單片機(jī)加密破解的常用方法及應(yīng)對策略

1、單片機(jī)加密破解的常用方法及應(yīng)對策略來源：單片機(jī)及嵌入式系統(tǒng)應(yīng)用 作者：52研究所 徐禮榮字體: 大 中小摘要：介紹了單片機(jī)內(nèi)部密碼破解的常用方法， 重點(diǎn)說明 了侵入型攻擊/物理攻擊方法的詳細(xì)步驟，最后，從應(yīng)用角度出發(fā)， 提出了對付破解的幾點(diǎn)建議。關(guān)鍵詞：單片機(jī)；破解；侵入型攻擊/物理攻擊 1 引言單片機(jī)（Microcontroller） 一般都有內(nèi)部ROM/EEPROM/FLASH供用戶存放程序。 為了防止未經(jīng)授權(quán)訪問或拷貝單片機(jī)的機(jī)內(nèi)程序， 大部分單片機(jī)都帶 有加密鎖定位或者加密字節(jié)，以保護(hù)片內(nèi)程序。如果在編程時加密鎖 定位被使能（鎖定），就無法用普通編程器直接讀取單片機(jī)內(nèi)的程序， 這就是所

2、謂拷貝保護(hù)或者說鎖定功能。事實(shí)上，這樣的保護(hù)措施很脆 弱，很容易被破解。單片機(jī)攻擊者借助專用設(shè)備或者自制設(shè)備，利用 單片機(jī)芯片設(shè)計(jì)上的漏洞或軟件缺陷， 通過多種技術(shù)手段，就可以從 芯片中提取關(guān)鍵信息，獲取單片機(jī)內(nèi)程序。因此，作為電子產(chǎn)品的設(shè) 計(jì)工程師非常有必要了解當(dāng)前單片機(jī)攻擊的最新技術(shù)，做到知己知 彼，心中有數(shù)，才能有效防止自己花費(fèi)大量金錢和時間辛辛苦苦設(shè)計(jì) 出來的產(chǎn)品被人家一夜之間仿冒的事情發(fā)生。2 單片機(jī)攻擊技術(shù)目前，攻擊單片機(jī)主要有四種技術(shù)，分別是：（1）軟件攻擊 該技術(shù)通常使用處理器通信接口并利用協(xié)議、 加密算法或這些算法中的安 全漏洞來進(jìn)行攻擊。軟件攻擊取得成功的一個典型事例是對早

3、期AT MEL AT89C系列單片機(jī)的攻擊。攻擊者利用了該系列單片機(jī) 擦除操作時序設(shè)計(jì)上的漏洞，使用自編程序在擦除加密鎖定位后， 停 止下一步擦除片內(nèi)程序存儲器數(shù)據(jù)的操作， 從而使加過密的單片機(jī)變成沒加密的單片機(jī)，然后利用編程器讀出片內(nèi)程序。（2）電子探測攻擊 該技術(shù)通常以高時間分辨率來監(jiān)控處理器在正常操作時所有 電源和接口連接的模擬特性，并通過監(jiān)控它的電磁輻射特性來實(shí)施攻 擊。因?yàn)閱纹瑱C(jī)是一個活動的電子器件，當(dāng)它執(zhí)行不同的指令時，對 應(yīng)的電源功率消耗也相應(yīng)變化。這樣通過使用特殊的電子測量儀器和 數(shù)學(xué)統(tǒng)計(jì)方法分析和檢測這些變化，即可獲取單片機(jī)中的特定關(guān)鍵信 息。（3）過錯產(chǎn)生技術(shù) 該技術(shù)使用異

4、常工作條件來使處理器出錯， 然后提供額外的訪問來進(jìn)行攻擊。使用最廣泛的過錯產(chǎn)生攻擊手段包 括電壓沖擊和時鐘沖擊。低電壓和高電壓攻擊可用來禁止保護(hù)電路工 作或強(qiáng)制處理器執(zhí)行錯誤操作。時鐘瞬態(tài)跳變也許會復(fù)位保護(hù)電路而 不會破壞受保護(hù)信息。電源和時鐘瞬態(tài)跳變可以在某些處理器中影響 單條指令的解碼和執(zhí)行。（4）探針技術(shù) 該技術(shù)是直接暴露芯片內(nèi)部連線，然后觀察、操控、干擾單片機(jī)以達(dá)到攻擊目的。為了方便起見，人們將以上四種攻擊技術(shù)分成兩類，一類是侵入型攻擊（物理 攻擊），這類攻擊需要破壞封裝，然后借助半導(dǎo)體測試設(shè)備、顯微鏡 和微定位器，在專門的實(shí)驗(yàn)室花上幾小時甚至幾周時間才能完成。所有的微探針技術(shù)都屬于侵

