芯片抗功耗攻击方法的安全成本分析.pptVIP

2010/10/18 2010年密码芯片产业论坛 差分功耗攻击（DPA) 抗DPA技术 安全性成本分析 掩模技术（masking) 功耗恒定逻辑（constant power logic） 随机运行（random delay insertion shuffling) 去耦合技术（decoupling） 掩模技术 掩模方法的代价 额外的面积： Tm表的存储空间 掩模方法的代价主要由查找表的预计算决定，与查找表的规模成正比。 高阶掩模： 预计算部分的计算量随阶数线性增长 安全性： 功耗恒定逻辑 WDDL 理想条件下SNR=0；实际SNR由功耗方差与测量噪声的方差之比决定 功耗恒定逻辑的代价 面积：2X,为了实现布线匹配版图面积更大 时钟频率：降低为原来的1/2（只有一半周期在求值） 功耗： 随机运行 随机延时插入和乱序执行 安全性由被攻击操作执行时刻分布的最大概率p*决定 执行时间分布均匀分布情况下p*最小，乱序执行更容易实现均匀分布，假设n个并发操作均匀分布，p*=1/n; 把执行时间分布范围内的功耗积分后进行DPA（sliding-window DPA)，样本数增加n倍. 如果扰乱操作共享寄存器且中间不复位（如硬件实现乱序执行），考虑HD模型最坏情形下（所有并发操作的结果不同） ， p*～1/n2，样本数增加n2倍 随机运行的代价 n个并发操作乱序串行执行，则 面积：1/n 功耗变为1/n，总能耗：不变 吞吐率：1/n 乱序执行与并行处理的对比 安全性： 并行处理的瞬时功耗相当于随机运行情况下采用sliding-window DPA攻击积分后的总功耗，因此安全性和乱序执行相当。 但是考虑寄存器共享情况下，HD模型，并行执行的安全性要比乱序执行差。 乱序执行与随机延时插入可以使p*1/n 成本与乱序执行相比 面积：n倍 总能耗：相同 吞吐率：n倍 去耦合技术 去耦合技术的代价 面积：去耦电容和开关需要很大的版图面积 只用于敏感电路的供电，可减小电容的大小 速度：无影响，但是由于VDD存在波动，不适用于高速设计 功耗：去耦电容一次充电的电量必须满足最大功耗需求，多余的功耗在电容放电相位被浪费 功耗水平相当于原始设计的最坏情况 总结 采用不同方法的AES芯片 结论 * * 芯片抗功耗攻击方法的安全成本分析 李翔宇 清华大学微电子学研究所 加/解密 存储的密钥 输入 输出 功耗 差分功耗分析/简单功耗分析 利用密码设备的侧信道泄漏实施攻击 掩模技术 随机运行 功耗恒定逻辑 去耦合电源 …… 采用抗DPA技术不同程度地增加了芯片的面积、功耗，降低了处理速度 vm mv 线性运算f m w mw 非线性运算f（查表） vm mv m w mw 所有轮次的中间结果都是用相同的一组掩模，各个中间结果的掩模需要预先计算。 每次加密（重新产生新的随机掩模）执行一次预计算。 d重掩模在d阶DPA下具有可证明的安全性 R轮加密算法的运算量≈（R+1)轮的运算量+Tm表的预计算 AES算法举例 （6个掩码） 每轮的运算步骤少，轮次多，查找表规模较小的密码算法采用掩模方法会具有较高的效率。 多阶掩模技术的开销随着阶数线性增加，安全性随之指数增加，多阶掩模的安全/代价比更高； 功耗分布 功耗 概率 随机运行的安全性与性能成反比，只适用于低速率应用，但在成本和功耗方面具有优势； 乱序执行方式相对于随机延时插入的方法不增加冗余操作，相同安全性的情况下功耗和延时更小； 乱序执行时扰乱操作的中间结果共享寄存器可以提高安全性； 并行执行较乱序执行在速度方面有明显优势，但是安全性略差。 E MTD=N P T A 原始设计 MTDN/n 高 高 需d+1阶DPA MTD=Nd+1 安全性 +d×k×查找表规模 / / A+查找表电路 d重掩模 E P T/n A/n 随机运行 max{P} 4P 功耗 max{E} 不适于高速设计 A+kP 去耦合 8E T/2 2A WDDL 能耗 吞吐率 电路规模 抗DPA技术 3.96K 1.33K 1.85K 1.66K 0.25K 吞吐率/电路规模 115 - 4M 16K 门 掩模 19 - 20M 15K门(含解密功能） 乱序执行 0.033 0.044 0.2 功耗(W) 5.4(1.67) 2.56G 645K门 （0.13um 工艺，1.28mm2) 参考设计 14(4.4) 1.28G 690K门（0.13um工艺， 1.37mm2) 去耦合 129 990M 596K门 WDDL 能耗(nJ) 吞吐率（bps) 电路规模 抗DPA技术 综合来看去耦合电源技术具有最高的安全性/代价比，但对于电磁攻击没有什么效果，通过FIB可以把去耦合电路旁路； 乱序执行具有最小的能耗开销和面积开销，适用于安全性