① 加密晶元的應用
傳統的加密晶元,都是採用演算法認證的方案,他們所鼓吹的是加密演算法如何復雜,如何難以破解,卻沒有考慮到演算法認證方案本身存在極大的安全漏洞。我們清楚的知道,單片機是一個不安全的載體,可以說對盜版商來講,是完全透明的也不 為過,做演算法認證,勢必要在單片機內部提前寫入密鑰或密碼,每次認證後給單片機一個判斷標志,作為單片機執行的一個判斷依據,那麼盜版商就可以輕松的抓住 這一點進行攻擊,模擬給出單片機一個信號,輕松繞過加密晶元,從而達到破解的目的。如果說,要破解晶元內部數據,那麼通過傳統的剖片、紫外光、調試埠、 能量分析等多種手段,都可以破解。 [4]
採用智能卡晶元平台的加密晶元,本身就可以有效防護這些攻擊手段,將MCU中的部分代碼或演算法植入到加密晶元內部,在加密晶元內部來執行這些程序,使得加密晶元內部的程序代碼成為整個MCU程序的一部分,從而可以達到加密 的目的,因為MCU內部的程序不完整,即便被盜版了,由於缺少關鍵代碼,也無法進行復制,那麼選擇什麼樣的代碼或程序,放入到加密晶元內部,就是考驗 MCU編程者的功力了,盡可能的多植入程序,盡可能的增加演算法的強度,就可以有效防止被破譯的可能。
加密晶元的安全性是取決於晶元自身的安全,同時還取決於加密方案的可靠性。部分公司會給廣大客戶以誤導,過分強調什麼演算法,無論採用對稱演算法 3DES 、AES [5] 還是採用非對稱演算法RSA ECC等,甚至採用國密辦演算法SM2 SM4等等,都是對防抄板來說,是沒有太多的用處的。
對於方案設計公司,是無法使用SM1等國密辦演算法的,銷售國密辦演算法的廠家必須有銷售許可證,這一點是很多方案公司不可能有的,同時認證的方案本身就存在安全隱患,盜版商是不會去破解什麼演算法,而是從加密方案的漏洞去入手,去攻破,所以說,我們一直強調,加密方案的設計是非常重要的環節,不能簡單的只看到加密晶元的自身的安全性,最重要的是密鑰管理環節。
目前已知各種公開的加密演算法都是比較安全的(當然已被破解的幾種演算法除外,如:SHA1,DES等),整個加密體系中最薄弱的環節在於密鑰的生成、使用和管理。無論使用對稱、非對稱、哈希散列各種演算法,密鑰的管理是最終的難題,目前通常的方式是將私鑰或者秘密信息存儲在非易失性存儲器中,這種方式危害極大,不具備高安全性。(具體請參考上面「安全性」內容)
由於PUF的不可克隆性、防篡改和輕量級等屬性,使用PUF用於認證是一種非常有用的安全技術,是一種對現有安全加密機制的創新性技術。PUF輸出的不可直接讀取的唯一值作為私鑰,配合非對稱加密硬體引擎、隨機數發生器、晶元ROM中唯一的unique ID,可以組成一個嚴密的安全加密裝置。
PUF通常用集成電路來實現,通常用於對安全性要求較高的應用中。目前已有眾多知半導體名企業開始提供基於PUF的加密IP技術和安全晶元。
② dss加密演算法
對稱性加密演算法:對稱式加密就是加密和解密使用同一個密鑰。信息接收雙方都需事先知道密匙和加解密演算法且其密匙是相同的,之後便是對數據進行加解密了。對稱加密演算法用來對敏感數據等信息進行加密。
非對稱演算法:非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為"公鑰"和"私鑰",它們兩個必需配對使用,否則不能打開加密文件。發送雙方A,B事先均生成一堆密匙,然後A將自己的公有密匙發送給B,B將自己的公有密匙發送給A,如果A要給B發送消 息,則先需要用B的公有密匙進行消息加密,然後發送給B端,此時B端再用自己的私有密匙進行消息解密,B向A發送消息時為同樣的道理。
散列演算法:散列演算法,又稱哈希函數,是一種單向加密演算法。在信息安全技術中,經常需要驗證消息的完整性,散列(Hash)函數提供了這一服務,它對不同長度的輸入消息,產生固定長度的輸出。這個固定長度的輸出稱為原輸入消息的"散列"或"消息摘要"(Message digest)。散列演算法不算加密演算法,因為其結果是不可逆的,既然是不可逆的,那麼當然不是用來加密的,而是簽名。
對稱性加密演算法有:AES、DES、3DES
用途:對稱加密演算法用來對敏感數據等信息進行加密
DES(Data Encryption Standard):數據加密標准,速度較快,適用於加密大量數據的場合。
