基于数据海明距离的数字化设备电磁信息泄漏防护
2014-01-23张杰敏孙海梦
张杰敏,孙海梦
(1.集美大学计算机工程学院,福建厦门361021;2.集美大学诚毅学院,福建厦门361021)
信息是现代社会的命脉,因而信息安全就显得非常重要.通常,人们更重视网络攻击、计算机病毒、系统漏洞等方面引起的安全问题,却往往忽视了信息设备电磁辐射造成的信息泄漏问题.
任何处于工作状态的数字化设备,如计算机及其他信息设备等,都存在不同程度的电磁辐射,致使所有信息设备都存在着电磁信息泄漏问题[1-2].1985 年,荷兰人 W.Van Eck 使用一台稍经改装的普通电视机,成功复现了几米外CRT显示器上所显示的内容,这使人们初次认识到计算机电磁信息泄漏的现象,并且意识到借助于一般设备就能截获并复现电磁泄漏的信息[3].事实上,除了计算机显示器存在电磁信息泄漏之外,CPU,主板、硬盘、键盘、打印机等元器件或设备,以及电源线、数据线、控制线等各类导线都会产生电磁信息泄漏,只是截获与复现所泄漏的电磁信息需要的方式不同,难易程度也不相同.随着计算机处理信息的强度不断增加,加之截获与复现信息的技术手段不断提高,电磁信息泄漏问题变得越来越突出.利用计算机设备的电磁信息泄漏现象窃取机密已成为国内外情报机关获取信息的重要途径.电磁信息泄漏成为当今威胁信息安全的不可忽视的重要原因.
目前,国内外关于电磁信息泄漏相关问题的研究,更多地是对数字化设备具体部件电磁信息泄漏现象的研究.相对而言,关于信息对电磁泄漏造成的影响,以及两者之间存在的关系的研究较为薄弱,整个电磁信息研究领域未形成完整的理论体系和相关模型,没有系统的防护策略,缺少根本有效的防护方法.
本文首次将电磁辐射理论与信息论相结合,提出电磁信息泄漏的系统模型,并基于模型提出了系统防护策略.通过综合分析电磁信息泄漏的内在原因,依据系统防护策略,发现电磁辐射的强度变化与数据的海明距离(Hamming Distance)具有相互对应的关系.一般而言,数据的海明距离越大,则电磁辐射的强度就越大,造成的电磁泄漏量就越大,反之亦然.从系统抗截获的防护策略出发,保持电磁辐射变化量恒定或者使电磁辐射变化量最小,将最大限度地增加截获难度,从而防止或减少了电磁信息的泄漏.
因此,通过调整数据的海明距离使电磁辐射变化量恒定,或者变化量最小,将能有效地保护电磁信息,防止或减少信息泄漏.本文通过对触摸屏案例的数据分析验证了结论的正确性和方法的有效性.
1 电磁信息泄漏的系统防护策略
信息设备的电磁辐射是不可避免的客观现象,辐射特征符合电磁辐射理论.信息设备的作用是处理信息,这些信息在处理过程中随着信息设备产生的电磁辐射被无意发射或传导出去,造成电磁信息的泄漏.在这个过程中,电磁波是载体,信息是核心.将电磁辐射理论与信息理论相结合,可建立起电磁信息泄漏系统的模型,模型由电磁信息泄漏源(信源)、辐射电磁波(信道)、截获复现端(信宿)三个部分组成,如图1所示.
图1 电磁信息泄漏系统模型Fig.1 System model of electromagnetic information leakage
通过分析电磁信息泄漏系统的组成部分,并对大量案例进行研究发现,对电磁信息泄漏的防护应综合考虑信源、信道和信宿三方面因素,就此提出了抗辐射、抗截获和抗复现的系统防护概念,如图1中虚线分割的部分所示.
1)从电磁信息泄漏源出发,应尽量阻断或抑制信息设备的电磁辐射,尽可能使得泄漏出去的电磁辐射量最少,这个阶段称为“抗辐射”.
2)针对泄漏出去的电磁波,应最大限度地增加截获难度,致使截获端很难接收到信息设备泄漏的电磁波,这个阶段可称为“抗截获”.
3)对于可能被截获到的电磁波,还应尽可能增加对截获电磁波的信息复现难度,这个阶段称为“抗复现”.
抗辐射、抗截获和抗复现这三层防护策略具有相互依存、层层递进的关系.一般来说,抗辐射常用的方法是阻断或抑制电磁辐射,多采用屏蔽、加固等硬件手段.对于采用硬件防护措施后依然存在的电磁信息泄漏,应用软件防护措施抗截获且抗复现,是可行和有效的保障数据安全的方法.
