Стирание flash памяти при вскрытии корпуса Опции

[AntiDriver]

Доброе время суток.
Возникла необходимость разработать такое устройство, которое стирает данные из flash памяти при вскрытии корпуса устройства.
Сложность заключается в том, что само устройство носимое, на аккумуляторах, которые можно было бы вынимать, то есть устройство стирания памяти должно иметь автономный источник питания, который бы работал вплоть до 5 лет.
В общем требования такие: высокая надёжность, низкое энергопотребление, возможность выдать энергию, достаточную для стирания flash памяти.

Хотелось бы узнать какой можно применить датчик для данной задачи.

Пока что у меня есть всего один вариант - геркон, магнит на крышке, сигнал с геркона подаётся на вход микроконтроллера, находящегося постоянно (как это возможно) в спящем режиме. Он же и будет стирать память. В качестве источника питания: аккумулятор, который находится в ждущем режиме пока вставлен основной аккумулятор. Также можно рассмотреть вариант с батарейкой - таблеткой.
Но для начала нужно определиться с датчиком, прежде чем думать от чего его запитывать. И ещё, какие микроконтроллеры с интерфейсом SPI и предельно низком энергопотреблении (в спящем режиме) можете посоветовать?

Сообщение отредактировал AntiDriver - Feb 6 2014, 17:10

[Plain]

Либо защищать всю поверхность, либо вообще отказаться от затеи, потому что тогда покупается два ящика, один убивается с целью выяснения способа блокировки, во втором датчик теперь известно как и чем блокируется, крышка без проблем снимается, батарейка выкусывается и вуаля.

[kovigor]

Возникла необходимость разработать такое устройство, которое стирает данные из flash памяти при вскрытии корпуса устройства.

Можно не стирать, а хранить в памяти шифрованные данные. Доступ к данным - по паролю. Пример - известный многим TrueCrypt, шифрующий информацию на жестком диске. При загрузке с диска запрашивается пароль. Если он верен, загрузка продолжается. Если нет, машину запустить невозможно. Если вынуть (украсть) диск и попытаться прочитать его, не зная пароля, из этого тоже ничего не выйдет, т.к. данные на нем зашифрованы.

P.S. В кассовых аппаратах фискальные модули с ПЗУ заливают компаундом, который практически невозможно удалить, не повредив ПЗУ. Можно придумать еще какие-то решения. Но идея с шифрованием лично мне ближе всего ...

[ViKo]

Можно придумать еще какие-то решения. Но идея с шифрованием лично мне ближе всего ...

В STM32 придумано. Называется Tamper. Бери да пользуйся.

[kovigor]

В STM32 придумано. Называется Tamper. Бери да пользуйся.

Да в том же LPC записать во Flash защитное слово, и считать ее без стирания будет уже невозможно. Кстати, идея. Почему бы так не сделать ?

[AntiDriver]

Информация хранится далеко не на компьютере и устройство считывания тоже не компьютер и от пользователя не требуется вводить какие-либо данные каким либо способом.
Да и нужно не только защитить данные. Тут есть хитрость. Если это устройство попадёт к кому не надо, они захотят узнать что внутри, вот этот момент и нужно зафиксировать.

Сообщение отредактировал AntiDriver - Feb 6 2014, 18:38

[kovigor]

Если это устройство попадёт к кому не надо, они захотят узнать что внутри, вот этот момент и нужно зафиксировать.

Разрушающаяся клейкая пломба или какая-либо иная пломба надежно зафиксирует попытку проникновения. Или вам нужно именно записать время, имевшее место быть в момент проникновения, в какой-то журнал, а фиксации только факта проникновения недостаточно ?

[AntiDriver]

Факт вскрытия означает то, что устройство попало не к тем людям и что нужно его вывести из строя, чтобы оно было непригодно к дальнейшему использованию теми, кто не является правообладателями

И ещё, по поводу stm32, в неофициальной документации есть такое:

У МК STM32 также имеются
часы реального времени и небольшая область энергонезависимого статического ОЗУ,
которые питаются от отдельного резервного батарейного источника. В этой области
имеется вход реагирования на внешнее вмешательство. При изменении состояния на
данном входе генерируется прерывание и обнуляется содержимое энергонезависимого
статического ОЗУ.

Можете более подробно пояснить что за элемент питания, что за часы и как долго это всё может работать?