5、入型攻擊。另外三種方法屬于非侵入型攻 擊，被攻擊的單片機(jī)不會被物理損壞。在某些場合非侵入型攻擊是特 別危險的，這是因?yàn)榉乔秩胄凸羲柙O(shè)備通?？梢宰灾坪蜕墸虼朔浅Ａ畠r。 大部分非侵入型攻擊需要攻擊者具備良好的處理器知 識和軟件知識。與之相反，侵入型的探針攻擊則不需要太多的初始知識，而且通?？捎靡徽紫嗨频募夹g(shù)對付寬范圍的產(chǎn)品。因此，對單 片機(jī)的攻擊往往從侵入型的反向工程開始， 積累的經(jīng)驗(yàn)有助于開發(fā)更 加廉價和快速的非侵入型攻擊技術(shù)。3 侵入型攻擊的一般過程侵入型攻擊的第一步是揭去芯片封裝。有兩種方法可以達(dá)到這一目 的：第一種是完全溶解掉芯片封裝，暴露金屬連線。第二種是只移掉 硅核上面的塑料

6、封裝。第一種方法需要將芯片綁定到測試夾具上，借 助綁定臺來操作。第二種方法除了需要具備攻擊者一定的知識和必要 的技能外，還需要個人的智慧和耐心，但操作起來相對比較方便。 芯片上面的塑料可以用小刀揭開，芯片周圍的環(huán)氧樹脂可以用濃硝酸 腐蝕掉。熱的濃硝酸會溶解掉芯片封裝而不會影響芯片及連線。該過程一般在非常干燥的條件下進(jìn)行，因?yàn)樗拇嬖诳赡軙治g已暴露的 鋁線連接。 接著在超聲池里先用丙酮清洗該芯片以除去殘余硝酸， 然后用清水清洗以除去鹽分并干燥。沒有超聲池，一般就跳過這一步。 這種情況下，芯片表面會有點(diǎn)臟，但是不太影響紫外光對芯片的操作 效果。最后一步是尋找保護(hù)熔絲的位置并將保護(hù)熔絲暴露在紫外光

7、 下。一般用一臺放大倍數(shù)至少10 0倍的顯微鏡，從編程電壓輸入腳的連線跟蹤進(jìn)去，來尋找保護(hù)熔絲。若沒有顯微鏡，則采用將芯片的 不同部分暴露到紫外光下并觀察結(jié)果的方式進(jìn)行簡單的搜索。操作時 應(yīng)用不透明的紙片覆蓋芯片以保護(hù)程序存儲器不被紫外光擦除。將保護(hù)熔絲暴露在紫外光下510分鐘就能破壞掉保護(hù)位的保護(hù)作用， 之后，使用簡單的編程器就可直接讀出程序存儲器的內(nèi)容。對于使用了防護(hù)層來保護(hù)EEPROM單元的單片機(jī)來說， 使用紫外光復(fù)位 保護(hù)電路是不可行的。對于這種類型的單片機(jī)，一般使用微探針技術(shù) 來讀取存儲器內(nèi)容。在芯片封裝打開后，將芯片置于顯微鏡下就能夠 很容易的找到從存儲器連到電路其它部分的數(shù)據(jù)總線

8、。由于某種原 因，芯片鎖定位在編程模式下并不鎖定對存儲器的訪問。利用這一缺 陷將探針放在數(shù)據(jù)線的上面就能讀到所有想要的數(shù)據(jù)。在編程模式 下，重啟讀過程并連接探針到另外的數(shù)據(jù)線上就可以讀出程序和數(shù)據(jù) 存儲器中的所有信息。 還有一種可能的攻擊手段是借助顯微鏡和激 光切割機(jī)等設(shè)備來尋找保護(hù)熔絲，從而尋查和這部分電路相聯(lián)系的所 有信號線。由于設(shè)計(jì)有缺陷，因此，只要切斷從保護(hù)熔絲到其它電路 的某一根信號線，就能禁止整個保護(hù)功能。由于某種原因，這根線離 其它的線非常遠(yuǎn)，所以使用激光切割機(jī)完全可以切斷這根線而不影響 臨近線。這樣，使用簡單的編程器就能直接讀出程序存儲器的內(nèi)容。雖然大多數(shù)普通單片機(jī)都具有熔絲燒

