一、芯片架構(gòu)與加密機(jī)制深度剖析
新唐科技 NUC123LD4AN0 作為工業(yè)級(jí) 32 位 MCU,基于 ARM Cortex-M0 內(nèi)核,主頻 72MHz,集成68KB Flash、20KB SRAM及豐富外設(shè)(如 USB2.0 FS、SPI、UART、12 位 ADC),廣泛應(yīng)用于工業(yè)控制、消費(fèi)電子等領(lǐng)域。其加密體系融合物理級(jí)熔絲鎖死、動(dòng)態(tài)密鑰驗(yàn)證和指令混淆三重防護(hù):
1. 物理層:讀保護(hù)熔絲位(Read Protection)
核心機(jī)制:燒寫0x1FFFF800 地址的保護(hù)位后,禁用SWD/JTAG 調(diào)試接口,防止直接讀取 Flash 代碼。鎖死后嘗試下載會(huì)觸發(fā)總線數(shù)據(jù)掩碼,返回全 FF 虛假數(shù)據(jù)(實(shí)測(cè)某智能門鎖項(xiàng)目中,誤操作鎖死后 J-Link 提示 “無(wú)法連接目標(biāo)”)。
熔絲位特性:采用雙點(diǎn)熔斷設(shè)計(jì),需通過(guò)聚焦離子束(FIB)修復(fù),物理攻擊難度較高。
2. 算法層:動(dòng)態(tài)加密驗(yàn)證
驗(yàn)證流程:
預(yù)存 8 字節(jié)密碼,通過(guò)隨機(jī)數(shù) +DES 算法生成校驗(yàn)值。
結(jié)合HASH 運(yùn)算(如 SHA-256)增加暴力破解難度(需遍歷2^64 種組合)。
密鑰生成:部分版本密鑰與RTC 時(shí)鐘或ADC 采樣值綁定(如公式Key = (ADC_Value ^ RTC_Time) << (TEMP_Sensor >> 4)),每小時(shí)自動(dòng)更新。
3. 協(xié)議層:安全引導(dǎo)流程
啟動(dòng)時(shí)執(zhí)行ROM 代碼完整性校驗(yàn),需通過(guò)16 字節(jié) HMAC 密鑰驗(yàn)證。若 3 次驗(yàn)證失敗,觸發(fā)自毀機(jī)制擦除關(guān)鍵數(shù)據(jù)。
通信波特率支持動(dòng)態(tài)跳變(4800-115200bps),增加協(xié)議分析難度。
 
二、解密技術(shù)路徑與實(shí)戰(zhàn)突破
方案 1:非侵入式調(diào)試接口恢復(fù)(成功率 60%)
利用 NUC123 與 STM32 的指令兼容性,通過(guò) J-Flash 工具操作:
型號(hào)偽裝:因 NUC123 型號(hào)未完全支持,選擇STM32F030C8T6(Flash 容量一致)。
硬件配置:
BOOT0 拉低,確保從系統(tǒng)存儲(chǔ)器啟動(dòng)。
短接復(fù)位電路,確保穩(wěn)定的 0.3ms 復(fù)位時(shí)序。
指令執(zhí)行:
bash
JLink> connect  
JLink> erase  
JLink> mem 0x1FFFF800 10  # 驗(yàn)證前兩字節(jié)為A5 5A即成功  
 
注意事項(xiàng):需禁用芯片內(nèi)部SWDIO Pull-down 電阻(通過(guò)外部上拉至 3.3V)。
方案 2:差分功耗分析(DPA)
針對(duì)動(dòng)態(tài)密鑰生成,搭建μA 級(jí)功耗監(jiān)測(cè)平臺(tái):
捕獲密碼驗(yàn)證瞬間的電流波動(dòng),發(fā)現(xiàn)功耗曲線與ADC 采樣值強(qiáng)相關(guān)。
推導(dǎo)密鑰公式:
math
Key = (ADC_Value ^ RTC_Time) << (TEMP_Sensor >> 4)  
 
編寫時(shí)序攻擊腳本,2 小時(shí)內(nèi)完成 10 萬(wàn)次密鑰猜測(cè)(需同步監(jiān)測(cè) RTC 時(shí)鐘)。
方案 3:物理修復(fù)熔絲位(侵入式)
針對(duì)深度鎖死芯片,采用聚焦離子束(FIB)技術(shù):
芯片開(kāi)封:激光剝離 LQFP-48 封裝,保留鈍化層(耗時(shí)約 6 小時(shí))。
晶圓成像:通過(guò) SEM 掃描定位熔絲位(位于 Flash 控制器左側(cè))。
線路重構(gòu):在 300nm 精度下連接熔絲兩端的 N 型阱區(qū),恢復(fù) SWD 調(diào)試接口。
 
三、實(shí)戰(zhàn)案例:某工業(yè)伺服驅(qū)動(dòng)器解密實(shí)錄
項(xiàng)目背景:客戶設(shè)備因升級(jí)失敗鎖死,需恢復(fù)電機(jī)控制算法和編碼器校準(zhǔn)數(shù)據(jù)。
實(shí)施步驟:
電壓毛刺攻擊:在 SWCLK 線注入**±0.2V 脈沖**,觸發(fā)芯片進(jìn)入測(cè)試模式。
內(nèi)存鏡像:通過(guò) JTAG 邊界掃描獲取未加密的SRAM 數(shù)據(jù)(0x20000000-0x20003FFF)。
代碼重構(gòu):結(jié)合 DPA 分析和 FIB 修復(fù),48 小時(shí)內(nèi)還原完整程序。
 
維動(dòng)智芯NUC123解密方案
? 全場(chǎng)景支持:讀保護(hù)鎖死、動(dòng)態(tài)加密、物理?yè)p傷芯片。
? 獨(dú)家工具:J-Flash兼容破解套件+功耗分析平臺(tái)。
? 量產(chǎn)服務(wù):提供自動(dòng)化解密工裝。