第10章密碼學側(cè)信道攻擊_第1頁
第10章密碼學側(cè)信道攻擊_第2頁
第10章密碼學側(cè)信道攻擊_第3頁
第10章密碼學側(cè)信道攻擊_第4頁
第10章密碼學側(cè)信道攻擊_第5頁
已閱讀5頁,還剩40頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、2022-3-17計算機科學與技術(shù)學院1第第1010章:章:密碼學側(cè)信道攻擊密碼學側(cè)信道攻擊基本概念基本概念 l側(cè)信道密碼分析(側(cè)信道密碼分析(Side Channel Attack)利用密碼系統(tǒng)實現(xiàn)時泄露的額外信息,推導密碼系統(tǒng)中的秘密參數(shù)。l計算錯誤、執(zhí)行時間、能量消耗、電磁輻射l攻擊與具體的實現(xiàn)有關(guān),因此不是通用的,但比古典密碼分析更強大,能夠在極少的時間內(nèi)攻破密碼系統(tǒng),被認為是對密碼實現(xiàn)設備的嚴重威脅l美國評估AES過程中,密碼學界就打成共識:即使密碼算法對傳統(tǒng)密碼分析是安全的,但如果不能安全的實現(xiàn)安全的實現(xiàn),該算法也是無用的2022-3-17計算機科學與技術(shù)學院2側(cè)信道攻擊的模型側(cè)信

2、道攻擊的模型2022-3-17計算機科學與技術(shù)學院32022-3-17計算機科學與技術(shù)學院4在斷電冷凍在斷電冷凍30秒和秒和60秒的秒的RAW中中的圖像的圖像2022-3-17計算機科學與技術(shù)學院5側(cè)信道攻擊的分類側(cè)信道攻擊的分類l側(cè)信道攻擊可以分為入侵型、非入侵型和半入側(cè)信道攻擊可以分為入侵型、非入侵型和半入侵型攻擊侵型攻擊l入侵型攻擊入侵型攻擊通過特殊工具對設備進行物理篡改。需打開卡片直接訪問芯片表面,如揭開智能卡保護層,直接在數(shù)據(jù)總線上連線,觀察數(shù)據(jù)傳輸??刹桓蓴_芯片正常操作l非入侵型攻擊非入侵型攻擊只利用暴露在外部的可用信息,如運行時間、能量消耗等l半入侵型攻擊半入侵型攻擊也需要打開卡

3、片,訪問芯片表面,但不去篡改鈍化層,也就是對金屬表面不需要電接觸2022-3-17計算機科學與技術(shù)學院6l側(cè)信道攻擊還可以分為主動攻擊和被動攻擊側(cè)信道攻擊還可以分為主動攻擊和被動攻擊l主動攻擊主動攻擊是指攻擊者篡改芯片的正常操作功能,例如在芯片計算過程中引入錯誤,發(fā)起錯誤攻擊l被動攻擊被動攻擊只是觀察芯片處理數(shù)據(jù)的行為,收集可利用的側(cè)信道信息,而不去干擾芯片的操作。被動攻擊也可能是入侵型攻擊,因為可能需要打開芯片,以便于更好地收集信息2022-3-17計算機科學與技術(shù)學院7入侵型攻擊入侵型攻擊 l一般的篡改方法一般的篡改方法:l解包裝 l重建線路圖l探針工作站 l使用高級光技術(shù) 2022-3-

4、17計算機科學與技術(shù)學院8智能卡智能卡2022-3-17計算機科學與技術(shù)學院9解包裝解包裝2022-3-17計算機科學與技術(shù)學院10重新包裝重新包裝 Probing with eight needles2022-3-17計算機科學與技術(shù)學院11Sub micron probe station入侵型攻擊入侵型攻擊l保護措施 l智能卡上通常覆蓋著鈍化層,以防攻擊者觀察智能卡的操作行為,但這對裝備精良的攻擊者來說是不夠的l有一些智能卡裝有檢測器,在實際電路外包裹一層金屬層,構(gòu)成一個不加載敏感數(shù)據(jù)的檢測網(wǎng)。檢測網(wǎng)一旦斷開或者短路,智能卡就拒絕處理并破壞敏感數(shù)據(jù)l對時鐘頻率進行監(jiān)測,在不正常的低頻率或高

