基于硬件電路路徑差異的故障攻擊探究_第1頁
基于硬件電路路徑差異的故障攻擊探究_第2頁
基于硬件電路路徑差異的故障攻擊探究_第3頁
基于硬件電路路徑差異的故障攻擊探究_第4頁
基于硬件電路路徑差異的故障攻擊探究_第5頁
已閱讀5頁,還剩32頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

基于硬件電路路徑差異的故障攻擊探究作者:王安(北京理工大學(xué)計(jì)算機(jī)學(xué)院)任燕婷(清華大學(xué)微電子學(xué)研究所)2023年2月5日匯報(bào)提綱2023/2/51時(shí)鐘毛刺故障注入技術(shù)簡(jiǎn)介基于輪函數(shù)電路路徑差異的暫穩(wěn)攻擊基于掩碼S-box電路路徑差異的錯(cuò)誤率分析1、時(shí)鐘毛刺故障注入技術(shù)簡(jiǎn)介側(cè)信道攻擊技術(shù)2023/2/53能量攻擊技術(shù)聲音攻擊技術(shù)電磁攻擊技術(shù)故障攻擊技術(shù)故障攻擊研究現(xiàn)狀2023/2/54差分故障攻擊注入到某個(gè)精確位置,再做差分分析公鑰密碼的故障攻擊注入到某個(gè)大致位置,再做數(shù)學(xué)計(jì)算篡改存儲(chǔ)器/執(zhí)行流程的攻擊修改輪數(shù)、程序、掩碼等相似點(diǎn):從密碼算法整體結(jié)構(gòu)的角度來研究未來潛力點(diǎn):從密碼算法局部模塊特征的角度來研究數(shù)字電路的基本原理2023/2/55時(shí)鐘毛刺時(shí)鐘2023/2/56毛刺時(shí)鐘時(shí)鐘的來源2023/2/57讀卡器提供外部晶振AES算法的硬件實(shí)現(xiàn)8分組密碼算法末輪的輸出通常為密文,可直接獲取2、基于輪函數(shù)電路路徑差異的暫穩(wěn)攻擊暫穩(wěn)效應(yīng)(Transient-SteadyEffect)10Y值比X值晚到了t時(shí)間若t足夠大,Z將會(huì)有3個(gè)穩(wěn)定值當(dāng)X已到、Y未到時(shí),該特殊的穩(wěn)定值,稱為“暫穩(wěn)值”暫穩(wěn)值的泄露11利用毛刺將暫穩(wěn)值保存!AES中S-box的串行實(shí)現(xiàn)2023/2/512設(shè)多個(gè)S-box用同一個(gè)組合電路先后實(shí)現(xiàn)[MAD03]每個(gè)時(shí)鐘計(jì)算一個(gè)S-box對(duì)AES的暫穩(wěn)攻擊2023/2/513按時(shí)間先后:c1=y1⊕k1

①c2'=y1⊕k2(暫穩(wěn)狀態(tài))

②由①②得:c1⊕c2'

=k1⊕k2計(jì)算S1計(jì)算S2抗側(cè)信道攻擊主要技術(shù)——掩碼[Koc96]2023/2/514無防護(hù)實(shí)現(xiàn)掩碼實(shí)現(xiàn)對(duì)掩碼AES的暫穩(wěn)攻擊2023/2/515掩碼S-box:存在一條短路徑按時(shí)間先后:c1=yw1⊕k1⊕w1=S(x1)⊕k1

①c2'=yw1⊕k2⊕w2c2''=yw2'⊕k2⊕w2=S(x1)⊕k2

②由①②得:c1⊕c2''=k1⊕k2暫穩(wěn)攻擊實(shí)驗(yàn)平臺(tái)搭建2023/2/516實(shí)驗(yàn)平臺(tái)實(shí)物圖2023/2/517實(shí)驗(yàn)結(jié)果12023/2/518攻擊了一種經(jīng)典低功耗S-box的AES硬件電路[MS02]暫穩(wěn)態(tài)實(shí)驗(yàn)結(jié)果22023/2/519攻擊了一種“非常緊湊”的AES硬件電路[Can05]暫穩(wěn)態(tài)實(shí)驗(yàn)結(jié)果32023/2/520攻擊了一種“完美掩碼的非常緊湊”的AES硬件電路[CB08]暫穩(wěn)態(tài)降低故障注入難度——放慢延遲時(shí)間2023/2/521暫穩(wěn)態(tài)暫穩(wěn)態(tài)電壓1.2V下攻擊S-boxA的結(jié)果電壓1.08V下攻擊S-boxA的結(jié)果效率比較2023/2/522FSA:故障靈敏度分析,CHES2010CTC:碰撞時(shí)間特征,CHES2011FRA:錯(cuò)誤率分析,IEEETransactionsonCircuitsandSystemsII小結(jié)2023/2/523暫穩(wěn)攻擊的優(yōu)點(diǎn):不需要對(duì)同一個(gè)明文加密2次不需要選擇特殊明文1次加密,即可攻破無防護(hù)的AES(的一半密鑰)暫穩(wěn)攻擊的缺點(diǎn):對(duì)長(zhǎng)短路徑的差異過于依賴原理太簡(jiǎn)單論文發(fā)表:YantingRen,AnWang*,LijiWu.Transient-SteadyEffectAttackonBlockCiphers.2015WorkshoponCryptographicHardwareandEmbeddedSystems(CHES2015).3、基于掩碼S-box電路路徑差異的錯(cuò)誤率分析基于錯(cuò)誤率分析的碰撞攻擊25場(chǎng)景:同一組合電路串行完成第10輪S盒S1和S2

