基于硬件电路路径差异的故障攻击探究.pptx

基于硬件电路路径差异的故障攻击探究作者：王 安（北京理工大学计算机学院）任燕婷（清华大学微电子学研究所）汇报提纲时钟毛刺故障注入技术简介基于轮函数电路路径差异的暂稳攻击基于掩码S-box电路路径差异的错误率分析1、时钟毛刺故障注入技术简介侧信道攻击技术能量攻击技术电磁攻击技术故障攻击技术声音攻击技术故障攻击研究现状差分故障攻击注入到某个精确位置，再做差分分析公钥密码的故障攻击注入到某个大致位置，再做数学计算篡改存储器/执行流程的攻击修改轮数、程序、掩码等相似点：从密码算法整体结构的角度来研究未来潜力点：从密码算法局部模块特征的角度来研究数字电路的基本原理时钟毛刺时钟毛刺时钟时钟的来源外部晶振读卡器提供AES算法的硬件实现分组密码算法末轮的输出通常为密文，可直接获取2、基于轮函数电路路径差异的暂稳攻击暂稳效应（Transient-Steady Effect）Y值比X值晚到了 t 时间若 t 足够大，Z将会有3个稳定值当X已到、Y未到时，该特殊的稳定值，称为“暂稳值”暂稳值的泄露利用毛刺将暂稳值保存！AES中S-box的串行实现设多个S-box用同一个组合电路先后实现[MAD03]每个时钟计算一个S-box对AES的暂稳攻击按时间先后：c1 = y1⊕k1 ①c2 = y1⊕k2（暂稳状态） ②由①②得：c1⊕c2 = k1⊕k2计算S1计算S2抗侧信道攻击主要技术——掩码[Koc96]无防护实现掩码实现对掩码AES的暂稳攻击掩码S-box：存在一条短路径按时间先后：c1 = yw1⊕k1⊕w1 = S(x1)⊕k1 ①c2 = yw1⊕k2⊕w2c2 = yw2⊕k2⊕w2 = S(x1)⊕k2 ②由①②得：c1⊕c2 = k1⊕k2暂稳攻击实验平台搭建实验平台实物图实验结果1暂稳态攻击了一种经典低功耗S-box的AES硬件电路[MS02]实验结果2暂稳态攻击了一种“非常紧凑”的AES硬件电路[Can05]实验结果3暂稳态攻击了一种“完美掩码的非常紧凑”的AES硬件电路[CB08]降低故障注入难度——放慢延迟时间暂稳态暂稳态电压1.2V下攻击S-box A的结果电压1.08V下攻击S-box A的结果效率比较FSA：故障灵敏度分析，CHES 2010CTC：碰撞时间特征，CHES 2011FRA：错误率分析，IEEE Transactions on Circuits and Systems II小结暂稳攻击的优点：不需要对同一个明文加密2次不需要选择特殊明文1次加密，即可攻破无防护的AES（的一半密钥）暂稳攻击的缺点：对长短路径的差异过于依赖原理太简单论文发表：Yanting Ren, An Wang*, Liji Wu. Transient-Steady Effect Attack on Block Ciphers. 2015 Workshop on Cryptographic Hardware and Embedded Systems (CHES 2015).3、基于掩码S-box电路路径差异的错误率分析基于错误率分析的碰撞攻击场景：同一组合电路串行完成第10轮S盒S1和S2 [MAD03]流程：为S2注入极短的时钟毛刺，实验多次观察：通过密文字节c2，判断y2是否发生错误，记录错误率思想来源：Yang Li, et al., Clockwise Collision [LOS12]碰撞区分器若x1 ≠ x2，则 y2 正确的概率为：0若x1 = x2，则 y2 正确的概率为：1/65536问题：区分度太低密钥恢复：?高效的错误率分析我们发现：从输出掩码wi到输出值的路径t2远远短于从输入值xi⊕mi和输入掩码mi到输出值的路径t1动机：保证wi正确地参与运算，即wi不会影响到出错与否仿真验证： wi不会影响到出错与否碰撞情况非碰撞情况注：纵轴表示输出值趋于稳定所需时间高效的错误率分析故障位置方法：选用满足t2 t t1的t，作为时钟毛刺来注入错误区分器的效率：若x1 ≠ x2，则y2’ = y2的概率约为：0若x1 = x2，则y2’ = y2的概率约为：1/256实验平台设计实验结果：大量平均后的成功率对每个(x1, x2) ，40个时钟毛刺下的成功率平均后，可得图中一个点（蓝点代表x1=x2，灰点代表x1≠x2）效率比较CEPA：相关强化能量分析（CHES 2010）CTC：碰撞时间特征（CHES 2011）CCPA：碰撞相关能量分析（CHES 2011）小结“率”是故障攻击中一种很好的区分器不需要知道错误密文值，故可攻破故障检测机制掩码是为了保护信息，但掩码的短路径却帮助了攻击者论文发表：An Wang, Man Chen, Zongyue Wang, Xiaoyun Wang*. Fault Rate