抵制边信道攻击始于一个适当的安全威胁评估。
年代末,保罗•Kocher Josh Jaffe和本6月发表了一篇论文,导致许多行业重新考虑加密的实现应该是什么样子。他们描述了一个利用其中一个对手可以提取秘密从设备通过分析功耗或电磁发射率从设备时执行加密操作。成功提取秘密使用这种利用能做到不破坏保护机密数据的加密算法。作为一个例子,不同的位值在一个关键的结果在不同的位翻转在电子,导致不同的能耗或电磁发射率加密操作的持续时间。部署统计和微分分析直播或捕获的功率或EM痕迹可能是一个强大的“边信道攻击”技术。
研究团体开始着手拿起主要的有效对策智能卡行业保护支付卡片,机顶盒卡和交通卡。ICs在这些卡都是由简单的单片机设计与基本的硬件或软件密码算法的实现。与I / O引脚暴露在这些设备上,他们很容易和廉价的攻击目标。
在过去的二十年里,边信道攻击导致大量的对策研究或讨论半导体行业使用。数以百计的对策建议和改进现有的对策技术已发表的知识产权,或作为公共研究论文的一部分。并行,边信道攻击者的工具和技能不断进步,包括使用深度学习技术。预期的下一代post-quantum加密算法实现也需要边信道攻击的抵抗力。所有这些发展导致需要持续投资更有效和更健壮的对策。
因此,如何实现边信道攻击对策?为数不多的半导体厂商有着悠久历史的在这一领域有能力设计、实现、测试和验证成功的对策。正如预期的那样基于上面的历史中,他们一直在智能卡行业发挥作用了很长一段时间。上面这个问题的简单回答是“不要在家里尝试这些,”,但得到专家的帮助。许多不够强大的尝试都失败了,导致损害设备。最好的行动可能是转向一方有良好记录,研究能力,以及测试和验证功能的房子。
实施对策。像任何安全设计,这一切都开始于适当的安全威胁评估。资产的价值是什么,你的设计需要保护、可重复的将如何成功的攻击可能,以及预计将攻击者的技能和资源?这就引出了下一个问题。如何量化健壮的实现对策如何?我们将在本文稍后回答第二个问题。
从实现的角度看,安全架构师能够从大量的选择对策技术。或者哪一个选择将是下一个重要的问题。第一层防线将是让你设计温泉,或者简单的力量攻击,产生耐药性。最好知道的执行不对称密码算法,特别是,往往有不同的时间价值的基础上所使用的关键。一个倾向于有效地实现一个算法(速度、面积和功耗)。特别是像RSA非对称算法,一个“高效”实现可以公开使用的指数,这通常是一个非常有价值的一个重要组成部分私钥,很少或成本分析工作。算法必须在所有情况下,使用私钥材料,以这样一种方式实现,所有操作花同等的时间,不管价值的私钥。这是相当简单的,直接的和验证。
除了温泉之外,对手越来越多地使用更强大的攻击技术,如DPA(微分动力分析),DEMA(微分电磁分析),注册会计师(相关权力分析),哈(横向攻击),助教(模板攻击),DA(攻击翻倍),米娅(互信息分析),高阶和机器学习。所有这些攻击的共同点权力或电磁信息的捕获,所谓的“痕迹”,多个加密操作。
今天,自动化在捕获和分析允许数百万,甚至数亿的痕迹被捕获在实时和离线分析。微分分析技术来识别能力之间的相关性(或EM)签名和一个特定的价值在一个关键的一点。你可以找到更多的关于这一主题的背景在这里。对策这些边信道攻击可分为以下类:协议对策像新鲜re-keying算法阈值等措施实现,由插入假或洗牌操作噪声对策,电路或门电路级对策的平衡时间门开关。
许多“DPA-resistant”加密硬件或软件解决方案用于半导体设计仍然依靠所谓的逻辑基础垫层和普通屏蔽解决方案。炫目的技术一直是成功的在保护非对称密码算法,掩盖秘密参数结合一个或多个随机因素。由于非对称算法涉及的数学运算,炫目的方式进行操作使用盲参数允许成功。普通布尔掩蔽曾经是一个足够的对策对于对称密码算法。它涉及到分裂的秘密常数,如对称密钥,为多个随机部分。
虽然致盲和掩蔽仍有价值的技术,这些逻辑运算不防范现代DPA攻击,不是独立布局,往往仍在高阶分析揭示的秘密。幸运的是架构师,有发表技术来克服致盲的局限性和掩蔽。LMDPL (LUT-based蒙面Dual-Rail Pre-charge逻辑)是一个进化早期的双重铁路与Pre-charge逻辑技术已被证明成功的高级加密标准算法。LMDPL旁边,其他技术,如DOM(面向域掩蔽)也存在。虽然这些和其他技术都被记录在案,他们仍然难以实现用于各种布局和CMOS节点。错误的组合对策只能导致强大的保护比正确部署单个组件,可以导致区域过度开销和性能实现如果不小心翼翼。
最后,即使是最健壮的对策需要其实际实现验证和量化。不这么做将导致不可预见的攻击表面。如果布局独立技术,移植到一个标准的FPGA设计平台允许高效的测试和分析的实现对策。像之前所说的,是很有挑战性的,量化的健壮性对策。行业已经定义了一个测试向量泄漏分析(TVLA)技术记录ISO 17825:2016。TVLA基于统计分析和使用信息的实际算法效率测试。简而言之,一个成功的TVLA测试确保在给定数量的痕迹检测算法的实现没有泄漏任何(秘密,也非机密的)信息。成功TVLA测试也保证了客户的鲁棒性的对策。
额外的资源:
|
|
|
|
|
|
|
|
|
留下一个回复