StackTrack - PDF Free Download

TEE 的国内外发展现状和趋势问题, 挑战, 解决方案上海交通大学夏虞斌 2015-5-22

关于我们上海甁钵信息科技有限公司, 依托于上海交通大学软件学院并行与分布式系统研究所成立, 公司成员均为来自上海交通大学和复旦大学的博士和硕士公司重点关注系统安全, 具有超强的研发能力, 专注于业界前沿, 致力于将研究所的研究成果转化为产品

安全性与可部署性的权衡 SE 和 HCE 的安全性对比

基于 SE 的移动支付方案 Secure Element 能提供安全存储安全执行的硬件例如 : 安全 SIM 卡安全存储卡等

基于 HCE 的移动支付方案 HCE:Host Card Emulation Google 于 2013 年推出兼容性强, 易部署兼容普通 SIM 卡, 不依赖于 SE 和 TSM 仅需手机支持 NFC 功能

基于 HCE 的移动支付方案现有 HCE 技术的安全缺陷基于本地 ( 卡信息 Token): 安全性差, 受恶意软件的威胁基于云端 (CloudSE): 支付时手机需要连网, 体验差 SE NFC

为什么 HCE 不安全? 将关键数据保存在本地需要相信整个 Android 操作系统一旦手机被 Root, 攻击者可获得任意数据为什么 SE 安全? 和支付相关的数据和执行均在 SE 内部完成 SE 与 Android 完全独立, 能够抵御物理攻击即使手机被 root 也不受影响

Root 的危害利用系统漏洞获得手机的所有权限 Android 设备 :Root;iOS 设备 : 越狱可运行任意代码, 窃取或篡改内存和存储中的任意数据 Root 有多容易? 恶意软件, 欺骗用户安装使用 ( 如 : 一键 root) 利用浏览器漏洞, 诱使用户点击链接或扫描二维码

Root 方式的多样性 ios 4.3.3 越狱 : 访问网页即可

如何提高 HCE 的安全? 将关键数据保存在云端 ( 即 CloudSE) 支付时需要手机连网将关键数据保存在手机的 SE 内为什么不直接用 SE? 结论 1:HCE 依然存在安全问题问题 : 能否做到用手机不信手机? 使用手机的硬件 : 保证兼容性不信手机的软件 : 防 Root 攻击

安全硬件与可信执行环境 TRUSTZONE & TEE

ARM TrustZone 技术 TrustZone: 在 CPU 上同时运行 Android 和一个隔离的可信操作系统

TrustZone 应用实例 1: 三星 TIMA 动态内核完整性保护 TIMA: TrustZone-based Integrity Measurement Architecture 检测内核代码段和关键数据的完整性 * 资料引自三星

TrustZone 应用实例 2:iOS Enclave iphone 5s 指纹识别的基础基于 TrustZone 等技术实现 Enclave 与外界强隔离所有指纹相关数据均通过 Enclave 保存和访问 * 资料引自 Apple

TrustZone 应用实例 3: 与 FIDO 的结合

TEE 与移动支付的结合 1 使用手机的硬件 TrustZone 将处理器一分为二 2 不信手机的软件提供与 Android 完全隔离的执行环境即使 Root 也无法破坏隔离性结论 2:TEE 可做到用手机但不信手机问题 :HCE+TEE 能否达到与 SE 同等的安全性?

TEE 的安全性

TEE+HCE 的三个安全问题 1 TEE 的存储安全性不够 2 TEE 防御物理攻击能力较弱 3 TEE 实现可能存在漏洞

1 TEE 的存储安全性不够 HCE 中的关键数据卡信息和 Token 信息一旦被窃则会直接导致用户经济损失为何不加密保存数据? 秘钥本身依然需要安全存储 SE: 将数据保存在芯片内部通过物理手段保证数据不会流出芯片

2 TEE 无法防御物理攻击常见的物理攻击直接扫描物理内存获取明文利用内存数据残留的冷启动攻击显微镜读取芯片内部数据 SE 如何防御物理攻击? 所有数据保存在芯片内部检测到物理攻击则立刻自毁 Muller 等研究者在三星 Galaxy Nexus 手机通过 FROST 攻击获得硬盘加密秘钥

3 TEE 的实现存在漏洞系统复杂度高 TEE 是一个完整的操作系统可扩展性 : 需要支持不同可信应用的运行可交互性 : 需要与 Android 环境进行交互生态尚未稳定许多 TEE 系统同时存在系统级漏洞 : 内外交互设备管理等

2013:Moto 手机的 TrustZone 内核被破解 2013 年,Moto 部分手机 TrustZone 内核被破解可解锁 Bootloader, 加载任意系统来源 : http://blog.azimuthsecurity.com/2013/04/unlocking-motorola-bootloader.html