3DES(Triple DES):是基於DES,對一塊數據用三個不同的密鑰進行三次加密,強度更高。
AES(Advanced Encryption Standard):高級加密標准,是下一代的加密演算法標准,速度快,安全級別高;AES是一個使用128為分組塊的分組加密演算法,分組塊和128、192或256位的密鑰一起作為輸入,對4×4的位元組數組上進行操作。眾所周之AES是種十分高效的演算法,尤其在8位架構中,這源於它面向位元組的設計。AES 適用於8位的小型單片機或者普通的32位微處理器,並且適合用專門的硬體實現,硬體實現能夠使其吞吐量(每秒可以到達的加密/解密bit數)達到十億量級。同樣,其也適用於RFID系統。
非對稱性演算法有:RSA、DSA、ECC
RSA:由 RSA 公司發明,是一個支持變長密鑰的公共密鑰演算法,需要加密的文件塊的長度也是可變的。RSA在國外早已進入實用階段,已研製出多種高速的RSA的專用晶元。
DSA(Digital Signature Algorithm):數字簽名演算法,是一種標準的 DSS(數字簽名標准),嚴格來說不算加密演算法。
ECC(Elliptic Curves Cryptography):橢圓曲線密碼編碼學。ECC和RSA相比,具有多方面的絕對優勢,主要有:抗攻擊性強。相同的密鑰長度,其抗攻擊性要強很多倍。計算量小,處理速度快。ECC總的速度比RSA、DSA要快得多。存儲空間佔用小。ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多,意味著它所佔的存貯空間要小得多。這對於加密演算法在IC卡上的應用具有特別重要的意義。帶寬要求低。當對長消息進行加解密時,三類密碼系統有相同的帶寬要求,但應用於短消息時ECC帶寬要求卻低得多。帶寬要求低使ECC在無線網路領域具有廣泛的應用前景。
散列演算法(簽名演算法)有:MD5、SHA1、HMAC
用途:主要用於驗證,防止信息被修。具體用途如:文件校驗、數字簽名、鑒權協議
MD5:MD5是一種不可逆的加密演算法,目前是最牢靠的加密演算法之一,尚沒有能夠逆運算的程序被開發出來,它對應任何字元串都可以加密成一段唯一的固定長度的代碼。
SHA1:是由NISTNSA設計為同DSA一起使用的,它對長度小於264的輸入,產生長度為160bit的散列值,因此抗窮舉(brute-force)性更好。SHA-1設計時基於和MD4相同原理,並且模仿了該演算法。SHA-1是由美國標准技術局(NIST)頒布的國家標准,是一種應用最為廣泛的Hash函數演算法,也是目前最先進的加密技術,被政府部門和私營業主用來處理敏感的信息。而SHA-1基於MD5,MD5又基於MD4。
HMAC:是密鑰相關的哈希運算消息認證碼(Hash-based Message Authentication Code),HMAC運算利用哈希演算法,以一個密鑰和一個消息為輸入,生成一個消息摘要作為輸出。也就是說HMAC是需要一個密鑰的。所以,HMAC_SHA1也是需要一個密鑰的,而SHA1不需要。
其他常用演算法:
Base64:其實不是安全領域下的加密解密演算法,只能算是一個編碼演算法,通常用於把二進制數據編碼為可寫的字元形式的數據,對數據內容進行編碼來適合傳輸(可以對img圖像編碼用於傳輸)。這是一種可逆的編碼方式。編碼後的數據是一個字元串,其中包含的字元為:A-Z、a-z、0-9、+、/,共64個字元(26 + 26 + 10 + 1 + 1 = 64,其實是65個字元,「=」是填充字元。Base64要求把每三個8Bit的位元組轉換為四個6Bit的位元組(3*8 = 4*6 = 24),然後把6Bit再添兩位高位0,組成四個8Bit的位元組,也就是說,轉換後的字元串理論上將要比原來的長1/3。原文的位元組最後不夠3個的地方用0來補足,轉換時Base64編碼用=號來代替。這就是為什麼有些Base64編碼會以一個或兩個等號結束的原因,中間是不可能出現等號的,但等號最多隻有兩個。其實不用"="也不耽誤解碼,之所以用"=",可能是考慮到多段編碼後的Base64字元串拼起來也不會引起混淆。)
