长期以来，激光故障注入 (LFI) 一直是只有拥有价值数十万欧元设备的实验室和研究机构才能接触到的领域。今天，我们将打破这些障碍，开放所有激光故障注入研究的源代码，并发布任何人都可以以不到 500 欧元的价格建造的激光故障注入设备。

‍‍

本周，在美国举行的Black Hat USA年度安全大会上， RayV Lite发布，激光故障注入正式向大众开放。这是一个重大事件，让人想起 Colin O'Flynn 的贡献，他让ChipWhisperer故障注入工具变得触手可及，大大降低了此类攻击的成本和复杂性。

由于秘密已经泄露，我们决定是时候开源并展示我们久经考验、价值 500 欧元、由现成部件构建的激光故障注入装置了。我们将从此开始，在三篇博客文章中介绍此版本。除了我们的方法外，我们还将演示如何成功执行激光故障注入攻击，以绕过固件保护、身份验证和其他以前只能在专业实验室中实现的功能。

什么是激光故障注入以及它为什么重要？

激光故障注入 (LFI) 是一种将故障引入半导体设备（例如微控制器）的技术，方法是使用激光精确瞄准其硅片。此过程会破坏芯片的正常运行，通常可以绕过代码读出保护等安全机制。从历史上看，LFI 设备的高成本和复杂性限制了其在资金充足的实验室和机构中的使用，大多数研究人员和小型组织无法使用这种强大的技术。

LFI 的普及对网络安全领域具有重大影响。大多数产品团队之前都因为成本和难度而将 LFI 攻击排除在他们的威胁模型之外。因此，我们和NetSPI发布价格实惠的 LFI 设备应该会让许多设备供应商重新考虑他们的威胁模型。通过以低于 500 欧元的价格提供 LFI，我们让更广泛的研究人员、业余爱好者和教育工作者社区能够探索和识别新的硬件漏洞。这种广泛的访问可以加速创新、改进安全措施，并最终带来更具弹性的技术。随着越来越多的人进行激光故障注入攻击，从消费电子产品到工业系统，我们日常生活所依赖的设备的安全将受到更严格的测试，从而带来更强大、更安全的设计。

我们的方法

激光故障注入仅用于拥有昂贵设备的实验室的主要原因之一是纳米精度和可重复定位精度的要求。传统设备使用极其精确的机械 XY 平台来实现这一点，成本高达数万欧元。要攻击的芯片安装在平台上，将其定位在激光束下。

我们设计了一种基于移动镜面的巧妙解决方案，使我们能够用激光以极快的速度扫描芯片表面，而无需移动芯片。通过改变镜子的速度和激光的功率，我们可以非常准确地控制照射到芯片上的激光量，以纳米精度实现与钻机相同的效果，但成本仅为其一小部分。另一个需要精确控制的限制是时间——确定从开机等事件到发射激光脉冲的正确偏移量以及曝光时间。我们的快速移动镜子和不断发射的激光使我们能够快速进行数千次尝试，以找到有效的方法，然后进行迭代。这使得在家庭实验室环境中执行这些攻击变得容易得多。

通过将精确攻击转变为机会性攻击，我们设法绕过了大多数限制，并且无需纳秒级的时间精度和纳米级的位置精度即可执行攻击。这使得在家庭实验室环境中执行这些攻击变得容易得多。以下段落概述了我们成功攻击许多 IC 所采取的程序。复制这些步骤通常允许您绕过安全启动、身份验证和代码读出保护，仅举几例。

了解集成电路硅片

尽管已经制定了故障注入方法，但我们仍然面临如何接触芯片裸露硅片的问题。覆盖硅片的黑色环氧树脂很难去除，否则会造成损坏。我们选择使用 1064nm 红外 (IR) 激光从芯片背面接近芯片。1064nm 红外光直接穿过硅片，击中另一侧的晶体管层，导致少量电流释放。

通过背面，我们可以使用普通手工工具（如 Dremel）铣削环氧树脂，直到碰到放置实际 IC 芯片的金属引线框架。您可以铣削掉环氧树脂而不会损坏实际芯片，因为金属引线框架保护芯片的芯片。一旦碰到引线框架（由于是金属，因此很容易注意到），您只需将铣刀换成 Dremel 的切割刀片并切割引线框架的侧面。之后，您可以用镊子小心地将芯片垫抬起，露出芯片而不会损坏它。

这个过程虽然看起来很复杂，但经过几次尝试后就会变得简单，大约 10 分钟就可以完成，成功率接近 100％。

尽管上面的例子展示了一个有腿的芯片，但许多 BGA 封装都可以做同样的事情，即使用倒装芯片封装的芯片在环氧树脂封装内倒置。

对于倒装芯片 BGA 来说，甚至不需要将芯片从 PCB 上移除，所有操作都可以在现场进行。

钻机

警告：在尝试构建和使用该设备之前，请注意 1064nm 红外激光是肉眼不可见的，非常危险。由于设备运行的是高功率激光，即使是反射光束也可能导致立即严重的眼部损伤。必须佩戴可过滤 1064nm 光线的激光护目镜，并在安全封闭的盒子中操作设备。用铝箔或类似材料衬住盒子，以确保红外光无法穿透。安全永远是您的首要任务，因为任何对视力的损害都可能是永久性的。还要注意潜在的火灾危险，因为强大的红外激光很容易烧穿甚至很薄的金属。

