数字活动与无线电收发器的安全威胁

数字活动与无线电收发器Giovanni Camurati之间的引用此版本：乔瓦尼·卡穆拉蒂。数字活动与无线电收发器之间的交互所产生的安全威胁。网络和互联网体系结构[cs.NI]索邦大学，2020年。英语。NNT：2020SORUS279。电话：03414339HAL ID：电话：03414339https://theses.hal.science/tel-03414339提交日期：2021年HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaireS E C U R I T T H R E A T E E M E R G I N G F R O M TH E我不知道我是不是在说我不是ERACIONRABD我不是ERANSCIGE我是AELRSACT IV ITYYNDB E T W E E N D I T A L A C T I V Y N D R A A N S C E I V E RS索邦大学EURECOM博士学校ED130计算机、电信和电子S E C U R I T H R E A T E E M E R G I N G R O M T T I O N E E R A C T I O N电磁噪声与无线电詹尼·奥夫·卡穆拉蒂计算机科学博士论文导演：Aurélien Francillon，Ludovic Apvrille于2020年12月8日发表并公开支持在由以下人员组成的陪审团面前：PR的。 D. SranCapkun（报告员）苏黎世联邦理工学院Markus Kuhn博士（报告员）剑桥大学Aurélien Francillon教授博士（论文主任）EURECOMLudovic Apvrille教授博士（论文共同导师）巴黎电信博士。RabéaAmeur-Boulifa巴黎电信国家安全信息系统的博士教授雷蒙德·克诺普EURECOM博士教授。徐文元（特邀）浙江大学何塞·洛佩斯·埃斯特维斯Giovanni Camurati：互动中出现的安全威胁--十几岁的数字活动和无线电收发器，©2020年对于林霞A B S T R AC T现代互联设备需要计算和通信功能。例如，智能手机在同一平台上携带多核处理器、内存和多个无线电收发器简单的嵌入式系统通常使用包含微控制器和收发器的混合信号芯片。数字块（电磁噪声的强源）和无线电收发器（对这种噪声敏感）之间的物理接近会导致功能和性能问题。事实上，在同一个硅芯片或平台上的组件之间存在许多噪声耦合路径。在本文中，我们探讨了数字和无线电块之间的相互作用所产生的安全问题，并提出了两种通过尖叫信道，我们演示了混合信号芯片上的无线电发射机可以广播有关设备数字活动的一些信息，使远程侧信道攻击成为可能。通过Noise-SDR，我们表明攻击者可以从软件执行触发的电磁噪声中塑造任意无线电信号，以与无线电接收器交互，可能在同一平台上。七R S M计算机电话和连接的对象使用无线电与其他电子设备通信。这些收音机与处理器和其他数字组件放在一起。例如，在计算机系统中，处理器、存储器和多个无线电收发器位于同一平台上。更简单的嵌入式系统通常使用包含两个微控制器的混合信号芯片。和收发器。产生非常强的电磁噪声的数字块与对该噪声敏感的无线电收发器之间的物理接近可能导致操作和性能问题这是因为在同一系统上的组件之间存在许多耦合路径。在本文中，我们探讨了数字设备和无线电系统之间的交互所产生的安全问题，并提出了两种新的攻击。通过Screaming Channels，我们证明了混合信号芯片上的无线电发射机可以广播有关设备数字活动的信息这使得可以在很远的距离进行辅助信道攻击。通过Noise-SDR，我们可以证明可以从由非特权软件触发的电磁噪声生成任意无线电信号，以与可能在同一平台上的无线电接收器交互九P U B L I C AT I ON S本文基于导致发表两篇关于尖叫信道的论文[1，3]和提交一篇关于Noise-SDR的论文[2]的研究工作。在适当的情况下，为这些文章设计的部分材料已在本工作中进行了改编和使用另外两篇关于动态固件分析[4]和片上系统安全[5]的出版物是与其他博士生合作的结果，不是本文的一部分。然而，它们对于获得对嵌入式系统安全性的一般理解是重要的，这是探索新攻击的先决条件。[1]乔瓦尼·卡穆拉蒂、奥雷利安·弗朗西永和弗朗索瓦-泽维尔·斯坦达特。"理解尖叫渠道：从详细分析到改进攻击"。在IACR Trans.密码学。很难。嵌入。系统 2020年。3（2020年），第358 doI：10.13154/tches.v2020.i3.358-401。网址：https://doi.org/10.13154/tches.v2020.i3.358-401。[2]乔瓦尼·卡穆拉蒂和奥雷连恩·弗朗西隆。2020年。正在提交。[3]乔瓦尼·卡穆拉蒂、塞巴斯蒂安·波普洛、马里乌斯·穆恩奇、汤姆·海斯和奥雷连恩·弗朗西永。 2018年ACM SIGSAC计算机和通信安全会议论文集，CCS2018，加拿大安大略省多伦多 ， 2018 年 10 月 15-19 日 。 埃 德 。 作 者 ： David Lie 、Mohammad Mannan 、 Michael Backes和 王罗 峰。 