第10章密码学侧信道攻击案例.ppt

差分能量分析（DPA）攻击 差分能量分析：敌手需要两个阶段 数据收集: 收集密码设备使用同一个密钥和不同的输入时执行加密操作的能量迹，同时敌手还需要截获最终生成的密文 数据分析: 使用统计分析和错误相关技巧推导与密钥相关的信息 * 计算机科学与技术学院 * 差分能量分析（DPA）攻击 * 计算机科学与技术学院 * 差分能量分析（DPA）攻击 对乘幂系统的DPA，Messerges等人指出可被攻破的三种类型的场景： SEMD：单指数、多数据 MESD：多指数、单数据 ZEMD：零指数、多数据 高阶DPA是DPA的重要进展 * 计算机科学与技术学院 * 能量攻击的对策 消除与秘密参数相关的条件分支 如果能量消耗与操作数相关，可以使用秘密共享中的门限方案，把操作数分解成多个“影子”并分别处理，在这种情况下，可使用高阶DPA进行攻击，但多个“影子”有效地增加了噪音，从而增加攻击难度；也降低了系统的性能 插入随机计算是一种对付DPA的通用方法。例如在执行加密时，随机地插入虚假运算，从而每次加密都产生不同的能量迹，加大DPA的难度 将硬件组件（如电容）增加到智能卡的能源线上，使外部电源不直接连接内部芯片，从而降低能量消耗与内部操作的相关性，以此过滤、平滑能量消耗特征，减低能量消耗偏差，增加DPA攻击所需的能量迹 * 计算机科学与技术学院 * 电磁攻击 电荷的运动都伴随着电磁场。基于电磁的分析为远距离攻击提供了一条途径 测量的电磁辐射信息可采用与能量分析相同的方式，如简单电磁分析（SEMA）、差分电磁分析（DEMA）。电磁辐射包含多样信号，每种信号泄露不同的信息 如同能量攻击，电磁攻击需要样本采集设备，如数字示波器或基于PC的数字样本卡。电磁攻击设备的关键组成部分是电磁接受/调制器 时间攻击、能量攻击和电磁攻击可看成时不同维数的侧信道。时间攻击是一维的，只测量运行时间；能量攻击是两维的，在每个测量单位内测量一系列的能量消耗值；电磁攻击是多维的，在每个测量单位内可以在不同的位置测量一系列的电磁辐射信息 * 计算机科学与技术学院 * 其它侧信道攻击 故障攻击 基于缓存的攻击 基于扫描的攻击 光学辐射攻击 基于频率的攻击 声音攻击 组合攻击 * 计算机科学与技术学院 * 基于缓存的攻击 绝大多数计算机均在CPU和内存之间增加CPU缓存（Cache），可以显著地提高程序的平均执行性能 然而，如果CPU访问Cache中不存在的数据时，则会产生时间延迟，因为目标数据必须重新从内存加载到Cache中 基于缓存的侧信道攻击的基本原理：测量这种时间延迟有可能让攻击者确定出Cache访问失败的发生和频率 * 计算机科学与技术学院 * 故障攻击 在绝大多数情况下，我们可能不会也不必去质疑安全设备与模块的安全性是否依赖于执行算法的设备自身的可靠性 但是，发生在密码模块操作期间的硬件故障和错误已经被证明会严重危害密码实现的物理安全性。这些错误行为或输出完全可能成为重要的侧信道，有时甚至会显著地增加密码实现的脆弱性 利用密码设备/模块计算过程中出现的软、硬件故障信息及相关输出的攻击称为故障攻击 * 计算机科学与技术学院 * 基于扫描的攻击 边界扫描测试是芯片设计领域常用的一种功能强大的测试方法，该方法于1990年被IEEE标准组织采纳为国际标准 使用边界扫描测试可以对芯片故障进行定位，以便迅速、准确地测试出两个芯片管脚间的连接是否可靠，从而提高测试检验效率 但是，这项技术也被证明是一把“双刃刀”：可被用作一种有效的攻击手段 * 计算机科学与技术学院 * 光学辐射攻击 实验证明：CRT漫反射的平均亮度足够用于重构出CRT上显示的信号信息 这种攻击的一个显著特征是不需要与被攻击对象进行任何形式的物理接触，既可以恢复出原始的数据信息 * 计算机科学与技术学院 * 基于频率的攻击 差分频率分析实质上是差分能量分析方法的一种变形，其基本思想是利用频域内的差分能量频谱密度信号，而非时域差分能量信号 基于频率的攻击的主要目标是针对嵌入式移动设备，例如PDA、移动电话和传呼机等 * 计算机科学与技术学院 * 声音攻击 Shamir等人最近的研究工作证实：处理器的声音特征与其计算之间确实存在着某种相关性 Peter Wright于1965年实施过的攻击分析方法可以视作最早的声音攻击之一，但是，目前这一领域的研究成果很少 * 计算机科学与技术学院 * 组合攻击 近年来，组合攻击成为了侧信道攻击研究的一个热点 组合攻击可以分为两大类： 侧信道组合攻击，即综合多种侧信道实施的攻击方法 侧信道与传统数学分析方法相结合的攻击方法 * 计算机科学与技术学院 * * 计算机科学与技术学院 * 第10章：密码学侧信道攻击 基本概念 侧信道密码分析（Side Channel