抗辐射、抗截获和抗复现这三层系统防护方法中,抗辐射大多只适宜采用硬件方式实现,而抗截获和抗复现更适合应用软件方法实现.事实上,软件方法实现电磁信息泄漏的防护,相对于硬件方法而言,具有成本低、变化灵活、容易实施、隐蔽性更好等特性.通过计算机软件实现电磁信息泄漏的防护是非常重要的途径,具有更好的发展前景.
信息由数据承载,在数字化设备中以二进制的形式存在.数字化设备在处理数据的过程中形成电磁辐射现象,引起电磁信息泄漏.数字化设备处理的数据不同,引起的电磁辐射强度就不同.因此,信息与电磁辐射量之间存在某种相关性,研究这种相关性的目的是找出信息对电磁信息泄漏的影响,从而能够采用抗截获的软件方法防止或减少电磁信息泄漏.
2 海明距离与电磁信息泄漏的相关性
电磁辐射之所以会造成信息泄漏,与信息设备自身的构造密切相关.绝大多数数字集成电路由非门、与非门、或非门等这些具备基本功能的CMOS逻辑门电路构成.具备基本功能的逻辑门组成的电路所具有的功耗特性及电磁辐射特性,决定了数字集成电路的功耗特性和电磁辐射特性.
CMOS逻辑门中非门的电路最简单,但它具备所有CMOS逻辑门电路的基本特征.通过分析CMOS非门的电路特征,从中可以解析其功耗特性和电磁辐射特性,进一步推出数字集成电路的功耗特性和电磁辐射特性,从而揭示计算机等数字设备电磁信息泄漏的内在原因.
CMOS非门工作时存在三种电流,分别是静态漏电流,动态短路电流和动态负载电容充放电所形成的电流.电流越大,电能功耗越强,电磁辐射也越强.其中,静态漏电流所占比例很小,可以忽略不计.电路形成的电能功耗或电磁辐射量主要由负载电容充放电引起.还需要注意的是,动态短路电流虽存在的时间短暂,但却可形成尖峰脉冲,很容易被监测和截获.
对CMOS非门而言,当输入端信号从高电平跃变到低电平,输出端信号由低电平转换到高电平时,电路中会出现动态负载电容充电电流;当输入端信号从低电平跃变到高电平,输出端信号由高电平转换到低电平时,电路中会出现动态负载电容放电电流;电路工作时,负载电容根据不同的输入输出信号进行充放电,形成充放电电流.在这些电流的作用下,信息设备不断产生电磁辐射.
进一步分析,当CMOS非门输出端信号由低电平到高电平时,逻辑上数据由0到1发生变化,电源端有功耗;当CMOS非门输出端信号由高电平到低电平时,逻辑上数据由1到0发生变化,电场能转化为热能;而当CMOS非门输出端信号无变化时,逻辑上数据由0到0或者由1到1,由于没有负载电容充放电过程,所以几乎没有功耗.基于上述分析可相对地说,数据“1”产生的功耗要大于数据“0”产生的功耗.而不论是发生“0→1”反转,还是发生“1→0”反转,都会引起瞬时短路电流,所形成的尖峰脉冲是主要的特征监听信号.这些特征信号容易被侦听并截获,是引起电磁信息泄漏的主要原因.在同步系统中,所有CMOS门的同步时钟在同一时刻触发状态改变,此时电路的功耗是同一时刻所有改变状态的门电路功耗之和.电路中越多门电路改变状态,功耗就越大,产生的电磁辐射的强度也就越强[4-5].
数字设备处理数据0和数据1会引发不同强度的电磁辐射.这种关系在CMOS门电路一级表现为负载电容充放电,在寄存器一级表现为寄存器中触发器的0,1翻转,在操作数一级表现为指令执行前后数据的海明距离.
在一个码组集合中,任意两个码字之间对应位上,码元取值不同的位的数目定义为这两个码字之间的海明距离,即
式中:i=0,1,…,n-1;x,y 都是 n 位的编码;⊕表示异或.当x,y为二进制编码时,H(x,y)为x与y各位取0或1值的差异数.
数据变化的位数越多则电流功耗越大,所对应的电磁场强度也越大,引起的电磁辐射量就越大.因此,可以建立基于数据海明距离的功耗模型[6-7],并由电偶极子和磁偶极子的关系,进一步建立基于数据海明距离的电磁辐射量模型[8-9].
用C表示电磁辐射量,则这个关系可表示为
式中:D表示原始数据;R表示结果数据;H表示数据的海明重量;⊕表示异或;H(D⊕R)为原始数据与结果数据的海明距离.
