변조 방지
Tamperproofing |
개념적으로 변조 방지는 장치에 대한 무단 접근이나 보안 시스템의 우회 등을 방해, 저지 또는 탐지하기 위해 사용되는 방법론이다.어떤 기기나 시스템은 충분한 지식, 장비, 시간을 가진 사람에 의해 기포될 수 있기 때문에, 변조 당사자의 자원에 대한 어느 정도의 제한이 명시적이거나 가정되지 않는 한, "투과 방지"라는 용어는 잘못된 명칭이다.
변조 저항은 제품, 패키지 또는 시스템의 정상적인 사용자나 그것에 물리적으로 접근할 수 있는 다른 사용자에 의한 변조(고의적인 오작동 또는 파괴 행위)에 대한 저항이다.
변조 저항은 특수 드라이브가 장착된 나사와 같은 간단한 기능, 작동 불능 상태가 되거나 개별 칩 사이의 모든 데이터 전송을 암호화하는 더 복잡한 장치 또는 특수 공구와 지식이 필요한 재료의 사용에서 비롯된다.변조 방지 장치 또는 기능은 패키지 또는 제품 변조를 방지하기 위한 패키지에서 흔히 볼 수 있다.
탐침 방지 장치에는 변조 저항, 변조 탐지, 변조 대응 및 변조 증거라는 하나 이상의 구성 요소가 있다.[1]일부 애플리케이션에서 기기는 변조 방지가 아니라 변조 방지가 확실하다.
변조
변조에는 제품, 패키지 또는 시스템의 의도적인 변경 또는 혼입이 포함된다.해결책에는 제품 생산, 포장, 유통, 물류, 판매 및 사용의 모든 단계가 포함될 수 있다.어떤 단일 솔루션도 "투과 방지"로 간주할 수 없다.종종 변조 위험을 줄이기 위해 여러 단계의 보안이 해결되어야 한다.[2]
일부 고려사항에는 다음이 포함될 수 있다.
- 잠재적인 도청자가 누구인지 밝혀내라: 평균적인 사용자, 어린이, 잘못된 조커, 파괴자, 조직 범죄자, 테러리스트, 부패한 정부.그들이 가지고 있는 지식, 자료, 도구 등은 어느 정도 수준일까?
- 제품, 패키지 또는 시스템에 대한 모든 가능한 무단 액세스 방법을 확인한다.주요 진입 수단 외에 2차 또는 "백도어" 방법도 고려한다.
- 관심 제품 또는 시스템에 대한 액세스를 제어하거나 제한하십시오.
- 변조 저항을 개선하여 변조를 더 어렵고 시간이 많이 걸리는 등의 문제를 해결하십시오.
- 변조 존재를 나타내는 변조 확인 기능을 추가하십시오.
- 사람들이 조작의 증거를 찾도록 교육하라.
방법들
기계적인
일부 장치에는 접근을 방지하기 위한 비표준 나사 또는 볼트가 포함되어 있다.전화 교환 캐비닛(육각 소켓이 맞는 삼각 볼트 헤드가 있음) 또는 실외 전기 분배 변압기에 대한 도어를 고정하는 데 사용되는 5면 헤드가 있는 볼트가 그 예다.표준 Torx 나사 헤드는 표준 Torx 드라이버를 제외한 가운데 핀을 사용하여 변조 방지 형태로 만들 수 있다.다양한 다른 보안 나사 헤드는 가전제품과 같은 장치의 내부를 무심코 접근하지 못하도록 고안되었다.
전기적
이러한 유형의 변조 저항은 도난 경보에서 가장 흔하게 발견된다.대부분의 트립 장치(예: 압력 패드, 패시브 적외선 센서(동작 검출기), 도어 스위치)는 구성에 따라 일반적으로 개방되거나 일반적으로 닫혀 있는 두 개의 신호 와이어를 사용한다.이 센서들은 때때로 전원이 필요하기 때문에 케이블 실행을 간소화하기 위해 멀티 코어 케이블을 사용한다.일반적으로 4개의 코어는 전원이 필요한 장치(전원이 필요 없는 장치에는 예비 2개가 있음)에 충분하지만, 추가 코어가 있는 케이블을 사용할 수 있다.이러한 추가 코어는 경보 시스템의 특수 소위 "탐퍼 회로"에 연결할 수 있다.변조 회로는 장치나 배선에 장애가 감지될 경우 경보를 발생시키기 위해 시스템에 의해 모니터링된다.장치 및 제어판 인클로저에는 안티탐퍼 스위치가 장착될 수 있다.침입자는 지정된 장치를 우회하여 경보를 트리거할 위험을 실행한다.
일부 도난 경보에 사용될 수 있는 이동 감지기, 틸트 감지기, 공기압 센서, 조명 센서 등과 같은 센서도 방해를 방해하기 위해 폭탄에 사용될 수 있다.
