HAL存储库：数字活动和无线电交互安全威胁

0HAL编号：tel-034143390https://theses.hal.science/tel-034143390提交日期：2021年11月4日0HAL是一个多学科开放获取的存储库，用于存储和传播科学研究文献，无论其是否已发表。这些文献可以来自法国或国外的教育和研究机构，也可以来自公共或私人研究中心。0HAL是一个多学科开放获取的存储库，用于存储和传播法国或国外的教育和研究机构、公共或私人实验室发布的或未发布的研究级科学文献。0从数字活动和无线电收发器之间的相互作用中产生的安全威胁0Giovanni Camurati0引用此版本：0Giovanni Camurati. 从数字活动和无线电收发器之间的相互作用中产生的安全威胁. 网络和互联网架构[cs.NI].巴黎索邦大学, 2020. 英文. �NNT: 2020SORUS279�. �tel-03414339�0giovanni camurati0从数字活动和无线电收发器之间的相互作用中产生的安全威胁0巴黎索邦大学 EURECOM电信学院 ED130计算机、通信和电子学0从数字活动和无线电收发器之间的相互作用中产生的安全威胁0从电磁噪声和无线电发射器之间的交界处产生的安全威胁0giovanni camurati0由Aurélien Francillon指导，LudovicApvrille共同指导的计算机博士论文0于2020年12月8日公开并支持由以下评委组成的论文答辩：0Prof. Dr. Sr ¯dan  ˇ Capkun（评审）ETH Zurich Dr. MarkusKuhn（评审）剑桥大学 Prof. Dr. Aurélien Francillon（导师）EURECOM Prof. Dr.Ludovic Apvrille（共同导师）巴黎电信学院 Dre. RabéaAmeur-Boulifa巴黎电信学院0José Lopes Esteves 国家信息系统安全局 Prof. Dr. Raymond Knopp EURECOM Prof. Dre.Wenyuan Xu（客座）浙江大学0Giovanni Camurati：从数字活动和无线电收发器之间的相互作用中产生的安全威胁，©2020年12月0为Linxia0摘要0现代连接设备需要同时具备计算和通信能力。例如，智能手机在同一平台上搭载了多核处理器、内存和多个无线电收发器。更简单的嵌入式系统通常使用混合信号芯片，其中包含微控制器和收发器。数字模块（电磁噪声的强源）与收发器（对此类噪声敏感）之间的物理接近可能导致功能和性能问题。事实上，同一平台或硅片上的组件之间存在许多噪声耦合路径。在本论文中，我们探讨了数字模块和无线电模块之间相互作用引发的安全问题，并提出了两种新型攻击。通过“ScreamingChannels”，我们证明了混合信号芯片上的无线电发射器可能会广播有关设备数字活动的某些信息，从而使侧信道攻击可以在较远距离上实施。通过“Noise-SDR”，我们展示了攻击者可以通过软件执行触发的电磁噪声来塑造任意无线电信号，与可能位于同一平台上的无线电接收器进行交互。0vii0简历0Les ordiphones et les objets connectés utilisent des radio pourcommuniquer avec d’autres appareils électroniques. Ces radio sontplacées à côté du processeur et des autres composants numériques.Par exemple, dans les ordiphones un processeur, une mémoire etplusieurs émetteurs-récepteurs radio se trouvent sur la mêmeplateforme. Les systèmes embarquées, plus simples, utilisent souventdes puces à signaux mixtes contenant à la fois un microcontrôleur etun émetteur-récepteur. La proximité physique entre les blocsnumériques, qui produisent un bruit électromagnétique très fort, et lesémetteurs-récepteurs radio, qui sont sensibles à ce bruit, peut causerdes problèmes de fonctionnement et de performance. En effet, il existede nombreux chemins de couplage entre les composants sur le mêmesystème. Dans cette thèse, nous explorons les problèmes de sécuritéqui naissent de l’interaction entre composants numériques etsystèmes radio, et nous proposons deux nouvelles