Инструкция по эксплуатации Rainbow Electronics DS1963S
Страница 3
DS1963S
3 из 40
разработана так, чтобы противостоять всем таким попыткам без использования каких-либо
алгоритмов, имеющих патентные ограничения. Безопасность устройства основана на стандарте
SHA-1 (Secure Hash Standard), описание которого можно найти в Интернете по адресу
http://www.itl.nist.gov/div897/pubs/fip180-1.htm
.
Ниже в виде таблицы истинности показаны комбинации возможных способов нарушения защиты.
Примечания к таблице поясняют типичные методы попыток нарушения. Более подробное
описание можно найти в разделе «Обзор применений» в конце этого документа. Для получения
полной информации по используемым функциям, смотрите раздел «Команды функций памяти и
SHA», а также описания вычислений SHA-1 и формата посылок.
Аутентичные
данные
Подделанные
данные
См. примечание 2
См. примечание 2 и 3
Эмулированный носитель
Авторизованный
хост Нормальная работа
См. примечание 3
См. примечание 1
Не важно
Аутентичный
носитель
Неавторизованный
хост Не важно
Не важно
Эмулированный носитель
Примечание 1:
Устройство производит авторизацию хоста на основе общего системного
секретного кода, регистрационного номера устройства из ПЗУ и выбранного
пользователем личного идентификационного номера, который находится в
одной из страниц памяти носителя данных.
Примечание 2:
Для определения того, является ли носитель аутентичным, хост записывает в
блокнот устройства 3-байтный запрос перед выдачей команды вычисления
MAC-кода, которое выполняется на основе этого запроса, данных страницы
памяти, номера страницы, счетчика количества циклов записи страницы,
регистрационного номера устройства из ПЗУ и секретного кода,
установленного для данной страницы памяти. Изменяя запрос при каждом
чтении, хост может проверить, содержит ли носитель правильный секретный
код.
Примечание 3:
Подделка данных может быть обнаружена в том случае, если данные в носителе
снабжены «подписью» авторизованного хоста. Процесс подписи включает
вычисление 160-битного MAC-кода на основе защищаемых данных, счетчика
количества циклов записи страницы, в которой они сохранены,
регистрационного номера устройства из ПЗУ и специального секретного кода,
известного только авторизованному хосту. MAC-код сохраняется вместе с
данными приложения (например, вместе с балансом и кодом идентификации
транзакции)
в
соответствующей
странице
памяти.
Для
проверки
аутентификации данных хост повторяет процесс подписи. Любое отличие в
данных, счетчике циклов записи или несоответствующий секретный код
приведут к ошибке проверки подписи.
ОБЗОР
Блок-схема, показанная на рис. 1, демонстрирует связи между блоками управления и блоками
памяти DS1963S. Всего DS1963S имеет шесть основных компонентов хранения и обработки
данных: 1) 64-битное ПЗУ, записанное лазером, 2) 256-битный блокнот, 3) восемь 32-байтных
страниц ОЗУ общего назначения, 4) восемь 32-байтных страниц ОЗУ, защищенных счетчиками
циклов записи, 5) две 32-байтные страницы, хранящие восемь 64-битных секретных кодов с
индивидуальными счетчиками количества циклов записи и 6) 512-битный блок SHA-1 (Secure
Hash Algorithm).