[kovigor]

Факт вскрытия означает то, что устройство попало не к тем людям и что нужно его вывести из строя, чтобы оно было непригодно к дальнейшему использованию теми, кто не является правообладателями

Никак нельзя сделать, ИМХО, если в устройстве нет источника энергии. Разве что заливка каким-нибудь термоядерным компаундом или использование пиропатрона. Но все равно такая защита будет взломана, если взломщики попадутся грамотные, состоятельные, и если они смогут обзавестить не одним экземпляром прибора, а несколькими ...

[AntiDriver]

Вариант с дополнительным источником питания также рассматривается, однако хотелось бы определиться с датчиком. Пока что подходит геркон, но вот я боюсь что он за несколько лет перемагнитится и в нужный момент попросту не сработает

[kovigor]

хотелось бы определиться с датчиком

Обычный концевик под крышкой корпуса устройства.
Еще вариант, без батарейки - пьезоэлектрик, как в зажигалке. Открыли крышку -> освободилась когда-то давно взведенная при сборке устройства пружина -> боек щелкнул по пьезоэлектрику -> в схему пошел мощный короткий импульс -> и из нее вылезли кишки ...

[AntiDriver]

Про пьезоэлектрик интересное предложение, однако что-то мне кажется что его не поддержат. Если снимать крышку аккуратно (а взломщики будут очень грамотными), то пружина может и не щёлкнуть. А сделать высокую чувствительность - не вариант - устройство должно пройти тест на виброустойчивость.

[kovigor]

а взломщики будут очень грамотными

Тогда вообще ничего не поможет. Даже пиропатрон. Даже банковксий сейф можно вскрыть, имея достаточно времени и располагая соотв. оборудованием ...

[AntiDriver]

Если я скажу что "ничего не поможет" меня уволят с работы)))

[kovigor]

Если я скажу что "ничего не поможет" меня уволят с работы)))

Не храните секреты внутри прибора, если это возможно. Или стройте систему защиты так, чтобы она какое-то время, пока хранимые в приборе данные можно считать секретными, могла противостоять попыткам взлома. Ну и шифрованием не пренебрегайте. Например, на ARM, даже на седьмом, вполне реально запустить тот же RSA ...

[AntiDriver]

Шифрование и прочие программные способы защиты - не моя задача. Моя - организовать защиту от вскрытия, чтобы попытка вскрыть вызывала немедленное стирание памяти

[kovigor]

Шифрование и прочие программные способы защиты - не моя задача.

Подход абсолютно неправильный. Здесь нет "ваших" и "не ваших" задач. Это задача очень сложная, многогранная и комплексная, и она должна решаться после обсуждения всеми специалистами, с учетом всех идей и предложений ...

[DS]

Учитывание наличие рентген-установок уже даже на каждом вокзале, позволяющих посмотреть внутренности металлического ящика, перед тем как начать его ковырять, задача нерешаемая. Ну или литой свинец в пару см.

[garlands]

На ровне бредовой идеи. Корпус герметичный, в нем повышенное давление и датчик давления (какая-нить мембрана - надо думать). Все это на TAMPER вход STM32, в "батарейной" памяти которого хранятся ключи шифрования. Таким образом даже при аккуратном вскрытии давление падает, ключ стирается, данные остаются зашифрованными и бесполезными атакующему.

[aaarrr]

Таким образом даже при аккуратном вскрытии давление падает, ключ стирается, данные остаются зашифрованными и бесполезными атакующему.

Ничего, понадобится - и в барокамере вскроют

[HardEgor]

Если так сильно необходимо защитить, то надо ставить несколько защит - одну очевидную и три неочевидных. Например, пружинка с контактом между платой и корпусом(или геркон с магнитом) очевидна, а датчик освещенности - неочевидная и т.д.

[garlands]

И в качестве датчика освещенности использовать светодиод, который будет подмигивать, а в промежутках между миганиями оценивать.

[shewor]

Шифрование и прочие программные способы защиты - не моя задача. Моя - организовать защиту от вскрытия, чтобы попытка вскрыть вызывала немедленное стирание памяти

Помнится в какой-то ветке форума была описана следующая защита. Устройство обматывалось тонким изолированным проводом, чтобы получилось что-то типа кокона из паутины. Через провод пропускался небольшой ток. Сторожевое устройство этот ток контролировало и при любом непредусмотренном изменении тока что нужно стирало. Вся конструкция тщательно заливалась эпоксидной смолой.
В Вашем случае можно наверное проклеить по другому, а именно при установке кокона в корпус обеспечить, чтобы кокон приклеился ко всему корпусу надежным клеем.
А чтобы сторожа снаружи не сломали каким-нибудь электромагнитным воздействием, за его работоспособностью должен следить невосприимчивый к электромагнитным воздействиям дублирующий сторож.

