Взлом RDP в STM8/32 методом PowerGlitch

[VelocidadAbsurda]

Вопрос, на который внятного ответа «да» пока не встречал: STM RDP level 2 удалось победить?

[ENGIN33RRR]

Вырастает сложность и время реализации конечно, нужно понизить до 1 уровня, и воспроизводить параметры атаки с попытками второго понижения. Метод был описан продавцами железки как раз для атких атак предназначенной- ChipWhisperer. Но что-то не нахожу странички. Включив воображение можно той-же атакой попытатся включить отладку например, что так-же дает определенный вектор для дальнейших атак.

[VelocidadAbsurda]

Саму идею «понизим до RDP 1 и сведём задачу к решённой» встречал не раз, но пока не видел ни одного подтверждения успеха уже за несколько лет. При том, что с обходами RDP 1 люди не особо стесняются и пишут об успехах открыто.

[GiveMeFreeNickName]

Не буду повторятся, более подробно разжевано в другой статье на сайте.

Ссылка нерабочая

[ENGIN33RRR]

Спасибо, поправил.

[ABRogov]

Вроде эта тема уже всплывала тут много раз. Все это работает на древних ядрах. Что на счет М4? Там rdp имеет 8 разрядов и еще оин комплиментарный байт. Долго но не невозможно?)))

[ENGIN33RRR]

Ломать палкой танк никто не будет. Описанный мной метод хорошо работает в первую очередь с STM8. Для более сложных архитектур есть другие методы, которые хорошо описаны, к примеру https://www.usenix.org/system/files/woot20-paper-obermaier.pdf

К тому-же я хотел рассказать в первую очередь про те моменты, которые в сети умалчивают, а именно- о важности уровня просадки.

[Fox_Alex]

Такое уже наверняка быстрее ломать микрозондом или другими инвазивными способами.

[IgorPie]

а что, если целевой мк тактировать снаружи, вместо 8 МГц кварца дать 1 кГц тактовой, не проще пробить будет? или у stm8 тоже есть встроенный rc осциллятор и мк трогается с него?

[ENGIN33RRR]

Смысл попасть импульсом во фронт такта. К тому-же чем меньше частота, тем дольше будет перебор, т.к. время инициализации возрастет.

[LevC]

Есть что интересное по взлому CPLD?

[321785]

Flash Readout Protection (RDP) никак не может сокращаться до RDP, т.к. Readout - это одно слово.
Логичнее сокращение FRP. И кстати в статье на которую ведёт ссылка такая же проблема с сокращениями.

[Kan_Timur]

Сокращение RDP сами STM используют

[HardWrMan]

Это терминология производителя. Она так упоминается во всех документах от ST.

[Klochko]

А если для атаки использовать ПЛИС? Алгоритм вроде бы не особо хитрый, а время реакции у ПЛИС куда лучше. Или не прокатит?

[ENGIN33RRR]

Прокатит конечно, но я не работаю с ПЛИС, и исходил из своих возможностей. К тому-же черная таблетка снижает порог входа до 10$ за весь стенд.

[Klochko]

По цене да, абсолютно точно лучше с черной таблеткой. Я просто к тому, что если где-то ещё более строгие тайминги или точность таймингов может повысить шансы, соответственно и скорость получения информации, то как будто бы ПЛИС тут уже по интереснее.

Но конечно не в домашних условиях и не тогда, когда этим занимаешься раз в год))

[ENGIN33RRR]

Лично видел железный мод для nintendo switch, где используется почти любой мосфет и обрезанный rp2040, чтобы залез в корпус. Очень даже работает. А так-да, если занимаешься этим постоянно- имеет смысл подобрать высокочастотную железку, чтобы иметь больше контроля.

[Klochko]

RP2040 в принципе в роли генераторов не плохо так используют. У меня тестер для процессоров Z80 лежит, вот на этом тестере генератор клока для cpu тоже на RP2040

[HardWrMan]

Я и на атмеге таймером генерировал вплоть до 8МГц. Это не проблема вообще.

[Sergey78]

Для серии F1 есть готовый проект для RP2040 (https://github.com/CTXz/stm32f1-picopwner). Чтобы удобнее было работать, я сделал плату под распространенные корпуса МК https://github.com/Sergey1560/f1_power_glitch

RP2040 + два мосфета управления питанием