안전
거의 모든 가전제품과 액세서리는 스크루드라이버(또는 손톱 파일이나 부엌칼과 같은 대체품)를 사용해야 열 수 있다.이는 장비를 개방할 때 부주의하거나 위험을 알지 못하는 어린이 및 기타 사람들이 장비를 개방하거나 (예를 들어 감전, 화상 또는 절단 등으로 인해) 스스로 다치거나 장비를 손상시키는 것을 방지한다.때때로(특히 소송을 피하기 위해) 제조업체는 더 나아가 표준 장비로는 풀 수 없는 변조 방지 나사를 사용한다.변조 방지 나사는 주로 다른 사람들에게 위험을 줄 수 있는 변조 또는 파괴 행위를 줄이기 위해 많은 공공 건물의 전기 설비에도 사용된다.
보증 및 지원
제조사가 의도하지 않은 방식으로 장비를 개조하여 장비를 파손한 사용자는 보증을 요청하기 위해 이를 부인하거나 (주로 PC의 경우) 헬프데스크에 연락하여 수리하도록 할 수 있다.조작이 확인된 봉인만으로도 이 문제를 해결할 수 있을 것이다.그러나 원격으로 쉽게 확인할 수 없으며, 많은 국가는 제조사가 여전히 장비를 수리해야 할 수 있는 법적 보증 조건을 가지고 있다.변조 방지 나사는 대부분의 일상적인 사용자들이 애초에 조작하는 것을 막을 것이다.미국에서는 매그너슨-모스 보증법이 제조사가 단지 변조 때문에 보증을 배뇨하는 것을 방지하고 있다.[citation needed]보증은 조작이 실제로 실패한 부분에 영향을 미쳐 고장을 일으킬 수 있는 경우에만 불명예가 될 수 있다.
칩스
변조 방지 마이크로프로세서는 개인 키나 전자화폐 신용과 같은 개인 정보나 민감한 정보를 저장하고 처리하는 데 사용된다.칩은 공격자가 정보를 검색하거나 수정하지 못하도록 외부 수단을 통해 정보에 접근할 수 없고 임베디드 소프트웨어만으로 접근할 수 있도록 설계돼 있어 적절한 보안 조치를 담아야 한다.
변조 방지 칩의 예로는 IBM 4758과 스마트카드에 사용되는 칩뿐만 아니라 Clipper 칩과 같은 모든 보안 암호화 프로세서가 포함된다.
다음과 같은 수많은 공격이 가능하기 때문에 단순한 전자 기기를 변조로부터 안전하게 만드는 것은 매우 어렵다는 주장이 제기되어 왔다.
- 다양한 형태의 물리적 공격(굴착, 드릴, 파일, 용제 등)
- 장치 동결
- 규격 범위를 벗어난 전압 또는 전력 서지를 적용
- 비정상적인 클럭 신호 적용
- 방사선을 사용한 소프트웨어 오류 유도(예: 마이크로파 또는 이온화 방사선)
- 특정 작동의 정확한 시간 및 전력 요구량 측정(전원 분석 참조)
변조 방지 칩은 보안 캡슐화 또는 규격 초과 환경 매개변수의 침투가 감지되는 경우 민감한 데이터(특히 암호키)를 영점화하도록 설계할 수 있다.칩은 심지어 전력 공급이 중단된 후에도 스스로 영점화할 수 있는 "콜드 제로화"로 평가될 수 있다.또한, 일부 암호제품에 사용되는 칩에 사용되는 맞춤형 캡슐화 방법은 내부적으로 사전 응력을 받는 방식으로 설계될 수 있으므로 간섭을 받으면 칩이 파열된다.[citation needed]
그럼에도 불구하고 공격자가 원하는 기간 동안 기기를 소지하고 있을 수 있고, 시험과 연습을 위해 수많은 다른 샘플을 얻을 수 있다는 사실은 충분히 동기부여된 상대의 조작을 완전히 제거하는 것은 불가능하다는 것을 의미한다.이 때문에, 시스템을 보호하는 데 있어서 가장 중요한 요소 중 하나는 전반적인 시스템 설계다.특히 변조 방지 시스템은 하나의 장치가 전체 시스템을 손상시키지 않도록 보장하여 "정상적으로 고장"해야 한다.이런 방식으로 공격자는 단일 기기를 손상시켜 예상된 수익보다 비용이 적게 드는 공격에 실질적으로 제한을 받을 수 있다.가장 정교한 공격은 수행하는데 수십만 달러가 들 것으로 추정되었기 때문에, 세심하게 설계된 시스템은 실제로 침입할 수 없을지도 모른다.
