麥克斯韋在150年前告訴我們“時變電流產(chǎn)生的電磁波可被隔空感應”。美國在60年前關注密碼設備電磁泄漏現(xiàn)象，實施了TEMPEST(一系列的構成信息安全保密領域的總稱)計劃。荷蘭學者范?？?0年前發(fā)表論文并用改裝黑白電視機遠距離接收計算機顯示器內(nèi)容，首次公開計算機電磁泄漏原理。Inslaw丑聞和斯諾登事件證實美國利用電磁泄漏主動攻擊竊密由來已久。世界各國學者電磁泄漏研究方興未艾。本文告訴你計算機電磁泄漏的那些事兒。

麥克斯韋方程組揭示電磁泄漏原理

150多年前，英國科學家麥克斯韋提出了麥克斯韋方程組，創(chuàng)立了經(jīng)典電動力學，預言了電磁波的存在。

[[246668]]

英國愛丁堡圣安德魯廣場麥克斯韋和他的狗的塑像，塑像下面刻著著名的麥克斯韋方程組

在物理學歷史上，麥克斯韋電磁學理論為電氣時代奠定了基石，麥克斯韋方程組也成為了最偉大的公式。

麥克斯韋方程組成為20個最偉大公式之首(PhysicsWorld 2004)

麥克斯韋方程組表明，隨時間變化的電流(時變電流)產(chǎn)生的電磁波可以被隔空感應和接收，這是無線通信的基本原理，也是計算機等信息技術設備通過電磁波泄密的主要原因。

計算機等信息技術設備內(nèi)部存在大量時變電流，每個時變電流都會產(chǎn)生電磁波。這些電磁波如同小型無線電廣播電臺的發(fā)射信號，可以在遠距離被接收到。如果電磁波是由設備內(nèi)部敏感信息時變電流引起的，就會造成敏感信息的電磁泄漏。

荷蘭學者范?？耸状喂_計算機電磁泄漏風險

1985年，荷蘭學者范?？?Van Eck)在《Computer & Security》發(fā)表論文，介紹了遠距離接收計算機顯示器的原理，他只用了15美元的元器件和一臺黑白電視機，首次公開揭示了計算機CRT顯示器的電磁泄漏風險。因此，該現(xiàn)象被稱為“范?？烁`密(Van Eck phreaking)”。

范?？烁难b的電視機原理圖和改裝的電視機

1985年春天，英國BBC電視臺在“明日世界”節(jié)目中播放了一段5分鐘的視頻，介紹了計算機顯示器的電磁泄漏風險，并展示在汽車里安裝接收設備獲取附近建筑里的計算機顯示器內(nèi)容，該建筑正是蘇格蘭場(英國倫敦警察局的代稱)。

[[246670]]

英國BBC電視臺“明日世界”節(jié)目播放遠距離接收計算機顯示器屏幕的視頻

美國TEMPEST計劃

荷蘭學者范?？说某晒隽嗣绹缫殃P注的有關電磁泄漏研究的TEMPEST計劃。早在二十世紀50年代，美國政府開始注意到電磁波發(fā)射可以被捕獲造成泄密。如果發(fā)射來自密碼設備，造成的泄密危害將是致命的。根據(jù)軍方研究結果，美國啟動了TEMPEST計劃。

TEMPEST計劃通過引入標準和認證測試程序，減少敏感信息處理、傳輸和存儲等相關設備的電磁泄漏發(fā)射風險。美國政府機構和合作供應商采用了大量滿足TEMPEST標準的計算機和外圍設備(打印機、掃描儀、磁帶機、鼠標等)對數(shù)據(jù)進行保護。

美國解密的TEMPEST標準中的測試裝置示意圖

TEMPEST防護的典型做法是用金屬銅或其他導電材料進行屏蔽處理。在美國，TEMPEST技術咨詢、檢測和設備生產(chǎn)形成產(chǎn)業(yè)，年產(chǎn)值曾超過10億美元。電磁泄漏發(fā)射標準不僅僅應用在美國，北大西洋公約組織(NATO)也有類似標準(AMSG720B)。通常，TEMPEST標準包括對輻射泄漏、傳導泄漏和聲泄漏風險的評估、檢測和防護要求。

