國產自主密碼產品 引領非接系統(tǒng)升級
文章出處:http://m.overnightmodel.com 作者:上海華虹集成電路有限責任公司 人氣: 發(fā)表時間:2011年10月07日
第一部分:M1安全事件回顧
目前,M1卡市場的規(guī)模是非常龐大的,全球銷售約20億張M1卡,并且擁有M1機具超過7百萬臺,其中,2008年中國M1市場銷售總量就約2.3億張。在M1卡的應用上也趨漸成熟,如證件、各類門禁、停車場、旅游景點卡等身份識別與管理方面約占總應用的45%,公交一卡通、高速公路收費、各種充值卡、消費卡等支付方面約占總應用的35%,門票、防偽、網吧等其他應用約占20%。
M1被破解事件:
2007年12月,K.Nohl和H.Plotz公布了對M1 芯片進行逆向工程和安全分析的部分結果,包括用于認證過程的隨機數產生方法和算法,并指出其中的48比特流密碼算法(即CRYPTO1)也已經被還原(但當時并沒有公開)。2008年3月,荷蘭奈梅亨Raboud大學(NRU)F.D.Garcia領導的研究小組還原出CRYPTO1算法和認證方法,并找到了攻擊M1 系統(tǒng)的有效方法,但當時沒有立即發(fā)表其研究結果。2008年10月,NRU在西班牙舉行的ESORICS 2008會議上發(fā)表了他們的研究結果。
M1事件的影響:
2008年8月,荷蘭內務部命令對M1 系統(tǒng)的安全性進行重新評估。歐洲部分重要工程受影響停工。 2008年底,中國國務院聯(lián)合發(fā)文,要求各大機關行業(yè)開展IC卡安全問題排查活動,要求及時發(fā)現并解決問題。在各大部委(工信部、建設部、交通部、國密局、安全部、公安部等)的組織下,各IC卡應用行業(yè)開始進行全面、系統(tǒng)的安全檢查。 國內各類重要門禁、一卡通等使用M1技術的智能卡系統(tǒng)受到了潛在的安全威脅。
常用的M1偽造/變造方式:
針對單一卡片的偽造/變造包括以下三種常用情況:
基本的M1偽造條件:
各種偽造分類的前提條件是偽造的核心是利用算法弱點,非法獲取密鑰。
密鑰攻擊前提:
第一,獲取算法已公開;
第二,了解算法和協(xié)議弱點:隨機數問題、協(xié)議缺陷、算法強度,也已公開;
第三,采錄合法讀卡器與卡的正常交易過程數據; 第四,計算密鑰。
解決安全問題的方法:
現有M1系統(tǒng)防護性技術措施:
最徹底的方法是建立自主系統(tǒng):
第二部分:基于國家自主算法的非接方案
在2006年,國家密碼管理局組織國內部分RFID及密碼相關企業(yè)共同發(fā)起成立了電子標簽密碼應用技術體系研究專項工作組。目標是建立基于國產自主密碼算法的RFID安全體系和應用原型。工作組提出了電子標簽及非接觸智能卡系統(tǒng)的密碼安全體系。建立了RFID系統(tǒng)安全性要求從低到高的一系列密碼方案。在卡端分別采用流密碼(SM7)、分組對稱密碼(SM1)和非對稱密碼(SM2)來構造不同安全等級要求的非接系統(tǒng)。
RFID應用系統(tǒng)原型:
RFID應用系統(tǒng)算法需求:
根據RFID應用系統(tǒng)的業(yè)務特點,可以總結出如下安全需求,并提出對應的算法需求。
SM7應用范圍:
SM7與M1的比較:
SM7適用于非接IC卡應用包括身份識別類應用(門禁卡、工作證、參賽證),票務類應用(大型賽事門票、展會門票),支付與通卡類應用(積分消費卡、校園一卡通、企業(yè)一卡通、公交一卡通)。
SM7系統(tǒng)升級:
方法:更換用戶卡;支持SM7算法的邏輯加密卡;讀卡器改造;通過軟件升級支持SM7認證、通信加密和流程處理;讀卡機硬件結構無需改動;更換SAM卡;支持SM1算法進行密鑰分散;支持SM7算法進行身份認證和通信加解密;后臺管理系統(tǒng)改造;應用支持SM7/SM1算法的加密機;支持SM7算法發(fā)卡;支持SM1算法進行128位密鑰分散。
SM7在大型賽事展會中的應用:
在大型賽事展會中算法使用:
SM7主要用于電子門票與讀寫器的安全認證與通信加密;使用SM1算法進行電子門票的密鑰分散,實現一票一密、一票多密;大型展會電子票務系統(tǒng)采用多級密鑰管理體制;支持多級SAM發(fā)行管理;支持多應用管理;支持多級SAM密鑰安全導入導出;支持128位密鑰分散;門票支持多組SM7密鑰;支持多級票務發(fā)行管理;支持多應用管理。
SM7電子門票文件系統(tǒng):
第三部分:華虹國產算法產品方案
華虹目前已有用于非接應用系統(tǒng)的芯片:
包括:首個通過國密局商密產品型號鑒定的SM7邏輯加密卡產品,SHC1112(SSX0904);符合ISO14443A標準;通信速率106kbps;EEPROM容量1k字節(jié);支持SM7分組加密算法;適用于電子門禁、門票、各類一卡通應用;可用作RFID系統(tǒng)SAM安全模塊的SSX47安全芯片。
華虹產品方案:
華虹作為國家密碼管理局商用密碼產品定點生產與銷售單位,除支持SM7算法的非接芯片產品外,還擁有完整系列的國產自主密碼算法產品線:用于社保的支持SSF33算法的社??ㄐ酒琒SX39;用于電子政務的支持SSF33算法的U-KEY芯片SSX38;用于網絡支付安全的支持SSF/SM1算法的U-KEY芯片SSX47;正在研發(fā)支持多個國產自主密碼算法的非接產品;SM1、SM2、SM3、SSF33的高端非接CPU卡芯片。