eMMC安全简介
1. 引言
术语“信息安全”涵盖多种不同的设计特性。一般而言,
信息安全是指通过实践防止信息遭受未经授权的访问、使用、披露、中断、篡改、检查、记录或销毁。
信息安全的三大核心目标为
机密性(Confidentiality)、完整性(Integrity)和可用性(Availability):
- 机密性:确保本应保密的信息仅能被授权实体读取和理解。未经授权的个体无法访问或理解机密信息。
- 完整性:指确认信息受到保护,防止未经授权的更改、修改或删除。信息的完整性涵盖其来源、完整性和正确性,通常通过身份识别和认证等方法实现。
- 可用性:确保授权用户能够始终访问所需信息。
每个系统设计会根据其保护资产类型及价值,以不同方式支持这些安全目标。单一安全解决方案可能仅能防御部分潜在攻击,而结合多种方案更有可能实现完全安全的设计。例如:
- e.MMC写保护机制旨在保障数据可用性;
- 重放保护内存块(RPMB)方案专注于确保数据完整性;
- Android全盘加密(FDE)则是一种针对数据隐私保护的安全方案,旨在确保机密性。
2. eMMC安全特性的发展
eMMC设备集成多种数据保护与安全功能,包括密码锁(Password Lock)、写保护(Write Protect)和重放保护内存块(RPMB)。这些特性随eMMC规范版本的迭代不断升级优化。
2.1 密码锁(Password Lock)
功能目标
防止对用户数据区(User Area)的
任何访问(读、写、擦除),用于防范数据窃取。
实现方式
- 通过CMD42指令启用密码锁定。
- 锁定后,主机仍可执行基础操作(复位、初始化、状态查询等),但禁止访问用户数据区。
- 允许访问区域:启动分区(Boot Partitions)、RPMB、通用分区(General Partition)。
局限性
- 完全阻断访问:包括数据所有者在内的所有用户均无法操作受保护数据,可能导致使用灵活性下降。
技术背景
- 密码锁功能最初源自传统SD卡,后被整合至早期eMMC规范。
2.2 写保护(Write Protect)
功能目标
防止数据被篡改或擦除(无论恶意或误操作),同时
允许读取数据。
版本演进
- eMMC4.3及更早:仅支持用户区(User Area)写保护。
- eMMC4.4:引入分区概念,支持对分区内特定区域的写保护。
- eMMC5.1:新增认证机制,可通过身份验证动态管理写保护权限。
四种保护类型
|
类型
|
特点
|
|
永久写保护
|
一旦启用,无法禁用(防固件回滚或关键配置篡改)。
|
|
上电写保护
|
启用后,需断电重启或复位引脚触发才能解除(防运行时恶意修改)。
|
|
临时写保护
|
可动态启用/禁用(适用于临时敏感操作保护)。
|
|
安全写保护
|
仅授权用户(通过RPMB认证)可管理写保护状态(高安全性场景)。
|
保护范围扩展(eMMC5.1)
- 全局保护:可对整个设备(包括启动分区、RPMB、通用分区、用户数据区)设置永久或临时写保护。
- 分区级保护:
- 启动分区:支持永久、安全或上电写保护。
- 用户数据区(UDA)与通用分区(GPP):支持按“写保护组”(Write Protect Groups)细分保护区域,并灵活选择保护类型。
- 用户数据区(UDA)与通用分区(GPP)的写保护可应用于特定区段(规范中称为“写保护组”),这些区段支持配置为以下模式:
- 永久写保护(不可逆锁定)
- 安全写保护(需RPMB授权解除)
- 上电写保护(重启后生效)
- 临时写保护(动态启用/禁用)
2.3 RPMB(重放保护内存块)
RPMB(Replay Protected Memory Block)功能首次于
eMMC4.4规范中引入。该特性允许设备将数据存储在一个
经过认证且防重放攻击的小型特定区域。
RPMB是一套
独立的安全协议,拥有专属的命令操作码(Command Opcodes)和数据结构。其核心机制包含以下组件:
- 共享密钥:设备与主机预先协商或预置的加密密钥。
- HMAC(哈希消息认证码):用于对访问安全区域的所有读写操作进行数字签名,确保操作合法性。
运行流程:
- 写入数据时,主机需使用共享密钥生成HMAC,附加到操作请求中;设备验证HMAC合法性后执行写入。
- 读取数据时,设备返回的数据会附带HMAC,供主机验证完整性和来源真实性。
- 防重放攻击:通过递增计数器(Counter)值,拒绝重复或过期指令(例如:恶意复制旧指令篡改数据)。
3 RPMB用于身份验证和防止重放攻击的完整性保护。
RPMB(Replay Protected Memory Block,重放保护内存块)使 e.MMC 设备能够在特定区域(通常为 4MB)存储数据,并对其进行身份验证,防止重放攻击。
