DS1991L多密钥iButton替代方案
摘要:DS1991L多密钥iButton是由Maxim的6英寸晶圆厂生产,该晶圆厂的生产工艺已过时,且不再使用。DS1991L所提供的密码保护已不再是数据安全领域的新技术。Maxim已开发出安全级别高于DS1991L而且成本更低的替代方案。因此,为了降低旧设备升级到新的生产工艺时的开发成本,Maxim启动了最后一次采购DS1991L的流程,并鼓励所有DS1991L用户在现有库存用完之前,将产品移植到更新、更安全的iButton器件。本应用笔记讨论了替代现有DS1991L应用的三种选择。每种替代方案都具有更好的性能。
本文引用地址:http://www.eepw.com.cn/article/156514.htmDS1991L概述及背景资料
密码保护不再属于先进技术。基于密码保护的系统其最大缺陷是通过窃听通信可以最终破译密码。
由于DS1991L不提供任何写保护功能,恶意攻击者可以很容易篡改密钥信息(标识、密码、数据),从而造成器件在应用中失效。具有质询-响应认证功能以及对应用数据加密的器件成为更安全、性价比更高的替代方案。
在DS1991L应用中,1-Wire®主机必须知道如何识别相关密钥,必须知道对应的密码。使用DS1991L之前,必须安装识别码、密码和密钥数据。在此之后,器件可以进行现场操作,经常需要读取密钥数据、更换密钥。该器件优势之一是内置电池的NV SRAM技术,即便主机(读写头)掉电,也能保证从暂存器到加密数据区域的复制过程不受影响。
DS1991L替代方案
三款iButton可用来替代DS1991L。这三款器件是DS1977、DS1961S和DS1963S。表1列出了这三款器件与DS1991L以及各自特性比较。
DS1977与DS1991L类似,采用密码保护功能,两者特性非常接近。DS1961S和DS1963S采用基于SHA-1的认证方案,即采用加密措施。没有加密时,应用数据是公开的,并可读取。DS1961S和DS1977采用EEPROM工艺,DS1963S采用NV SRAM工艺。
表1. 器件比较
| 器件型号 | ||||
| 特性 | DS1991L | DS1977 | DS1961S | DS1963S |
| 用户存储器 | 3 x 48字节,称为密钥 | 32K字节 | 128字节 | 8 x 2页,每页32字节(共512字节) |
| 安全性 | 三个独立的8字节密码(每个密码对应一个密钥),读、写操作采用同一密码 | 两个8字节密码(一个用于读操作、一个用于完全访问) | 一个8字节密钥,用于安全写操作 | 八个8字节密钥 |
| 数据管理 | 三个8字节密钥标示区域(每个区域对应一个密钥) | 推荐1-Wire文件系统 | 推荐1-Wire文件系统 | 推荐1-Wire文件系统 |
| 用于中间存储和数据验证的数据缓存器 | 64字节暂存器 | 64字节暂存器 | 8字节暂存器 | 32字节暂存器 |
| 认证 | — | — | 3字节质询码;20字节MAC码响应 | 3字节质询码;20字节MAC码响应 |
| 写操作计数器 | 0 | 0 | 0 | 16个(8个用于存储器页、8个用于密钥) |
| 工艺 | NV SRAM | EEPROM | EEPROM | NV SRAM |
| 电源 | 内置电池 | 主机寄生供电 | 主机寄生供电 | 内置电池 |
| 1-Wire速率 | 标准速率 | 标准速率和高速模式 | 标准速率和高速模式 | 标准速率和高速模式 |
| 相对成本¹ | — | 高于DS1991L | 远低于DS1991L | 略高于DS1991L |
| 温度范围 | -40°C至+70°C | -40°C至+85°C | -40°C至+85°C | -40°C至+85°C |
| 其它功能 | 密码不匹配时,伪随机数发生器产生虚假数据 | 可工作在无密码保护状态 | 存储器和密钥带有写保护;EPROM仿真模式 | 伪随机数发生器;可用作SHA-1协处理器 |
DS1977密码保护的32KB EEPROM iButton
与DS1991L相比,DS1977存储器容量更大(32KB)、支持1-Wire高速模式并使用两个密码,一个用于读操作,另一个用于完全访问操作。可禁止DS1977的密码保护功能,使其用于无需安全保护的设备。尽管成本高于DS1991L,但从单字节成本看,DS1977在所有替代型号和DS1991L中成本最低。
由于采用EEPROM,DS1977应用中的1-Wire主机必须能够实现强上拉,以便为读、写操作提供电源。在接触式操作环境下,可能导致读操作错误,在写操作时需要额外的防护措施。如果使能密码保护,则1-Wire主机必须知道至少一个密码(读操作或完全访问)。对于任何基于密码保护的系统,可通过窃听通信最终破译密码。
将DS1977用于密码保护之前,必须安装密码并使能了密码保护功能。为了优化大容量存储器的使用,建议按照1-Wire文件系统(参考应用笔记114:“1-Wire File Structure”)格式化并使用存储器。然后将应用文件(或数据)写入DS1977。写操作完成后,该器件准备就绪,可用于存储区域操作,即可以访问存储器数据并更改数据。
为将当前的DS1991L应用升级到DS1977,需要更改相应的应用程序,以识别新器件、器件命令,并在正确的时间置于强上拉状态,为器件供电。通常,建议在更改密码前先禁止密码保护功能。安装密码时,须确保已定义密码的所有8个字节。发送Copy Scratchpad命令之前,需要验证暂存器内容。在新密码从暂存器成功复制到对应的存储区域后,应采用不同数据覆盖暂存器内容,以便擦除“开放空间”保留的密码。为在接触式操作环境下可靠运行,强烈建议按照应用笔记159:“在iButton应用中通过软件方法实现可靠的1-Wire通信”中有关保证数据完整性的措施进行设计。
评论