A linha de controladores de 32 bits da Infineon Technologies, com recursos avançados de segurança, deve equipar as próximas gerações de equipamentos móveis e sem fio. Veja neste artigo como as exigências de segurança aumentam com a proliferação dos equipamentos sem fio e móveis que operam com dados sensíveis, como o manuseio de contas em bancos, compras pela Internet, chamas telefônicas e outros, e como os novos Chip Cards da Infineon podem fornecer as soluções que os projetistas desses equipamentos necessitam. (2002)
Atualmente, vemos proliferar o uso de uma grande quantidade de equipamentos de tecnologia altamente avançada, que envolve não só o manuseio de informações críticas como até mesmo de valores monetários. É evidente que, com o aumento do uso desses equipamentos, também vemos crescer tanto a preocupação com a segurança dos dados com que eles operam como dos próprios valores que eles manuseiam.
O problema da segurança se torna ainda mais crítico se levarmos em conta que, a maioria das pessoas que fazem uso desse equipamento, não entende muito bem como eles funcionam. Isso significa que o termo '"segurança" passa a ocupar um lugar de destaque nos projetos de tais equipamentos, exigindo dispositivos específicos que operem dentro de parâmetros bastante críticos. A Infineon é uma das empresas que possui uma linha de produtos para esta finalidade como smart cards, controles de acesso, finger tips e muitos outros, Neste artigo daremos uma visão geral de como a Infineon implementa segurança nos sua linha de Chip Cards e quais são os padrões adotados assim como sua confiabilidade.
Segurança: Palavra Chave
Segurança é uma característica inerente de algum processo. Não podemos tocar nem sentir, mas simplesmente, achar que algo de ruim não pode acontecer ou não vai acontecer se o sistema é seguro.
A segurança de um sistema eletrônico envolve não só a ação do usuário como o próprio funcionamento do circuito, o que significa que, o conceito de segurança se torna ainda mais complexo.
Como tornar um sistema que envolva eletrônica seguro, no sentido de que ele não possa ser acessado indevidamente por um ataque externo?
Uma plataforma ideal para esta finalidade está no uso dos Chip Cards da Infoneon Technologies.
Controladores de segurança, do tipo usado nos Smart Cards podem proteger os dados, como por exemplo, códigos e senhas do acesso indesejável, e quando necessários ele podem ser acessados de forma segura através de chaves criptografadas.
Estes controladores fornecem uma plataforma ideal para integrar diversos tipos de dispositivos em aplicações móveis e sem contactos que necessitam de acesso seguro.
No entanto, a Infineon no artigo "Chip cards - Secure and Invisble Protecion" do seu Security Solutions Handbook também lembra que, esses chips não são o único elemento do sistema que deve ser seguro, mas como numa corrente, deve ser lembrado o adágio de que "o elo mais fraco determina a resistência dessa corrente".
Por esse motivo, juntamente com os Chips Cards, uma plataforma de hardware ocupa um ponto de igual destaque para a segurança do sistema.
Como Medir o Grau de Segurança
A ideia de se poder medir o grau de segurança de um sistema parte da premissa de que existe um sistema totalmente seguro.
Uma forma de se avaliar o grau de segurança de um sistema é medindo qual é o nível de esforço necessário para violar esse sistema. Assim, foi criado a ideia de que três fatores entram em jogo nesse processo: Assets (capital), Access (acesso) e Apititude (aptidão) que, usando os termos em inglês nos levam a AAA.
Para que o leitor tenha uma ideia do que significam esses termos vamos imaginar o seguinte: numa situação temos a violação de um simples cartão telefônico em que se pretende fazer as ligações sem pagar.
O capital, neste caso, significa qual vai ser o investimento do violador para atingir seu intento. Evidentemente, ele não deve gastar muito: não compensa ter um gasto maior do que o valor das ligações que ele pretende ter "de graça". Por outro lado, se o cartão violado é um cartão bancário que possibilita a transferência de muito dinheiro de uma conta para outra, um investimento no processo de violação do sistema de segurança, torna-se compensador...
O acesso também pode ser analisado de forma semelhante: por quanto tempo a violação de um código torna-se válida e com isso pode ser usada. Por exemplo, o código violado de um cartão telefônico deve ser usado por pelo menos três dias até ser desabilitado, enquanto que o de um cartão de crédito precisa apenas de algumas horas para ser desabilitado antes que a violação seja descoberta.
São três os níveis de segurança que podemos associar a um sistema:
a) Baixo - que deve prevenir a violação por amadores, que não precisam de treinamento especial ou equipamento de alta tecnologia.
b) Médio - que deve prevenir os ataques de especialistas com certo treinamento mesmo depois de meses de trabalho usando equipamento especial.
c) Alto - que deve prevenir o ataque de profissionais com muita experiência num período de pelo menos um mês, usando equipamento de alta tecnologia e conhecimento dos mecanismos de funcionamento dos sistemas de segurança.
É importante observar que o conceito de baixo, médio ou alto nível de segurança também muda com o tipo de aplicação, já que o uso dos dispositivos são diferentes e as próprias técnicas de ataque mudam.
Isso significa que a principal preocupação dos fabricantes é lançar produtos que possam prever quais são as formas de ataque que podem ocorrer no futuro e esse "futuro" deve levar em conta a vida útil do produto.
