Инструкция по эксплуатации Rainbow Electronics DS1963S

DS1963S

3 из 40

разработана так, чтобы противостоять всем таким попыткам без использования каких-либо
алгоритмов, имеющих патентные ограничения. Безопасность устройства основана на стандарте
SHA-1 (Secure Hash Standard), описание которого можно найти в Интернете по адресу

http://www.itl.nist.gov/div897/pubs/fip180-1.htm

.

Ниже в виде таблицы истинности показаны комбинации возможных способов нарушения защиты.
Примечания к таблице поясняют типичные методы попыток нарушения. Более подробное
описание можно найти в разделе «Обзор применений» в конце этого документа. Для получения
полной информации по используемым функциям, смотрите раздел «Команды функций памяти и
SHA», а также описания вычислений SHA-1 и формата посылок.

Аутентичные

данные

Подделанные

данные

См. примечание 2

См. примечание 2 и 3

Эмулированный носитель

Авторизованный

хост Нормальная работа

См. примечание 3

См. примечание 1

Не важно

Аутентичный
носитель

Неавторизованный

хост Не важно

Не важно

Эмулированный носитель

Примечание 1:

Устройство производит авторизацию хоста на основе общего системного
секретного кода, регистрационного номера устройства из ПЗУ и выбранного
пользователем личного идентификационного номера, который находится в
одной из страниц памяти носителя данных.

Примечание 2:

Для определения того, является ли носитель аутентичным, хост записывает в
блокнот устройства 3-байтный запрос перед выдачей команды вычисления
MAC-кода, которое выполняется на основе этого запроса, данных страницы
памяти, номера страницы, счетчика количества циклов записи страницы,
регистрационного номера устройства из ПЗУ и секретного кода,
установленного для данной страницы памяти. Изменяя запрос при каждом
чтении, хост может проверить, содержит ли носитель правильный секретный
код.

Примечание 3:

Подделка данных может быть обнаружена в том случае, если данные в носителе
снабжены «подписью» авторизованного хоста. Процесс подписи включает
вычисление 160-битного MAC-кода на основе защищаемых данных, счетчика
количества циклов записи страницы, в которой они сохранены,
регистрационного номера устройства из ПЗУ и специального секретного кода,
известного только авторизованному хосту. MAC-код сохраняется вместе с
данными приложения (например, вместе с балансом и кодом идентификации
транзакции)

в

соответствующей

странице

памяти.

Для

проверки

аутентификации данных хост повторяет процесс подписи. Любое отличие в
данных, счетчике циклов записи или несоответствующий секретный код
приведут к ошибке проверки подписи.

ОБЗОР
Блок-схема, показанная на рис. 1, демонстрирует связи между блоками управления и блоками
памяти DS1963S. Всего DS1963S имеет шесть основных компонентов хранения и обработки
данных: 1) 64-битное ПЗУ, записанное лазером, 2) 256-битный блокнот, 3) восемь 32-байтных
страниц ОЗУ общего назначения, 4) восемь 32-байтных страниц ОЗУ, защищенных счетчиками
циклов записи, 5) две 32-байтные страницы, хранящие восемь 64-битных секретных кодов с
индивидуальными счетчиками количества циклов записи и 6) 512-битный блок SHA-1 (Secure
Hash Algorithm).