[MAD03]流程:為S2注入極短的時(shí)鐘毛刺,實(shí)驗(yàn)多次觀察:通過密文字節(jié)c2,判斷y2'是否發(fā)生錯(cuò)誤,記錄錯(cuò)誤率思想來源:YangLi,etal.,ClockwiseCollision[LOS12]碰撞區(qū)分器26若x1≠x2,則y2'正確的概率為:0若x1

=

x2,則y2'正確的概率為:1/65536

問題:區(qū)分度太低高效的錯(cuò)誤率分析27我們發(fā)現(xiàn):從輸出掩碼wi到輸出值的路徑t2遠(yuǎn)遠(yuǎn)短于從輸入值xi⊕mi和輸入掩碼mi到輸出值的路徑t1動(dòng)機(jī):保證wi正確地參與運(yùn)算,即wi不會(huì)影響到出錯(cuò)與否仿真驗(yàn)證:wi不會(huì)影響到出錯(cuò)與否28碰撞情況注:縱軸表示輸出值趨于穩(wěn)定所需時(shí)間非碰撞情況高效的錯(cuò)誤率分析29方法:選用滿足t2<t<t1的t,作為時(shí)鐘毛刺來注入錯(cuò)誤區(qū)分器的效率:若x1

≠x2,則y2’

=y2的概率約為:0若x1=x2,則y2’

=y2的概率約為:1/256故障位置實(shí)驗(yàn)平臺(tái)設(shè)計(jì)30實(shí)驗(yàn)結(jié)果:大量平均后的成功率31對(duì)每個(gè)(x1,x2)

,40個(gè)時(shí)鐘毛刺下的成功率平均后,可得圖中一個(gè)點(diǎn)(藍(lán)點(diǎn)代表x1=x2,灰點(diǎn)代表x1≠x2)效率比較32CEPA:相關(guān)強(qiáng)化能量分析(CHES2010)CTC:碰撞時(shí)間特征(CHES2011)CCPA:碰撞相關(guān)能量分析(CHES2011)小結(jié)2023/2/533“率”是故障攻擊中一種很好的區(qū)分器不需要知道錯(cuò)誤密文值,故可攻破故障檢測(cè)機(jī)制掩碼是為了保護(hù)信息,但掩碼的短路徑卻幫助了攻擊者論文發(fā)表:AnWang,ManChen,ZongyueWang,XiaoyunWang*.FaultRateAnalysis:BreakingMaskedAESHardwareImplementationsEfficiently.IEEETransactionsonCircuitsandSystemsII:EXPRESSBRIEFS,2013.VS參考文獻(xiàn)34[Bog07]A.Bogdanov,“Improvedside-channelcollisionattacksonAES,”inProc.SAC,2007,pp.84-95.[Can05]D.Canright,“AVeryCompactS-BoxforAES,”inProc.CHES,2005,vol.3659,pp.441-455.[CB08]D.CanrightandL.Batina,“Averycompactperfectlymaskeds-boxforAES,”inProc.ACNS,2008,pp.446-459.[ESH11]S.Endo,T.Sugawara,N.Homma,etal.Anon-chipglitchy-clockgeneratorfortestingfaultinjectionattacks.JCryptogrEng(2011)1,pp.265–270.[LOS12a]Y.Li,K.Ohta,andK.Sakiyama,“AnExtensionofFaultSensitivityAnalysisBasedonClockwiseCollision,”inProc.Inscrypt,2012,pp.46-59.[LOS12b]Y.Li,K.Ohta,andK.Sakiyama,“Towardeffectivecountermeasuresagainstanimprovedfaultsensitivityanalysis,”IEICETrans.onFundamentalsofElectronics,CommunicationsandComputerSciences,vol.E95–A,no.1,pp.234–241,2012.參考文獻(xiàn)35[LSG10]Y.Li,K.Sakiyama,S.Gomisawa,T.Fukunaga,J.Takahashi,andK.Ohta,“Faultsensitivityanalysis,”inProc.CHES,2010,pp.320-334.[MAD03]S.Mangard,M.Aigner,S.Dominikus:AHighlyRegularandScalableAESHardwareArchitecture.IEEETransactionsonComputers,52(4),pp.483-491,2003.[MMP11]A.Moradi,O.Mischke,C.Paar,etal.OnthePowerofFaultSensitivityAnalysisandCollisionSide-ChannelAttacksinaCombinedSetting.InProc.CHES,2012,pp.292-311.[MS02]S.MoriokaandA.Satoh,“Anoptimizeds-boxcircuitarchitectureforlowpowerAESdesign,”inProc.CHES,2002,pp.172-186.[SBG09]N.Selm

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論