕过安全启动后,攻击者可以获得系统攻击者不应该访问资产。
如果底层硬件检测到电压或时钟故障,信息可以用来防止故障的成功。
观察到的例子
| 参考 |
描述 |
|
|
缺乏anti-glitch保护允许攻击者绕过安全启动发动物理攻击和阅读eFuses保护。 |
潜在的缓解措施
阶段:体系结构和设计;实现
电路级,利用可调电路(委员会)或复制品剃须刀等特殊人字拖拖鞋有助于减轻故障攻击。在SoC工作或平台基础,水平传感器可以实现检测故障。实现冗余在安全敏感的代码(例如,检查执行)也可以帮助缓解故障攻击。
|
弱点Ordinalities
| Ordinality |
描述 |
|
主 |
(其他弱点的弱点存在独立的) |
检测方法
手动分析
把处理器在一个无限循环,然后紧接着指令不应该被执行,自循环预计不会退出。循环后,切换一个I / O(示波器监测目的),打印控制台消息,重新循环。注意,确保循环退出实际捕获的,许多NOP指令后应编码前的循环分支指令和I / O开关和print语句。
加旁注时钟由不同的时钟频率,直到出现异常。这可能是一个连续的频率变化或可能是一个周期。这里描述的单一循环方法。每1000时钟脉冲,时钟周期缩短10%。如果没有效果观察,宽度缩短20%。这个过程是持续增加10%,其中包括50%。注意,可以增加周期时间,秒每周期。
另外,电压是付保证金。注意电压可以增加或减少。增加电压限制,电路可能无法承受大幅增加电压。这个过程始于一个直流供应的减少5%的CPU芯片5毫秒重复1 khz。如果这没有影响,重复这个过程,但减少了10%。这个过程被重复减少10%增加到50%。如果没有观察到5毫秒,影响整个过程重复使用10毫秒脉冲。如果没有观察到的影响,这个过程重复在10毫秒的时间增量100毫秒脉冲。
尽管这些建议起点测试电路的缺点,限制可能需要进一步推动在设备损坏的风险。参见[ ref - 1217)描述的智能卡攻击一个时钟(14.6.2节)和使用电压故障(15.5.3节)。 |
动态分析与人工解释结果
在实际硬件可用的实现阶段,专业五金工具和仪器如ChipWhisperer确实可以用来检查平台是否容易受到电压和时钟故障攻击。 |
体系结构或设计审查
检查如果针对故障的保护仅仅转移攻击的目标。例如,假设一个关键认证程序,攻击者想要绕过保护给出修改某些构件在特定程序(如果绕过的例程,可以检查工件和找出攻击必须发生)。然而,如果攻击者绕过关键认证程序的能力,他们也有能力绕过其他保护程序,检查工件。基本上,根据这类保护类似于诉诸“晦涩的安全性”。 |
体系结构或设计审查
许多soc动态调整电压和频率都配备了一个内置的(dvf),可以通过软件控制电压和时钟。然而,已经有了攻击(如Plundervolt和CLKSCREW)这种dvf[为目标 ref - 1081][ ref - 1082]。在设计和实现阶段,需要检查这个电源管理功能的接口是否可以从贫穷的SW ( cwe - 1256),这将使攻击非常容易。 |
功能区域
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
引用
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
