6.3　威脅

6.3.1.1　分類

在智能卡生命周期中，TOE可能會受到各種各樣的攻擊。他們中間有些是無意識的行為，例如在交易過程中可能出現的一些誤操作；有些是蓄意的，例如使用非法智能卡作弊、截取并篡改交易過程中所交換的信息等行為。根據各種攻擊所采用的手段和攻擊的對象的不同，智能卡大體存在以下五類威脅：

a) 物理威脅；

b) 邏輯威脅；

c) 與訪問控制相關的威脅；

d) 有關密碼功能的威脅；

e) 各種其他威脅。

6.3.1.2　物理威脅

智能卡運行物理威脅如下：
a) 對智能卡的物理探測（T.P_Probe）
攻擊者可能對智能卡實施物理探測，以獲取智能卡的設計信息和操作內容。
物理探測可能是利用智能卡失效性分析和采用半導體逆向工程技術來從智能卡中獲取數據。這種探測可能包括對電氣功能的探測，由于這種探測需要直接接觸智能卡內部，所以仍把它歸為物理探測。攻擊者的目的是獲取諸如硬件安全機制、訪問控制機制、鑒別系統、數據保護系統、存儲器分區，以及密碼算法程序等設計細節。弄清軟件設計中諸如初始化數據、個人化數據、口令或密鑰等也是他們的目標。智能卡可能會在為上電或已上電狀態下受到探測攻擊并且在遭受這樣的攻擊后可能會處于無法操作狀態。
b) 對智能卡的物理更改（T.P_Alter）
攻擊者可能對智能卡實施物理更改，以獲取智能卡的設計信息和操作內容，或者消弱、旁路安全功能，以及修改安全功能數據，從而非法使用智能卡。
對智能卡的更改可能利用智能卡失效性分析或采用半導體逆向工程技術來實現。攻擊者的目的是通過物理更改，識別硬件安全機制，訪問控制機制、鑒別系統、數據保護系統、存儲器分區，以及密碼算法程序等設計細節；識別軟設計中諸如初始化數據、個人化數據、口令或密鑰等的位置、狀態、運行規律也是他們的目標。

6.3.1.3　邏輯威脅

智能卡運行邏輯威脅如下：
a) 信息泄露（T.INF-LEAK）
攻擊者可以利用智能卡使用期間泄露的信息暴露安全功能數據，信息泄露可能是正常操作固有的或者是由攻擊者導致的。
功耗、電磁輻射、I/O特性、時鐘頻率的變化或所需處理時間的變化等都有可能造成信息的泄露。這可理解為一個隱蔽的傳輸途徑（側信道），實際上與操作參數的測量密切相關。這些泄漏信息攻擊者可通過接觸式（如功耗）或非接觸式（如電磁輻射和時間變化）的信號測量，得到與正在執行的操作有關的信息，進而采用信號處理和統計分析等技術獲得密鑰等敏感信息。
b) 缺陷插入（T.Flt_Ins）
攻擊者可能通過反復地插入選定的數據，并觀察相應的輸出結果，從而獲得智能卡安全功能或用戶相關的信息。
這種威脅的特點是有目的選擇和控制輸入數據，而不是隨機選擇或控制。通過插入選定的數據并觀察輸出結果的變化，是對密碼設備的一種常見攻擊手段，這種手段也可用于對智能卡的攻擊。其目的是通過觀察智能卡如何對選定的輸入做出響應來獲取與安全功能或用戶相關的信息。這種威脅的特點是有意選擇和控制輸入數據，而不是隨機選擇數據或控制輸入輸出操作中的物理特性。
c) 錯誤輸入（T.Inv_Inp）
攻擊者可能通過引入無效的輸入數據來危及智能卡的安全功能數據的安全。
錯誤輸入操作形式包括錯誤的格式、索要的信息超過記錄范圍、試圖找到并執行無正式書面文件的命令。這樣的輸入可能在正常使用過程中的任意時間發生，包括訪問授權前。其結果是該攻擊可能會危及安全功能，在操作中產生可利用的錯誤或者泄漏所保護的數據。
d) 未授權程序裝載（T.Ua_Load）
攻擊者可能利用未授權的程序探測或修改智能卡安全功能代碼及數據。

6.3.1.4　與訪問控制相關的威脅

智能卡運行中與訪問控制相關的威脅如下：
a) 非法訪問（T.Access）
使用者或攻擊者可能在未經信息或資源的擁有者或責任者許可的條件下對信息或資源進行訪問。
授權角色都有特定的權限來訪問智能卡的信息，如果訪問超出規定權限，會導致安全相關信息的暴露。
b) 使用被禁止的生命周期功能（T.Lc_Ftn）
攻擊者可能會利用相關命令，尤其是測試和調試命令來獲取智能卡安全功能數據或敏感的用戶數據，這些命令在智能卡生命周期的以往某些階段是必要的，但在現階段是被禁止的。

6.3.1.5　有關密碼功能的威脅

智能卡運行有關密碼功能的威脅如下：
a) 密碼攻擊（T.Crypt_Atk）
攻擊者可能實施密碼攻擊或窮舉攻擊危及智能卡的安全功能。
這種攻擊可能用到一些加密函數、編碼/解碼函數或隨機數發生器、攻擊者的目標是發現密碼算法中的脆弱性或通過窮舉來發現密鑰和輸入數據。攻擊者的目的在于暴露智能卡的安全功能數據從而危及用戶敏感數據的安全。
b) 隨機數的缺陷（T.RND）

6.3.1.6　各種其他威脅

智能卡運行的其他威脅如下：
a) 環境壓力（T.Env_Strs）
攻擊者可通過將智能卡暴露在被操縱的環境壓力下，來達到向安全功能數據引入錯誤的目的。
將集成電路暴露在超出其使用范圍的情況下，將導致其故障或安全臨界元素的失敗，從而達到允許操縱程序或數據的目的。這種情況可能是正常參數的極值（高或低）如溫度、電壓、時鐘頻率，也可能是不正常的環境如外部能量場，如激光、電磁射線等。該攻擊的目的在于產生一個直接的錯誤導致智能卡進入非法工作狀態，以一定概率達到非法操縱的目的；或者誘導智能卡產生可用于安全分析（如算法分析）的錯誤，得到智能卡所保護的敏感信息，從而導致敏感信息泄漏，甚至偽造智能卡。
b) 克隆（T.Clon）
攻擊者可能克隆部分或全部智能卡的功能以開發進一步的攻擊手段。

6.3.2　智能卡管理相關威脅

智能卡管理的相關威脅如下：
a) 智能卡鑒別重放（T.REPLAY）
攻擊者通過重新使用授權用戶以前完成(或部分完成)的操作可以刺探智能卡的安全。
重放已完成或部分完成的操作企圖繞過安全機制或暴露安全相關的信息；例如攻擊者可以嘗試發送他在先前會話中截獲的APDU命令到智能卡；攻擊者也可以使用以前傳送到他的身份驗證信息以暴露或修改存儲在智能卡中被其他應用目前使用的信息；例如，攻擊者可以利用曾經有效的身份驗證信息，但不再有效，如舊的PIN值或密鑰。
b) 暴力搜索（T.BRUTE-FORCE）
攻擊者可搜尋整個用戶可訪問的數據空間以便獲得TOE的相關敏感數據。