5、頻率下,芯片將拒絕操作l不幸的是,這些保護措施同樣具有弱點2022-3-17計算機科學與技術(shù)學院12錯誤攻擊錯誤攻擊 錯誤攻擊錯誤攻擊考慮篡改設備上的密碼系統(tǒng),觀察密碼設備的一些考慮篡改設備上的密碼系統(tǒng),觀察密碼設備的一些錯誤操作,期望從錯誤行為的結(jié)果中推導出秘密參數(shù)錯誤操作,期望從錯誤行為的結(jié)果中推導出秘密參數(shù)lBoneh、DeMillo和Liption首次給出了基于計算錯誤分析密鑰的錯誤攻擊,并攻擊了RSA系統(tǒng)l錯誤攻擊的例子:l簡單錯誤分析攻擊簡單錯誤分析攻擊 l差分錯誤分析(差分錯誤分析(DFA)攻擊)攻擊 2022-3-17計算機科學與技術(shù)學院13簡單錯誤分析攻擊簡單錯誤分析攻擊 l

6、 2022-3-17計算機科學與技術(shù)學院14簡單錯誤分析攻擊簡單錯誤分析攻擊l 2022-3-17計算機科學與技術(shù)學院15差分錯誤分析(差分錯誤分析(DFA)攻擊)攻擊 l 2022-3-17計算機科學與技術(shù)學院16差分錯誤分析(差分錯誤分析(DFA)攻擊)攻擊l 2022-3-17計算機科學與技術(shù)學院17如何引入錯誤?如何引入錯誤?l通過改變智能卡的執(zhí)行環(huán)境能夠在智能卡中引入錯誤??梢允褂靡韵峦緩剑簂電壓電壓l時鐘時鐘l溫度溫度l輻射輻射l光光l渦電流渦電流2022-3-17計算機科學與技術(shù)學院18錯誤攻擊的對策l密碼設備首先驗證驗證操作的結(jié)果,只有當結(jié)果正確的時候才輸出結(jié)果。驗證需要額外的

7、操作,勢必損失效率lDES加密,可以對明文加密兩次,如果兩次加密結(jié)果相同便認為加密過程沒有出現(xiàn)錯誤,也可以使用解密操作驗證DES密文正確性l隨機化操作隨機化操作也可以抵抗錯誤攻擊l對于RSA算法,首先對信息使用隨機位填充,然后再進行加密或簽名l智能卡可以采用入侵檢測和自檢測入侵檢測和自檢測對付錯誤引入2022-3-17計算機科學與技術(shù)學院19時間攻擊的基本原理時間攻擊的基本原理Protocol, smartcard, ImplementationSecretQuestionAnswerTimedifference2022-3-17計算機科學與技術(shù)學院20對平方對平方-乘算法的時間攻擊乘算法的時

8、間攻擊 l 2022-3-17計算機科學與技術(shù)學院21對平方對平方-乘算法的時間攻擊乘算法的時間攻擊l如果攻擊者能夠觀察并比較平方-乘算法中循環(huán)迭帶的執(zhí)行時間,將能推導出對應的指數(shù)位l將其應用到RSA簽名操作,便能揭示出簽名者的私鑰lKocher時間攻擊時間攻擊描述了攻擊者利用算法的全部執(zhí)行時間推導私鑰,被動攻擊者可以很容易觀察到全部執(zhí)行時間 2022-3-17計算機科學與技術(shù)學院22對平方對平方-乘算法的時間攻擊乘算法的時間攻擊l 2022-3-17計算機科學與技術(shù)學院23對平方對平方-乘算法的時間攻擊乘算法的時間攻擊l 2022-3-17計算機科學與技術(shù)學院24時間攻擊的對策時間攻擊的對策