ACM，2018年，第163我做了：10.1145/3243734.3243802。 网址：https://doi.org/10。1145/3243734.3243802。[4]纳西姆·科尔泰贾尼、乔瓦尼·卡穆拉蒂和奥雷连恩·弗朗西-隆。Inception：真实世界嵌入式系统软件的全系统安全测试。2018年8月15日至17日，美国马里兰州巴尔的摩，USENIX Security 2018第27届USENIX安全研讨会。埃德。作者：威廉·恩克和艾德丽安·波特·费尔特。 USENIX协会，2018年，第309 网址：https://www.usenix.org/ 会 议 /usenixsecurity18/ 演 示/corteggiani。[5]纳西姆·科尔泰贾尼、乔瓦尼·卡穆拉蒂、马里乌斯·穆恩奇、塞-巴斯蒂安·波普洛和奥雷连恩·弗朗西永。SoC安全评估：对方法和 工 具 的 思 考 。 IEEE 设 计 测 试 （ 2020 ） 。 做 I ：10.1109/MDAT.2020.3013827。十一A C K N O W L E D G M EN T S亲爱的读者，我在这里，反思我的研究成果，并与你分享。我对我一直在探索的主题非常着迷，我会尽我所能激发你对它们的兴趣。我希望我能完成任务，我感谢你花时间阅读我的工作。现在，不用再等了，我想向那些一直在我身边的人表达我最深切的感谢。亲爱的林霞，我把这篇论文献给你。这几句话不足以感谢你总是和你的爱在一起。成功与失败，兴奋与绝望，都有。用你的榜样激励我。亲爱的家人和我亲爱的兄弟菲利斯，你帮助我成为现在的我。谢谢你的支持，也谢谢你激发了我热爱研究的好奇心。亲爱的朋友们，来自都灵、索菲亚-安提波利斯和世界各地的朋友们，我总是怀着极大的感情想念你们每一个人。特别感谢Paolo、Alberto、Emanuele、Stefano和Camillo在过去几年中进行了长期而深入的远程讨论。谢谢你是我能想象到的最好的主管。我想感谢你的原因有很多，比如你无尽的支持，你的教导，你的想法，以及你给我的自由和责任。但最重要的是，感谢你一直关心我的健康和成功。亲爱的Ludovic，感谢您这些年来的宝贵建议和您在我写这篇论文时的支持。亲爱的François-Xavier，感谢您对我的一切教导，感谢您在我访问比利时期间欢迎我加入您的研究小组。他们是这些年来最好的经历之一。S3集团、LabSoc和EURECOM的亲爱的朋友们，感谢你们成为伟大的同事和朋友。和你在一起，我一直觉得自己是团队的一部分，是家庭的一部分。纳西姆、塞巴斯蒂安、马吕斯和汤姆，特别感谢你们一起经历了发表一篇科学论文的挑战和奖励过程感谢Giulia、Matteo和所有学生在许多项目上的出色工作。亲爱的ARM的朋友们，感谢你们给我实习的美好时光，我从你们身上学到了很多，度过了一段美好的时光。亲爱的老师和教授们，从幼儿园，到Valsalice高中，都灵理工大学，EURECOM，和巴黎电信技术，没有你们的教导和鼓励，我不会在这里。十三亲爱的审稿人，期待我的演讲，以及任何读过或读过我作品的人，感谢你们的宝贵反馈。最后但并非最不重要的是，我想感谢所有的机构，使我的博士研究成为可能，提供了一个伟大的环境，愉快的设施，仪器，和财政支持 。 我 要 感 谢 EURECOM 、 法 德 未 来 工 业 学 院 的 SeciF 项 目 、DAPCODS/IOTics ANR2016项目（ANR-16-CE25-0015）、成本行动CRYPTACUS和谷歌授予Aurélien Francillon的教师奖。我还感谢Inria的R2实验室在他们的轶事室进行测量时提供的支持2 BACKGR一个131 inTR oeucTI on33 sTATE oF艺术11月袭击反对突尼斯一年又一次的艺术我Eiscov45年C O N T E N T S1.1无线通信的普遍性1.2集成挑战51.3安全挑战61.3.1意外侧通道61.3.2意外的秘密频道81.4新的攻击机会81.5捐款9II.2.1无线电通信基础知识132.1.1直觉原则132.1.2电磁传播142.1.3无线电通信中使用的信号142.1.4调制类型和协议162.1.5多样性172.2主要无线电架构192.2.1基本组件192.2.2经典收音机202.2.3全数字收音机212.2.4背散射和负载调制242.2.5软件定义的无线电252.3侧信道攻击理论252.3.1引言252.3.2侧渠道分析272.3.3侧通道攻击292.4接收设置31333.1无线安全333.1.1安全注意事项333.1.2攻击333.2妥协的散发363.2.1原则363.2.2应用程序373.3摘要41III.SCREAMINGCHANN'LS十五4. 