芯片解密過程

侵入型(xing)攻擊(ji)的(de)第(di)一(yi)步(bu)是(shi)揭(jie)去芯片封裝（簡稱(cheng)(cheng)“開蓋”有時候(hou)稱(cheng)(cheng)“開封”，英文(wen)為“DECAP”，decapsulation）。有兩(liang)種(zhong)方(fang)法可以達(da)到(dao)這(zhe)一(yi)目的(de)：第(di)一(yi)種(zhong)是(shi)完全溶解掉(diao)芯片封裝，暴露金屬(shu)連(lian)線。第(di)二種(zhong)是(shi)只移掉(diao)硅(gui)核上面(mian)的(de)塑料封裝。第(di)一(yi)種(zhong)方(fang)法需要(yao)將(jiang)芯片綁定到(dao)測試夾具(ju)上，借助綁定臺來操(cao)作。第(di)二種(zhong)方(fang)法除了(le)需要(yao)具(ju)備攻擊(ji)者一(yi)定的(de)知識(shi)和必要(yao)的(de)技能外，還需要(yao)個人的(de)智慧和耐(nai)心，但操(cao)作起來相(xiang)對比較方(fang)便，完全家庭中操(cao)作。 　　

芯(xin)片(pian)上面的塑料可以用小刀揭開，芯(xin)片(pian)周圍的環氧(yang)樹脂可以用濃硝(xiao)酸腐(fu)蝕掉(diao)。熱的濃硝(xiao)酸會(hui)溶解掉(diao)芯(xin)片(pian)封(feng)裝而不(bu)會(hui)影響芯(xin)片(pian)及連線(xian)。該(gai)過程一(yi)般在(zai)非常干燥的條件下(xia)進行(xing)，因為(wei)水(shui)的存(cun)在(zai)可能會(hui)侵蝕已暴露(lu)的鋁線(xian)連接 （這就可能造成(cheng)解密失敗(bai)）。 　　

接著在(zai)超聲池里先用丙酮清洗該(gai)芯(xin)片以除去殘(can)余硝酸(suan)，并浸(jin)泡。 　　

最后一步是尋找保(bao)護(hu)(hu)熔絲的位置并(bing)將(jiang)保(bao)護(hu)(hu)熔絲暴(bao)露(lu)在紫外光(guang)(guang)下。一般用(yong)(yong)一臺放大倍(bei)數至(zhi)少100倍(bei)的顯微(wei)鏡(jing)，從編(bian)程(cheng)電壓輸(shu)入腳的連線跟(gen)蹤進去，來尋找保(bao)護(hu)(hu)熔絲。若沒有顯微(wei)鏡(jing)，則采用(yong)(yong)將(jiang)芯片的不(bu)同部分(fen)暴(bao)露(lu)到紫外光(guang)(guang)下并(bing)觀察結果的方式進行簡單(dan)(dan)的搜(sou)索。操作時應用(yong)(yong)不(bu)透明(ming)的紙片覆蓋芯片以保(bao)護(hu)(hu)程(cheng)序存儲器不(bu)被(bei)紫外光(guang)(guang)擦除。將(jiang)保(bao)護(hu)(hu)熔絲暴(bao)露(lu)在紫外光(guang)(guang)下5～10分(fen)鐘就(jiu)能破壞(huai)掉保(bao)護(hu)(hu)位的保(bao)護(hu)(hu)作用(yong)(yong)，之后，使(shi)用(yong)(yong)簡單(dan)(dan)的編(bian)程(cheng)器就(jiu)可(ke)直接讀出程(cheng)序存儲器的內容(rong)。 　　

對(dui)于使用了(le)防護層來(lai)保護EEPROM單(dan)(dan)元的單(dan)(dan)片機來(lai)說，使用紫(zi)外光復位保護電路是不(bu)可行的。對(dui)于這種(zhong)(zhong)類型(xing)的單(dan)(dan)片機，一般使用微探(tan)(tan)(tan)針(zhen)技術來(lai)讀取存(cun)(cun)儲(chu)器(qi)內容(rong)。在(zai)(zai)芯片封裝打開后，將芯片置于顯微鏡(jing)下就能夠很(hen)容(rong)易的找到(dao)(dao)從(cong)存(cun)(cun)儲(chu)器(qi)連到(dao)(dao)電路其它部(bu)分(fen)的數(shu)據(ju)總(zong)線。由于某種(zhong)(zhong)原因，芯片鎖定(ding)位在(zai)(zai)編程(cheng)(cheng)模式下并不(bu)鎖定(ding)對(dui)存(cun)(cun)儲(chu)器(qi)的訪(fang)問。利用這一缺(que)陷將探(tan)(tan)(tan)針(zhen)放在(zai)(zai)數(shu)據(ju)線的上(shang)面就能讀到(dao)(dao)所(suo)有想要的數(shu)據(ju)。在(zai)(zai)編程(cheng)(cheng)模式下，重啟(qi)讀過程(cheng)(cheng)并連接探(tan)(tan)(tan)針(zhen)到(dao)(dao)另外的數(shu)據(ju)線上(shang)就可以讀出程(cheng)(cheng)序和數(shu)據(ju)存(cun)(cun)儲(chu)器(qi)中(zhong)的所(suo)有信息。 　　

還(huan)有一種可能(neng)的(de)攻擊手段(duan)是借助顯微鏡(jing)和(he)(he)激(ji)光切(qie)割(ge)(ge)機等(deng)設備來尋找保護(hu)熔(rong)絲(si)，從(cong)而尋查和(he)(he)這部分電(dian)路(lu)相聯系的(de)所有信號線(xian)。由于設計(ji)有缺陷，因此，只要切(qie)斷從(cong)保護(hu)熔(rong)絲(si)到其(qi)它電(dian)路(lu)的(de)某一根(gen)信號線(xian)（或切(qie)割(ge)(ge)掉整個加密電(dian)路(lu)）或連接(jie)1～3根(gen)金線(xian)（通常稱FIB：focused ion beam)，就能(neng)禁止(zhi)整個保護(hu)功能(neng)，這樣(yang)，使用簡單的(de)編程器就能(neng)直接(jie)讀出程序存儲(chu)器的(de)內容。 　　

雖然大(da)多(duo)數普(pu)通(tong)單(dan)(dan)片(pian)(pian)機(ji)都具有熔絲(si)燒斷保(bao)(bao)護(hu)單(dan)(dan)片(pian)(pian)機(ji)內(nei)代碼(ma)的(de)功能，但由于通(tong)用(yong)(yong)低檔(dang)的(de)單(dan)(dan)片(pian)(pian)機(ji)并(bing)非(fei)(fei)定(ding)位于制作(zuo)安(an)全類產品，因此，它們往往沒有提供有針對性的(de)防(fang)范措(cuo)施且安(an)全級別較(jiao)低。加上單(dan)(dan)片(pian)(pian)機(ji)應用(yong)(yong)場(chang)合廣泛，銷(xiao)售量(liang)大(da)，廠商間(jian)委托加工與(yu)技術轉讓頻繁，大(da)量(liang)技術資料外瀉，使得(de)利用(yong)(yong)該類芯片(pian)(pian)的(de)設計漏洞和廠商的(de)測試接口，并(bing)通(tong)過修改熔絲(si)保(bao)(bao)護(hu)位等侵入(ru)(ru)型攻(gong)(gong)擊(ji)或非(fei)(fei)侵入(ru)(ru)型攻(gong)(gong)擊(ji)手(shou)段來(lai)讀取單(dan)(dan)片(pian)(pian)機(ji)的(de)內(nei)部程序(xu)變得(de)比較(jiao)容易。