在生产芯片和智能卡时的攻击是典型的内部攻击,因为生产环境是封闭的。每次人员进人都被记录下来, 访问受到了严格的限制。在生产阶段内的安全防范不能被省略,因为一些很有效的攻击往往会在此阶段实施 。
保护:在完工阶段时的鉴别
在芯片制造阶段,智能卡微控制器就已经使用了芯片编号并用传送代码予以保护。传送代码是芯片专有的 ,而且每台机器都有安全模块,在完工过程中的每次访问芯片都强制性地执行鉴别,虽然这样增加了成本和 完成芯片所需的时间,但它却大大地增加了安全性。
在完工阶段出现的攻击类型是混入哑芯片或哑智能卡,它们的行为表现和真卡一样,但却包括有例如“内 存转储?之类的命令。用哑芯片替换真芯片的最早的机会发生在把晶圆片切割成单个的小芯片之后。这种类 型的攻击,可以数字签名用的智能卡来予以说明。在初始化阶段,攻击者用一张哑智能卡交换一张真智能卡。于是这张卡就被用真实的数据初始化后并被个人化,这张卡就具有真正智能卡的功能。产生非对称加密算法密钥的处理将也被微控制器执行,它获得了初始化的所有数据和个人化数据。此后,攻击者就设法重新占有此卡,他可用特殊的转存命令读出卡中的秘密签名密钥,由于相关的公开密钥已被信任中心签署并被确认为真实的,而攻击者现在又知道了大量复制卡所必须知道的一切内容。所以攻击者可以大量生产复制卡,这些哑智能卡将被确认为“真”的。
上述攻击是不切实际的,可采取行政手段去防止从完工岗位上拿进拿出芯片和智能卡。此外,在每道完工步骤后都要在智能卡和机器的安全模块间强制地进行鉴别,使得很难进行芯片和卡的交换。
