安全之安全(security2)博客目錄導(dǎo)讀

ATF(TF-A) 威脅模型匯總

目錄

一、簡(jiǎn)介

二、評(píng)估目標(biāo)

1、數(shù)據(jù)流圖

三、威脅分析

1、信任邊界

2、資產(chǎn)

3、威脅代理

4、威脅類型

5、威脅評(píng)估

5.1 端點(diǎn)在直接請(qǐng)求/響應(yīng)調(diào)用中模擬發(fā)送方FF-A ID

5.2?端點(diǎn)在直接請(qǐng)求/響應(yīng)調(diào)用中模擬接收方FF-A ID

5.3?篡改端點(diǎn)和SPMC之間共享的內(nèi)存

5.4?端點(diǎn)可以篡改自己的狀態(tài)或另一個(gè)端點(diǎn)的狀態(tài)

5.5?重放端點(diǎn)之間過(guò)去通信的片段

5.6?惡意端點(diǎn)可能試圖通過(guò)使用無(wú)效或不正確的輸入?yún)?shù)來(lái)提取數(shù)據(jù)或狀態(tài)信息

5.7?惡意端點(diǎn)可能偽造直接消息請(qǐng)求，從而通過(guò)直接消息響應(yīng)揭示另一個(gè)端點(diǎn)的內(nèi)部狀態(tài)

5.8?探測(cè)端點(diǎn)之間的FF-A通信

5.9?惡意代理可能會(huì)嘗試使用基于軟件的cache側(cè)信道攻擊技術(shù)來(lái)泄露SPMC狀態(tài)或秘鑰

5.10?惡意端點(diǎn)可能會(huì)嘗試向SPMC發(fā)送針對(duì)端點(diǎn)內(nèi)某個(gè)服務(wù)的請(qǐng)求，從而拒絕另一個(gè)端點(diǎn)訪問(wèn)該服務(wù)

5.11?如果借用方端點(diǎn)遇到致命異常，則拒絕出借方端點(diǎn)進(jìn)行進(jìn)一步處理。如果接收方遇到致命異常，則拒絕新的發(fā)送方端點(diǎn)進(jìn)行進(jìn)一步處理

5.12?惡意端點(diǎn)可能會(huì)嘗試贈(zèng)予、共享、出借、放棄或回收未經(jīng)授權(quán)的內(nèi)存區(qū)域

---

一、簡(jiǎn)介

????????本文檔提供了TF-A EL3?Secure Partition Manager(EL3 SPM)實(shí)現(xiàn)的威脅模型。EL3 SPM的實(shí)現(xiàn)是基于Arm A-profile規(guī)范的Arm固件框架。

二、評(píng)估目標(biāo)

????????在這個(gè)威脅模型中，評(píng)估的目標(biāo)是EL3固件中的Secure?Partition?Manager核心組件(SPMC)。EL3的monitor和SPMD由通用TF-A威脅模型涵蓋。

????????這個(gè)威脅模型的范圍是：

? ? ? ? 1）EL3 SPMC的TF-A實(shí)現(xiàn)

? ? ? ? 2）該實(shí)現(xiàn)符合FF-A v1.1規(guī)范。

????????3）安全分區(qū)是在引導(dǎo)時(shí)靜態(tài)配置的。

????????4）關(guān)注生命周期的運(yùn)行時(shí)部分(沒(méi)有特別強(qiáng)調(diào)引導(dǎo)時(shí)間、出廠固件配置、固件更新等)。

? ? ? ? 5）不包括高級(jí)或侵入性物理攻擊，如解封，FIB（聚焦離子束）等。

1、數(shù)據(jù)流圖

? ? ? ? 下圖顯示了SPM在EL3上分為SPMD和SPMC組件的高級(jí)數(shù)據(jù)流圖。SPMD主要充當(dāng)非安全世界和安全世界之間的中繼，它被認(rèn)為暴露了很小的攻擊面。

? ? ? ? 下表給出了每個(gè)元素的描述。在圖中，紅色虛線表示信任邊界。虛線之外的組件被認(rèn)為是不可信的。

元素	描述
DF1	SP到SPMC通信。FF-A函數(shù)調(diào)用或?qū)崿F(xiàn)定義的Hypervisor調(diào)用。 注意：與LSP通信時(shí)，SP1會(huì)以LSP為目的向SPMC發(fā)起直連消息請(qǐng)求。
DF2	SPMC到SPMD通信。
DF3	SPMD到NS轉(zhuǎn)發(fā)。
DF4	SPMC到LSP通信。NWd到LSP的通信是通過(guò)SPMC進(jìn)行的。LSP可以通過(guò)SPMC發(fā)送直接響應(yīng)SP1或NWd。
DF5	硬件控制
DF6	Bootloader鏡像加載
DF7	外部?jī)?nèi)存訪問(wèn)