我们的设备由几个现成的部件组成，所有这些部件都可以在 AliExpress、阿里巴巴或亚马逊等网站上以不到 350 欧元的价格买到。该设备围绕一个 XY 移动镜模块（检流计）构建，该模块通常用于激光打标和加工应用，配有 1064nm 红外激光镜和匹配的 F-Theta 镜头。为了让检流计能够按照我们的要求工作，并避免使用昂贵的驱动程序，我们开发了自己的驱动程序。该驱动程序由一个简单的 PCB 组成，带有一个 4 通道 RS-422/485 驱动程序、Raspberry Pi Pico 和一个使用 Raspberry Pi Pico 的可编程 IO (PIO) 构建的位拆解 XY2–100 协议驱动程序库。

所需的其他部件包括 1064nm 红外激光源，其光功率至少为 200mW，以及能够为振镜提供 ±15V 电压的电源。所需的激光功率取决于芯片、芯片厚度和其他因素。建议使用功率稍大一些的激光器，光功率约为 1-2W。这将使镜子能够全速运行，同时仍能获得足够的光照射到芯片上。

我们的光学系统依赖于振镜的主 F-Theta 镜头，确保扫描区域内的光束不失真，以及通常作为激光模块一部分的准直透镜。最初，我们的目标是使用完美的准直透镜来获得尽可能小的光束点。然而，进一步的测试表明，即使光斑略微失焦，调整激光功率和镜面速度也能达到相同的效果。因此，我们通过目测设置一切，并使用软件参数进行补偿。

平心而论，我们的设备可能是迄今为止最不精确的 LFI 设备，但它仍然可以工作，并允许我们做所有我们想要和需要的事情，例如绕过代码读出保护和从锁定的设备中提取固件。

购物车

• 检流计（振镜扫描仪）：任何使用 XY2–100 协议且镜子上有 1064nm 红外涂层的都可以。这些可以在 AliExpress 上从不同的卖家处购买，价格约为 130 欧元，不同卖家和不同日子的价格似乎差别很大。

• 1064nm F-Theta 镜头：扫描面积/焦距越小，精度越高。约 50 欧元。

• 1064nm 红外激光光源：任何具有至少 200 mW 光功率的光源。激光功率越大，设备运行速度越快。我们一开始使用的是 200mW 模块，我们可以从阿里巴巴讨价还价到 50 欧元左右，但最终还是选择了现成的 Sculpfun IR-2、2W 红外激光模块，它具有集成驱动器和足够的功率，可以让设备以与镜子移动速度相同的速度运行。我们设法从阿里巴巴的一次活动中以 220 欧元的价格买到了 IR-2 模块。IR-2 也很不错，因为它有一个红色对准激光器，可以看到激光器指向的位置。

• Raspberry Pi Pico： 5 欧元。

• 4 通道 RS-422/485 驱动器：用于驱动 XY2–100 协议中的 X、Y、Sync 和 CLK 通道。我们使用了 Analog Devices LTC487CSW，10 欧元。

• 电源：能够提供 +-15V @ 2A，我们最初使用的是多通道台式电源。对于最终版本，我们使用了嵌入式 Tracopower TEN60–2423N 电源，价格为 97 欧元，但可以将所有东西都放在一块 PCB 上。

就这些了。如果你直接在阿里巴巴上讨价还价，并明智地采购零件，你应该能够以不到 350 欧元的价格建造该设备。即使使用功率更高的 Sculpfun IR-2 激光器，该设备的成本也将在 500 欧元左右。

为了使一切整洁，我们设计了一个简单的 PCB 来安装所有组件和 DB-15 插座，以便轻松连接检流计附带的电缆。

开源一切

本着合作精神，我们努力推动行业发展，开放了所有设计、代码和方法。任何人都可以复制我们的设置、贡献改进并突破界限。

所有材料将在未来几周内在我们的GitHub 存储库中提供。

结论

我们希望通过这一突破激发硬件安全领域的新一轮研发热潮。价格实惠的激光故障注入设备将使先进技术的普及成为可能，从而创造更加安全的未来。

请继续关注我们即将发布的帖子，我们将深入探讨 LFI，展示如何去掉芯片以及如何使用该设备的实际示例。

开源仓库：

https://github.com/fraktalcyber/lfi-rig

原文始发于微信公众号（独眼情报）：【硬件安全】激光故障注入 (LFI)走入民间