侧信道分析
分組密碼的側信道分析
- 側信道分析簡介
- 側信道分析的半導體物理基礎
- 側信道分析分類
- 時序分析
- 功耗分析
- 電磁分析
- 激光錯誤注入
- 側信道分析技術與其他密碼分析技術結合
- 未來的一些研究熱點
側信道分析技術簡介
- 是對安全芯片的側信道分析(side channel analysis)的攻擊方法,比如通過功耗、電磁輻射、時間、及其它一些可檢測到的信息泄露出與密鑰相關的信息。
- 如果集成電路未采取保護措施,則可能只需要很小的代價就可以實現破解并獲得密鑰。
- 根據目前報道的文獻資料,如未對側信道攻擊進行防御設計,許多算法都可在短期內(幾分鐘到數天)被破解。
- 側信道分析攻擊方式成為破解密碼芯片的可能的一條“捷徑”,越來越受到學術界和工業界的關注。
側信道攻擊方法的局限性
(1)目前的攻擊仍然主要集中在以智能卡為代表的資源受限的一類密碼集成電路。
(2) 許多攻擊方法依賴算法實現或防御方法的細節,在大部分資源受限、專業技術受限的攻擊中是有難度的。
(3)集成電路工藝水平的提高使得攻擊的難度不斷增大。如反向工程(reverse engineering)在深亞微米工藝條件下越來越困難。
側信道分析的半導體物理基礎
- 常見的密碼芯片的內部電路都是基于CMOS工藝的。
- 邏輯門電路是其基礎元件密碼芯片的所有運算都是通過門電路的狀態變化來實現的。邏輯門電路狀態的變化在物理上就體現為電流的變化,從而消耗功率。
- 電流變化(也即功耗變化)與門電路邏輯狀態的相關性構成了側信道分析技術中功耗分析、電磁分析的物理基礎。
- 算法處理中時間與密鑰信息(或其他敏感信息)的相關性構成了時間分析的物理基礎。
- 密碼芯片中各金屬層和邏輯門電路在外界條件刺激下(比如瞬時高壓、瞬時電磁脈沖、激光、重粒子等)的響應構成錯誤誘導分析的物理基礎。
芯片中功耗P和數據邏輯值的數學模型可表述為
- 由于芯片由百萬甚至千萬個邏輯門、及各層材料不同的導線構成,同一時刻翻轉的邏輯門常常無法統計,f()是非常復雜的函數。
- 功耗分析的重點是通過統計學的方法使得在某計算時刻、芯片某具體部位上與數據data相關的功耗值得以累計,而噪聲則被統計平均,因此P與data的相關性增加,從而由P推導出數據data值。
正確密鑰與錯誤密鑰
側信道分析與常規密碼分析的結合與相互支持
側信道分析與常規密碼分析有很多共同的方法,例如以下幾個方面:
- 1)選擇明文輸入
- 2)差分分析
- 3)抽樣、統計等
尋找它們的共同規律是密碼學研究趨勢。
例如:
- “側信道+選擇明文”破解DES硬件卡
- “側信道+選擇明文”破解RSA
- 時鐘干擾下的power trace
側信道攻擊典型案例
- 2013年12月,以色列特拉維夫大學的計算機安全專家Daniel Genkin 和Eran Tromer等公布了使用三星Note2手機從30厘米遠的地方(手機麥克風對準風扇出風口)“聽譯”出計算機中的PGP程序密鑰的方法。
- 2014年8月,以色列特拉維夫大學的計算機安全專家Eran Tromer等公布了一種通過用手觸碰筆記本電腦的外殼就能得到這臺計算機上存儲數據的安全密鑰的方法,該團隊測試了廣泛使用的高安全標準的解密算法,并成功恢復了4096位RSA密鑰和3072位ElGamal密鑰。
- 2015年8月,來自上海交通大學的YuYu教授展示了通過側信道攻擊方法(能量分析攻擊)攻擊并克隆3G/4G手機卡的攻擊方法。該研究團隊成功分析了八個從各種運營商和制造商獲得的3G/4G(UMTS / LTE) SIM卡。
- 2016年2月,來自以色列特拉維夫大學(Tel Aviv University)和以色列理工學院(Technion)的一組研究人員發現了從一墻之隔的物理隔離設備上竊取數據的新方法。該方法僅用3.3秒即可恢復出15厘米厚墻體(金屬墻筋加固)另一側的筆記本上運行的GnuPG(OpenPGP的一種實現)的密鑰。
- 2016年10月,來自以色列特拉維夫大學(Tel Aviv University)研究團隊采用電磁攻擊分析了蘋果iOS系統中多種常用密碼庫的安全性,發現了多個可被側信道攻擊方法利用的實現弱點,并成功恢復了OpenSSL、CommonCrypto庫中ECDSA實現的密鑰。
- 2017年6月24日,Fox-IT安全專家證實,通過利用 ARM Cortex 處理器與 AHB 總線之間的漏洞,可將其能量消耗與加密過程相互關聯,進而可以提取加密密鑰,可利用廉價設備(224美元)借助側信道攻擊方法攻擊一米(3.3 英尺)內的無線系統,數十秒內即可竊取AES-256加密密鑰。
