旁路与方法第1-4章.pptxVIP

能量分析攻击第1-4章 屠晨阳 江丽娜 第一章：引言 第二章：密码设备 第三章：能量消耗 第四章：能量迹（Power Trace）的统计特征 目录 第一章：引言 第二章：密码设备 第三章：能量消耗 第四章：能量迹（Power Trace）的统计特征 目录 理念：密码设备的安全性不应依赖于实现的保密性。 事实：为穷举攻击选择适当的范围 密码设备攻击（两种分类方式）： 第一类：被动攻击 防篡改（tamper resistance） 主动攻击 第二类：入侵式攻击 半入侵式攻击 非入侵式攻击 第一章之攻击方式 能量分析攻击利用了这样一个事实：密码设备的瞬时能量消耗依赖于设备所处理的数据和设备所执行的操作。 两种能量消耗依赖性： 第一类：数据依赖性 第二类：操作依赖性 第一章之能量消耗依赖性 能量分析攻击之所以奏效，是因为对于不同的操作和不同的数据，各尖峰形状不同。 直接利用这一特性的是简单能量分析（SPA） 微控制器在某个时刻的能量消耗依赖于其输出字节的某个有效位（比如最高有效位）。 利用有效位对每个可能k值进行能量迹分类，获得差异图，找出具有最大尖峰的差异图。 使用这种策略的是差分能量分析（DPA） 第一章之能量分析攻击 抗DPA攻击的各种对策的目标就是钥匙的密码设备的能量消耗独立于设备所执行的密码算法中间值。 关于会话密钥的问题，尽可能频繁更新密钥 第一章之防御对策 密码算法中间值 密码设备处理的中间值 密码设备的能量消耗 掩码对策 隐藏对策 第一章：引言 第二章：密码设备 第三章：能量消耗 第四章：能量迹（Power Trace）的统计特征 目录 专用密码硬件、通用硬件、密码软件、存储器、接口 各个组成部件可以在多个不同芯片上实现，也可以在单芯片上实现 多芯片：PCB板上的各种不同算法的加密芯片 单芯片：智能卡、USB令牌 第二章之组成部件 ASIC和FPGA要分开考虑，有所不同（刘总更清楚） 半定制化设计 规范制定 行为设计 结构设计 物理设计 都是由逻辑元件来构建的 第二章之设计步骤 组合逻辑：输出值是输入值的一种逻辑（布尔）组合 各种多输入的与或非门 时序逻辑：输出值依赖当前和先前的输入值 锁存器 触发器 寄存器 一般采用互补型CMOS实现各种逻辑元件，CMOS的能量模型是个重点。（上交有人做过S盒的模板） 第二章之逻辑元件 第一章：引言 第二章：密码设备 第三章：能量消耗 第四章：能量迹（Power Trace）的统计特征 目录 静态能量消耗Pstat（漏电） Pstat = Ileak * VDD 动态能量消耗Pdyn（内部或传输信号发生转变） 产生实质是负载电容需要充电电流，输出信号转换时产生瞬时短路电流 毛刺（没做过实验，不太清楚，但是在安捷伦测试示波器的时候感觉是有影响的） 第三章之CMOS的能量消耗 模拟级（最准确，最复杂） 基于晶体管网表，和FPGA中的网表文件的关系？Synopsys 逻辑级 基于元件网表，汉明距离模型（HD），汉明重量模型（HW） 行为级 对组件进行仿真 第三章之设计者的仿真模型 攻击者不需要考虑那么复杂，重要的仅仅是多次仿真所获得能量消耗之间的差异 汉明距离模型 刻画总线和寄存器的能量消耗 汉明重量模型 更加粗糙的模型，但限制更少，几种情况，1-0和0-1能量消耗并不相同 其他模型，跟具体的物理器件或应用条件有关 第三章之攻击者的仿真模型 示波器最重要 探针很重要 噪声的分类和去除 第三章之测量配置 生成正比于密码设备能量消耗的电压信号方法：[Int03] 在密码设备和电源之间插入测量电路（串联小电阻，1~50Ω） 使用EM探针，通过电磁场来间接获取能量消耗值 探针很重要（非接触式能量消耗测量方法） 非接触式电流探针（有源探针，无源探针） 测量密码设备电磁场的H场探针和E场探针 第三章之测量配置（续） 模—数转换的3个参数： 输入带宽：记为输入信号中可以被无畸变处理的最大频率。信号带宽定义为信号中最低频率与最高频率正弦波之间的频率差，通常认为可处理信号的最小频率为0Hz。一般来说只要大于1GHz就不是主要问题。 采样率：把输入信号转换为时间离散信号，对输入信号的振幅进行采样，单位GS/s。根据奈奎斯特采样定律，至少2倍。经验法则：一般采取的采样率为能量消耗信号中最主要分量频率的几倍。 分辨率：把时间离散信号转换（量化）为时间数值离散信号。定义该可能值数目的参数为分辨率。一般示波器分辨率为8位，即一个采样值被映射为256个数值中的一个。 第三章之测量配置——示波器 第一章：引言 第二章：密码设备 第三章：能量消耗 第四章：能量迹（Power Trace）的统