attaques. AvecScreaming Channels, nous démontrons que les émetteurs radio surdes puces à signaux mixtes peuvent diffuser des informations surl’activité numérique de l’appareil. Cela permet de mener desattaques par canaux auxiliaires à grande distance. Avec Noise-SDR,nous montrons que il est possible de générer des signaux radioarbitraires à partir du bruit électromagnétique déclenché par unlogiciel sans privilèges, pour interagir avec des récepteurs radio,éventuellement sur la même plateforme.0ix1145/3243734.3243802.xi0P U B L I C AT I O NS0这篇论文基于关于Screaming Channels的两篇论文[1,3]的研究工作，以及关于Noise-SDR的一篇论文[2]的提交。在适当的情况下，这些文章中构思的部分材料已经被改编和重用在这项工作中。另外两篇关于动态固件分析[4]和系统级芯片安全[5]的出版物是与其他博士生合作的结果，不属于这篇论文的一部分。然而，它们对于获得嵌入式系统安全的整体理解是重要的，这是探索新型攻击的先决条件。0[ 1 ] Giovanni Camurati, Aurélien Francillon, and François-Xavier Standaert.“Understanding Screaming Channels: From a Detailed Analysis to ImprovedAttacks.” In: IACR Trans. Cryptogr. Hardw. Embed. Syst. 2020. 3 (2020), pp.358–401. doi: 10.13154/0tches.v2020.i3.358-401. url: https://doi.org/10.13154/0tches.v2020.i3.358-401.0[ 2 ] Giovanni Camurati和Aurélien Francillon.“Noise-SDR：在现代智能手机上通过噪声塑造任意无线电信号。”2020. 待提交.0[ 3 ] Giovanni Camurati, Sebastian Poeplau, Marius Muench, Tom Hayes, andAurélien Francillon. “Screaming Channels: When Electromagnetic Side ChannelsMeet Radio Transceivers.” In: Proceedings of the 2018 ACM SIGSAC Conferenceon Computer and Communications Security, CCS 2018, 多伦多, 加拿大,2018年10月15-19日. 编者：David Lie, Mohammad Mannan, MichaelBackes和XiaoFeng Wang. ACM, 2018, pp. 163–177. doi: 10.1145/3243734.3243802.url: https://doi.org/10.0[ 4 ] Nassim Corteggiani, Giovanni Camurati, and Aurélien Francillon.“Inception：对现实世界嵌入式系统软件的系统级安全测试。” In: 27th USENIXSecurity Symposium, USENIX Security 2018, 美国马里兰州巴尔的摩,2018年8月15-17日. 编者：William Enck和Adrienne Porter Felt. USENIX协会, 2018,pp. 309–326. url: https://www.usenix.org/0conference/usenixsecurity18/presentation/corteggiani.0[ 5 ] Nassim Corteggiani, Giovanni Camurati, Marius Muench,Sebastian Poeplau, and Aurelien Francillon.“SoC安全评估：对方法和工具的反思。” In: IEEE Design Test (2020).doi: 10.1109/MDAT.2020.3013827.xiii0致谢0亲爱的读者，我在这里，反思着我的研究结果，并与你分享。我对我所探索的主题深感着迷，我将尽力激发你对它们的兴趣。我希望我能胜任这个任务，并感谢你抽出时间来阅读我的工作。现在，不再等待，我想向那些一直在我身边的人表达我最深的感激之情。0亲爱的Linxia，我将这篇论文献给你。这几行字远远不足以感谢你一直以来的爱。感谢你与我分享成功和失败、兴奋和绝望。