令a=1,b=0,则C可简化为
式(3)表征了数据的海明距离引起的一系列变化关系:“海明距离→功耗→电流变化→电磁辐射量”.
截获者之所以能够捕获电磁波,并通过数据重构和信息复现获取电磁泄漏的信息,主要原因是在信息设备所处理的数据发生“0→1”或“1→0”跳变时,会引发电磁辐射峰值;同时,信息设备在处理数据“0”或数据“1”时的功耗不同,导致电磁辐射强度发生变化,进而引起电磁信号的变化.
总结以上分析可知,如果尽量减小敏感数据在处理过程中的海明距离,或者使数据的海明距离保持恒定,就会减少辐射电磁波的变化量或使变化恒定,从而增加截获的难度,使其侦听不到载有信息的电磁波.
3 触摸屏的电磁信息泄漏及防护
当前,触摸屏已经成为最常用的数据输入装置,如ATM,手机、自动售票机、PC等,今后触摸屏将越来越广泛地应用于各种信息设备.触摸屏的显示面板上呈现数字等字符图标,人们通过触摸字符图标输入口令、身份认证码等信息.触摸屏输入时所产生的电磁辐射信号被截获后,利用数据重构和信息复现技术就可能从中获得原始数据,危及信息安全[10-11].
触摸屏可看成由按键区和数据区组成.按键区显示可输入字符的图标及相应字符,数据区显示输入状态.通过触摸时图标颜色的变化,通知操作者“输入的字符有效”是大多数触摸屏广泛采纳的通用模式.输入数据时触摸所选择的字符图标,图标的颜色就会发生变化,同时数据区显式或隐式呈现输入的值,如图2所示.
显示屏上的图像颜色由 RGB(Red-Green-Blue)编码决定,不同颜色的RGB编码不同,形成的RGB信号的组合电压值不同,变化的电压引起电磁辐射.电磁辐射的强度与相邻像素间的电压变化值有关.触摸屏在输入数据时图标颜色发生变化,使对应的邻接像素点的RGB信号组合电压发生变化,引起电磁辐射强度的变化[12-14].辐射电磁波强度变化量越大就越容易被侦听和截获.基于前述分析,颜色变化引起RGB信号组合电压变化的原因,是不同颜色的RGB编码不同.换句话说,不同颜色之间存在不同的海明距离.下面以图2为例,分析海明距离与电磁辐射的关系.
图2 触摸屏的常规配色Fig.2 Standard color scheme of a touch screen monitor
3.1 常规配色方案
在图2所示的配色方案中,图标在按下前、后的颜色变化关系为:
未按下:黑色(背景)→绿色(图标)→白色(字符)→绿色(图标)→黑色(背景).
按下:黑色(背景)→品红色(图标)→白色(字符)→品红色(图标)→黑色(背景).
其中,各种颜色的RGB编码分别为:黑色:[00H∶00H∶00H];绿色:[00H∶FFH∶00H];白色:[FFH∶FFH∶FFH];品红色:[FFH∶00H∶FFH].表1为颜色变化引起的RGB海明距离.
表1 配色方案图标、字符的海明距离Tab.1 Hamming distance of icon or character for the standard color scheme
在微波暗室中,通过天线于距离触摸屏1 m处探测辐射电磁波,所截获的电磁波经过PC机的数据重构处理,复现的信息如图 3所示[10,14].从图3中可以看出,字符图标按下前、后的复现图像具有可观测的区别,可以明显地看到:字符“1”被输入时,图标1的垂直边框变粗,而字符1的垂线变细.这种变化可用来推测输入字符为“1”.
由于数据输入前背景颜色(黑色)与图标颜色(绿色)间的海明距离为8,而数据输入时背景颜色(黑色)与图标颜色(品红的)间的海明距离为16,所以图标按下时触摸屏的电磁辐射强度较之前增大,截获并复现所得的边框垂线较图标按下前更粗些.同样的道理,由于数据输入前图标颜色(白色)与字符颜色(绿色)间的海明距离为16,而数据输入时图标颜色(黑色)与字符颜色(品红的)间的海明距离为8,所以图标按下时触摸屏的电磁辐射强度较之前减弱,截获并复现所得字符垂线较图标按下前更细些.这样的实验数据验证了前面的分析结果:海明距离越大,电磁辐射的强度也越大.需要注意的是,重构图像中只有垂直线最清晰,水平线则不产生电磁泄漏.原因同样是水平方向RGB组合电压值稳定,相邻像素的海明距离为0,不产生电磁辐射,因而也没有电磁信息的泄漏.