三、威脅分析

????????此威脅模型遵循與通用TF-A威脅模型類似的方法。以下部分定義：

? ? ? ? 1）信任邊界
? ? ? ? 2）資產(chǎn)
? ? ? ? 3）威脅代理
? ? ? ? 4）威脅類型

1、信任邊界

? ? ? ? 1）非安全世界是不可信的。
? ? ? ? 2）安全世界和非安全世界是不同的信任邊界。
? ? ? ? 3）EL3監(jiān)視器、SPMD和SPMC是可信的。
? ? ? ? 4）引導(dǎo)加載程序(如果使用TF-A，特別是BL1/BL2)和運(yùn)行時(shí)BL31通過(guò)使用可信引導(dǎo)被隱式信任。
? ? ? ? 5）EL3 monitor，SPMD, SPMC不信任SP（Secure Partitions）。

2、資產(chǎn)

????????確定以下資產(chǎn)：

? ? ? ? 1）SPMC狀態(tài)。
? ? ? ? 2）SP的狀態(tài)。
? ? ? ? 3）endpoints之間的信息交換(partition消息)。
? ? ? ? 4）SPMC secrets(例如啟用時(shí)的指針身份驗(yàn)證密鑰)。
? ? ? ? 5）SP secrets(例如應(yīng)用程序密鑰)。
? ? ? ? 6）調(diào)度周期。
? ? ? ? 7）共享內(nèi)存。

3、威脅代理

????????確定以下威脅代理：

? ? ? ? 1）非安全端點(diǎn)(稍后稱為NS-Endpoint)：NS-EL2 (Hypervisor)或NS-EL1 (VM或OS內(nèi)核)上的非安全世界客戶端。
? ? ? ? 2）安全端點(diǎn)(以后稱為S-Endpoint)：通常是一個(gè)安全分區(qū)。
? ? ? ? 3）硬件攻擊(非侵入性)需要對(duì)設(shè)備進(jìn)行物理訪問(wèn)，例如總線探測(cè)或DRAM壓力測(cè)試。

4、威脅類型

????????在通用TF-A威脅模型中暴露的以下威脅類別被重用（re-used）：

????????1）欺騙（Spoofing）
????????2）篡改（Tampering）
????????3）抵賴（Repudiation）
????????4）信息泄露（Information disclosure）
????????5）拒絕服務(wù)（Denial of service）
????????6）特權(quán)提升（Elevation of privilege）

????????類似地，此威脅模型重用相同的威脅風(fēng)險(xiǎn)評(píng)級(jí)。風(fēng)險(xiǎn)分析是基于服務(wù)器或移動(dòng)環(huán)境進(jìn)行評(píng)估的。物聯(lián)網(wǎng)不被評(píng)估，因?yàn)镋L3 SPMC主要用于客戶端。

5、威脅評(píng)估

????????通過(guò)對(duì)數(shù)據(jù)流圖的每個(gè)元素應(yīng)用STRIDE威脅分析，可以識(shí)別出以下威脅。

5.1 端點(diǎn)在直接請(qǐng)求/響應(yīng)調(diào)用中模擬發(fā)送方FF-A ID

5.2?端點(diǎn)在直接請(qǐng)求/響應(yīng)調(diào)用中模擬接收方FF-A ID

5.3?篡改端點(diǎn)和SPMC之間共享的內(nèi)存

5.4?端點(diǎn)可以篡改自己的狀態(tài)或另一個(gè)端點(diǎn)的狀態(tài)

5.5?重放端點(diǎn)之間過(guò)去通信的片段

5.6?惡意端點(diǎn)可能試圖通過(guò)使用無(wú)效或不正確的輸入?yún)?shù)來(lái)提取數(shù)據(jù)或狀態(tài)信息

5.7?惡意端點(diǎn)可能偽造直接消息請(qǐng)求，從而通過(guò)直接消息響應(yīng)揭示另一個(gè)端點(diǎn)的內(nèi)部狀態(tài)

5.8?探測(cè)端點(diǎn)之間的FF-A通信

5.9?惡意代理可能會(huì)嘗試使用基于軟件的cache側(cè)信道攻擊技術(shù)來(lái)泄露SPMC狀態(tài)或秘鑰

5.10?惡意端點(diǎn)可能會(huì)嘗試向SPMC發(fā)送針對(duì)端點(diǎn)內(nèi)某個(gè)服務(wù)的請(qǐng)求，從而拒絕另一個(gè)端點(diǎn)訪問(wèn)該服務(wù)

5.11?如果借用方端點(diǎn)遇到致命異常，則拒絕出借方端點(diǎn)進(jìn)行進(jìn)一步處理。如果接收方遇到致命異常，則拒絕新的發(fā)送方端點(diǎn)進(jìn)行進(jìn)一步處理

5.12?惡意端點(diǎn)可能會(huì)嘗試贈(zèng)予、共享、出借、放棄或回收未經(jīng)授權(quán)的內(nèi)存區(qū)域

參考：11.3. EL3 SPMC Threat Model — Trusted Firmware-A 2.9.0 documentation