麥克斯韋在150年前告訴我們“時(shí)變電流產(chǎn)生的電磁波可被隔空感應(yīng)”。美國在60年前關(guān)注密碼設(shè)備電磁泄漏現(xiàn)象，實(shí)施了TEMPEST(一系列的構(gòu)成信息安全保密領(lǐng)域的總稱)計(jì)劃。荷蘭學(xué)者范?？?0年前發(fā)表論文并用改裝黑白電視機(jī)遠(yuǎn)距離接收計(jì)算機(jī)顯示器內(nèi)容，首次公開計(jì)算機(jī)電磁泄漏原理。Inslaw丑聞和斯諾登事件證實(shí)美國利用電磁泄漏主動(dòng)攻擊竊密由來已久。世界各國學(xué)者電磁泄漏研究方興未艾。本文告訴你計(jì)算機(jī)電磁泄漏的那些事兒。

麥克斯韋方程組揭示電磁泄漏原理

150多年前，英國科學(xué)家麥克斯韋提出了麥克斯韋方程組，創(chuàng)立了經(jīng)典電動(dòng)力學(xué)，預(yù)言了電磁波的存在。

[[246668]]

英國愛丁堡圣安德魯廣場麥克斯韋和他的狗的塑像，塑像下面刻著著名的麥克斯韋方程組

在物理學(xué)歷史上，麥克斯韋電磁學(xué)理論為電氣時(shí)代奠定了基石，麥克斯韋方程組也成為了最偉大的公式。

麥克斯韋方程組成為20個(gè)最偉大公式之首(PhysicsWorld 2004)

麥克斯韋方程組表明，隨時(shí)間變化的電流(時(shí)變電流)產(chǎn)生的電磁波可以被隔空感應(yīng)和接收，這是無線通信的基本原理，也是計(jì)算機(jī)等信息技術(shù)設(shè)備通過電磁波泄密的主要原因。

計(jì)算機(jī)等信息技術(shù)設(shè)備內(nèi)部存在大量時(shí)變電流，每個(gè)時(shí)變電流都會(huì)產(chǎn)生電磁波。這些電磁波如同小型無線電廣播電臺(tái)的發(fā)射信號(hào)，可以在遠(yuǎn)距離被接收到。如果電磁波是由設(shè)備內(nèi)部敏感信息時(shí)變電流引起的，就會(huì)造成敏感信息的電磁泄漏。

荷蘭學(xué)者范埃克首次公開計(jì)算機(jī)電磁泄漏風(fēng)險(xiǎn)

1985年，荷蘭學(xué)者范?？?Van Eck)在《Computer & Security》發(fā)表論文，介紹了遠(yuǎn)距離接收計(jì)算機(jī)顯示器的原理，他只用了15美元的元器件和一臺(tái)黑白電視機(jī)，首次公開揭示了計(jì)算機(jī)CRT顯示器的電磁泄漏風(fēng)險(xiǎn)。因此，該現(xiàn)象被稱為“范?？烁`密(Van Eck phreaking)”。

范?？烁难b的電視機(jī)原理圖和改裝的電視機(jī)

1985年春天，英國BBC電視臺(tái)在“明日世界”節(jié)目中播放了一段5分鐘的視頻，介紹了計(jì)算機(jī)顯示器的電磁泄漏風(fēng)險(xiǎn)，并展示在汽車?yán)锇惭b接收設(shè)備獲取附近建筑里的計(jì)算機(jī)顯示器內(nèi)容，該建筑正是蘇格蘭場(英國倫敦警察局的代稱)。

[[246670]]

英國BBC電視臺(tái)“明日世界”節(jié)目播放遠(yuǎn)距離接收計(jì)算機(jī)顯示器屏幕的視頻

美國TEMPEST計(jì)劃

荷蘭學(xué)者范埃克的成果引出了美國早已關(guān)注的有關(guān)電磁泄漏研究的TEMPEST計(jì)劃。早在二十世紀(jì)50年代，美國政府開始注意到電磁波發(fā)射可以被捕獲造成泄密。如果發(fā)射來自密碼設(shè)備，造成的泄密危害將是致命的。根據(jù)軍方研究結(jié)果，美國啟動(dòng)了TEMPEST計(jì)劃。

TEMPEST計(jì)劃通過引入標(biāo)準(zhǔn)和認(rèn)證測試程序，減少敏感信息處理、傳輸和存儲(chǔ)等相關(guān)設(shè)備的電磁泄漏發(fā)射風(fēng)險(xiǎn)。美國政府機(jī)構(gòu)和合作供應(yīng)商采用了大量滿足TEMPEST標(biāo)準(zhǔn)的計(jì)算機(jī)和外圍設(shè)備(打印機(jī)、掃描儀、磁帶機(jī)、鼠標(biāo)等)對數(shù)據(jù)進(jìn)行保護(hù)。