Base64編碼是從二進制到字元的過程,像一些中文字元用不同的編碼轉為二進制時,產生的二進制是不一樣的,所以最終產生的Base64字元也不一樣。例如"上網"對應utf-8格式的Base64編碼是"5LiK572R", 對應GB2312格式的Base64編碼是"yc/N+A=="。
標準的Base64並不適合直接放在URL里傳輸,因為URL編碼器會把標准Base64中的「/」和「+」字元變為形如「%XX」的形式,而這些「%」號在存入資料庫時還需要再進行轉換,因為ANSI SQL中已將「%」號用作通配符。
為解決此問題,可採用一種用於URL的改進Base64編碼,它不在末尾填充'='號,並將標准Base64中的「+」和「/」分別改成了「-」和「_」,這樣就免去了在URL編解碼和資料庫存儲時所要作的轉換,避免了編碼信息長度在此過程中的增加,並統一了資料庫、表單等處對象標識符的格式。
另有一種用於正則表達式的改進Base64變種,它將「+」和「/」改成了「!」和「-」,因為「+」,「*」以及前面在IRCu中用到的「」在正則表達式中都可能具有特殊含義。
此外還有一些變種,它們將「+/」改為「_-」或「._」(用作編程語言中的標識符名稱)或「.-」(用於XML中的Nmtoken)甚至「_:」(用於XML中的Name)。
HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL(SSL使用40 位關鍵字作為RC4流加密演算法,這對於商業信息的加密是合適的。),因此加密的詳細內容就需要SSL。https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的默認埠及一個加密/身份驗證層(在HTTP與TCP之間),提供了身份驗證與加密通訊方法,現在它被廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。它的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。
項目應用總結:
1. 加密演算法是可逆的,用來對敏感數據進行保護。散列演算法(簽名演算法、哈希演算法)是不可逆的,主要用於身份驗證。
2. 對稱加密演算法使用同一個密匙加密和解密,速度快,適合給大量數據加密。對稱加密客戶端和服務端使用同一個密匙,存在被抓包破解的風險。
3. 非對稱加密演算法使用公鑰加密,私鑰解密,私鑰簽名,公鑰驗簽。安全性比對稱加密高,但速度較慢。非對稱加密使用兩個密匙,服務端和客戶端密匙不一樣,私鑰放在服務端,黑客一般是拿不到的,安全性高。
4. Base64不是安全領域下的加解密演算法,只是一個編碼演算法,通常用於把二進制數據編碼為可寫的字元形式的數據,特別適合在http,mime協議下的網路快速傳輸數據。UTF-8和GBK中文的Base64編碼結果是不同的。採用Base64編碼不僅比較簡短,同時也具有不可讀性,即所編碼的數據不會被人用肉眼所直接看到,但這種方式很初級,很簡單。Base64可以對圖片文件進行編碼傳輸。
5. https協議廣泛用於萬維網上安全敏感的通訊,例如交易支付方面。它的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數據傳輸的安全;另一種就是確認網站的真實性。
6. 大量數據加密建議採用對稱加密演算法,提高加解密速度;小量的機密數據,可以採用非對稱加密演算法。在實際的操作過程中,我們通常採用的方式是:採用非對稱加密演算法管理對稱演算法的密鑰,然後用對稱加密演算法加密數據,這樣我們就集成了兩類加密演算法的優點,既實現了加密速度快的優點,又實現了安全方便管理密鑰的優點。
7. MD5標准密鑰長度128位(128位是指二進制位。二進制太長,所以一般都改寫成16進制,每一位16進制數可以代替4位二進制數,所以128位二進制數寫成16進制就變成了128/4=32位。16位加密就是從32位MD5散列中把中間16位提取出來);sha1標准密鑰長度160位(比MD5摘要長32位),Base64轉換後的字元串里論上將要比原來的長1/3。
③ 汽車上的ECU.EDS.還有很多,是什麼意思,都有什麼作用詳細點!謝謝!