9、斷保護(hù)單片機(jī)內(nèi)代碼的功能， 但由于通用低檔的單片機(jī)并非定位于制作安全類產(chǎn)品，因此，它們往往沒有提供有針對性的防范措施且安全級別較低。 加上單片機(jī)應(yīng)用場 合廣泛，銷售量大，廠商間委托加工與技術(shù)轉(zhuǎn)讓頻繁，大量技術(shù)資料 外瀉，使得利用該類芯片的設(shè)計(jì)漏洞和廠商的測試接口，并通過修改熔絲保護(hù)位等侵入型攻擊或非侵入型攻擊手段來讀取單片機(jī)的內(nèi)部 程序變得比較容易。4應(yīng)對單片機(jī)破解的幾點(diǎn)建議任何一款單片 機(jī)從理論上講，攻擊者均可利用足夠的投資和時間使用以上方法來 攻破。所以，在用單片機(jī)做加密認(rèn)證或設(shè)計(jì)系統(tǒng)時，應(yīng)盡量加大攻擊 者的攻擊成本和所耗費(fèi)的時間。這是系統(tǒng)設(shè)計(jì)者應(yīng)該始終牢記的基本原則。除此之外，還應(yīng)注意以

10、下幾點(diǎn)：（1）在選定加密芯片前，要充分調(diào)研，了解單片機(jī)破解技術(shù)的新進(jìn)展，包括哪些單片機(jī)是已經(jīng) 確認(rèn)可以破解的。盡量不選用已可破解或同系列、同型號的芯片。（2）盡量不要選用MCS51系列單片機(jī)， 因?yàn)樵搯纹瑱C(jī)在國內(nèi)的 普及程度最高，被研究得也最透。（3）產(chǎn)品的原創(chuàng)者，一般具有產(chǎn)量大的特點(diǎn)，所以可選用比較生僻、偏冷門的單片機(jī)來加大仿冒者 采購的難度。（4）選擇采用新工藝、新結(jié)構(gòu)、上市時間較短的單 片機(jī)，如ATMEL AVR系列單片機(jī)等。（5）在設(shè)計(jì)成本許可的條件下，應(yīng)選用具有硬件自毀功能的智能卡芯片， 以有效對付物理 攻擊。（6）如果條件許可，可采用兩片不同型號單片機(jī)互為備份， 相互驗(yàn)證，從而增加

11、破解成本。（7）打磨掉芯片型號等信息或者重新印上其它的型號，以假亂真。當(dāng)然，要想從根本上防止單片機(jī)被解密，程序被盜版等侵權(quán)行為發(fā)生，只能依 *法律手段來保障。= Fla$型單片機(jī)的加 密與解密作者：清華大學(xué)工程物理系陳萌萌2005年4月A版摘 要：隨著Flash型單片機(jī)的普及，單片機(jī)加密的技術(shù)已經(jīng)有了較大的 變化。本文以HCS12系列單片機(jī)為例，介紹一種典型的加解密機(jī)制， 并著重討論使用密碼加解密的方法以及相應(yīng)的用戶接口程序設(shè)計(jì)思路。關(guān)鍵詞：Flash型單片機(jī)；加密；解密；密碼 弓I言廠商利用 單片機(jī)進(jìn)行產(chǎn)品開發(fā)時，都會關(guān)心其代碼和數(shù)據(jù)的保密性?？紤]到用 戶 在編寫和調(diào)試代碼時所付出的時間和精

12、力，代碼的成本是不言而喻的。早期的單片機(jī)，代碼是交給芯片制造商制成掩膜ROM有兩種加密的機(jī)制，一是 徹底破壞讀取代碼的功能，無論是開發(fā)者還是 使用者都永遠(yuǎn)無法讀取其中的內(nèi)容。從 安全上來說，這種方式很徹 底，但是已經(jīng)無法檢查 ROM中的代碼了。另一種方法是不 公開讀取 方法，廠商仍可以讀取代碼。這種方式留有檢查代碼的可能性，但是 并不能 算是一種真正的“加密”， 被破解的可能性是存在的。 客觀 地講，一方面希望加密很徹底， 而另外一方面又希望留有檢查代碼的 可能，這是相互矛盾的要求。自Flash技術(shù)得到廣泛應(yīng)用以來，各類單片機(jī)制造商紛紛采用了多種不同的芯片 加密方法，對比掩膜 ROM 芯片來說