군대
미국의 모든 새로운 군사 프로그램에는 안티탐퍼(AT)가 필요하다.[1]
DRM
변조저항은 스마트카드, 셋톱박스, 디지털권리관리(DRM)를 사용하는 기타 장치 등에서 응용프로그램을 찾는다.이 경우 사용자가 기기를 파손하거나 스스로 다치는 것을 막는 것이 아니라 코드를 추출하는 것을 막거나 디코딩된 비트스트림을 획득해 저장하는 것이다.이는 대개 각 칩 안에 많은 서브시스템 기능을 매립하고(내부 신호와 상태에 접근할 수 없도록) 칩 사이의 버스를 암호화함으로써 이루어진다.[citation needed]
DRM 메커니즘은 또한 많은 경우에 인증서 및 비대칭 키 암호화를 사용한다.이러한 모든 경우에 변조 저항은 기기 사용자가 기기의 유효한 기기 인증서 또는 개인 키에 접근할 수 없도록 하는 것을 의미한다.소프트웨어를 변조 공격에 대해 견고하게 만드는 과정을 "소프트웨어 안티탐퍼"라고 한다.
포장
예를 들어, 포장 시 변조 저항성이 필요한 경우가 있다.
- 일부 의약품에 대한 규제는 그것을 필요로 한다.
- 가치가 높은 제품은 도난당할 수 있다.
- 가능한 법적 절차를 위해 증거는 수정되지 않은 채로 있어야 한다.
변조 저항은 포장에 내장하거나 포장에 추가할 수 있다.[3]예를 들면 다음과 같다.
- 여분의 포장 층(단일 층 또는 구성품이 "투과 방지"되지 않음)
- 도구를 입력해야 하는 포장
- 더욱 견고하고 안전한 포장
- 다시 봉인할 수 없는 패키지
- 변조 방지 씰, 보안 테이프 및 기능
포장의 변조 저항성은 해당 분야의 컨설턴트와 전문가에 의해 평가될 수 있다.또한, 다양한 패키지의 비교는 일반 대중들의 신중한 현장 테스트를 통해 이루어질 수 있다.
소프트웨어
소프트웨어는 역엔지니어링을 더 어렵게 하거나 사용자가 제조자의 뜻에 반하여 수정하지 못하도록 하는 조치를 담고 있을 때도 변조 방지가 있다고 한다(예를 들면, 사용 방법에 대한 제한을 없애는 것).일반적으로 사용되는 방법 중 하나는 코드 난독화다.
그러나 에뮬레이션의 사용으로 소프트웨어 환경을 거의 임의의 범위로 조작할 수 있기 때문에 소프트웨어의 효과적인 변조 저항은 하드웨어보다 훨씬 더 어렵다.
만약 구현된다면, 신뢰할 수 있는 컴퓨팅은 사용자가 원격 증명과 밀봉된 저장소를 우회하기 위해 잘못된 인증을 주기 위해 신뢰 칩을 해킹해야 하기 때문에 최소한 하드웨어 변조만큼 보호 프로그램의 소프트웨어 변조를 어렵게 할 것이다.그러나 현행 규격은 칩이 합리적으로 정교한 물리적 공격에 대해 변조 방지가 될 것으로 예상되지 않는다는 점을 분명히 하고 있다.[4] 즉, 변조 방지가 가능한 장치만큼 안전하지 않도록 의도된 것은 아니다.
이것의 부작용은 소프트웨어 업데이트를 검증해야 하고 업그레이드 프로세스의 오류가 보호 메커니즘의 거짓 양성 트리거로 이어질 수 있기 때문에 소프트웨어 유지보수가 더욱 복잡해진다는 것이다.
참고 항목
참조
- ^ a b 알테라"FPGA 설계에서의 탐퍼 방지 기능" 페이지 1.
- ^ Johnston, R G (1997). "Physical Security and Tamper-Indicating Devices". LA-UR-96-3827. Vulnerability Assessment Team, Los Alamos National Laboratory. Retrieved 30 August 2019.
- ^ Rosette, J L (2009), "Tamper-Evident Packaging", in Yam, K L (ed.), Encyclopedia of Packaging Technology, Wiley (published 2010), ISBN 978-0-470-08704-6
- ^ Microsoft Word – TPM 1_2 변경 final.doc
참고 문헌 목록
- Smith, Sean; Weingart, Steve (1999). "Building a High-Performance, Programmable Secure Coprocessor". Computer Networks. 31 (9): 831–860. CiteSeerX 10.1.1.22.8659. doi:10.1016/S1389-1286(98)00019-X.
- Rosette, Jack L (1992). Improving tamper-evident packaging: Problems, tests, and solutions. ISBN 978-0877629061.
외부 링크
| 일반 주제 | |
|---|---|
| 제품 꾸러미 | |
| 컨테이너 |
|
| 자재 그리고 구성 요소들 |
|
| 과정 | |
| 기계 | |
| 환경 사용 후 | |