1 假设45包含帐篷5分析十六4.1.1想法454.1.2改进474.2实验验证504.2.1北欧半导体nRF52832504.2.2北欧半导体nRF52840524.3对nRF的完整攻击52832534.3.1微量提取534.3.2调制分组544.3.3tinyAES在10米的Anechoic室544.3.4家庭环境中1米处的mbedTLS554.4结论55575.1关于未探索频道57的开放式问题5.1.1预期和非预期信号的共存- nals575.1.2从数字逻辑到无线电频谱585.1.3无线电链路585.2有意和无意信号的5.2.1调制的正交性605.2.2离散数据包作为深度褪色615.2.3跳频615.2.4干扰635.3从数字逻辑到无线电频谱5.3.1泄漏强度635.3.2扭曲655.3.368频道频率的影响5.4无线电链路705.4.1传动链泄漏的简单模型705.4.2更复杂的频道725.4.3时间、空间和频率多样性735.4.4规范化、通道估计和配置文件重用745.4.5距离（和设置）对校正和失真的5.5配置文件重用775.5.1随时间重复使用785.5.2跨设备重复使用785.6其他实际观察805.6.1关键枚举805.6.2低采样率和信息点825.6.3不同的连接类型835.7结论855.7.1经验教训855.7.2改进总结866攻击一个e Coun条款89噪音E-SER7个月的TIVATI，是的，一个不重要的LEMENTATI上8评估6.1挑战性攻击896.1.1更多具有挑战性的目标896.1.2更具挑战性的环境916.1.3更多具有挑战性的距离936.1.4结果总结97与帐篷十七6.2对真实系统的概念验证攻击976.2.1谷歌Eddystone信标986.2.2针对Google Eddys的概念验证攻击-音调身份验证1006.3对策1026.3.1常规对策1036.3.2硬件中的特定对策1036.3.3软件中的特定对策1046.4结论104四1077.1导言1077.2噪声SDR1107.2.1噪声SDR1107.2.2RF-PWM阶段1127.2.3第112章第一次见面7.2.4与传统无线电113的7.3实施1147.3.1模块化方法1147.3.2使用来自Native代码116的DRAM访问实现7.3.3JavaScript和其他源代码1171198.1多种协议的传输1198.1.1动机1198.1.2实验设置1198.1.3使用DRAM120的结果8.1.4其他来源的初步结果1238.2设备跟踪1238.2.1动机和威胁模型1238.2.2理论和实践考虑1248.2.3设计1248.2.4实施细节和接收硬件1248.2.5评估1258.2.6额外：快速短距离通信1268.3自动泄漏检测1268.3.1动机和初步意见1268.3.2利用LoRa1278.3.3利用全球导航卫星系统1279 Eiscussion139包含帐篷concLU eingREFL ECTI ons一个APPENEix十八8.4与同一平台上的其他收音机交互1288.4.1平台噪声1288.4.2对NFC阅读器的影响1288.4.3简单示例FM无线电干扰和欺骗- ing1298.4.4GNSS干扰和欺骗的初步示例1308.5对策1328.5.1一般对策1328.5.2针对DRAM132的对策8.6讨论1338.6.1一个新问题1338.6.2限制1338.6.3简单收音机的相关示例1348.7结论135V9.1优势和局限性1399.1.1结果1399.1.2方法论1409.2当前相关工作1419.2.1对混合信号芯片的其他攻击1419.2.2使用深度学习的尖叫通道攻击- ing1419.3未来的工作1419.3.1尖叫频道1419.3.2噪音SDR1449.3.3其他危险相互作用1459.4第146章我叫艾克斯149a.1WiFi芯片上的尖叫频道149a.1.1第149章第一次见面a.1.2常见WiFi物理层损伤和测量150a.1.3挑战152a.1.4测试模式153中的初步实验a.1.5结论156a.2Noise-SDR离散时间实现156a.2.1离散时间156a.2.2时间分辨率的重要性156a.2.3样本157BiBLI ogRAPHY159L I S T O F I G U R E S图1.1光电报。4图2.1无线电通信。13图2.2载波调制。15图2.3复杂信号符号。15图2.4空间多样性。18图2.5数字到模拟转换器符号。19图2.6正弦波形发生器的符号。19图2.7混音器的符号。20图2.8功率放大器符号。20图2.9极坐标调制器。20图2.10直接转换发射机。21图2.11超年末变送器。21图2.12脉冲宽度调制和增量西格玛。22图2.13射频脉冲宽度调制通过带-增量-西格玛。22图2.14反向散射。24图2.15软件定义的无线电。26图2.16电源和电磁侧通道26图2.17AES S盒。27图2.18接收链。31图4.1"nRF51822-蓝牙LESoC：周末芯片" CC BY3。0由Zeptobars [302]图4.2电源侧通道。46图4.无线电在混合信号芯片中可能的噪声耦合路径。47图4.尖叫频道的一个例子。47图4.5BLE Nano v2.50图4.北欧半导体nRF 52832芯片上的6个尖叫通道。51图4.7尖叫频道在行动。51图4.北欧半导体nRF 52840芯片上的8个尖叫通道。53图4.9尖叫通道痕迹提取。54图4.10尖叫频道攻击在10米的一个轶事室。55图5.1受攻击的设备（尖叫通道）。59图5.2尖叫通道泄漏的模型。60图5.3跳频扩展频谱和变化图。 62图5.4相关性的比较。66图5.5泄漏模型。68十九