13、， Flash ROM 在線可編程特性使得芯片的加密和解密 方式 變得更加靈活和可 *。在 Flash 型單片機(jī)中，芯片的加密和解密工作 都是通過對 Flash ROM 的編程來完成的，由于用戶程序可以在線地 改寫ROM的內(nèi)容，可以編寫一套 加密和解密的小程序，隨用戶程序 下載到芯片中，通過運(yùn)行該程序，在線修改 Flash ROM勺內(nèi)容，對芯 片進(jìn)行加密和解密， 使整個的加解密過程更為簡單靈活。 Freescale 公司的HCS12單片機(jī)采用的加解密思路有一定的典型性， 我們對此作 了 一些研究，現(xiàn)以MC9S12DP25單片機(jī)為例，介紹Flash型單片機(jī) 的加密解密方法。BDM程序調(diào)試接口 F

14、reescale公司的很多單片機(jī) 都借用一種被稱為后臺調(diào)試模式（Background Debug Mode BDM作 為下載和調(diào)試程序的接口。BDM是一種單線調(diào)試模式，芯片通過一個引腳與編程器進(jìn)行通信。在 HCS12系列單 片機(jī)中，內(nèi)部都置有標(biāo) 準(zhǔn)的BDM調(diào)試模塊。 該模塊的有三種作用：1）對內(nèi)部存儲器的讀寫。將用戶程序下載到目標(biāo)芯片中或是將存儲器中的數(shù)據(jù)讀出。 2）對單片機(jī)工作方式和資源進(jìn)行配置。 部分涉及到單片機(jī)工作方式和資 源配置的寄存器只能在特殊模式下由編程器發(fā)送 BDM命令來修改。3）程序調(diào)試。利用BDM模塊可以讀寫內(nèi)存和 CPU內(nèi)部寄存器，調(diào)試 程序。在HCS12單片機(jī)未加密的狀態(tài)

15、下，使用 BDM硬件命令可以將 Flash ROM中的程序讀 出或?qū)⑿碌某绦驅(qū)懭?。BDM命令可以由獨(dú)立的 硬件系統(tǒng)來送出，我們一般稱此類系統(tǒng) 為BDM編程器。BDM編程器 的時序協(xié)議是公開的，任何人都可以根據(jù)協(xié)議設(shè)計(jì)硬件、編寫程序， 實(shí)現(xiàn)BDM編程器的功能。使用BDM接口，編程器可以很容易的訪問到 目標(biāo)系統(tǒng)的存儲器 ，這給程序調(diào)試和燒寫帶來了很大的方便， 然而， 便利的對外接口也給盜用者留下了 可乘之機(jī)。在帶有BDM模塊的單 片機(jī)中引入數(shù)據(jù)保密機(jī)制并非 HCS12系列的首創(chuàng)，先前的HC12系列 單片機(jī)的D家族中，就已經(jīng)引入了屏蔽Lockout BDM讀寫的機(jī)制，可 惜，該機(jī)制在 單片機(jī)的擴(kuò)展工

16、作模式下存在著漏洞。 相比之下， HCS12 系列單片機(jī)中的保密機(jī)制更 加完善，無論在BDM模式下或是擴(kuò)展模 式下，都可以屏蔽外部對Flash ROM勺讀寫。兩種加密解密方法 在 HCS12系列單片機(jī)中，加密可以分成兩種方法：完全加密和使用密碼 的加密。 這兩種加密的方法根據(jù)用戶的需求，使用的場合也有所不 同。完全加密 所謂完全加密，就是將芯片徹底的保護(hù)起來，屏蔽 對芯片的所有讀操作。在 MC9S12DP25單片機(jī)中，加密是通過對某 一 Flash單元（$FF0F）編程來實(shí)現(xiàn)的。加密后的芯片，BDM編程器 對Flash的讀操作就被禁止了。采用完全加密，讀取ROM代碼的可能性就不存在了，這是一種

17、最為“安全”的加 密方法。如果用戶想 修改ROM勺內(nèi)容，唯一的辦法就是將Flash的內(nèi)容全部擦除，這一 操 作可以通過BDM編程器來完成。 使用BDM編程器擦除Flash ROM和 EEPRO的過程與在普通模式下對片內(nèi)的 Flash ROM擦除操作過程基 本一樣，區(qū)別是對寄存器或是存儲單元的讀寫要改由BDM命令來實(shí)現(xiàn)。通過BDM編程器將一連串完整的擦除指令序列送給單片機(jī)，就 可將Flash ROM和EEPRO的內(nèi)容全部擦除了。 在全擦除操作完成 后，BDM編程器將系統(tǒng)復(fù)位，系統(tǒng)會自動檢查全擦除操作是否成功。如果成功，BDM犬態(tài)寄存器的UNSEC位會自動置“ 1”，系統(tǒng)進(jìn)入解 密狀態(tài)。 由于系統(tǒng)

