随着数字经济的快速发展,金融电子化这一概念越来越多地出现在人们的视野中。利用电子技术为传统金融领域赋能,实现金融创新,是当前金融电子化的趋势所向。数字经济的蓬勃发展带动了产业和企业的集聚,同时也引发了各类安全威胁。
在数字经济时代,安全已经成为数字经济发展的基石之一。密码、口令等安全技术在ATM机、POS机真空设备、智能卡、U盾等金融安全产品中的广泛应用,直接吸引了学术界、技术圈乃至黑客们的研究兴趣。实际中,数字财产所依赖的安全产品极其容易遭受侧信道攻击,该攻击主要借助黑客持有的安全产品在执行口令操作、密码运算时消耗的时间、功耗,或者辐射的电磁波、发出的声音等物理信息来推测口令或密钥等敏感信息。广义上讲,采用专业设备干扰安全产品的电源、时钟,或通过激光和电磁波干扰安全产品的芯片,从而实现身份校验步骤的跳过或敏感信息的恢复,也属于侧信道攻击的范畴。
作为一种新型的攻击手段,侧信道攻击可以绕过严谨的口令验证和复杂的密码运算,直接恢复口令和密钥,从而对金融安全设备构成了严重的威胁。在金融电子化相关领域,诞生了许多侧信道攻击的典型案例。
2009年,英国学者针对British High Street Bank发行的一款银行卡开展电源毛刺故障注入攻击阻尼。他们在银行卡的供电电源上实现了一种振荡电路,尝试采用特定的频率干扰其中的随机数发生器。实验结果表明,该银行卡输出随机数的随机性大大减弱,甚至出现了连续数十位相同的数字。在银行系统中,一旦随机数可以被控制或预测,银行卡的安全性将大大降低。
2012年,荷兰学者对手机开机入网过程中手机SIM卡执行的认证算法开展研究,他们采集了该认证过程中执行COMP128-1密码算法时SIM卡消耗的能量波形,利用能量信息与密码算法中间值之间的相关性来获得COMP128-1算法的密钥信息,最终恢复出了SIM卡的完整密钥,从而实现SIM卡的复制。图1为国内企业复现该攻击实验时搭建的实验平台,实际中,部分商用智能卡可通过该类平台实现攻击。
名为“Titan”的U盾是谷歌于2018年发布的密码产品,其中内置了NXP公司的一款密码芯片。2021年,法国研究人员通过采集和分析Titan U盾执行数字签名过程中辐射出的电磁信息,精准定位了电磁波中的泄露时刻,并准确地获得了部分密钥信息控制阀,最后结合一些数学分析手段成功恢复了Titan U盾的完整密钥。
2021年,德国研究人员讨论了开源U盾的安全问题,共调研了7款开源的安全U盾,其中包括应用广泛的SoloKeys和Nitrokey。不幸的是,各款U盾均被发现有不同程度的安全漏洞问题。以SoloKeysSolo为例,该U盾在进行安全运算时采用了椭圆曲线数字签名算法,攻击者可通过观察或分析设备电磁波形,直接推测出该U盾正在执行的密钥信息,如图2所示。此外,还发现部分U盾执行密码运算的时间与参数长度存在线性关系,利用开源工具开展时间侧信道攻击也可以成功恢复U盾的密钥圆锥外圈角。
随着口令在ATM机、POS机、手机支付等领域的广泛应用,针对支付口令的侧信道攻击也层出不穷,取得了明显的效果。以ATM键盘为例,专家建议用户输入口令时用另一只手遮挡键盘,可防止偷窥或类攻击。但是k8凯发(中国)天生赢家·一触即发,人体按过键盘后会留下热量,待用户的手拿开后,攻击者可采用红外热敏感摄像头捕获键盘上残余的温度信息,从而得知用户按过哪几个键,甚至推断出其按键的先后顺序,如图3所示。
公共场合免费的一些公共资源如Wi-Fi中可能存在安全隐患。2020年,上海交通大学学者发现,用户输入口令的手势会影响到空间中的Wi-Fi信号,攻击者获得Wi-Fi信号后即可以推断出用户输入的口令。图4所示实验中,他们成功从Wi-Fi信号中恢复出一定距离外的用户在手机上输入的电子支付口令,同时他们还发现恢复口令的准确率与信号源和用户之间的距离有直接的关系。
此外,智能可穿戴设备的运动传感器也可能泄露电子支付的口令信息。2015年,美国学者发现佩戴智能手表的用户在键盘上敲击时,如图5所示,手表中的陀螺仪、加速度计等传感器数据会泄露他所敲击的信息。现实中,攻击者较为容易获得这些数据,因为智能设备中的传感器数据是对APP公开的。
在IT行业,安全和效率往往是矛盾的。金融电子产品在设计之初,往往考虑的是效率,厂商们一方面希望产品能够高效率地实现其基础功能,另一方面又希望产品快速完成设计并迅速抢占市场。在这一过程中,安全往往被忽视了。
站在厂商的角度,应当在产品设计阶段充分考虑信息安全风险,将侧信道安全性纳入产品的整体设计中,识别和避免可能存在的侧信道泄露风险。技术上,可使用如掩码、伪操作、随机延时等专业技术手段来实现算法级的物理安全;管理上,可以聘请专业团队和检测机构对设计方案进行咨询和评审。而站在行业协会或监管机构的角度,可以制定相关标准规范,并进行必要的检测认证,在金融电子化健康稳定发展的进程中发挥重要作用。
习在网络安全和信息化工作座谈会上指出:“古往今来,很多技术都是‘双刃剑’,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。”这一形象的比喻再次警示我们,技术的发展并非单纯的进步电磁式波发生器,而是一项伴随着责任的使命。金融电子化发展必须坚持安全第一的原则,应该进一步加强监管并开展法律法规的建设,以保障技术的健康发展和社会的和谐稳定。
