GlobalPlatform TEE Protection Profile （PP）Version 1.2.1 A.3 攻击路径举例（一）

本文是对GlobalPlatform TEE Protection Profile （PP）Version 1.2.1 附录中A.3 攻击路径举例翻译的第一部分，主要翻译基于硬件的攻击路径。

 A.3 攻击路径举例

        本部分给出了一些基于硬件方法和软件方法的攻击实例，这些攻击有可能成功地对某些TEE的实现完成攻击识别步骤。攻击实施步骤不在本部分解释（攻击实施的内容概述在A.2中给出）。

 

A.3.1基于硬件的攻击路径

        本部分内容描述了几种基于硬件方法的攻击路径，他们有可能促成一个成功的攻击识别步骤。

 

A.3.1.1侧信道分析攻击

        本攻击的目标是从可信存储中恢复一个密码学密钥，该密钥用于保护某个可信应用（TA）的数据财产。 通过攻破可信存储具体实现中使用的密码学保护，可以提取相关密钥，例如，在可信存储执行操作时对TEE平台实施能量或电磁分析。攻击识别步骤所需满足的典型要求包括：

• 具备使用目标密钥实施密码学操作的能力；
• 对可信存储使用目标密钥执行的密码学操作能够测量数千次；
• 能够打开测量样本以便高效地恢复密钥，该密钥是可信存储实现所依赖的；
• 掌握用于TEE中可信存储使用的密码学协议或方案；
• 能够控制REE，以尽可能减小因REE代码执行所引入的噪声；
• 通过专用设备从SoC或封装设备外以及对位于设备附近的管脚和引线进行能量消耗或电磁辐射的度量与分析。

        注意：所有属于评估（PP的FCS_COP.1所提要求）范围以内的密码学操作，无论是TEE OS内部使用的还是通过API提供给TA使用的，均可成为侧信道分析的潜在目标。

 

A.3.1.2错误注入攻击

        错误注入攻击的目标是使用物理方法例如对输入信号（时钟、电源或重启）施加激光脉冲、电磁脉冲或电压毛刺，暂时性地破坏目标测试环境（TOE）的行为。这种破坏可以改变SoC的代码执行流或改变SoC所处理的数据表示，使得攻击者获益。

        错误注入攻击可以被用于绕过在TOE中软件实现的安全检查，如签名验证或防回滚检查，也可以用于攻击硬件加速器和从错误结果的分析中提取密码学密钥（例如差分错误分析DFA）。

        攻击识别步骤所需满足的典型要求包括：

• 侧信道分析能够识别和发现TOE的弱点或漏洞（不需要任何源代码）；
• 配置并启动错误注入攻击的测试（可能涉及数字示波器、脉冲生成器、错误注入方法等）：
• 配置测试设备使其物理接入目标组件（SoC或外部RAM）；
• 由于REE侧会运行若干进程，控制REE使其尽可能减小噪声，并控制TEE中的程序执行，以获得一个触发信号。

A．3.1.3 外部DRAM探测

        本攻击的目标是在AES使用TEE OS密码库计算过程中，恢复AES所使用的密钥值。假设RAM不在CPU封装结构中并且已知AES明文，攻击识别步骤所需满足的典型要求包括：

• 分析TOE样本以确定RAM的总线数据传输速率；
• 一个支持RAM数据速率的分析仪；
• 探测总线以读取和保存AES计算过程中处理和操作过的明文数据；
• 对明文的操作和处理实施相关性分析以恢复密密钥。

A．3.1.4 未保护的Debug接口

        本攻击的目标是通过一个硬件Debug设备直接访问、读取或修改TEE内存中的内容，并借助该方法仿照外部DRAM的探测攻击来查找一个可被软件利用的漏洞，或者修改执行进程中的某个值，该执行进程原本因为没有获得授权而无法执行特权动作。

        攻击识别步骤所需满足的典型要求包括：

• 通过JTAG访问系统并作分析；
• 分析TEE软件
• 或者查找出一个漏洞并设计相关利用方法，或者直接修改TEE内存内容以在未授权情况下改变进程实例的某个永久参数赋值。