9、 l 2022-3-17計算機科學與技術(shù)學院25能量分析攻擊基本原理能量分析攻擊基本原理2022-3-17計算機科學與技術(shù)學院262022-3-17計算機科學與技術(shù)學院27簡單能量分析(簡單能量分析(SPA)攻擊)攻擊l直接分析密碼設備操作時的能量消耗,從單個能量消耗曲線中推導出秘密參數(shù)信息l由于SPA能夠揭示出執(zhí)行的指令序列,所以能夠用來破解執(zhí)行路徑依賴于處理數(shù)據(jù)的密碼系統(tǒng) l當不同的操作具有不同的能量消耗,或者同一種操作的不同操作數(shù)具有不同的能量消耗時,密碼系統(tǒng)容易遭受SPA攻擊。容易遭受SPA攻擊過程有:l密鑰循環(huán)移位l模乘:例如得到平方操作(S)、乘(M)操作序列是SMSSSMSMSS

10、SSMSMS,則對應的指數(shù)是10011000110l置換l比較2022-3-17計算機科學與技術(shù)學院28簡單能量分析(SPA)攻擊l實驗發(fā)現(xiàn)在訪問操作數(shù)時,能量消耗與操作數(shù)的Hamming權(quán)值相關(guān)。對于敵手來說,操縱密鑰位時的能量消耗具有特別的意義,從一條能量消耗曲線中就能夠推出密鑰的某些部分的Hamming權(quán)值l如果攻擊者知道密鑰的每個kn-bit字的Hamming權(quán)值,那么蠻力搜索空間將從2kn降低為2022-3-17計算機科學與技術(shù)學院29簡單能量分析(簡單能量分析(SPA)攻擊)攻擊以DES 為例, n = 8, k = 7,256個密鑰降低為 2402022-3-17計算機科學與技術(shù)

11、學院30差分能量分析(差分能量分析(DPA)攻擊)攻擊 l差分能量分析差分能量分析:敵手需要兩個階段l數(shù)據(jù)收集數(shù)據(jù)收集: 收集密碼設備使用同一個密鑰和不同的輸入時執(zhí)行加密操作的能量跡,同時敵手還需要截獲最終生成的密文l數(shù)據(jù)分析數(shù)據(jù)分析: 使用統(tǒng)計分析和錯誤相關(guān)技巧推導與密鑰相關(guān)的信息2022-3-17計算機科學與技術(shù)學院31差分能量分析(差分能量分析(DPA)攻擊)攻擊 2022-3-17計算機科學與技術(shù)學院32差分能量分析(差分能量分析(DPA)攻擊)攻擊l對乘冪系統(tǒng)的DPA,Messerges等人指出可被攻破的三種類型的場景:lSEMD:單指數(shù)、多數(shù)據(jù)lMESD:多指數(shù)、單數(shù)據(jù)lZEMD:

12、零指數(shù)、多數(shù)據(jù)l高階DPA是DPA的重要進展2022-3-17計算機科學與技術(shù)學院33能量攻擊的對策能量攻擊的對策 l消除與秘密參數(shù)相關(guān)的條件分支消除與秘密參數(shù)相關(guān)的條件分支l如果能量消耗與操作數(shù)相關(guān),可以使用秘密共享中的門限使用秘密共享中的門限方案方案,把操作數(shù)分解成多個“影子”并分別處理,在這種情況下,可使用高階DPA進行攻擊,但多個“影子”有效地增加了噪音,從而增加攻擊難度;也降低了系統(tǒng)的性能l插入隨機計算插入隨機計算是一種對付DPA的通用方法。例如在執(zhí)行加密時,隨機地插入虛假運算,從而每次加密都產(chǎn)生不同的能量跡,加大DPA的難度l將硬件組件(如電容)增加到智能卡的能源線上,使外部電源不

13、直接連接內(nèi)部芯片,從而降低能量消耗與內(nèi)部操作的相關(guān)性,以此過濾、平滑能量消耗特征,減低能量消耗偏差,增加DPA攻擊所需的能量跡2022-3-17計算機科學與技術(shù)學院34電磁攻擊電磁攻擊 l電荷的運動都伴隨著電磁場?;陔姶诺姆治鰹檫h距離攻遠距離攻擊擊提供了一條途徑l測量的電磁輻射信息可采用與能量分析相同的方式,如簡單電磁分析(SEMA)、差分電磁分析(DEMA)。電磁輻射包含多樣信號,每種信號泄露不同的信息l如同能量攻擊,電磁攻擊需要樣本采集設備,如數(shù)字示波器或基于PC的數(shù)字樣本卡。電磁攻擊設備的關(guān)鍵組成部分是電磁接受/調(diào)制器l時間攻擊、能量攻擊和電磁攻擊可看成時不同維數(shù)的側(cè)信道。時間攻擊是一

