简短的回答

如果不在闪存之类的东西上，这些数据会保存在设备上的什么地方？

它可能是闪存，但它被放置在一个芯片中，很难在不破坏您试图读取的数据的情况下拆开和检查。这并非不可能，但它确实非常困难和昂贵。它不像硬盘驱动器或闪存驱动器，您可以将其移除并将其插入新计算机。

长答案

它存储在防篡改固态芯片上。最有可能是闪存，但其设计方式很难以非破坏性方式移除 IC 盖板以暴露实际裸片（这一过程称为去盖）。有很多方法可以实现这一点，但只要付出足够的努力，它们都可以被绕过。您应该假设任何拥有设备齐全的实验室的人都能够闯入它。

从保护不佳的 IC（例如设置了固件读保护位的 8051 芯片）读取数据的常用方法是用酸将其打开，然后拍摄芯片的详细照片。这使得对设计进行逆向工程并找到将存储所需数据的相关组件成为可能。如果您知道数据的存储位置，您可以通过检查这些组件的电气特性来简单地读取其中的位。受保护的 IC（如 TPM 或 Yubikey）只是试图让这变得更加困难。设置了许多障碍来减慢速度，混淆秘密数据的位置，并增加在开盖过程中芯片损坏的机会。

例如，请参阅有关从微控制器进行取证恢复的讨论。它有这样的说法：

拆开 YK4 的封装并将其粘贴在光学显微镜下会发现，嗯，不是很多。除了键合焊盘之外，芯片的几乎每个有源部分都被金属层屏蔽，以防止我之前描述的那种目视检查和简单的紫外线篡改。

人们必须使用更奇特（和危险）的酸或通过湿研磨进一步对设备进行去处理，以揭示隐藏在下面的真实结构。这些是使电路无法工作的破坏性过程。

这并不是说无法绕过这些类型的防御，但绕过此类保护通常需要大量投资。其他类型的缓解措施侧重于检测解封装，方法是在芯片本身上放置光传感器，以检测在去除模塑料后芯片何时通电。SIM 卡通常包括一个有源网格层，可以检测何时切割了一条迹线。

另一种检索数据的技术是使用毛刺攻击，当电压或时钟受到外部控制时，这种攻击成为可能。如果电压或时钟发生变化，它可能会引发毛刺，从而可能导致侧通道暴露来自其他“密封”集成电路的秘密。一个设计良好的安全存储系统将使这几乎不可能，但不时会发现新的攻击。您永远无法完全排除故障攻击，但它们可能并不容易。如果有人要打开芯片并暴露芯片并运行它，同时向单个晶体管发射激光并跟踪故障注入攻击，那么他们将无法恢复的东西不多。

常规的被动侧信道攻击（在敏感材料的处理过程中监控电力使用、热量、声音或辐射）更容易防范。这可以通过使用恒定时间操作来完成，无论正在处理的数据如何，该操作都需要相同的时间，或者使用masking，这可以确保无论正在处理什么操作都需要相同数量的电力。这是非常有效的并且可以防止被动攻击，但是如上所述的故障攻击可能会迫使系统进入一个未定义的状态，这违反了由恒定时间操作和掩码提供的安全保证，并且可能会泄露秘密数据。