[Abell]

Интересно, кто бы стал вскрывать устройство с целью считать флэш, не отключая питание, чтоб контроллер успел стереть флэш... Или не совсем понял задачу...
Ну, в общем, если представить закрытую коробку с устройством внутри, да с внутренним батарейным питанием - вскрытие контролировать можно хоть концевиком. Вопрос, кто будет стирать флэш, к чему она подключена. Если внешняя микросхема памяти соединена с контроллером - даже при отключенном питании можно применить некоторую схемку-формирователь с батарейным питанием, которая при вскрытии обесточивает контроллер и формирует на флэш сигналы стирания.
Если флэш непосредственно в контроллере - сложнее, батарейного питания может и не хватить. Тогда, как вариант, предусмотреть физическое уничтожение кристалла при вскрытии. Тут уже вопрос сборки/склейки - разработать корпус конструкции и сборку так, чтобы при попытке вскрытия кристалл однозначно ломался, типа бойка с мощной пружиной. Или бескорпусной чип и стеклянная ампула с уничтожающим химреактивом.
Как-то так

[Abell]

Еще раз внимательно перечитал тему, и все равно не понял - что защищать, от чего защищать... Если устройство в нескольких экземплярах попадет к грамотным взломщикам - взломают все равно, это война брони и снаряда Тут бы комплекс мер предусмотреть, насчет ограничения времени использования например, регулярной проверки, еще чего-нибудь - ну, не зная задачи можно и глупость ляпнуть

[vladec]

Держите секретныю часть кода не во флеше, а в статическом ОЗУ и организуйте так, чтобы при любом вскрытии цепь дежурного питания питания разрывалась.

[agregat]

Все эти защиты как правило преследуют одну цель, один раз написать код и всю жизнь получать вознаграждения ничего не делая. Это сказка. Лучший способ защиты от вскрытия это делать то, что делают ведущие компании мира. Постоянно совершенствовать устройство. В такой гонке вскрывающий всегда будет в проигрыше, он всегда будет выпускать устаревшие устройства.
Концевики помогут если корпус вскрывают "честно". А если просто выпилю часть крышки, концевик при этом останется нетронутым, тогда как?
Если это гарантийный сервис, тогда зачем так сложно. Если защита от промышленного шпионажа, надо не флешку стирать, а применить чип собственного изготовления. У вскрывающего не останется шансов если применен оригинальный чип. Это повсеместно используют все компании в измерительном оборудовании.

[COMA]

А еще можно сделать герметичный корпус и закачать в устройство горчичный газ

Можете у классиков НФ почитать

[Herz]

Подход абсолютно неправильный. Здесь нет "ваших" и "не ваших" задач. Это задача очень сложная, многогранная и комплексная, и она должна решаться после обсуждения всеми специалистами, с учетом всех идей и предложений ...

Да не задача это вовсе. Этот этап проходят, наверное, все начинающие программисты. Стоит им написать первый работающий код, как им тут же кажется, что они создали нечто гениальное и уникальное, за чем весь мир гоняется и не может поймать. В общем, все вокруг - злодеи. Спят и видят, как бы этот секрет украсть...

[Сергей Борщ]

Про пьезоэлектрик интересное предложение, однако что-то мне кажется что его не поддержат. Если снимать крышку аккуратно (а взломщики будут очень грамотными), то пружина может и не щёлкнуть.

Ходила история про японский осциллограф, в котором при вскрытии нож на пружине срезал детали с платы. Итог истории - залили в корпус воды "по горлышко", заморозили, сняли крышку, удалили нож.

Я бы хранил все чувствительные данные в зашифрованном виде, для работы расшифровывал в ОЗУ, ключи шифрования хранил бы в запитанной от часовой батарейки специально предназначенной для этого области памяти процессора (которая стирается аппаратно при срабатывании входа tamper). Как писали ранее, такие области есть в некоторых STM32 и LPC.

[Jury093]

Ходила история про японский осциллограф, в котором при вскрытии нож на пружине срезал детали с платы. Итог истории - залили в корпус воды "по горлышко", заморозили, сняли крышку, удалили нож.

решается куском рафинада или иного быстрорастворимого химпродукта - против вандалов с водой..

Я бы хранил все чувствительные данные в зашифрованном виде, для работы расшифровывал в ОЗУ, ключи шифрования хранил бы в запитанной от часовой батарейки специально предназначенной для этого области памяти процессора (которая стирается аппаратно при срабатывании входа tamper). Как писали ранее, такие области есть в некоторых STM32 и LPC.

исследовав один девайс на предмет конструкции и засверлив в жертве отверстие в правильном месте, можно подвести буферное питание и смело снимать крышку.. перед этим заглянуть в даташит на предмет возможности считки "секретной области" тем же житагом..