■ 什麼是abs? abs是anti-lockbrakesystem的英文縮寫,即「剎車防抱死系統」。在沒有abs時,如果緊急剎車一般會使輪胎抱死,由於抱死之後輪胎與地面是滑動摩擦,所以剎車的距離會變長。如果前輪鎖死,車子失去側向轉向力,容易跑偏;如果後輪鎖死,後輪將失去側向抓地力,容易發生甩尾。特別是在積雪路面,當緊急制動時,更容易發生上述的情況。abs是通過控制剎車油壓的收放,來達到對車輪抱死的控制。其工作過程實際上是抱死—松開—抱死—松開的循環工作過程,使車輛始終處於臨界抱死的間隙滾動狀態。 但是在一些電影特技場景中,有的車子是不裝abs的,所以我們才能看到它們側滑、甩尾等多種高難度的刺激場面。對於一些想追求駕駛刺激的高級賽車手,他們同樣不喜歡給汽車裝上abs。終究一點,abs不是給特級演員和高級賽車手設計的,而是針對一般駕駛者,以保證他們駕車的安全。上世紀90年代汽車配置中最受關注的要屬abs了,就是當時的捷達、桑塔納也不敢說是每車必備,而到了現在,abs已是新車的標准配備。
■ 什麼是esp? esp是英文electronicstabilityprogram的縮寫,中文譯成「電子穩定程序」。這一組系統通常是支援abs及asr(驅動防滑系統,又稱牽引力控制系統)的功能。它通過對從各感測器傳來的車輛行駛狀態信息進行分析,然後向abs、asr發出糾偏指令,來幫助車輛維持動態平衡。esp可以使車輛在各種狀況下保持最佳的穩定性,在轉向過度或轉向不足的情形下效果更加明顯。 esp一般需要安裝轉向感測器、車輪感測器、側滑感測器、橫向加速度感測器等。esp可以監控汽車行駛狀態,並自動向一個或多個車輪施加制動力,以保持車子在正常的車道上運行,甚至在某些情況下可以進行每秒150次的制動。目前esp有3種類型:能向4個車輪獨立施加制動力的四通道或四輪系統;能對兩個前輪獨立施加制動力的雙通道系統;能對兩個前輪獨立施加制動力和對後輪同時施加制動力的三通道系統。 esp最重要的特點就是它的主動性,如果說abs是被動地作出反應,那麼esp卻可以做到防患於未然。 ■ 什麼是ebd? ebd的英文全稱是electricbrakeforcedis-tribution,中文直譯為「電子制動力分配」。汽車制動時,如果四隻輪胎附著地面的條件不同,比如,左側輪附著在濕滑路面,而右側輪附著於乾燥路面,四個輪子與地面的摩擦力不同,在制動時(四個輪子的制動力相同)就容易產生打滑、傾斜和側翻等現象。ebd的功能就是在汽車制動的瞬間,高速計算出四個輪胎由於附著不同而導致的摩擦力數值,然後調整制動裝置,使其按照設定的程序在運動中高速調整,達到制動力與摩擦力(牽引力)的匹配,以保證車輛的平穩和安全。 當緊急剎車車輪抱死的情況下,ebd在abs動作之前就已經平衡了每一個輪的有效地面抓地力,可以防止出現甩尾和側移,並縮短汽車制動距離。ebd實際上是abs的輔助功能,它可以改善提高abs的功效。所以在安全指標上,汽車的性能又多了「abs+ebd」。目前國內車型中廣本奧德賽、派力奧、西耶那等,都在制動中說明是「abs+ebd」。