感谢你鼓励我，并以你的榜样激励我。0亲爱的家人和我亲爱的兄弟Felice，你们帮助我成为现在的人。感谢你们的支持，感谢你们点燃了我对研究的好奇心。0亲爱的都灵、Sophia-Antipolis和世界各地的朋友们，我总是怀着深深的感情想念你们每一个人。特别感谢Paolo、Alberto、Emanuele、Stefano和Camillo在过去几年里我们进行的长时间而深入的远程讨论。0亲爱的Aurélien，感谢你成为我能想象到的最好的导师。我有很多理由要感谢你，比如你无尽的支持、你的教导、你的思想，以及你给予我的自由和责任。但最重要的是，感谢你始终关心我作为一个人的幸福和成功。0亲爱的Ludovic，感谢你在这些年里给予我的宝贵建议，以及在我写这篇论文时对我的支持。0亲爱的François-Xavier，感谢你教给我的一切，并在我在比利时访问期间欢迎我加入你的研究小组。这些年来，它们是最美好的经历之一。0亲爱的S3小组的朋友们，LabSoc和EURECOM的朋友们，感谢你们成为了伟大的同事和朋友。在你们身边，我一直感到自己是团队的一部分，是一个大家庭的一部分。Nassim、Sebastian、Marius和Tom，特别感谢你们一起经历了发表科学论文的具有挑战性和有回报的过程。谢谢Giulia、Matteo和所有学生们在许多项目上的出色工作。亲爱的Arm的朋友们，感谢你们美好的实习日子，我从你们身上学到了很多，度过了一段非常愉快的时光。0亲爱的老师和教授们，从幼儿园到瓦尔萨利斯高中，都灵理工大学，EURECOM和Télécom ParisTech，没有你们的教导和鼓励，我不可能走到今天。0亲爱的评审专家、听众和阅读过我的工作的任何人，感谢你们宝贵的反馈意见。0最后但并非最不重要的，我要感谢所有使我博士学业成为可能的机构，他们为我提供了良好的环境、愉快的设施、仪器和财务支持。我要感谢EURECOM、法德未来工业学院的SeCiF项目、DAPCODS/IOTics ANR2016项目（ANR-16-CE25-0015）、COST行动CRYPTACUS和Google授予AurélienFrancillon的教职奖。我还要感谢Inria的R2实验室在其消声室中对测量的支持。iii445xv0目录0i 新的攻击机会01 引言 301 . 1 无线通信的普及性 301 . 2 集成挑战 501 . 3 安全挑战 601 . 3 . 1 意外的副通道 601 . 3 . 2 意外的隐蔽通道 801 . 4 新的攻击机会 801 . 5 贡献 90ii 背景和现状02 背景 1302 . 1 无线电通信基础知识 1302 . 1 . 1 直观原理 1302 . 1 . 2 电磁传播 1402 . 1 . 3 无线电通信中使用的信号 1402 . 1 . 4 调制类型和协议 1602 . 1 . 5 多样性 1702 . 2 主要无线电架构 1902 . 2 . 1 基本组件 1902 . 2 . 2 传统无线电 2002 . 2 . 3 全数字无线电 2102 . 2 . 4 反射和负载调制 2402 . 2 . 5 软件定义无线电 2502 . 3 侧信道攻击理论 2502 . 3 . 1 引言 2502 . 3 . 2 侧信道分析 2702 . 3 . 3 侧信道攻击 2902 . 4 接收设置 3103 现状 3303 . 1 无线安全 3303 . 1 . 1 安全考虑 3303 . 1 . 2 攻击 3303 . 2 损害辐射 3603 . 2 . 1 原理 3603 . 2 . 2 应用 3703 . 3 总结 4104 . 1 假设 454.2.1Nordic Semiconductor nRF52832504.2.2Nordic Semiconductor nRF52840520xvi 目录04 . 1 . 1 这个想法 4504 . 1 . 2 优化 4704 . 2 实验验证 5004 . 3 对 nRF 52832 的完整攻击 5304 . 3 . 1 跟踪提取 5304 . 3 . 2 调制数据包 5404 . 3 . 3 在消声室中的10米处的tinyAES 5404 . 3 . 4 在家庭环境中的1米处的mbedTLS 5504 . 4 结论 5505 分析 5705 . 1 未探索信道的问题 5705 . 1 . 1 有意和无意信号的共存 5705 . 1 . 2 从数字逻辑到无线电频谱 5805 . 1 . 3 无线电链路 5805 . 2 有意和无意信号的共存 5905 . 2 . 1 调制的正交性 6005 . 2 . 2 离散数据包作为深度衰落 6105 . 2 . 3 频率跳变 6105 . 2 . 4 干扰 6305 . 3 从数字逻辑到无线电频谱 6305 . 3 . 1 泄漏的强度 6305 . 3 . 2 失真 6505 . 3 . 3 信道频率的影响 6805 . 4 无线电链路 7005 . 4 . 1 泄漏传输链的简单模型 7005 . 4 . 2 更复杂的信道 7205 . 4 . 3 时间、空间和频率多样性 7305 . 4 . 4 标准化、信道估计和配置重用 7405 . 4 . 5 距离（和设置）对相关性和失真的影响 7605 . 5 配置重用 7705 . 5 . 1 随时间的重复使用 7805 . 5 . 2 设备之间的重用 7805 . 6 其他实用观察 8005 . 