Анализ мощности

Диаграмма дифференциального анализа мощности. Наблюдение за ключевыми битами RSA с помощью анализа мощности: Левый пик показывает энергопотребление на этапе возведения в квадрат, правый (более широкий) пик показывает этап умножения, позволяя различать биты экспоненты 0 и 1.

В криптографии, атака по побочному каналу используется для извлечения секретных данных из некоторого защищенного устройства (например, смарт-карты, защищенного от взлома «черного ящика» или интегральная схема ). Анализ побочного канала обычно пытается неинвазивным способом извлечь из устройства криптографические ключи и другую секретную информацию. Простым примером этого является проблема немецких танков : серийные номера танков предоставляют подробную информацию о производственных данных для танков. С точки зрения физической безопасности неинвазивная атака будет аналогична взлому блокировки, когда успешная атака не оставляет следов присутствия атакующего.

Анализ мощности - это форма атаки по побочному каналу, в которой злоумышленник изучает энергопотребление криптографического аппаратного устройства. Эти атаки основаны на основных физических свойствах устройства: полупроводниковые устройства регулируются законами физики, согласно которым изменения напряжения внутри устройства требуют очень небольших перемещений электрических зарядов (токов). Измеряя эти токи, можно получить небольшой объем информации о обрабатываемых данных.

Простой анализ мощности (SPA ) включает визуальную интерпретацию графиков мощности или графиков электрической активности во времени. Дифференциальный анализ мощности (DPA ) - это более продвинутая форма анализа мощности, которая может позволить злоумышленнику вычислить промежуточные значения в криптографических вычислениях посредством статистического анализа данных, собранных в результате нескольких криптографических операций.. SPA и DPA были представлены сообществу открытой криптографии в 1998 году Полом Кохером и.

• 1 Простой анализ мощности
• 2 Дифференциальный анализ мощности
• 3 Дифференциал высокого порядка анализ мощности
• 4 Анализ мощности и алгоритмическая безопасность
• 5 Стандарты и практические аспекты безопасности
• 6 Предотвращение атак с помощью простого и дифференциального анализа мощности
• 7 Патенты
• 8 Ссылки

Простой анализ мощности (SPA ) - это атака по побочному каналу, которая включает визуальное изучение графиков тока, используемого устройством во времени. Изменения в энергопотреблении возникают из-за того, что устройство выполняет разные операции. Например, разные инструкции, выполняемые микропроцессором, будут иметь разные профили энергопотребления.

Поток кода, который зависит от секретного значения, таким образом, приведет к утечке потока кода через мониторинг энергопотребления (и, таким образом, также приведет к утечке секретного значения). В качестве простого примера рассмотрим следующую проверку пароля:

bool check_password (const char input) {const char corrective_password = "hunter2"; если (strlen (ввод)! = strlen (правильный_пароль)) return false; for (int i = 0; i < strlen(correct_password); i++){ if (input[i] != correct_password[i]) { return false; } } return true; }

Эта проверка пароля потенциально содержит синхронизирующую атаку, поскольку время выполнения не является постоянным. Однако функция может не выводить пользователю результат, пригодный для использования, как, например, возможна компенсационная задержка перед возвратом ответа. Наблюдение за потребляемой мощностью позволит понять количество выполненных циклов.

Аналогично, операции возведения в квадрат и умножения в реализациях RSA часто можно различить, что позволяет злоумышленнику вычислить секретный ключ. Даже если величина колебаний потребляемой мощности невелика, стандартные цифровые осциллографы могут легко показать изменения, вызванные данными. Частотные фильтры и функции усреднения (например, встроенные в осциллографы) часто используется для фильтрации высокочастотных компонентов.

Анализ дифференциальной мощности (DPA ) - это атака по побочным каналам, которая включает статистический анализ измерения энергопотребления элементы из криптосистемы. Атака использует предвзятость изменения энергопотребления микропроцессоров или другого оборудования при выполнении операций с использованием секретных ключей. Атаки DPA имеют свойства обработки сигналов и исправления ошибок, которые могут извлекать секреты из измерений, которые содержат слишком много шума для анализа с использованием простого анализа мощности. Используя DPA, злоумышленник может получить секретные ключи, анализируя измерения энергопотребления в результате нескольких криптографических операций, выполняемых уязвимой смарт-картой или другим устройством.

Анализ дифференциальной мощности высокого порядка (HO-DPA ) - это усовершенствованная форма атаки DPA. HO-DPA позволяет включать в анализ несколько источников данных и разные временные сдвиги. HO-DPA менее широко применяется, чем SPA и DPA, поскольку анализ сложен, и наиболее уязвимые устройства могут быть легче взломаны с помощью SPA или DPA.

