郭崇韋助理教授/逢甲大學資訊工程學系

台灣為世界級的電子製造業重鎮,尤其在半導體產業擁有獨步全球的技術優勢。隨著科技發展的推動,人們的日常生活中充斥著越來越多的電子裝置,例如個人電腦、筆記型電腦、平板電腦、智慧型手機、汽車行車電腦或居家環境物聯網裝置等。這些裝置都必須配備控制晶片,以實現各項功能的操作。然而,這也使得硬體核心的控制晶片在傳送控制訊號或個人資料時面臨著資訊安全潛在的危害。如果不加以防範,惡意攻擊者可能會竊取重要訊息或篡改控制訊息,導致裝置錯誤動作,尤其在汽車行駛過程中,這樣的問題會嚴重威脅人身安全,或者在居家物聯網裝置,門禁密碼被取得,如此生命財產將曝露於危險之中。

硬體安全攻擊可以分為三個主要類別:侵入式攻擊、半侵入式攻擊和非侵入式攻擊。首先,侵入式攻擊是指直接接觸裝置內的硬體零組件,例如控制晶片或記憶體進行破壞或竊取敏感資訊(如下圖)。攻擊者可能會對目標晶片進行行為測試,蒐集晶片運作的特徵。其次,半侵入式攻擊介於侵入式攻擊和非侵入式攻擊之間,攻擊者無需完全拆除硬體裝置,但仍需要某種程度的物理接觸,這類攻擊可能包括在傳輸訊號解除安裝訊號分析儀器,或是刻意傳送訊息強迫裝置恢復原廠出廠狀態,進而造成損壞。最後,非侵入式攻擊無需直接接觸目標硬體裝置,攻擊者可能利用無線天線、網路連接或其他遠端方式進行攻擊,通常藉由側錄裝置傳輸的訊息,採用統計分析方法,逆向推算出傳輸資料內容,從而獲取重要訊息。

為了保護生活週遭所使用的任一電子裝置,我們必須加強對硬體安全的關注,針對硬體裝置掌握如何免受侵入式、半侵入式和非侵入式攻擊的作法。總結來說,這類攻擊類似保險櫃的大盜,利用各種技術手段竊取密碼或破壞硬體功能,對資訊安全造成巨大威脅,因此,相關產品的製造商應加強硬體加密、安全驗證、物理防護措施以及監控機制等,有效防止各類型攻擊,為使用者提供更可靠、便安全的產品。

圖片來源:https://www.ce.cit.tum.de/en/eisec/research/invasive-attacks/