ATSHA204A 简明使用手册 (1/2: 配置项和常用命令)
本文共分 2 部分:

前言

在 BeatShow 硬件中,我需要使用 ATSHA204A 为 ESP8266 和 STM32 的固件提供一定的验证功能,以尽量保护硬件不被克隆。当然,我没有使用 MCU 验证 ATSHA204A 的这种方式,而是选择在通信过程中,由 PC 端来验证 ATSHA204A. 使用这种方式的好处在于, PC 端软件是可以通过混淆、虚拟化、加壳等手段来增加破解难度的,而且随着软件升级还可以修改验证时使用的数据,灵活度更高一些。

确定使用方式后,我本身其实只需要在生产阶段向 ATSHA204A 写入一些预先计算好的密钥值,然后在使用阶段由 PC 端软件通过指令交互来验证这些密钥值是否正确就可以了。但是 ATSHA204A 本身的功能比较多,配置也比较灵活,直接看 Atmel (当然被收购之后应该说 Microchip 了) 的 datasheet 容易被绕晕。网上能搜到的文章感觉写得也不够清楚,或者比较散,可能还不如直接看 datasheet. 因此我在阅读 datasheet 时专门梳理了一些我认为比较重要的概念和细节,并经过整理形成了本篇《ATSHA204A 简明使用手册》。

AT88CK590 评估板

Microchip 有一个 AT88CK590 评估套件 (Evaluation Kit), 可以用于评估 ATSHA204A, ATAES132A 和 ATECC508A 这三颗芯片。同时还可以自己打开外壳,在尾部的焊盘焊上插针,外接芯片使用。



有了这个评估套件后,就可以使用官方的 ACES CE 软件了,否则找不到设备的话是进入不了主界面的。



ATSHA204A 中的几个区域

Configuration Zone

Configuration Zone 是芯片内 EEPROM 中的一块存储配置信息的区域,共 88 bytes。整个 Configuration Zone 中的数据都是一直可读的,而且除了开头部分的 SN, RevNum 和 I2CEnable 不可修改外,其他数据在 Configuration Zone 未被锁定时是可写的。



OTP Zone

OTP Zone 是 EEPROM 中的一块 32 * 2 = 64 bytes 大小的区域。在 Configuration Zone 已锁定,但 OTP Zone 未锁定时可写。



Data Zone

Data Zone 是 EEPROM 中的一块 32 * 16 = 512 bytes 大小的区域。



TempKey

TempKey 是芯片内 SRAM 中的一块区域,数据长度为 32 bytes, 此外还有一些像 SlotID, SourceFlag, Valid 这样的一些状态数据。用于存储 Nonce 和 GenDig 命令的结果。



区域锁定

在通过 Lock 命令写入 LockConfig 来锁定 Configuration Zone 前,OTP Zone 即不能读也不能写。只有在锁定 Configuration Zone 后,但还未通过 Lock 命令写入 LockValue 来锁定 OTP Zone 前,OTP Zone 可以通过 Write 命令写入。

ATSHA204A 的常用命令

ATSHA204A 共有 14 个命令,如下 (粗体: 较常用灰色: 不推荐使用):

  • CheckMac -- 检查 MAC 并返回 bool 结果,不推荐使用
  • DeriveKey -- 从 target key 或 parent key 分散出一个 target key
  • DevRev -- 获取 4 字节的芯片修订编号,软件不应该使用这个值
  • GenDig -- 从一个随机或输入的种子和一个 key 生成一个数据保护摘要
  • HMAC -- 计算 HMAC, 无兼容需求时不如使用 MAC 命令
  • Lock -- 锁定 Configuration Zone 或 Data and OTP Zone
  • MAC -- 使用 key 和其他内部数据计算一个 SHA-256 值,作为 MAC 用于验证
  • Nonce -- 生成一个 32 字节的随机数 (返回),和一个 nonce (内部存储于 TempKey, 不返回)
  • Pause -- 暂停,MCU 只接一个 ATSHA204A 时用不到
  • Random -- 生成一个 32 字节的随机数,不推荐使用,没有 Nonce 命令 TempKey 保密的作用
  • Read -- 读取 EEPROM 中的数据
  • SHA -- 计算 SHA-256 值,完全可以在 MCU 中算
  • UpdateUltra -- 用于更新配置区域中的 UserExtra 和 Selector 字节,一般不用
  • Write -- 写入数据到 EEPROM

不推荐使用的命令后边就不再介绍了,本文主要针对硬件防克隆这一应用介绍常用的几个命令。

使用阶段的常用命令

(符号约定: a || b 表示 a 与 b 相连接,'12EF' 中的 12, EF 为十六进制数据 0x12, 0xEF.)