2ТС вы изначально поставлены в неправильные условия - бесссмысленно ставить копеечный чип и колхозить вокруг защиту а-ля "забор в королевство Бастинды", в таких случаях ещё на этапе выбора элементной базы оценивают что и кто будет делать, читают подходящие доки и смотрят в сторону, например, Мотороллеров (freescale) или fpga с криптозащитой..

детский сад сад с герконами и прочим легко обходится - вопрос времени и денег..

[prig]

Если я скажу что "ничего не поможет" меня уволят с работы)))

Ну, надо попробовать донести до начальства, что это действительно так. Но с некоторыми уточнениями.
Если затраты/цена взлома существенно превышает возможную прибыль от взлома, такую систему можно считать достаточно надёжной.
Бесполезно пытаться сделать абсолютную защиту. Надо оценивать систему в целом и в очень широком смысле. В общем-то, это не только техническая задача.

Например, одним из самых простых способов взлома шифра является кража ключа.
Если в вашей системе украсть ключ и им воспользоваться достаточно легко, крипкостойкость шифра уже не имеет принципиального значения.
А вот если воришку могут пристрелить в процессе кражи, это совсем другое дело. Но только в части сотношения цена/прибыль и общих затрат на защиту.
И т.д. и т.п.

...
.. перед этим заглянуть в даташит на предмет возможности считки "секретной области" тем же житагом..
...

В грамотно спроектированных устройствах такой номер не прокатит.
Но и они ломаются. Не задёшево, ессно.

[khach]

Тема очень сложная- как иллюстрация грант DAPRA на разработку уничтожаемых микросхем гуглить Vanishing Programmable Resources. Как один из вариантов- в древние советсике времена переделывали РФ ПЗУшки с окошком - окошко вскрывалось и вваривался новый элемент с ампулой с кислотой. Ампула могла быть разбита или механически ударником, или электрически. Кислота была хитрая- съедала и металлизацию, и оксидный слой и сам кремний и действовала и при минусовой температуре.
Был еше конкурирующий вариант с запалом от гранаты и строительным монтажным патроном, который разносил электронику ударником.

[Ruslan1]

Если затраты/цена взлома существенно превышает возможную прибыль от взлома, такую систему можно считать достаточно надёжной.
Бесполезно пытаться сделать абсолютную защиту.

Это основное правило всех крипто и прочих защит: вскрывается все, вопрос лишь в отведенных на это ресурсах. Когда я учился в институте, осмыслению этого постулата была посвящена первая лекция из курса, посвященного шифрованию.
Соответственно, невозможно говорить о защищенности, не определив, какими ресурсами обладает оппонент.
Может, теперь этому уже не учат....

[1Rezistor]

Оставить эту затею совсем.
А данные и саму программу выложить в инет.
И уж поверьте на слово никто не станет копаться в этих данных и программе.

[kovigor]

Оставить эту затею совсем.
А данные и саму программу выложить в инет.
И уж поверьте на слово никто не станет копаться в этих данных и программе.

Не зря разработчик российских модемов Михаил Лихачев сказал, что нет никакого смысла подделывать модемы, гораздо проще торговать пивом. И я с ним вполне солидарен
Есть море устройств с полностью открытыми прошивками, которые, тем не менее, никто и не думает клонировать и воровать Бывают, конечно, уникальные случаи, но я не уверен на все 100%, что разработка, о которой беспокоится ТС, относится именно к ним ...

[Herz]

Если я скажу что "ничего не поможет" меня уволят с работы)))

Пока не поздно - увольняйтесь сами. Паранойя может быть заразной и до добра не доведёт. Не стоит тратить на неё время и силы. Лучше заняться делом, пока голова работает.

Как один из вариантов- в древние советсике времена переделывали РФ ПЗУшки с окошком - окошко вскрывалось и вваривался новый элемент с ампулой с кислотой. Ампула могла быть разбита или механически ударником, или электрически. Кислота была хитрая- съедала и металлизацию, и оксидный слой и сам кремний и действовала и при минусовой температуре.
Был еше конкурирующий вариант с запалом от гранаты и строительным монтажным патроном, который разносил электронику ударником.

И закономерный итог говорит сам за себя. Вся советская секретность была не защитой уникальных разработок, а частью пропаганды, направленной на собственных граждан.
Вот и пожинаем...

