[科普中國]-防篡改

防篡改（英語：Tamper resistance）是指通過包裝、系統(tǒng)或其他物理措施抗擊產(chǎn)品正常用戶的篡改（tamper，故意引發(fā)故障或造成破壞）的行為。

簡介防篡改范圍從簡單的特征（例如特殊樣式的螺絲）到復(fù)雜的設(shè)備不等，它們使自身不可操作或者加密板間所有的傳輸數(shù)據(jù)，或者需要使用特殊的工具和知識才能操作。包裝上經(jīng)常有防篡改的設(shè)備或特征，以防止對包裝或產(chǎn)品的篡改。防篡改設(shè)備具有一個(gè)或多個(gè)組件：防篡改、篡改檢測、篡改響應(yīng)和篡改證明。在一些應(yīng)用中，設(shè)備只有篡改證明而不防止篡改。

篡改篡改涉及故意改變或摻假產(chǎn)品、包裝或系統(tǒng)。解決方案可能涉及產(chǎn)品的生產(chǎn)、包裝、分發(fā)、后勤、銷售和使用的所有階段。并沒有單一的解決方案可以完成“防篡改”，經(jīng)常需要配備多層次的安全方案來減少篡改的風(fēng)險(xiǎn)。 要考慮的方面可能包括：

確定誰可能是潛在的篡改者，例如：普通用戶、兒童、精神病患、被誤導(dǎo)的人、破壞者、有組織罪犯、恐怖分子等。他們有著何種層面的知識、材料和工具等資源？

確定對產(chǎn)品、包裝或系統(tǒng)進(jìn)行未授權(quán)訪問的所有可行方法。除了主要的進(jìn)入方式，還應(yīng)考慮二次或“后門”等方法。

控制或限制對相關(guān)產(chǎn)品、系統(tǒng)的訪問。

提高防篡改功能，使篡改更加困難、耗時(shí)等。

添加篡改印記功能，幫助指出存在篡改。

告知人們?nèi)绾斡^察篡改證明。

篡改（Tamper）意味著在沒有官方授權(quán)的情況下，干擾某物品或造成損害。

安全幾乎所有的電源設(shè)備和附件只能使用螺絲刀或類似替代品打開。這是為防止兒童或其他人不小心或無意間打開設(shè)備而造成危險(xiǎn)或傷害自己（例如遭受電擊、燒傷或割傷）或損害設(shè)備。有時(shí)是為避免訴訟，制造商進(jìn)一步使用防篡改螺絲，使其不能用標(biāo)準(zhǔn)工具打開。防篡改螺絲還用于許多公共建筑中的電氣配件，減少可能對他人造成危險(xiǎn)的篡改或破壞行為。

保修和支持以制造商非預(yù)期方式修改而導(dǎo)致設(shè)備故障的用戶可能拒絕承認(rèn)，從而制造商的售后服務(wù)必須提供保修或幫助進(jìn)行修復(fù)。篡改印記密封可能足以解決此問題，但是，這種印記不易被遠(yuǎn)程檢查，并且許多國家有法定條款規(guī)定，制造商可能仍必須為此類設(shè)備提供服務(wù)。防篡改螺絲能阻止大多數(shù)普通的好奇用戶進(jìn)行篡改。在美國，馬格努森-莫斯保修法禁止制造商僅因篡改而使保修失效。只有在篡改實(shí)際影響了故障的部件并可能導(dǎo)致故障時(shí)，保修才可能被拒絕。

芯片防篡改微處理器用于存儲(chǔ)和處理隱私或敏感信息，例如私鑰或電子貨幣信息。為防止攻擊者檢索或修改信息，芯片被設(shè)計(jì)為不能從外部訪問信息，只能由內(nèi)部的嵌入式軟件訪問。嵌入式軟件也應(yīng)包含適當(dāng)?shù)陌踩胧７来鄹男酒ㄋ邪踩用芴幚砥?，例如IBM 4758和智能卡中的芯片，以及Clipper芯片。現(xiàn)階段已經(jīng)認(rèn)為，是簡單的電子設(shè)備安全地防止篡改很困難，因?yàn)橛卸喾N可能的攻擊方式，包括：

各種形式的物理攻擊（微噴、鉆孔、文件、溶液等）

凍結(jié)設(shè)備

施加超限的電壓或功率浪涌

應(yīng)用異常時(shí)鐘信號

使用輻射誘導(dǎo)軟件錯(cuò)誤（例如微波或電離輻射）

測量某些操作的精確時(shí)間和功率要求（見功率分析）

防篡改芯片在設(shè)計(jì)上可能將其敏感數(shù)據(jù)（尤其是加密密鑰）清零，如果其檢測到安全封裝被穿透或者環(huán)境參數(shù)超越規(guī)范。芯片甚至可以被設(shè)計(jì)為“冷歸零”，即電源被切斷后仍有自我歸零的能力。此外，一些加密產(chǎn)品使用的芯片所用的定制化封裝方法可以設(shè)計(jì)為在內(nèi)部預(yù)加應(yīng)力，使芯片在遭遇干擾時(shí)斷裂。