TEMPEST屏蔽保護計算機的示意圖

Inslaw公司丑聞與電磁泄漏木馬

1974年，美國Inslaw信息技術公司控告美國司法部，指責司法部不遵守雙方簽訂的合同，未經(jīng)授權將Inslaw公司為其開發(fā)的“檢舉人管理信息系統(tǒng)(PROMIS)”改裝并進行銷售，產(chǎn)品遍及40多個國家。該指控經(jīng)過了3次聯(lián)邦法院審判和2次國會聽證。在案件調(diào)查中發(fā)現(xiàn)，美國司法部和中央情報局利用改裝的PROMIS軟件是為了秘密獲取情報。

1999年英國作家Gordon Thomas在其《摩薩德秘史》中披露以色列情報部門制造了PORMIS木馬。PROMIS系統(tǒng)是應用在計算機單機上的純軟件應用系統(tǒng)，當時還不存在Internet的網(wǎng)絡泄密途徑，據(jù)分析，情報獲取的方式就是電磁泄漏方式。有人披露美國情報部門利用電磁泄漏現(xiàn)象進行主動攻擊的秘密計劃代號稱為“TEAPOT”，該代號來源俗語“TEMPEST in a TEAPOT”。

劍橋大學庫恩博士披露計算機電磁泄漏主動攻擊方法

2003年，劍橋大學庫恩(Kuhn)博士的論文講述了計算機電磁泄漏原理和接收方法，并給出了一種通過主動攻擊獲取計算機敏感信息的方法。庫恩博士利用電磁波泄漏發(fā)射原理，將有意竊取的信號隱藏到計算機顯示器正常顯示的視頻中，借助顯示器視頻電磁波發(fā)射強的優(yōu)勢，將敏感信息傳輸出去。軟件算法巧妙地將敏感信息隱藏嵌入到計算機顯示器視頻中而人眼不易觀察到，接收機卻可以在遠距離高質(zhì)量獲取隱藏的電磁波信息。竊密者可以將軟件隱藏算法做成木馬植入到被攻擊的計算機中，攻擊不聯(lián)網(wǎng)的計算機，具有很強的隱蔽性。

劍橋大學庫恩博士使用的天線和接收機以及接收液晶顯示器的效果

劍橋大學庫恩博士在普通瀏覽頁面(左圖)隱藏主動獲取的信息(右圖)

日本學者給出電磁泄漏最遠距離的理論估值

2011年，日本大阪大學的2名學者研究了滿足電磁兼容(EMC)B級標準的信息技術設備最遠接收距離，給出了不同頻率范圍最遠接收距離的理論估值，通常都有幾百米的范圍。

日本學者的電磁泄漏實驗(左圖)和給出的滿足EMC標準B級要求設備最遠接收距離的理論估值(右圖)

斯諾登曝光美國利用電磁泄漏進行主動攻擊

2013年，“斯諾登事件”披露的涉密文件曝光了美國利用電磁泄漏發(fā)射主動攻擊竊密的丑聞。一份文件描述了美國國家安全局竊聽各個國家駐美國大使館或代表處的秘密代號，其中有一張攻擊歐盟駐華盛頓特區(qū)代表處密碼傳真機的照片，代號為“DROPMIRE”。

斯諾登曝光的“DROPMIRE”項目用電磁泄漏原理主動竊取歐盟駐華盛頓特區(qū)代表處密碼傳真機的明文信息

DROPMIRE不是在傳真機上添加竊聽器或竊照設備，而是充分利用設備自身功能部件電路，電路設計上有意識增強敏感信息的電磁波發(fā)射。該部件在完成傳真機自身功能的基礎上，會增強加密傳真機明文信息的電磁波發(fā)射強度，使得密碼傳真機處理的明文信息能夠在遠距離被竊取。這種竊密方法十分隱蔽，如果不是被內(nèi)部人員披露，將很難被發(fā)現(xiàn)。