14、維的,只測量運行時間;能量攻擊是兩維的,在每個測量單位內(nèi)測量一系列的能量消耗值;電磁攻擊是多維的,在每個測量單位內(nèi)可以在不同的位置測量一系列的電磁輻射信息2022-3-17計算機科學與技術(shù)學院35其它側(cè)信道攻擊其它側(cè)信道攻擊l故障攻擊l基于緩存的攻擊l基于掃描的攻擊l光學輻射攻擊l基于頻率的攻擊l聲音攻擊l組合攻擊2022-3-17計算機科學與技術(shù)學院36基于緩存的攻擊基于緩存的攻擊l絕大多數(shù)計算機均在CPU和內(nèi)存之間增加CPU緩存(Cache),可以顯著地提高程序的平均執(zhí)行性能l然而,如果CPU訪問Cache中不存在的數(shù)據(jù)時,則會產(chǎn)生時間延遲,因為目標數(shù)據(jù)必須重新從內(nèi)存加載到Cache中l(wèi)基

15、于緩存的側(cè)信道攻擊的基本原理:基于緩存的側(cè)信道攻擊的基本原理:測量這種時間延遲有可能讓攻擊者確定出Cache訪問失敗的發(fā)生和頻率2022-3-17計算機科學與技術(shù)學院37故障攻擊故障攻擊l在絕大多數(shù)情況下,我們可能不會也不必去質(zhì)疑安全設備與模塊的安全性是否依賴于執(zhí)行算法的設備自身的可靠性l但是,發(fā)生在密碼模塊操作期間的硬件故障和錯誤已經(jīng)被證明會嚴重危害密碼實現(xiàn)的物理安全性。這些錯誤行為或輸出完全可能成為重要的側(cè)信道,有時甚至會顯著地增加密碼實現(xiàn)的脆弱性l利用密碼設備/模塊計算過程中出現(xiàn)的軟、硬件故障信息及相關(guān)輸出的攻擊稱為故障攻擊故障攻擊2022-3-17計算機科學與技術(shù)學院38基于掃描的攻擊

16、基于掃描的攻擊l邊界掃描測試邊界掃描測試是芯片設計領(lǐng)域常用的一種功能強大的測試方法,該方法于1990年被IEEE標準組織采納為國際標準l使用邊界掃描測試可以對芯片故障進行定位,以便迅速、準確地測試出兩個芯片管腳間的連接是否可靠,從而提高測試檢驗效率l但是,這項技術(shù)也被證明是一把“雙刃刀”:可被用作一種有效的攻擊手段2022-3-17計算機科學與技術(shù)學院39光學輻射攻擊光學輻射攻擊l實驗證明:CRT漫反射的平均亮度足夠用于重構(gòu)出CRT上顯示的信號信息l這種攻擊的一個顯著特征是不需要與被攻擊對象進行任何形式的物理接觸,既可以恢復出原始的數(shù)據(jù)信息2022-3-17計算機科學與技術(shù)學院40基于頻率的攻擊基于頻率的攻擊l差分頻率分析差分頻率分析實質(zhì)上是差分能量分析方法的一種變形,其基本思想基本思想是利用頻域內(nèi)的差分能量頻譜密度信號,而非時域差分能量信號l基于頻率的攻擊的主要目標是針對嵌入式移動設備,例如PDA、移動電話和傳呼機等2022-3-17計算機科學與技術(shù)學院41聲音攻擊聲音攻擊lShamir等人最近的研究工作證實:處理器的聲音特征與其計算之間確實存在著某種相關(guān)性lPeter Wright于1965年實施過的攻擊分析方法可以視作最早的聲音攻擊之一,但是,目前這一領(lǐng)域的研究成果很少2022-3-17計算機科學與技術(shù)學院42組合攻擊組合攻擊l近

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論