Shedding too much Light on a Microcontroller’s Firmware Protection中文翻译
ARM芯片的FLASH读出保护机制(RDP)分为三个等级,分别是 Level 0/Level 1/Level 2。数字越大,代表保护级别越高。
其中,
Level 0:是原始配置,不施加任何限制。 调试接口处于激活状态,允许完全访问设备。 通常,此级别仅用于开发调试期间。
Level 1:使调试接口保持激活状态,但限制对FLASH的访问。 连接调试器后,FLASH将被锁定。 它既不能通过DMA直接读取也不能间接读取,也不能由CPU执行代码。 保护可以升级到Level 2,但也可以降级到RDP级别0,但代价是丢失所有FLASH内容。
Level 2:是最高的也是最严格的等级。调试接口被严格地永久地禁止使用,也就是说JATG/SWD接口全部关闭。同时在该级别不可能降级,也就是不可能降到Level 1或是Level 0.这是因为设置为level 2之后,芯片会自己烧掉Jtag保险丝的。
虽然Level 2是保护最为严密的,但是Level 1依然有存在的意义,这是因为经验表明,开发公司不喜欢完全锁定设备,因为这样就阻碍了后期维护和修复设备故障。此外,例如,STM32F1系列缺乏对RDP Level 2的支持。总而言之,这导致设备设置为 RDP Level 1。
Cold-Boot Stepping(CBS)攻击
芯片手册中保证,如果设置为Level 1,那么芯片在调试期间是开启FLASH读出保护的。人们可能很容易忽视,这个陈述仅涉及FLASH(ROM),而不涉及SRAM和外设。 Level 1中没有涉及这些组件行为信息的描述。
为了搞清楚上述的没有被定义的行为,把微控制器的protection level设置为RDP Level 1。这样我们一旦连接调试器,微控制器就会暂停,因为内核无法再从FLASH中获取任何指令。这样的行为符合datasheet中的描述。 然而,SRAM完全可读,附加调试器不会触发归零或触发任何保护机制。因此,问题在于SRAM中暴露的数据在多大程度上对系统安全构成威胁。
可读SRAM可被视为冷启动场景。 系统已停止运行,但数据仍驻留在内存RAM中。 存在一些简单的情况,其中SRAM中的秘密数据直接暴露。 这种情况不需要再说明了,因为威胁是不言而喻的。
这种通用的CBS方法可以通过使用几个技巧来控制代码执行和SRAM数据冻结。
主要步骤是:
1.重启系统,每一轮迭代前,先重启系统使系统处于初始状态。有以下几种方法重启系统
(a)关闭电源:完全复位(上电复位)只能通过电源循环执行。 它将允许系统再次从其闪存中访问和执行。
(b)置位复位:必须在系统上电之前置位,具体操作是把芯片的nrst引脚电平置低。 这允许芯片在启动时不开始执行代码。
(c)上电:系统在复位时上电。 内部电路准备开始执行,但被复位信号还是低的。
此时相当于一个冷启动过程。
2.运行系统(n·T),控制固件运行的精确时间(n·T)。
(a)取消复位:nrst引脚置高,开始执行固件代码/指令。
(b)等待(n·T):该软件在(n·T)的时间跨度内执行。 我们感兴趣的代码将被执行。
(c)置位复位:一旦时间结束,再次置位复位,操作同1(b)。 这会停止代码执行并重置CPU,但SRAM中的数据是持久的并且会被冻结。
3.转储内存,读出系统存储器(通常为SRAM)并写入上位机某个文件中。
(a)启动调试器,调试器在复位时连接到微控制器, 调试器控制(halt指令)并强制STM32进入永久停止模式。
(b)取消复位,操作同2(a),允许cpu核访问AHB系统总线和SRAM。 SRAM状态仍然保留,因为STM32在2(a)中被调试器暂停,既不启动也不继续执行。
(c)转储内存,调试器读取SRAM(xx命令)并将其数据写入上位机某个文件中。
4.n=n+1,完成这些步骤后,系统将准备下一次迭代。 因此,(n·T)的时间跨度增加一步到(n + 1)·T。
5.重复步骤:每次迭代都以增加的执行的持续时间。 执行迭代直到涵盖整个我们感兴趣的时间跨度。
设置原理图如图1所示。左侧的笔记本电脑协调了攻击。 它使用ST-LINK调试器连接到受攻击设备的调试接口。 笔记本电脑与攻击控制板有UART连接。 攻击控制板上的微控制器处理受攻击设备的复位线和电源。 接通和断开电源可能是困难的,因为受攻击的设备中的微控制器通常是较大设备的一部分,例如AC供电系统。 因此,我们采用了一个继电器,使攻击控制微控制器能够切换高电压和电流。
CBS要求具有微秒精度的精确计时,这是普通计算机系统无法提供的。即使使用RT-patched Linux内核,高时序抖动和可重复性也不尽如人意。因此,调试器无法控制执行的持续时间,因为计算机系统及其USB接口都不能保证实时操作。
因此,采用如图1所示的攻击控制板。其微控制器提供低抖动定时源,因为该系统主要用于连续控制。产生抖动的模块(例如,中断)被禁用,从而实现完全确定的定时行为。在每次迭代开始时,计算机系统将期望的执行持续时间发送到攻击控制板。接下来,它会自动启动受攻击的设备,等待配置的持续时间并再次停止设备。因此,时间关键任务由攻击控制板专门处理。这提供了亚微秒的精度。通过使用电路板,精确地步入选择的时刻变得可行。