Controladores com Segurança
Os controladores usados nos sistemas segurança devem possuir funções que sejam eficientes para todos os tipos de ataques.
Deve-se analisar a possibilidade do atacante possuir diversas amostrar do dispositivo que deseja violar para efeito de análise e essa análise pode incluir inclusive procedimentos destrutivos.
A finalidade dos procedimentos é evidente: tentar descobrir dados, ou seja, chaves criptográficas que permitam ativar uma função protegida. Num cartão bancário, por exemplo, seria revelar a senha que permita transferir dinheiro de uma conta para outra ou fazer o saque num caixa automático.
Diversas são as formas de ataque que podem ser usadas para violar um sistema com segurança:
Ataque do Hardware
Os ataques de hardware visam dissecar o funcionamento do dispositivo sem, entretanto, fazer sua operação. Por exemplo, pode-se usar uma dissecação óptica onde se tenta analisar a memória e o circuito processador identificando funções de segurança, por meio de engenharia reversa, levantando-se o circuito e criando-se os meios de acessá-las ou desativá-las. Equipamentos avançados como sistemas automáticos de reconhecimento de circuito, e sistemas de focalização de feixes de íons (FIB) podem ser usados para essa finalidade.
Ataques Elétricos
O ataque elétrico é efetivado com o dispositivo em operação. A operação do dispositivo é analisada, por exemplo, com o uso de micro-pontas de provas. Essas pontas de prova podem colher sinais do circuito numa operação simulada e por sua análise pode-se tentar descobrir os códigos nos diversos pontos do circuito individualmente. Outras análises incluem a corrente da fonte de alimentação e a freqüência do clock.
Ataques Lógicos
O ponto crítico de todos os sistemas com segurança é o uso de métodos baseados em criptografia. Esses métodos são um dos principais alvos dos ataques.
Um tipo de ataque bastante popular é o que faz uso de diferentes tempos de execução durante a realização das operações criptográficas (ataques de temporização) ou ainda diferentes níveis de alimentação durante um cálculo criptográfico (ataque de alimentação) de modo a se obter informações os dados que estão sendo processados.
O charme desses ataques está no fato do atacante conseguir o acesso a informação com relativamente poucos elementos e através de canais que podem ser acessados com facilidade, sem a necessidade de interferir fisicamente no chip ou mesmo destruí-lo.
Uma forma de prevenir-se contra esses ataques é dotar os circuitos de sensores que detectem a inferência de qualquer dispositivo externo.
Nos controladores da família 66P da Infineon, por exemplo, são implementados mais de 50 mecanismos de proteção para se evitar esta modalidade de ataque.
Como Integrar Segurança
Um ponto crítico da implementação de segurança num chip é que ela não é a principal função desse chip, mas sim uma função que complementa o funcionamento do circuito, devendo ser integrada na sua arquitetura.
Assim, a ideia de que podem ser usados cernes comuns para implementar um chip seguro encontra sérios obstáculos quando se deseja um alto grau de segurança. Segundo o Dr. Jog Schepers da Infineon Technologies é como querer construir um avião seguro baseado num motor que não é seguro. Uma CPU não segura não pode ser usada como base para um controlador seguro.
Por esse motivo, os cernes disponíveis hoje para uso em Smart Cards, por exemplo, não oferecem uma proteção eficiente dentro do contexto que as aplicações modernas exigem.
Assim, para tais aplicações devem ser usados chips específicos que tenham uma arquitetura que inclua os recursos de segurança nos níveis em que eles são exigidos dentro desse próprio chip.
A Infineon, baseada em anos de experiência neste campo, tem a família de chips de 32 bits 88.
Muitos programadores acham que arquiteturas padronizadas comuns são mais fáceis de programar, já que eles têm trabalhado nelas a vida toda, mas justamente aí está um ponto fraco a ser considerado: por serem mais conhecidas de muito mais gente, elas são muito mais vulneráveis a um ataque.
E, para completar, deve-se levar em conta, como afirmamos no início desse artigo, que a segurança não depende apenas do cerne, mas também dos módulos adicionais de segurança. Um módulo rápido de criptografia não é eficiente se a CPU não for segura ou mesmo a memória onde os dados são armazenados.
Certificação
O lado visível da segurança está na certificação. A certificação dos Chip cards da Infineon é dada pelos catálogos do ITSEC (Certificação dada na Alemanha). Num processo de certificação como esse, todos os mecanismos de ataque são testados. Para que o leitor tenha uma idéia, na certificação do chip SLE66CX320P a documentação resultante ocupa um volume de mais de 800 páginas.
Nos últimos anos, todos os criptocontroladoras têm sido certificados pela ITSEC E/4/High security level segundo as exigências legais. Esta certificação tem servido modelo para uma padronização internacional reconhecida possibilitando aos projetistas que usam o produto uma avaliação completa de suas possibilidades.
Obs: Este artigo foi baseado no texto "Chip Cards - secure and Invisible Protection" do Security Solutions Handbook da Infineon Technologies - mais informações e o manual completo em inglês podem ser obtidos no site da empresa no formato PDF em: http://infineon.com/88Controller.