美國解密的TEMPEST標(biāo)準(zhǔn)中的測試裝置示意圖

TEMPEST防護(hù)的典型做法是用金屬銅或其他導(dǎo)電材料進(jìn)行屏蔽處理。在美國，TEMPEST技術(shù)咨詢、檢測和設(shè)備生產(chǎn)形成產(chǎn)業(yè)，年產(chǎn)值曾超過10億美元。電磁泄漏發(fā)射標(biāo)準(zhǔn)不僅僅應(yīng)用在美國，北大西洋公約組織(NATO)也有類似標(biāo)準(zhǔn)(AMSG720B)。通常，TEMPEST標(biāo)準(zhǔn)包括對輻射泄漏、傳導(dǎo)泄漏和聲泄漏風(fēng)險(xiǎn)的評(píng)估、檢測和防護(hù)要求。

TEMPEST屏蔽保護(hù)計(jì)算機(jī)的示意圖

Inslaw公司丑聞與電磁泄漏木馬

1974年，美國Inslaw信息技術(shù)公司控告美國司法部，指責(zé)司法部不遵守雙方簽訂的合同，未經(jīng)授權(quán)將Inslaw公司為其開發(fā)的“檢舉人管理信息系統(tǒng)(PROMIS)”改裝并進(jìn)行銷售，產(chǎn)品遍及40多個(gè)國家。該指控經(jīng)過了3次聯(lián)邦法院審判和2次國會(huì)聽證。在案件調(diào)查中發(fā)現(xiàn)，美國司法部和中央情報(bào)局利用改裝的PROMIS軟件是為了秘密獲取情報(bào)。

1999年英國作家Gordon Thomas在其《摩薩德秘史》中披露以色列情報(bào)部門制造了PORMIS木馬。PROMIS系統(tǒng)是應(yīng)用在計(jì)算機(jī)單機(jī)上的純軟件應(yīng)用系統(tǒng)，當(dāng)時(shí)還不存在Internet的網(wǎng)絡(luò)泄密途徑，據(jù)分析，情報(bào)獲取的方式就是電磁泄漏方式。有人披露美國情報(bào)部門利用電磁泄漏現(xiàn)象進(jìn)行主動(dòng)攻擊的秘密計(jì)劃代號(hào)稱為“TEAPOT”，該代號(hào)來源俗語“TEMPEST in a TEAPOT”。

劍橋大學(xué)庫恩博士披露計(jì)算機(jī)電磁泄漏主動(dòng)攻擊方法

2003年，劍橋大學(xué)庫恩(Kuhn)博士的論文講述了計(jì)算機(jī)電磁泄漏原理和接收方法，并給出了一種通過主動(dòng)攻擊獲取計(jì)算機(jī)敏感信息的方法。庫恩博士利用電磁波泄漏發(fā)射原理，將有意竊取的信號(hào)隱藏到計(jì)算機(jī)顯示器正常顯示的視頻中，借助顯示器視頻電磁波發(fā)射強(qiáng)的優(yōu)勢，將敏感信息傳輸出去。軟件算法巧妙地將敏感信息隱藏嵌入到計(jì)算機(jī)顯示器視頻中而人眼不易觀察到，接收機(jī)卻可以在遠(yuǎn)距離高質(zhì)量獲取隱藏的電磁波信息。竊密者可以將軟件隱藏算法做成木馬植入到被攻擊的計(jì)算機(jī)中，攻擊不聯(lián)網(wǎng)的計(jì)算機(jī)，具有很強(qiáng)的隱蔽性。

劍橋大學(xué)庫恩博士使用的天線和接收機(jī)以及接收液晶顯示器的效果

劍橋大學(xué)庫恩博士在普通瀏覽頁面(左圖)隱藏主動(dòng)獲取的信息(右圖)

日本學(xué)者給出電磁泄漏最遠(yuǎn)距離的理論估值

2011年，日本大阪大學(xué)的2名學(xué)者研究了滿足電磁兼容(EMC)B級(jí)標(biāo)準(zhǔn)的信息技術(shù)設(shè)備最遠(yuǎn)接收距離，給出了不同頻率范圍最遠(yuǎn)接收距離的理論估值，通常都有幾百米的范圍。

日本學(xué)者的電磁泄漏實(shí)驗(yàn)(左圖)和給出的滿足EMC標(biāo)準(zhǔn)B級(jí)要求設(shè)備最遠(yuǎn)接收距離的理論估值(右圖)

斯諾登曝光美國利用電磁泄漏進(jìn)行主動(dòng)攻擊

2013年，“斯諾登事件”披露的涉密文件曝光了美國利用電磁泄漏發(fā)射主動(dòng)攻擊竊密的丑聞。一份文件描述了美國國家安全局竊聽各個(gè)國家駐美國大使館或代表處的秘密代號(hào)，其中有一張攻擊歐盟駐華盛頓特區(qū)代表處密碼傳真機(jī)的照片，代號(hào)為“DROPMIRE”。