2014: 高通 QSEE 驱动漏洞高通漏洞 :CVE-2014-4322 drivers/misc/qseecom.c 文件存在漏洞没有判断 offset 和 length 的正确范围可能导致攻击代码提权或 DoS 攻击来源 :https://web.nvd.nist.gov/view/vuln/detail?vulnid=cve-2014-4322

2014: 高通 QSEE 任意内存写漏洞没有检查传入指针参数的范围 g_fs_status 为 0, 可在 s+16 的位置写入 0 00 00 = MOV r0, r0 00 00 00 00 = ANDEQ r0, r0, r0 攻击方式 : 删除任意安全检查代码

2015: 三星 Galaxy S5 手机的指纹漏洞 S5 指纹识别系统使用 TrustZone 来保存指纹数据对数据进行加密系统漏洞 (2015 年 4 月 ) 攻击者 root 内核后, 可直接访问指纹设备获取指纹攻击者通过指纹冒充用户来源 :http://securityaffairs.co/wordpress/36326/hacking/samsung-s5-flaw-steal-fingerprints.html

TEE 攻击面分析来自 Android: 交互接口 TEE 自身驱动来自硬件 :CPU 内存设备总线传感器来自启动 :emmc 的安全启动来自内部 : 安全应用的 Bug

TEE 攻击小结 TEE 的存储安全性不够无法保证关键数据 ( 如 Token) 的安全 TEE 防御物理攻击能力较差在外部内存中的数据和代码可能被篡改 TEE 实现可能存在漏洞代码越来越多导致 bug 数量增多多种 TEE 系统并存, 处于快速发展阶段 SE: 数据不在内存中 SE: 能抵御物理攻击 SE: 简单,bug 少结论 3: 当前 TEE 依然无法达到 SE 的安全等级

增强 TEE 的安全我们的努力 TRUSTKERNEL 的产品 :T6

安全操作系统 :T6 T6 更安全的数据存储更强的物理攻击防御更小的可信基

T6:TrustZone TEE 与 Secure OS 高安全 : 动静态保护 SecureBoot 完整信任链 Trusted App (TA) 签名验证与保护 TA 中不同域与库间互相隔离小尺寸 : 轻量而易用核心安全代码仅 6,000 行内存占用量极少开发库支持完善加密, 安全界面, 文件系统,libc, 网络等兼容 GlobalPlatform API

T6: 抵御物理攻击 On-chip TEE 所有明文数据均只在 SoC 内部, 外部内存中只保存密文数据全系统保护, 支持包括 TA 在内的 TEE 整体支持后向兼容, 保持对现有 TA 透明, 对 TEE 和 TA 内存大小没有限制基于 PUF 的秘钥管理, 增强存储安全有效保证 Token 等关键数据的安全威胁模型仅 SoC 可信 : 对 SoC 本身进行物理攻击的难度极高能够应对目前常见的物理攻击

HCE 与 T6 的结合易部署离线支付安全存储防物理攻击可信基小 SE HCE-CloudSE HCE-Token HCE-TEE HCE-T6 结论 4: 通过安全的系统设计,TEE 可以接近 SE 的安全等级

小结结论 1:HCE 依然存在安全问题结论 2:TEE 可做到用手机但不信手机结论 3:TEE 当前依然无法达到 SE 的安全等级结论 4: 通过安全的系统设计,TEE 可以接近 SE 的安全等级

TEE 及其相关应用

TEE 的潜在应用 Secure hardware tokens Mobile payment BYOD Runtime integrity verification Trusted user interface Remote enablement/disablement Automotive (trust vs. safety) Secure isolation, Remote attestation DRM, HDCP, secure NFC in P2P mode Any other operation that requires verifiable

场景 1: 支付中的 PIN 码安全输入 * 资料引自 ARM

TrustZone 应用实例 : 可信 UI 针对用户输入的恶意软件层出不穷在 root 环境下 KeyLogger 可截获所有输入 ( 密码信用卡号等 ), 并绕过所有已知的防御方法

TrustZone 应用实例 : 可信 UI 用户输入的信息可能被窃取篡改记录下用户的支付密码修改用户的输入, 如将支付 1 元改为 100 元用户看到的信息可能被窃取篡改如显示收款人为 A, 实际为 B 钓鱼攻击欺骗用户输入密码通过截屏获取用户输入的密码