6 . 1 密钥枚举 8005 . 6 . 2 低采样率和信息点 8205 . 6 . 3 不同的连接类型 8305 . 7 结论 8505 . 7 . 1 得到的教训 8505 . 7 . 2 改进总结 8606 攻击和对策 890目录 xvii06 . 1 具有挑战性的攻击 8906 . 1 . 1 更具挑战性的目标 8906 . 1 . 2 更具挑战性的环境 9106 . 1 . 3 更具挑战性的距离 9306 . 1 . 4 结果总结 9706 . 2 针对真实系统的概念验证攻击 9706 . 2 . 1 Google Eddystone信标 9806 . 2 . 2 针对Google Eddystone身份验证的概念验证攻击10006 . 3 对策 10206 . 3 . 1 传统对策 10306 . 3 . 2 硬件中的特定对策 10306 . 3 . 3 软件中的特定对策 10406 . 4 结论 1040iv 噪声-SDR 7 动机、设计和实现 10707 . 1 引言 10707 . 2 噪声-SDR 11007 . 2 . 1 噪声-SDR 11007 . 2 . 2 RF-PWM阶段 11207 . 2 . 3 泄漏阶段 11207 . 2 . 4 与传统无线电的比较 11307 . 3 实施 11407 . 3 . 1 模块化方法 11407 . 3 . 2 使用来自本机代码的DRAM访问的实施 11607 . 3 . 3 JavaScript和其他来源 11708 评估 11908 . 1 传输多种不同的协议 11908 . 1 . 1 动机 11908 . 1 . 2 实验设置 11908 . 1 . 3 使用DRAM的结果 12008 . 1 . 4 使用其他来源的初步结果 12308 . 2 设备跟踪 12308 . 2 . 1 动机和威胁模型 12308 . 2 . 2 理论和实际考虑 12408 . 2 . 3 设计 12408 . 2 . 4 实施细节和接收硬件 12408 . 2 . 5 评估 12508 . 2 . 6 附加：快速短距离通信 12608 . 3 自动泄漏检测 12608 . 3 . 1 动机和初步观察 12608 . 3 . 2 利用LoRa 12708 . 3 . 3 利用GNSS 1270xviii 目录08 . 4 与同一平台上的其他无线电的交互 12808 . 4 . 1 平台噪声 12808 . 4 . 2 对NFC读卡器的影响 12808 . 4 . 3 简单示例 FM无线电干扰和欺骗 12908 . 4 . 4 GNSS干扰和欺骗的初步示例 13008 . 5 对策 13208 . 5 . 1 一般对策 13208 . 5 . 2 针对DRAM的更具体对策 13208 . 6 讨论 13308 . 6 . 1 一个新颖的问题 13308 . 6 . 2 局限性 13308 . 6 . 3 相关的简单无线电示例 13408 . 7 结论 1350v 结论性反思09 讨论 13909 . 1 优势和局限性 13909 . 1 . 1 结果 13909 . 1 . 2 方法论 14009 . 2 当前相关工作 14109 . 2 . 1 针对混合信号芯片的其他攻击 14109 . 2 . 2 喊叫通道 深度学习攻击 14109 . 3 未来工作 14109 . 3 . 1 喊叫通道 14109 . 3 . 2 噪声-SDR 14409 . 3 . 3 其他危险的交互 14509 . 4 结论 1460vi  附录a 附录 1490a.1 WiFi芯片上的尖叫通道1490a.1.1前提条件1490a.1.2常见WiFi物理层故障和测量1500a.1.3挑战1520a.1.4测试模式下的初步实验1530a.1.5结论1560a.2噪声-SDR离散时间实现1560a.2.1离散时间1560a.2.2时间分辨率的重要性1560a.2.3采样1570参考文献1590图目录0图1.1光电报机0图2.1无线通信130图2.2载波调制0图2.3复杂信号表示150图2.4空间多样性0图2.5数字-模拟转换器符号190图2.6正弦波发生器符号0图2.7混频器符号200图2.8功率放大器符号0图2.9极化调制器200图2.10直接转换发射机0图2.11超外差发射机210图2.12脉冲宽度调制和Delta-Sigma0图2.13射频脉冲宽度调制和带通-ΔΣ220图2.14反射0图2.15软件定义无线电260图2.16功率和电磁侧信道0图2.17AES S盒270图2.18接收链0图4.1"nRF 51822 - Bluetooth LE SoC: weekend die-shot" CC BY3.0 by Zeptobars [302]460图4.2功率侧信道0图4.3混合信号芯片中可能的噪声耦合路径470图4.4尖叫通道示例0图4.5BLE Nano v2.500图4.6 Nordic Semiconductor nRF 52832芯片上的尖叫通道0图4.7尖叫通道行动中0图4.8 Nordic Semiconductor nRF 52840芯片上的尖叫通道0图4.9尖叫通道迹线提取540图4.10消声室中10米处的尖叫通道攻击0图5.1受攻击的设备（尖叫通道）590图5.2尖叫通道泄漏模型0图5.3跳频扩频和信道映射620图5.4相关性比较0图5.5泄漏模型680xix