图3 图标按下前后的重建图像对比Fig.3 Reconstruction image before and after pressed icon
调整图标颜色的配置方案,使图标边框颜色变化所对应的海明距离在其按下前、后保持恒定,同时使数字边沿颜色变化所对应的海明距离在图标按下前、后保持恒定,这样在触摸屏输入数据时按下图标的前、后虽然有颜色变化,但辐射电磁波的变化保持恒定,致使无法识别图标按下前、后的状态,达到防止电磁信息泄漏的目的.
3.2 防电磁信息泄漏的安全配色方案
1)安全配色方案A.调整按下图标时的颜色为蓝色,RGB编码为[0,0,255],图标在按下前、后的颜色变化关系为:
未按下:黑色(背景)→绿色(图标)→白色(字符)→绿色(图标)→黑色(背景).
按下:黑色(背景)→蓝色(图标)→白色(字符)→蓝色(图标)→黑色(背景).
其中,各种颜色的RGB编码分别为:黑色:[00H∶00H∶00H];绿色:[00H∶FFH∶00H];白色:[FFH∶FFH∶FFH];蓝色:[00H∶00H:FFH].表2为颜色变化引起的RGB海明距离.
表2 安全配色方案A图标、数字的海明距离Tab.2 Hamming distance of icon or character for the A color scheme
2)安全配色方案B.调整图标按下前的颜色为青色,RGB编码为[0,255,255],图标在按下前、后的颜色变化关系为:
未按下:黑色(背景)→青色(图标)→白色(字符)→青色(图标)→黑色(背景).
按下:黑色(背景)→品红色(图标)→白色(字符)→品红色(图标)→黑色(背景).
其中,各种颜色的RGB编码分别为:黑色:[00H∶00H∶00H];青色:[00H∶FFH∶FFH];白色:[FFH∶FFH∶FFH];品红色:[FFH∶00H∶FFH].表3为颜色变化引起的RGB海明距离.
3)安全配色方案C.调整图标按下后的颜色为深青色,RGB编码为[0,139,139],图标在按下前、后的颜色变化关系为:
未按下:黑色(背景)→绿色(图标)→白色(字符)→绿色(图标)→黑色(背景).
按下:黑色(背景)→深青色(图标)→白色(字符)→深青色(图标)→黑色(背景).
其中,各种颜色的RGB编码分别为:黑色:[00H∶00H∶00H];绿色:[00H∶FFH∶00H];白色:[FFH∶FFH∶FFH];深青色:[00H∶8BH∶8BH].表4为颜色变化引起的RGB海明距离.
表3 安全配色方案B图标、数字的海明距离Tab.3 Hamming distance of icon or character for the B color scheme
表4 安全配色方案C图标、数字的海明距离Tab.4 Hamming distance of icon or character for the C color scheme
3.3 关于三种安全配色方案的进一步研究
表2~表4所示的三种防电磁信息泄漏的安全配色方案都能够使触摸屏在输入数据前、后的电磁辐射变化量保持一致,达到防止电磁信息泄漏的目的,但事实上它们在安全性上是有区别的.由前面的分析可知,“0→1”或“1→0”跳变是形成电磁辐射峰值的主要原因,也是侦听和截获辐射电磁波的主要成分,同时也是实现数据重构和信息复现时的分析依据.频繁的0,1跳变一定会形成不安全的因素,在防电磁辐射的安全配色中应该尽量选择0,1跳变次数少的方案.
表5 三种安全配色方案的0,1跳变比较Tab.5 Comparison the 0,1 jumps in three kinds of A,B and C color scheme
“0→1”或“1→0”跳变次数越多,形成的电磁辐射特征越显著,造成的电磁信息泄漏情况就越严重.由表5中的数据计算可得出,方案B的跳变次数最少,相对于其他两种方案是更为安全的防电磁信息泄漏的优化方案.
4 结论
电磁信息泄漏已经成为当前数据安全不可忽视的问题.论文所给出的电磁信息泄漏的系统模型建立在电磁理论与信息论相结合的基础上.基于电磁信息泄漏的系统模型,提出了抗辐射、抗截获和抗复现的三层系统防护策略.抗辐射、抗截获和抗复现之间既存在相对独立性,又相辅相成,形成了不可分割的防护系统.其中,抗辐射的目的是尽量减少泄漏源辐射的电磁波,常采用屏蔽、加固、安全芯片设计等硬件手段;抗截获的目的是尽量减小电磁辐射的强度变化或者保持变化恒定,以增加截获难度;抗复现的目的是尽量增加数据重构和信息复现的难度.抗截获与抗复现常常采用软件方法实现.
