Gutachten (PDF) - Professur Datenschutz und Datensicherheit ...
Gutachten (PDF) - Professur Datenschutz und Datensicherheit ...
Gutachten (PDF) - Professur Datenschutz und Datensicherheit ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
3 Angriffstechniken <strong>und</strong> -werkzeuge<br />
3.2.3 Einchip-Systeme<br />
Die Sicherheit von Einchip-Systemen (Abschnitt 2.2.3, Seite 27) wurde von den Herstellern ursprünglich<br />
nur dadurch begründet, dass dem Angreifer die Systembusleitungen nicht zugänglich<br />
sind <strong>und</strong> er daher nur über die externen Schnittstellen mit der Anwendungssoftware kommunizieren<br />
kann. Ferner wurde von den Herstellern darauf hingewiesen, dass in EEPROM-Speichern<br />
die geheime Software nicht optisch sichtbar ist <strong>und</strong> lediglich als sehr empfindliches Ladungsmuster<br />
aufbewahrt wird, das sich beim Abätzen der oberen Schutzschichten sofort verflüchtigen<br />
wird.<br />
Dennoch haben seit etwa 1994 regelmäßig Pay-TV-Piraten aus Chipkartenprozessoren mit gewissem<br />
Aufwand die geheimen Daten ausgelesen. Das Epoxid-Harz, in das der Chip eingebettet<br />
ist, kann mit rauchender Salpetersäure (> 98 % HNO 3) aufgelöst <strong>und</strong> mit Aceton entfernt werden<br />
[5]. Salpetersäure kann chemisch die in Siliziumchips eingesetzten Materialien Silizium,<br />
Siliziumoxid, Siliziumnitrit <strong>und</strong> Gold nicht angreifen. Das für Leiterbahnen auf den Chip aufgedampfte<br />
Aluminium überzieht sich sofort mit einer resistenten Schutzschicht (Al 2O 3) <strong>und</strong><br />
wird daher ebenfalls nicht geschädigt.<br />
Schon normale EEPROM-Mikrocontroller, die nicht speziell für Chipkarten- oder Sicherheitsanwendungen<br />
ausgelegt sind, versuchen, das unbefugte Auslesen der Daten zu verhindern. Sie<br />
verfügen über eine spezielle EEPROM-Speicherzelle mit einem Sicherheitsbit. Falls es gesetzt<br />
ist, wird das einfache Auslesen über die Programmierverifikationsfunktion des Prozessors<br />
verhindert. Jedoch ist immer noch bei vielen Mikrocontrollern dieses Sicherheitsbit in<br />
einer EEPROM-Zelle außerhalb der Fläche des normalen EEPROM-Speichers untergebracht.<br />
Der Angreifer muss daher nur die Chipverpackung wie beschrieben entfernen, den EEPROM-<br />
Speicher mit Farbe abdecken <strong>und</strong> die restliche Chipfläche mit UV-Licht bestrahlen, um das<br />
Sicherheitsbit zu löschen, ohne die Programmdaten zu vernichten. Anschließend können die<br />
Daten über den Programmiermodus ausgelesen werden. Diese Technik ist auch für Klasse-I-<br />
Angreifer durchführbar. Chipkartenprozessoren für Sicherheitsanwendungen verfügen aber in<br />
der Regel über bessere Schutzmechanismen.<br />
Auch wenn es sehr schwierig ist, die Potentiale der EEPROM-Speicherzellen einer zugänglichen<br />
Chipoberfläche direkt auszulesen, so ist es doch relativ leicht möglich, Zugriff zu den Busleitungen<br />
zu bekommen. Nachdem die Epoxid-Harz-Verpackung des Chips entfernt wurde, befindet<br />
sich zwischen der Metallisierungsschicht, in der die Aluminiumverbindungen zwischen<br />
den Transistoren liegen, <strong>und</strong> der Chipoberfläche nur noch eine Passivierungsschicht. Diese robuste<br />
isolierende Schutzschicht aus Siliziumnitrit oder Siliziumoxid schützt die tieferen Schichten<br />
vor Beschädigung, Umwelteinflüssen <strong>und</strong> Ionenmigration. Sie lässt sich aber sehr einfach<br />
durch UV-Laserbeschuss entfernen, wozu ein spezielles Mikroskop mit Laseraufsatz eingesetzt<br />
wird. Anschließend kann der Angreifer feine Mikroprobing-Metallnadeln unter einem stark<br />
vergrößernden Mikroskop auf einem vibrationsgedämpften Arbeitstisch auf die ihn interessierenden<br />
Busleitungen setzen. Diese 0,5–2 µm spitzen Nadeln können über einen Vorverstärker<br />
mit einem Logik-Analysator verb<strong>und</strong>en werden, der dann die Vorgänge auf dem untersuchten<br />
Prozessorbus aufzeichnet [37].<br />
Ein aufwendigeres Untersuchungsverfahren sind Elektronenstrahltester, bei denen der Chip<br />
wie in einem Elektronenrastermikroskop abgetastet wird [22]. Die Anzahl <strong>und</strong> Energie der<br />
von den Primärelektroden des Kathodenstrahls aus der Chipoberfläche herausgeschlagenen Sek<strong>und</strong>ärelektroden<br />
geben Auskunft über das lokale elektrische Potential. Auf dem Bildschirm<br />
50