- 2017年7月28日在美國拉斯維加斯舉行的Black Hat 2017安全會議上,阿里巴巴安全部門的研究人員演示了用聲音和超聲波攻擊智能設備的“黑技術”(本質上屬于一種結合了側信道攻擊的故障攻擊方法),包括大疆無人機、iPhone 7、三星 Galaxy S7、VR顯示器等產品紛紛中招。
針對側信道攻擊的防御對策
- 側信道攻擊本質是利用密碼實現運行過程中產生的依賴于密鑰的側信息來實施密鑰恢復攻擊的,因此防御對策的核心就是減弱甚至消除這種側信息與密鑰之間的直接依賴性。實際上,常見防御對策可以分為掩碼對策和隱藏對策兩種。
- 掩碼對策借助秘密共享和多方安全計算,通過引入隨機數將密鑰分解為多個分組來消除側信息與密鑰的依賴性來增強抵抗側信道攻擊的能力;
- 隱藏對策采用平均化“0”和“1”對應側信息的差別來降低通過側信息區分對應數據的可能性,即降低數據的可區分度來抵抗側信道攻擊。
- 通過在密碼實現中插入隨機偽操作或者增加噪聲,能夠將有用信息“淹沒”在噪聲中,從而提高密碼實現的實際安全性。
- 總體而言,兩種防御對策試用與不同場景,如掩碼對策易于在密碼算法級進行構造,更易于實現;而隱藏對策通常只能在硬件層進行實現,需要改變硬件實現結構,因而較難實現。此外,兩種防御對策可以組合實現,以便最大限度地提高密碼實現的實際安全性。
密碼芯片的防御
- 硬件或軟件實現流程中不應存在與密鑰相關的條件分支
- 密碼集成電路的存儲器應該采用安全存儲器
- 消除處理時間與密鑰的相關性
- 采取一定的抗功耗分析的措施
- 采用可以屏蔽或減弱電磁輻射的保護層
未來研究方向
- 設計階段的安全性評估
- 量化分析
- 在其他領域的應用
設計階段的安全性評估
- 測試手段費時、費力、不系統全面、容易出錯
- 使用通用的IC設計EDA(Electronic Design Automation)工具,和算法語言C,數學應用軟件matlab等,對芯片進行系統全面的分析安全評估,及時發現軟硬件設計的缺陷和漏洞,實現可控性研究。
量化分析
基于側信道的攻擊與防御技術,尚未形成一套定量安全評估方案和標準。
將來根據信息熵量化計算芯片的安全程度。
在其他領域的應用
- 無線通信-采用channel state information 信道狀態的隨機性生成session key
- 基于bit error rate(BER)的信道估計
- 側信道與互聯網金融
總結
通過這次專題,我對密碼系統的安全保障有了嶄新的認識,絕不是自己觀念中的純數學機制就能保障的。實際上,密碼系統的安全性不僅取決于密碼算法本身的數學安全性,更嚴重依賴于密碼實現的物理安全性。傳統密碼分析主要用于分析密碼算法的數學安全性,本質上是一類針對密碼算法本身及各密碼組件各種數學屬性的理論分析方法,包括窮舉攻擊、差分分析、線性分析、代數分析等方法。與之相反,側信道攻擊主要面向密碼實現的物理安全性,采用能量分析攻擊、電磁分析攻擊、計時攻擊等一系列方法對其實現安全性進行分析。
從實際攻擊效果上看,側信道攻擊的攻擊能力遠遠強于傳統密碼分析方法,因而也對密碼實現的實際安全性構成了巨大的威脅。以窮舉攻擊為例,如果10^13次/s的速度進行解密運算,破解AES-128需要5.3x10^17年(見下表),而針對無保護AES-128的智能卡實現,典型的差分能量攻擊方法能夠在30秒之內完全恢復其主密鑰。
以智能家居、智慧城市為代表的各類物聯網、移動互聯網應用的快速發展,使得包含密碼實現的各種硬件設備逐步成為生活必須的元素,從無線WiFi、銀行卡、門禁、手機卡、城際一卡通、共享單車到具備更復雜功能的可穿戴設備、智能手機等移動終端,密碼技術已深入到人們日常生活的方方面面。從側信道攻擊的角度來說,這些新的設備及應用首先為其提供了極其豐富的目標設備;其次,隨著這些設備的普及和攻擊者對它們的控制能力的增強(Fully Control),針對它們的側信道攻擊很可能更加易于實施,因而對這些設備以及依賴于這些設備的應用的實際安全性構成了巨大的威脅和挑戰;
最后,側信道攻擊中的核心問題是分類和區分,機器學習、深度學習等一系列新技術必然會為其注入新的活力。值得一提的是,攻擊與防御從來都是相克相生、相輔相成,相信針對側信道攻擊更廣泛、更深入的研究和探索一定能夠為我們數字時代的信息安全提供更加有效的保障。
轉載于:https://www.cnblogs.com/lidong20179210/p/9014690.html
總結
- 上一篇: 从dig命令理解DNS
- 下一篇: [na]思科产品选型pdf