在智能卡发行之后访问被攻击的部件——智能卡,对攻击者来说比起生命周期中的前几个阶段要容易得多,这就是为什么使用中的卡受到攻击的概率比较高的缘故。
智能卡微控制器的自毁灭概念,作为一种对付所有类型的攻击的万能药曾一再出现于许多出版物中。在那些诸如用于军事应用的硬件安全模块里,其中有些就包括这样的机构,但也有太多的理由不允许在智能卡中采取这种防御手段。因为,智能卡中没有保存任何电源能量,未加电时,智能卡没有方法去识别某一潜在的攻击,也不存在任何主动的防御机制。除了这一事实外,由于纯法律上的原因,自毁灭不能强加于持卡人,人们可以对遗失或发生的损坏负责任,为什么要智能卡不恰当地自毁灭呢?此外,毕竟自毁灭不是必要的,因为几乎在所有的情况下,擦掉存储在卡中的秘密密钥就足够了。
关于这个主题还有另外的一面,它和擦除密钥或闭锁智能卡有关。要确认一张智能卡受到了攻击,是一件很困难的事,因为没有传感器可以报告“攻击!擦除一切!”过低的电压或过高的时钟频率可能是受攻击的标记,但这些情况也可能是由于不良环境条件造成的,触点的污染导致接触电阻升高从而降低了工作电压,额外的时钟频率可能发生在较高时钟频率的智能卡终端上。由于确认一项真正的攻击是如此困难,甚至不可能,通常均未设置卡闭锁或擦除密钥的自动机制。
在下节将叙述和解释某些经典的攻击,所述之攻击代表了“技术的现状”。其目的在于给缺乏智能卡安全经验的人们以基本概念,使他们不再落入已经知道的容易受攻击的机制之中。虽然防御机制可用来反击这些攻击,也可转变为避免某些变形的攻击,从而不会导致陷人众所周知的猫和老鼠的攻与防的游戏之中。
这里所提出的方案并不是鼓励去破解智能卡的安全系统,因为它们毫无例外都是著名而又公开的,对任何今天实用中的智能卡系统不会构成任何严重的威胁。长久以来,它们已经被适当的防御机制所防范。然而,仅仅数年之前,它们可能已经达到了某种程度的成功。
如上所述,攻击可分为直接指向芯片硬件的和试图在逻辑水平上破解智能卡系统的。实体的攻击和分析方法又可再分为静态攻击和动态攻击;在静态分析中,芯片是不工作的,但它可能是加了电的;在动态分析中,芯片在分析时正以其全部的功能在工作,它比较难以实现。