使用阶段的常用命令有 Nonce, MAC, GenDig 和 DeriveKey.

Nonce

Nonce 是 ATSHA204A 的 datasheet 中随处可见的一个词,根据 Wiktionary 上的解释,"The cryptography sense is commonly said to be a contraction of number used once, although this is probably incorrect." 把 nonce 理解成只使用一次的随机数在 ATSHA204A 中是非常恰当的,比使用 random number 多了只使用一次的含义。

Nonce 命令会生成一个 nonce, 以便在后续的 GenDig, MAC, HMAC, Read 或 Write 命令中使用。生成结果 (nonce) 会存储在 TempKey 中,同时将生成过程中产生的随机数 RandOut 返回。

Mode 参数的低 2 位指定 nonce 的生成方式:
0b00 生成一个新的随机数,将其和命令数据 NumIn 合并后,结果存储在 TempKey 中。在产生随机数前如果有必要则自动更新随机数发生器的 seed 值(推荐的方式,安全度高)。
RandOut = 新生成的随机数 (32 bytes)
TempKey = SHA256(RandOut || NumIn (20 bytes) || ...)
0b01 同 0b00, 除了生成随机数前不更新随机数发生器的 seed 值,直接使用原有的 seed 值。
RandOut = 新生成的随机数 (32 bytes)
TempKey = SHA256(RandOut || NumIn (20 bytes) || ...)
0b11 透传模式,直接将命令数据 NumIn 写入到 TempKey 中。
RandOut = '00'
TempKey = NumIn

MAC

使用芯片内存储的 key 或其他数据和命令数据 Challenge 计算一个 SHA-256 值,作为 MAC 返回。

Response = SHA256(
    SlotID 指定的内部 key 或 TempKey ||
    命令数据 Challenge 或 TempKey (推荐) ||
    ... ||
    (OTP 的前 11 bytes) 或 (OTP 的前 8 bytes || '000000') 或 (11 bytes '00') ||
    (SN 调整过顺序的所有 9 bytes) 或 (SN 的最后 1 byte || 4 bytes '00' || SN 的前 2 bytes || 2 bytes '00')
)

GenDig

生成摘要,使用内部存储的数据 (配置区域数据,OTP 数据,或 key 值) 和 TempKey 的当前内容计算一个 SHA-256 值,并将其更新到 TempKey 中。

执行该命令可以为需要使用 TempKey 值的命令 (如 MAC 和 DeriveKey 命令) 引入额外的参与运算的数据。

如果 Zone 参数为 0x02 (Data), 且SlotConfig<SlotID>.CheckOnly 位为 1, 则摘要按如下内容计算:

TempKey = SHA256(
    SlotID 指定的内部 key ||
    命令数据 OtherData ||
    (SN 的最后 1 byte || SN 的前 2 bytes) ||
    ... ||
    TempKey
)

否则按如下方式计算:

TempKey = SHA256(
    Config 或 OTP 或 Data.slot 或 TransportKey ||
    ... ||
    (SN 的最后 1 byte || SN 的前 2 bytes) ||
    ... ||
    TempKey
)

DeriveKey

分散密钥,使用当前的一个 key 值 (source key) 和 TempKey 中存储的 nonce 计算一个 SHA-256 值,并将其写入到 target key 的 slot 中。

结果写入到哪个 slot 由命令参数 TargetKey 指定,SlotConfig<TargetKey>.Bit13 必须已被置位。

如果 SlotConfig<TargetKey>.Bit12 为 0, 则参与 hash 计算的 source key 就是 target key (即 key rolling, 密钥滚动操作)。
如果该位为 1, 则 source key 为该 target key 的 parent key, 通过 SlotConfig<TargetKey>.WriteKey 中指定的 slot 号来查找 (即密钥创建操作).

如果 SlotConfig<TargetKey>.Bit15 为 1, 则必须计算并提供命令数据 MAC 用于验证。
MAC = SHA256(ParentKey, Opcode, Param1, Param2, SN<8>, SN<0:1>)
其中 ParentKey 是 SlotConfig<TargetKey>.WriteKey 中指定的 slot 号的 key.

target key = SHA256(
    source key (target key 或 parent key) ||
    ... ||
    (SN 的最后 1 byte || SN 的前 2 bytes) ||
    ... ||
    TempKey
)

生产阶段的常用命令

生产 (数据个人化) 阶段的常用命令有 Write, Read 和 Lock. 待更新下一篇时再补充本部分内容。
Current language: 中文 (简体)
Leave a Comment
Name (required)
E-mail (required, will not be published)
Website (optional)
Comment
A syntax system which is similar to wiki markup is available, see the guide