3.1 What Is a Replay Attack?
重放攻击(Replay Attack)是指攻击者截获并记录合法交互中的数据,然后在后续阶段重新发送相同的数据。由于原始信息包含正确的发送者和接收者标识符,以及数据的真实性证明,未经防范的重放数据将被接受,就像第一次传输时一样。
此类攻击可能由首次合法交互的发起者实施,或由“中间人”(MITM)在窃听原始数据后进行重发。
例如,假设数字钱包服务提供商发送一条经过身份验证的消息,将用户账户余额设置为 $2,000。当用户使用数字钱包支付 $1,600 的账单时,可用余额降至 $400。如果一段恶意软件执行重放攻击,拦截了初始消息(将账户余额设置为 $2,000),通过在 $1,600 购买后重新发送相同的消息,它可以将账户余额重置为 $2,000。
3.2 RPMB Authentication
RPMB使用对称密钥身份验证,即主机和设备使用相同的身份验证密钥(也称为“共享密钥”)。其工作方式如下:
- 密钥编程:
- 主机首先将身份验证密钥信息编程到 eMMC 设备中(通常在安全环境下进行,如生产线)。
- 签名和验证:
- 主机和设备使用该身份验证密钥对涉及 RPMB 区域的读写消息进行签名和验证。
- 消息签名:
- 签名过程涉及消息认证码(MAC),该 MAC 使用 HMAC-SHA-256 算法计算。
3.3 RPMB Protection against Replay Attack
重放保护的基本思想是确保每条消息都是唯一的。在 RPMB 中,设备管理一个只读计数器,该计数器在每次写入消息后递增,并且其新值将包含在下次要发送的认证码计算中。
RPMB 命令通过 HMAC-SHA-256 计算进行认证,该计算的输入包括:
- 共享/秘密密钥。
- 包含写入命令或读取结果的消息。
- 记录 RPMB 总写入次数的写计数器。
- 读取命令对应的随机生成数(Nonce)。
生成的 MAC 是一个 256 位(32 字节)的加密数据,它嵌入到 RPMB 数据帧中,并随消息数据一起发送。
Writing to RPMB
当 eMMC 设备接收到写入 RPMB 的命令消息时,它通过以下方式验证命令的有效性:
- 检查计数器是否已增加。
- 检查主机发送的 MAC 是否与设备使用其保存的密钥生成的 MAC 相同。
Reading from RPMB
eMMC 设备将在发送读取数据给主机的同时附带一个 MAC 签名。主机接收消息后,使用共享密钥生成一个 MAC。只有当两个 MAC 完全相同时,主机才会信任从 RPMB 读取的数据。
随机数生成和计数器寄存器的使用是防止重放攻击的关键:
- 在写入 RPMB 时,MAC 的值受 RPMB 写计数器的影响,该计数器在每次成功写入 RPMB 后(由主机和设备共同)增加。
- 在读取 RPMB 时,MAC 的值受主机生成的随机数影响,该随机数作为读取请求的一部分发送。
4 RPMB应用场景
各厂商对RPMB的应用场景各有侧重,但其典型应用涵盖:软件版本认证、指纹验证、安全密钥存储、网络运营商信息、数字版权管理(DRM)及安全支付等领域。
4.1 示例1——软件版本认证防范降级攻击
假设某制造商需向设备(如手机、汽车等)推送多次软件更新。首次更新时,新软件镜像会被写入eMMC主存储区,而软件版本信息则存入RPMB。
随后,若制造商发现该版本存在安全漏洞或安全隐患,将再次推送更新修复问题。新软件镜像仍写入eMMC主存储区,更新后的版本信息同步刷新至RPMB。
然而,黑客可能试图利用相同机制,将用户设备软件降级至旧版本,以利用先前版本的漏洞。他们可能模仿制造商的升级流程——实际却推送已被攻破的旧版应用或系统。
此时,基于RPMB的防护机制会在升级过程中校验新版本号:若"新版本号"低于RPMB中存储的当前版本号,安装程序将直接拒绝此次"更新"。
关键防护原理:RPMB存储的版本信息无法被篡改,因其访问需持有加密密钥,而该密钥仅由合法制造商掌控。
4.2 示例2——防范未授权解锁
本例中,RPMB 可用于确保仅限授权用户解锁设备(如手机、汽车或计算机)。
操作流程:
- 初始设置:用户预先设定解锁凭证(如PIN码、指纹或手势密码)。
- 解锁监控:每次解锁尝试的时间均被记录至RPMB。
- 防暴力破解:若短时间内尝试次数超过阈值,系统将暂停解锁功能一定时间。
对抗攻击场景:
- 即使黑客使用自动化工具暴力穷举PIN码,一旦触发RPMB记录的尝试次数限制,攻击将立即终止。
- 解锁尝试记录无法被篡改(因存储于RPMB),除非攻击者在前几次尝试中巧合命中正确PIN码,否则设备几乎无法被破解。
4.3 示例3——安全启动与写保护机制
设备防御恶意代码运行的关键,始于确保处理器从存储介质读取并执行的首段代码(即引导程序)绝对可信。该代码存放于eMMC启动分区,且须启用写保护机制防止恶意篡改。
在eMMC5.1之前,永久写保护机制是防护启动分区的唯一可靠方案,然而该机制在防黑客篡改的同时,也使得制造商无法在需要时更新该区域。这一矛盾催生了eMMC5.1的安全写保护功能。
安全写保护功能的实现逻辑:任何对写保护配置的修改均需通过RPMB密钥认证。该机制专用于防护eMMC设备中的引导代码及其他敏感数据,防止未授权应用进行篡改或删除。
5 结论
eMMC存储设备不仅是代码与数据的存储载体,其内置安全特性更能化解设备制造商普遍关注的系统安全隐患。在产品设计阶段善用其功能特性,可系统性提升产品在机密性、完整性与可用性维度的防护等级。