论文基于系统模型和防护策略,进一步分析了信息设备电磁辐射的强度与其所处理数据的相关性,指出数据的海明距离与电磁辐射的强度变化相对应,而电磁信息的泄漏量与电磁辐射的强度变化相关,因此数据的海明距离与电磁信息泄漏量相关.当数据的海明距离恒定时,电磁辐射的变化量则恒定,电磁信息泄漏量为0;海明距离越小的数据,电磁辐射的强度越小,其电磁信息泄漏量也越少;进一步,在海明距离最小的情况下,“0→1”或“1→0”跳变的次数越少,电磁信息泄漏量就越少,数据抗截获的性能就越好,电磁信息的安全性也就越高.通过数据编码减小数据间的海明距离或者保持海明距离恒定,使电磁辐射量变化最小或使变化保持恒定,能最大限度地增加侦听和截获电磁信息的难度,达到保护数据安全的目的.
当然,泄漏的电磁信息被截获与复现的程度,还受到许多因素的影响,如信源主频、截获时长、截获距离、信息内容(文本或图像)、干扰因素和复现手段等等,但海明距离引起的电磁辐射是主要的、根本的原因.调整海明距离将有益于防止电磁信息泄漏,但也会带来一定的副作用,如远距离传输中数据可靠性会受到影响.所以,对哪些必要的数据进行海明距离的调整,是选择保持恒定还是减小数据海明距离,需要综合考虑,同时也是另一个值得研究的问题.
[1]Hayashi Y.Evaluation of information leakage from cryptographic hardware via common-mode current[C].IEICE TRANSACTIONS on Electronics.Japanese:Japan Academic Association,2012,E95-C(6):1089-1097.
[2] Kuhn M G.Compromising emanations:eavesdropping risks of computer displays[R].England:University of Cambridge Computer Laboratory TechnicalReport,2003,UCAM-CL-TR:577-581.
[3]Van Eck W.Electromagnetic radiation from video display units:An eavesdropping risk[J].Computers and Security,1985,4(4):269-286.
[4]丁国良,常小龙,陈家文,等.CMOS门电路电磁信息泄漏评估[J].微电子学与计算机,2011,28(5):67-70.Ding Guoliang,Chang Xiaolong,Chen Jiawen,et al.The electromagnetic information leakage evaluation on basic CMOS gate[J].Microelectronics & Computer,2011,28(5):67-70.(in Chinese)
[5]Kasper T,Oswald D,Paar C.EM Side-channel attacks on commercial contactless smartcards using low-cost equipment[R].Germany:Horst Görtz Institute for IT Security Ruhr University Bochum,2009,LNCS 5932:79-93.
[6]章竞竞,李仁发.DES差分功耗分析研究及仿真实现[J].计算机工程与应用,2010,46(33):82-84.Zhang Jingjing,Li Renfa.Research and realization of simulation of DES differential power analysis attack[J].Computer Englneering and Applications,2010,46(33):82-84.(in Chinese)
[7]褚杰,丁国良,邓高明,等.DES差分功耗分析攻击设计与实现[J].小型微型计算机系统,2007,28(1):11-14.Chu Jie,Ding Guoliang,Deng Gaoming,et al.Design and realization of differential power analysis for DES[J].Journal of Chinese Computer Systems,2007,28(1):11-14.(in Chinese)
[8]Gandol K,Mourtel C,Olivier F.Electromagnetic analysis:concrete results,hardware and embedded systems[J].Computer Science,2001,2162:251-262.
[9]逯畅,潘雄.差分功耗分析中选择函数的研究[J].信息技术,2012,3:108-110.Lu Chang,Pan Xiong.Research on the selection function in diferential power analysis[J].Information Technology,2012,3:108-110.(in Chinese)
[10]Sekiguchi H,Seto S.Measurement of radiated computer RGB signals[C].America:Progress In Electromagnetics Research,2009,7:1-12.
[11] Sekiguchi H,Seto S.Measurement of computer RGB signals in conducted emission on power leads[C].A-merica:Progress In Electromagnetics Research,2009,7:51-64.
[12]Kuhn M G.Filtered-tempest fonts[EB/OL].[2012-03-01].http://www.c1.cam.ac.uk/mgk25/st-font.zip.
[13]Suzuki Y,Kobayashi R,Masugi M,et al.Development of countermeasure device to prevent leakage of information caused by unintentional PC display emanations[C].European:European Electromagnetics,2008:177.
[14] Sekiguchi H.A software countermeasure technique against information leakage threat of button input operations in display image caused by radiated electromagnetic noise from information equipments[J].Transaction of IEICE,2008,J91-B(11):1478-1483.