MCU解密全攻略 为何所有MCU都能被破解

输入正确的32字节密码后才能进行回读操作。如果没输入密码，只有擦掉芯片后才能操作。尽管这个保护方法看上去比先前的更有效，它有一些缺点可以用低成本的非侵入式攻击如时序分析和功耗分析来破解。如果安全熔丝的状态是上电或复位后的存储器的一部分，这就给破解者用电源噪声来破解的机会，强制电路进入存储器中的错误状态。

　　图1-8 PIC16F648A伪顶层金属层图案使得对芯片进行微探测攻击更困难，200X

　　别的一些使入侵攻击开销更多的措施包括使用顶层金属网格。所有的网格都用来监控短路和开路，一旦触发，会导致存储器复位或清零。普通的MCU不会使用这种保护方法，因为设计较难，且在异常运行条件下也会触发，如：高强度电磁场噪声，低温或高温，异常的时钟信号或供电不良。故有些普通的MCU使用更廉价的伪顶层金属网格，但这也有非常高效的光学分析进行微探测攻击的方法。在智能卡中，电源和地之间铺了一些这样的网格线。在这些方法中发现一些设计缺陷使得可以进行微探测攻击。同样，这些网格不能保护非侵入式攻击。因为导线之间有电容，并且光线可以通过导线抵达电路的有效区域，半侵入式攻击仍然可能。

　　可编程的智能卡制造商走得更远，干脆砍掉标准的编程接口。取而代之的是启动模块，可以在代码载入后擦掉或屏蔽掉自己。这些卡只能在初始化时被编程一次，之后只能响应使用者的嵌入软件所支持的读写存在卡里的数据或程序。

　　图1-9 意法ST的ST16系列智能卡芯片表面金属层的敏感网格。

　　近期的一些智能卡使用存储器总线编码(Bus encryption)技术来防止微探测攻击。即使破解者获得数据总线的数据也不可能知道密码或别的敏感信息。这种保护措施直指侵入式和半侵入式攻击。但非侵入式攻击仍然可以像正常的CPU一样访问控制非编码信息。事实上，几年前就发现廉价地破解编码信息的方法。

　　图1-10 100倍显微镜下的英飞凌Infineon SLE66系列的智能卡芯片上的硬件总线编码模块，保护存储器免受微探测攻击。

　　另外一些需要提及的改进是将标准的模块结构如解码器，寄存器文件，ALU和I/O电路用类似ASIC逻辑来设计。这些设计称为混合逻辑(Glue logic)，广泛用于智能卡。混合逻辑使得实际上不可能通过手工寻找信号或节点来获得卡的信息进行物理攻击。这种技术广泛用于盗版，并可提升常见CPU内核的性能和安全性。例如Ubicom的SX28微控制器的引脚和程序都兼容于微芯的PIC16C57，但它使用了混合逻辑设计，闪存，大容量RAM使它的性能获得大幅提升。在PIC微控制器中，破解者很容易跟踪内存到CPU的数据总线，但在SX微控制器中，几乎不可能知道总线的物理位置，反向工程和微探测攻击将是非常困难且耗费时间

　　图1-11 Ubicom的SX28微控制器引入混合逻辑设计，提升了性能和安全性。

　　更常用的是芯片由不同模块组成，但每个模块使用混合逻辑设计。如赛普拉斯的CY7C63001A微控制器。在这种情况下，破解者更容易跟踪模块之间的总线和控制线，并对芯片进行侵入式和半侵入式攻击。混合逻辑设计不能防止非侵入式攻击，但需要更快更昂贵的设备。半侵入式攻击面临伪设计模块的问题。当然破解者可以自动操作来进行穷举搜索并尝试攻击所有可能区域。结果很可能是花了很长时间并没有取得成功。另一方面，破解者可以直接攻击存储器器或它的控制电路。

　　图1-12 赛普拉斯Cypress的CY7C63001A微控制器使用部分混合逻辑设计，但内部总线很容易被访问。

　　技术的进步增加了入侵攻击的成本。十年前很容易使用激光切割器和简单的探针台就可以读写芯片表面的任何点，但对于现代的深亚微米半导体芯片就需要用到不一般的且昂贵的技术，这难倒了很多潜在的破解者。如PIC16F877很容易在显微镜下观察并进行反向工程，藏在顶层金属下的第二层金属和多晶硅层仍然可见。但在PIC16F887A微控制器中使用了平坦化工艺，使得不会显示更深的层。唯一的方法是用物理或化学的方法除去顶层金属。

　　图1-13 500倍显微镜下，通过PIC16F877的顶层看到第二层金属和多晶硅层。

　　图1-14 500倍显微镜下，看不到PIC16F877A的顶层金属下有什么特别的。

　　另外一个需要注意的是大量二手的半导体制造和测试设备出现在市场上，虽不能用于攻击高端产品，但用于破解旧技术制造的芯片已经够了。

　　 存储器的种类

一个微控制器依照位于存储器内的程序进行操作。有多种不同的存储器类型，大部份曾被用于微控制器。多数的现代微控制器是以互补型金属氧化半导体技术制造。 芯片上的存储器可能是CMOS型的(SRA