黑帽大會披露混合信號無線芯片電磁泄漏風險

在2018年8月召開的黑帽大會(Black Hat)上，Eurecom研究小組在大會上發(fā)表并展示了利用電磁泄漏發(fā)射原理攻擊混合信號無線芯片的研究成果。

Eurecom研究小組發(fā)表的介紹材料

美國解密的TEMPEST標準中有一類載波調(diào)制敏感信息的電磁泄漏方式，在其防護措施中，通常禁止在敏感區(qū)域附近安裝發(fā)射臺等大功率無線發(fā)射設備，主要是防止交叉調(diào)制風險。而無線通信領域為了節(jié)約成本和小型化要求，廣泛采用混合信號芯片，將模擬電路和數(shù)字電路放在同一芯片里。比如，把基于數(shù)字邏輯的CPU與基于模擬邏輯的射頻發(fā)射模塊集成到一起。

美國TEMPEST標準中關于載波調(diào)制的電磁泄漏情況

一般數(shù)字基帶信號自身的發(fā)射強度比較微弱，難以在較遠距離接收，但如果該微弱信號被附近的高強度載波信號調(diào)制，就有可能傳播很遠。混合信號芯片里的射頻模塊會將數(shù)字邏輯CPU中執(zhí)行的軟件或者密碼部件的敏感信息以高頻調(diào)制方式無線發(fā)射出去。

混合信號芯片和交叉調(diào)制電磁泄漏原理

敏感數(shù)字信號被無線載波混頻放大后由天線發(fā)射出去，這是一類非常重要的電磁泄漏途徑式。Eurecom研究小組將其稱為“嘯聲信道(Screaming Channel)”，相比常規(guī)電磁泄漏發(fā)射(EM)側信道，這種側信道方式無線攻擊的距離更遠。

Eurecom研究小組的混合信號芯片測試和獲取芯片內(nèi)部密鑰的處理圖像

Eurecom研究小組測試了多個廠家的密碼芯片，包括Nordic 公司nRF52832和Qualcomm Atheros AR9271。在10米遠距離成功獲取nRF52832芯片內(nèi)部AES-128的密鑰，在1米遠距離恢復了用mbedTLS實現(xiàn)的AES-128密鑰。

參考文獻

[1] James Clerk Maxwell, Wikipedia, https://en.wikipedia.org/wiki/James_Clerk_Maxwell.

[2] Wim van Eck: Electromagnetic Radiation from Video Display Units: An Eavesdropping Risk? Computers & Security vol 4, pp 269–286, 1985.

[3] TEMPEST: A Tin Foil Hat for Your Electronics and Their Secrets, https://hackaday.com/2015/10/19/tempest-a-tin-foil-hat-for-your-electronics-and-their-secrets/.

[4] NSA. “NACSIM 5000, Tempest fundamentals.” Technical Report. 1982, Document declassified in 2000 and available at https://cryptome.org/jya/nacsim-5000/nacsim-5000.htm.

[5] The Inslaw Scandal，　http://www.constitution.org/abus/inslaw/19960924_inslaw_　scandal.htm.

[6] Inslaw, Wikipedia, https://en.wikipedia.org/wiki/Inslaw.

[7] The Complete, Unofficial TEMPEST Information Page, https://www.kubieziel.de/blog/uploads/complete_unofficial_tempest_page.pdf.

[8] Markus G. Kuhn and Ross J. Anderson， Soft Tempest: Hidden Data Transmission Using Electromagnetic Emanations.

[9] Hidenori Sekiguchi, Shinji SETO, Estimation of Receivable Distance for Radiated Disturbance Containing Information Signal from Information Technology Equipment.

[10] New NSA leaks show how US is bugging its European allies, https://www.theguardian.com/world/2013/jun/30/nsa-leaks-us-bugging-european-allies.

Giovanni Camurati, Sebastian Poeplau, Marius Muench, Tom Hayes, Aurélien Francillon，EURECOM， Screaming Channels: When Electromagnetic Side Channels ，Meet Radio Transceivers.

【本文為51CTO專欄作者“中國保密協(xié)會科學技術分會”原創(chuàng)稿件，轉載請聯(lián)系原作者】

戳這里，看該作者更多好文