然而，攻擊者可能擁有任何他能夠獲取的設(shè)備，并可能有大量樣品來進(jìn)行測試和實(shí)踐，這樣意味著不可能完全消除有充分動(dòng)機(jī)和準(zhǔn)備的對手。因此，保護(hù)系統(tǒng)的一項(xiàng)重要元素是整體系統(tǒng)設(shè)計(jì)。尤其是，防篡改系統(tǒng)應(yīng)該“優(yōu)雅失敗”，確保一個(gè)設(shè)備被攻陷不會(huì)危及到整個(gè)系統(tǒng)。由于最復(fù)雜的攻擊可能需要花費(fèi)數(shù)十萬美元，因此精心設(shè)計(jì)的系統(tǒng)在實(shí)踐中可能不會(huì)被攻陷。

軍事美國的所有新軍事計(jì)劃中都要求配有防篡改。

DRM防篡改技術(shù)已應(yīng)用于智能卡、機(jī)頂盒和其他使用數(shù)字版權(quán)管理（DRM）的設(shè)備。在這些情況下，問題不在于阻止用戶破壞設(shè)備或傷害自己，而是阻止他們提取代碼或獲取和保存解碼后的比特流。這通常通過每個(gè)芯片中植入的許多子系統(tǒng)功能完成（使內(nèi)部信號和狀態(tài)不可訪問），并確保芯片之間的總線被加密。

DRM機(jī)制也在諸多方面使用證書和不對稱密鑰加密。在這些情況下，防篡改是為禁止用戶訪問設(shè)備的有效證書或公鑰/私鑰。使軟件對篡改攻擊具有魯棒性的過程被稱為“軟件防篡改”。

核工業(yè)準(zhǔn)備出售給其他不擁有核武器的國家的核反應(yīng)堆必須實(shí)現(xiàn)防篡改，以防止核擴(kuò)散。例如，被提議的小型密封便攜式自控反應(yīng)堆（SSTAR）將具有多種防篡改技術(shù)，使核材料難以被獲取，確保反應(yīng)堆的運(yùn)輸被密切跟蹤，并在檢測到嘗試進(jìn)入時(shí)發(fā)出聲音警報(bào)（及可以觸發(fā)軍方響應(yīng)）。

包裝包裝有時(shí)需要防篡改。例如：

藥品法規(guī)的要求

可能遭遇盜竊或竊取的高價(jià)值產(chǎn)品

為可能的法律訴訟而需要保持不變的證據(jù)

抗篡改功能可以被內(nèi)置或添加到包裝。例如1：

額外的包裝層（單層包裝或組件不能“防篡改”）

需要工具才能開啟的包裝

超強(qiáng)且安全的包裝

不能重新密封的包裝

拆封印記密封和特征

包裝的防篡改可以由該主題的顧問和專家評估。另外，可以由公眾進(jìn)行詳細(xì)的現(xiàn)場測試來比較各種包裝。

軟件當(dāng)軟件包含遏制逆向工程的措施，或者防止用戶違背制造商所愿進(jìn)行修改（例如去除某些使用限制）時(shí)，它也是一種防篡改。一種常用的方法是代碼混淆2。但是，在軟件中進(jìn)行有效的防篡改比在硬件上更難，因?yàn)橥ㄟ^仿真幾乎可以任意操作軟件環(huán)境。

如果實(shí)現(xiàn)有可信計(jì)算，軟件的防篡改保護(hù)程序可以達(dá)到硬件防篡改的程度，因?yàn)橛脩艨赡鼙仨毠テ菩湃涡酒拍芾@過遠(yuǎn)程認(rèn)證和可信存儲(chǔ)。但是，當(dāng)前的規(guī)范也清楚表明，不能期望芯片防篡改應(yīng)對極為復(fù)雜的物理攻擊；也就是說，其不旨在達(dá)到與防篡改設(shè)備的同等安全性。

這樣做的副作用是增加軟件維護(hù)的復(fù)雜性，因?yàn)槿绻?yàn)證軟件更新，更新過程中的任何差錯(cuò)都可能導(dǎo)致誤報(bào)和失敗。

本詞條內(nèi)容貢獻(xiàn)者為:

王沛 - 副教授、副研究員 - 中國科學(xué)院工程熱物理研究所