侧信道攻击窃取 PIN 码攻击方式通过陀螺仪获取晃动信息通过晃动信息判断点击位置通过点击位置判断输入 PIN 码通过机器学习提高准确率攻击前提准确率高达 90% 恶意程序获得访问陀螺仪的权限属于系统攻击 :SE 同样存在该问题

OverlayUI 方案 : 芯片级安全 UI 控件安全输入与显示控件, 阻止 KeyLogger 窃取和钓鱼攻击与现有系统的无缝整合, 用户零学习成本控制传感器, 防止侧信道攻击

场景 2: 使用 TEE 保护 REE 的关键数据应用对关键数据的保护不够大量应用在内存和数据库中明文存放关键数据如登录密码银行账号信用卡号等数据暴露原因数据非安全删除 OS 的数据缓冲区 App 的数据缓存机制内存泄露通过对内存 dump 的扫描发现 : 在 14 个 Android 流行应用中,13 个会在内存和磁盘中保存明文的关键数据 ;9 个会在内存中一直保存明文!

应用关键数据暴露在不可信内存中应用对关键数据的保护不够引 CleanOS 的数据数据来源 : Tang, Yang, et al. "CleanOS: Limiting Mobile Data Exposure with Idle Eviction." OSDI. Vol. 12. 2012.

我们的方案 : Android 敏感数据保护关键数据保存在可信域, 不出现在普通域, 防御恶意软件窃取仅在可信域访问关键数据 ( 如网络发送 ), 保证可靠的访问策略

场景 3: 使用 TEE 加固 REE 安全 REE 安全问题严重如何实时对 REE 进行攻击防护市场已有方案 : TIMA: TrustZone-based Integrity Measurement Architecture 采用定期检测方法

RTFence 方案 : Android 内核安全增强 TEE 中集成内核关键功能, 实时监控内核, 保证完整性有效预防 Rootkit 攻击

场景 4: 基于 TrustZone 的多操作系统一部手机如何同时运行两个不同的系统在没有硬件虚拟化支持的前提下例如 : 一个 Android 系统, 一个传统的功能机系统隔离安全如何保证两个系统互不影响如何在两个系统中快速切换

Tvisor 方案 : 轻量级 ARM Hypervisor 双系统支持, 毫秒级切换, 支持现有 Android 系统内核级隔离, 阻止 Rootkit 扩散

场景 5:TEE 的多样性不同客户对 TEE 系统的需求不同如何在同一平台支持不同的 TEE?

解决方案 :vtz Normal World Secure World 客户端应用客户端应用客户端应用客户端应用客户端应用普通软件恶意软件支付软件通信软件操作系统操作系统操作系统安卓操作系统安卓操作系统虚拟机基于 ARM TrustZone 的硬件平台硬件平台硬件保证隔离, 安全性较高仅通过 SMC 指令进行切换双系统运行环境软件保证隔离, 安全性相对较低陷入虚拟机监控器的方式更多更灵活多系统运行环境

虚拟化与 TrustZone 的融合客户端应用客户端应用客户端应用客户端应用操作系统操作系统操作系统操作系统虚拟机基于 ARM TrustZone 的硬件平台为每个虚拟机虚拟一个或多个 secure world 使用 TrustZone 保证虚拟 secure world 安全

TrustKernel 移动安全软件套件拳头产品 TVisor TrustVDI OverlayUI T6 轻量级 ARM Hypervisor 高安全双操作系统方案 BYOD 定制安全瘦客户系统从客户端到云端的 BYOD 芯片级安全 UI 控件系统级安全控件 TEE 平台与 Secure OS 支持多样的操作系统无需硬件虚拟化支持瘦客户安全防护方案数据访问限制在安全域内应用程序可无缝使用防御 Android 程序钓鱼攻击自主开发支持 TrustZone 的保证端到端的访问策略安全操作系统与开发平台符合 Global Platform 标准支持安全应用 :DRM 安全支付密码管理等支持灵活定制和二次开发 RTFence Android 内核安全增强 TZProxy Android 敏感数据保护 T6-m 高安全级 T6 系统运行时内核事实安全监控密码管理与保护运行在 SoC 芯片内部可防范 Rootkit 等攻击敏感数据无缝替换不占外部内存, 抵御物理攻击

总结 TEE 的应用 TEE 可以为移动支付提供更安全的存储和执行环境 TEE 可从系统层面为移动支付提供更广的安全 TEE 的机遇和挑战 TEE 本身会面临越来越多的安全挑战虚拟化等新的硬件特性会给 TEE 带来更多机会甁钵科技, 关注 TEE 的应用和安全

谢谢您的关注, 期待与您合作 http://www.trustkernel.com 甁钵科技