斯諾登曝光的“DROPMIRE”項(xiàng)目用電磁泄漏原理主動(dòng)竊取歐盟駐華盛頓特區(qū)代表處密碼傳真機(jī)的明文信息

DROPMIRE不是在傳真機(jī)上添加竊聽器或竊照設(shè)備，而是充分利用設(shè)備自身功能部件電路，電路設(shè)計(jì)上有意識(shí)增強(qiáng)敏感信息的電磁波發(fā)射。該部件在完成傳真機(jī)自身功能的基礎(chǔ)上，會(huì)增強(qiáng)加密傳真機(jī)明文信息的電磁波發(fā)射強(qiáng)度，使得密碼傳真機(jī)處理的明文信息能夠在遠(yuǎn)距離被竊取。這種竊密方法十分隱蔽，如果不是被內(nèi)部人員披露，將很難被發(fā)現(xiàn)。

黑帽大會(huì)披露混合信號(hào)無線芯片電磁泄漏風(fēng)險(xiǎn)

在2018年8月召開的黑帽大會(huì)(Black Hat)上，Eurecom研究小組在大會(huì)上發(fā)表并展示了利用電磁泄漏發(fā)射原理攻擊混合信號(hào)無線芯片的研究成果。

Eurecom研究小組發(fā)表的介紹材料

美國解密的TEMPEST標(biāo)準(zhǔn)中有一類載波調(diào)制敏感信息的電磁泄漏方式，在其防護(hù)措施中，通常禁止在敏感區(qū)域附近安裝發(fā)射臺(tái)等大功率無線發(fā)射設(shè)備，主要是防止交叉調(diào)制風(fēng)險(xiǎn)。而無線通信領(lǐng)域?yàn)榱斯?jié)約成本和小型化要求，廣泛采用混合信號(hào)芯片，將模擬電路和數(shù)字電路放在同一芯片里。比如，把基于數(shù)字邏輯的CPU與基于模擬邏輯的射頻發(fā)射模塊集成到一起。

美國TEMPEST標(biāo)準(zhǔn)中關(guān)于載波調(diào)制的電磁泄漏情況

一般數(shù)字基帶信號(hào)自身的發(fā)射強(qiáng)度比較微弱，難以在較遠(yuǎn)距離接收，但如果該微弱信號(hào)被附近的高強(qiáng)度載波信號(hào)調(diào)制，就有可能傳播很遠(yuǎn)?；旌闲盘?hào)芯片里的射頻模塊會(huì)將數(shù)字邏輯CPU中執(zhí)行的軟件或者密碼部件的敏感信息以高頻調(diào)制方式無線發(fā)射出去。

混合信號(hào)芯片和交叉調(diào)制電磁泄漏原理

敏感數(shù)字信號(hào)被無線載波混頻放大后由天線發(fā)射出去，這是一類非常重要的電磁泄漏途徑式。Eurecom研究小組將其稱為“嘯聲信道(Screaming Channel)”，相比常規(guī)電磁泄漏發(fā)射(EM)側(cè)信道，這種側(cè)信道方式無線攻擊的距離更遠(yuǎn)。

Eurecom研究小組的混合信號(hào)芯片測試和獲取芯片內(nèi)部密鑰的處理圖像

Eurecom研究小組測試了多個(gè)廠家的密碼芯片，包括Nordic 公司nRF52832和Qualcomm Atheros AR9271。在10米遠(yuǎn)距離成功獲取nRF52832芯片內(nèi)部AES-128的密鑰，在1米遠(yuǎn)距離恢復(fù)了用mbedTLS實(shí)現(xiàn)的AES-128密鑰。

參考文獻(xiàn)

[1] James Clerk Maxwell, Wikipedia, https://en.wikipedia.org/wiki/James_Clerk_Maxwell.

[2] Wim van Eck: Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk? Computers & Security vol 4, pp 269–286, 1985.

[3] TEMPEST: A Tin Foil Hat for Your Electronics and Their Secrets, https://hackaday.com/2015/10/19/tempest-a-tin-foil-hat-for-your-electronics-and-their-secrets/.

[4] NSA. “NACSIM 5000, Tempest fundamentals.” Technical Report. 1982, Document declassified in 2000 and available at https://cryptome.org/jya/nacsim-5000/nacsim-5000.htm.

[5] The Inslaw Scandal，　http://www.constitution.org/abus/inslaw/19960924_inslaw_　scandal.htm.

[6] Inslaw, Wikipedia, https://en.wikipedia.org/wiki/Inslaw.

[7] The Complete, Unofficial TEMPEST Information Page, https://www.kubieziel.de/blog/uploads/complete_unofficial_tempest_page.pdf.

[8] Markus G. Kuhn and Ross J. Anderson， Soft Tempest: Hidden Data Transmission Using Electromagnetic Emanations.

[9] Hidenori Sekiguchi, Shinji SETO, Estimation of Receivable Distance for Radiated Disturbance Containing Information Signal from Information Technology Equipment.

[10] New NSA leaks show how US is bugging its European allies, https://www.theguardian.com/world/2013/jun/30/nsa-leaks-us-bugging-european-allies.

Giovanni Camurati, Sebastian Poeplau, Marius Muench, Tom Hayes, Aurélien Francillon，EURECOM， Screaming Channels: When Electromagnetic Side Channels ，Meet Radio Transceivers.

【本文為51CTO專欄作者“中國保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文