Анализ мощности предоставляет возможность «заглянуть внутрь», иначе «защищенное от взлома» оборудование. Например, расписание ключей DES включает в себя чередование 28-битных регистров ключей. Многие реализации проверяют младший значащий бит, чтобы узнать, равен ли он 1. Если это так, устройство сдвигает регистр вправо и добавляет 1 к левому концу. Если бит равен нулю, регистр сдвигается вправо без добавления 1. Анализ мощности может различать эти процессы, позволяя злоумышленнику определять биты секретного ключа.

Реализации таких алгоритмов, как AES и тройной DES, которые считаются математически сильными, могут быть тривиально взломаны с использованием атак анализа мощности. В результате атаки с анализом мощности сочетают в себе элементы алгоритмического криптоанализа и безопасности реализации.

Для приложений, в которых устройства могут физически попасть в руки злоумышленника, защита от анализа мощности обычно является основным требованием к проектированию. Сообщается, что анализ мощности также использовался против модулей условного доступа, используемых в системах платного телевидения.

Оборудование, необходимое для выполнения атак анализа мощности, широко доступно. Например, большинство цифровых запоминающих осциллографов обеспечивают необходимые функции сбора данных, а анализ данных обычно выполняется с использованием обычных ПК. Также доступны коммерческие продукты, предназначенные для испытательных лабораторий. Этот проект с открытым исходным кодом был первым полным набором инструментов с открытым исходным кодом оборудования и программного обеспечения для экспериментов по анализу мощности.

Атаки с анализом мощности обычно не могут быть обнаружены устройством, поскольку злоумышленник обычно осуществляет пассивный мониторинг. Кроме того, атака неинвазивна. В результате физические корпуса, возможности аудита и детекторы атак становятся неэффективными. Вместо этого инженеры криптосистем должны убедиться, что изменения мощности устройств не раскрывают информацию, доступную злоумышленникам.

Простой анализ мощности может легко отличить результат условных переходов при выполнении криптографического программного обеспечения, поскольку устройство выполняет разные действия (потребляет разную мощность) в зависимости от того, выбрано ли условное ветвление. По этой причине следует позаботиться о том, чтобы не было секретных значений, влияющих на условные переходы в реализациях криптографического программного обеспечения. Другие источники вариаций, такие как различия микрокодов, ветвления, вводимые компиляторами, и вариации энергопотребления в множителях, также обычно приводят к уязвимостям SPA.

Дифференциальный анализ мощности предотвратить труднее, поскольку даже небольшие отклонения в потребляемой мощности могут привести к уязвимым местам, которые можно использовать. Некоторые стратегии противодействия включают алгоритмические модификации, так что криптографические операции происходят с данными, которые связаны с фактическим значением посредством некоторой математической связи, которая сохраняется после криптографической операции. Один подход включает ослепление параметров для рандомизации их значений. Другие стратегии противодействия, направленные на снижение эффективности атак DPA, включают модификации оборудования: изменение внутренней тактовой частоты микросхемы считалось рассинхронизирующим электрические сигналы, что приводит к усовершенствованию алгоритмов традиционного DPA.

Многие методы предотвращения атак SPA и DPA были предложены в научной литературе. В то время как системы с открытым ключом, такие как RSA, обычно защищены путем использования свойств лежащих в основе алгебраических структур (в случае RSA это будет его мультипликативно гомоморфное свойство), примитивы с симметричным ключом, такие как блочные шифры, требуют других методов, например, «маскирования».

Некоторые компании, такие как RamBus, заявляют права интеллектуальной собственности на механизмы защиты DPA.

1. ^стр. Кочер, Дж. Джаффе, Б. Джун, Анализ дифференциальной мощности, технический отчет, 1998; позже опубликовано в «Достижения в криптологии - Крипто 99 Proceedings, Lecture Notes in Computer Science Vol. 1666, M. Wiener, ed., Springer-Verlag, 1999.
2. ^Пол Кохер, Джошуа Джаффе, Бенджамин Джун, «Введение в анализ дифференциальной мощности и связанные с ним атаки (1998) "
3. ^» Домашняя страница - Cyber -Пиратство: правда ». Архивировано из оригинального 13.11.2002.
4. ^« DPA Workstation Analysis Platform ». Rambus.
5. ^ChipWhisperer: An Open- Исходная платформа для исследования встроенного оборудования безопасности
6. ^Ксавье Чарвет, Эрве Пеллетье, «Улучшение DPA-атаки с использованием вейвлет-преобразования (2005) Архивировано 04.03.2016 в Wayback Machine "
7. ^Джаспер ван Вуденберг, Марк Виттеман, Брэм Баккер «Улучшение анализа дифференциальной мощности с помощью упругого выравнивания (2011) "
8. ^« ​​Лицензированные контрмеры ». Rambus.