18、*檢查Flash ROM和EEPRO是否清空來決定系統(tǒng) 是否保持加密狀態(tài)，所 以，如果用戶程序偶然將Flash ROM口 EEPROM 的內(nèi)容全部擦除，那么系統(tǒng)也將自動解密。使用密碼的加密 為了留有讀取ROM代碼的可能，用戶可以采用一種帶有密碼的加密方 式。解密時 ，用戶只要給出正確的密碼（稱為“后門密碼”），就 可以讀寫ROM而不破壞其內(nèi) 容了。使用這種方法，用戶需要在加 密之前，設(shè)定 4個字長的密碼，并將其存放在 Flash 中， MC9S12DP256 存放密碼的Flash地址是從$FF00到$FF07。設(shè)定的密碼可以隨用戶 程序一 起下載到芯片中。 解密時， 接受用戶輸入的密碼并驗(yàn)證的

19、工 作只能由一個用戶接口程序來完成的，不能使用BDM編程器。接口的方式?jīng)]有限制，如SCI、SPI、IIC、MSCA等等，只要用戶能夠?qū)?正確的密碼輸入， 任何一種接口方式都是可以的， 最為典型的接口是 串口。 假設(shè)接收的密碼存在變量 KEY0-KEY沖，驗(yàn)證密碼的程序如下： *TEST KEYS ;*TESTKE YS BSET FCNFG,$2 置 KEY AC為 1 LDD KEYO STD $FFOO LDD KEY2 STD $FF02 LDD KEY4 STD $FF04 LDD KEY6 STD $FF06 ;驗(yàn)證 KEYO-KE YECLRFCNFG,$20 清 KEY AC為

20、0 LDAAFSECANDA#$03 CMPA #$O2 BNE FAIL ; 是否驗(yàn)證成功？ SUCCESS ; 密碼驗(yàn)證成功 LDAA FSTAT ; 清除 Flash 狀態(tài)寄存器 ORAA #%00110000 STAA FSTAT LDAA #0 STAA FCNFG BRCLR FSTAT,$80,* LDD #$FFFE STD $FF0E ;改寫 加密狀 態(tài)， 復(fù)位 后系統(tǒng)不 再加密 LDAA #$20 STAA FCMDBSET FSTAT,#$80 ; 開始執(zhí)行 BRCLR FSTAT,$40,* RTS ; 返回 FAIL RTS 程序返回后， 如果用戶輸入的密碼和原值符合

21、， 系統(tǒng)將會把保密寄存 器FSEC的最 后兩 位SEC1:O改寫到未加密的狀態(tài)，系統(tǒng)自動解密。 如果驗(yàn)證沒有通過，系統(tǒng)將保持加 密狀態(tài)。 需要注意，不管使用哪 種方式將系統(tǒng)解密，解密后的系統(tǒng)雖然可以暫時讀取 Flash ，但是 由于單元$FFOF中的最后兩位仍處于加密狀態(tài)（全擦除后，“11”的組合仍為 加密狀態(tài)），系統(tǒng)在下次復(fù)位后，仍會回到加密的狀態(tài)， 所以為了徹底解密系統(tǒng)， 必 須改寫這兩位為“ 1O”。 整個程序的流 程如圖 1 所示。 圖 1 解密用戶接口程序流程圖 靈活使用帶密碼的 加密解密方法 通過研究我們發(fā)現(xiàn)，使用帶有密碼的加密方式，看似 給破解代碼留有了可能性， 但因?yàn)榻邮芎万?yàn)證密碼都需要由用戶程 序完成，只要用戶程序設(shè)計(jì)的可 * ，這種可能 性是很小的。 為了增 強(qiáng)用戶接口程序的可 *性和靈活性，我們提出以下幾種可能的設(shè)計(jì)思 路： 針對窮舉密碼的對策。MC9S12DP25的密碼長達(dá)8個字節(jié)，如果不將密碼限定在 ASCII 碼的范圍內(nèi)，那么可以選擇的密碼數(shù)量將 達(dá)到 1.8*1019 種。為了防患破解者窮舉密 碼，用戶可以設(shè)定允許 輸入錯誤密碼的次數(shù)，如果出錯超過一定次數(shù)，接口程序就不 再接 收新的密碼了。允許