[AntiDriver]

Наверное, стоило было пояснить, что устройство проектируется для военного применения и во flash память будут записаны частоты, ключи и прочие вещи, которые стоят не денег, а являются военной тайной. Ещё позже было поставлено дополнительное условие, чтобы всё же можно было открыть крышку без вреда данным и аппаратуре. Думаю, особо заморачиваться с защитой не стоит в таких условиях, достаточно будет защиты от считывания в микроконтроллере, а в качестве датчика вскрытия какой-либо переключатель. Последняя защита - защита от наивности, если тот кто будет делать несанкционированное вскрытие не подумает о том что там есть защита от таких как он.

[Herz]

Ну, Вам видней. А военные тайны и способы их сокрытия на общественных форумах обсуждать - нонсенс.

[SNGNL]

Думаю, особо заморачиваться с защитой не стоит в таких условиях, достаточно будет защиты от считывания в микроконтроллере, а в качестве датчика вскрытия какой-либо переключатель. Последняя защита - защита от наивности, если тот кто будет делать несанкционированное вскрытие не подумает о том что там есть защита от таких как он.

Не забудьте запилить маркировку.

А военные тайны и способы их сокрытия на общественных форумах обсуждать - нонсенс.

Ничего подобного- обычное тестирование

[AntiDriver]

Никто же не будет знать где именно это будет применяться и какой из вариантов будет выбран

[haker_fox]

Никто же не будет знать где именно это будет применяться и какой из вариантов будет выбран

Если устройство военное, то пусть разваривают свой чип. Или за что мы налоги такие платим?

[sasa_c]

Не знаю, может пригодиться, мы производим счётчики энергии и в них по EN1434 должна быть защита от взлома, например фальсификации накопленных данных. При сертификации прибора этот вопрос обсуждался в приёмной комиссии. Сделали так: внутри корпуса прибора установлен стандартный ИК порт, на светодиод порта подаётся раз в минуту короткая посылка, эта посылка отражается от внутренней поверхности корпуса прибора и принимается фотодиодом, причём посылка высокочастотная, передаём через последовательный порт микроконтроллера. В итоге считаем количество неправильно принятых пакетов, обычно из 100 пакетов минимум один или два приняты не верно. Для ИК оптопары критичная скорость 9600-19200. Отражение делаем от куска оцинкованного металла внутри корпуса. Добавлю, что оптопару используем короткофокусную, то есть если поднести кусок фольги для имитации канала передчи, то ничего не выдет. Если замкнуть куском провода фотодиод и светодиод, то все пакеты принимаются правильно, это тоже не верно.
Дальше Ваша система защиты, лично у нас комбинация ОЗУ и FLASH. Разваливается первое.
Если интересно фото могу скинуть.

[Herz]

Если интересно фото могу скинуть.

Давайте. Будем изучать, как Ваш счётчик взламывать.

[A. Fig Lee]

Не знаю, может пригодиться, мы производим счётчики энергии и в них по EN1434 должна быть защита от взлома, например фальсификации накопленных данных. При сертификации прибора этот вопрос обсуждался в приёмной комиссии. Сделали так: внутри корпуса прибора установлен стандартный ИК порт, на светодиод порта подаётся раз в минуту короткая посылка, эта посылка отражается от внутренней поверхности корпуса прибора и принимается фотодиодом, причём посылка высокочастотная, передаём через последовательный порт микроконтроллера. В итоге считаем количество неправильно принятых пакетов, обычно из 100 пакетов минимум один или два приняты не верно. Для ИК оптопары критичная скорость 9600-19200. Отражение делаем от куска оцинкованного металла внутри корпуса. Добавлю, что оптопару используем короткофокусную, то есть если поднести кусок фольги для имитации канала передчи, то ничего не выдет. Если замкнуть куском провода фотодиод и светодиод, то все пакеты принимаются правильно, это тоже не верно.
Дальше Ваша система защиты, лично у нас комбинация ОЗУ и FLASH. Разваливается первое.
Если интересно фото могу скинуть.

Первое что надо сделать: обесточить схему. И никто уже ничего не сотрет.
В общем 3 изделия максимум и защите конец.

[alexvu]

Если действительно нужен серьезный уровень защиты, то это, наверное, лучше спрашивать у каких-нибудь саперов-минеров, да и не на открытом форуме.
А если дешево и сердито, то уже упомянутые варианты с проволокой, эпоксидкой и входом "тампер" STM - вполне неплохи, но надо иметь залитую батарейку или хотя бы ионистор, чтобы при отключении внешней батарейки успеть все затереть. Хотя если ОЗУ - то и само сбросится.
Также вариант Sasa_c был бы хорош, если бы световые импульсы гнать по оптоволокну, вмонтированному в оболочку / заливку корпуса.