И целого мира мало: другой взгляд на дифференциальные атаки по энергопотреблению второго порядка

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 04:38, 19 декабря 2015.
The World Is Not Enough: Another Look on Second-Order DPA
TWINEALoSODPA titl.png
Авторы Franc ̧ois-Xavier Standaert [@: 1],
Nicolas Veyrat-Charvillon [@: 2],
Elisabeth Oswald[@: 3] ,
Benedikt Gierlichs [@: 4],
Marcel Medwed [@: 5],
Markus Kasper [@: 6],
Stefan Mangard [@: 7].
Опубликован 2010 г.
Сайт eprint.iacr.org
Перевели коллектив проекта «Gir»
Год перевода 2011 г.
Скачать оригинал


__NUMBEREDHEADINGS__

Аннотация. В данной работе Мангард с соавторами показали, что при определенных допущениях (так называемые) стандартные одномерные атаки по сторонним каналам с использованием дистанционного испытания, анализ взаимосвязи и гауссовых шаблонов являются эквивалентными. В этом исследовании мы демонстрируем, что в условиях многомерных атак на замаскированные реализации этот вывод больше не имеет силы. В то время как единственный отличительный признак может использоваться для сравнения уязвимости различных незащищенных устройств к дифференциальным атакам по энергопотреблению (DPA) первого порядка, понимание атак второго порядка требует внимательного изучения утечек информации и объектов, использующих эти утечки, по отдельности. Используя структуру, предложенную Стандэртом и др. на Eurocrypt 2009, мы представляем первый анализ, который исследует эти две темы в случае маскированной реализации, демонстрирующей модель утечки массы Хэмминга. Наши результаты привели к доработанным интуитивным данным касательно эффективности различных практически значимых отличительных признаков. Кроме того, мы также исследуем случай маскировки второго и третьего порядков (например, использование трех или четырех частей для представления одного значения). Эта оценка подтверждает, что маскировка более высокого порядка приводит только к значительным улучшениям безопасности, если разделение секретной информации между несколькими лицами совмещается с достаточным количеством шума. Наконец, мы показываем, что информационным теоретический анализ позволяет установить этот необходимый уровень шума для различных схем маскировки и целевых уровней безопасности с большей точностью и меньшей усложненностью данных, чем в предыдущих методах.

Вступление

Маскировка (как описано, например в [1][2][3]) – это очень часто применяемое решение для борьбы с атаками через сторонние каналы. Основная идея заключается в рандомизации всех чувствительных переменных во время криптографического вычисления при помощи их разделение на частей. Значение обычно обозначается, как порядок схемы маскировки. Как и большинство контрмер против атак по сторонним каналам, маскировка не полностью предотвращает утечки, но этот метод повышает сложность выполнения успешного установления ключа. Например, маскировку можно обойти при помощи технологических проблем, таких как глитч [4]. Схожим образом, взломщик всегда может произвести DPA более высокого порядка (например, [5][6][7]), в которых он «объединяет» утечки, соответствующие частям , чтобы извлечь информацию, связанную с ключом. Маскировка шифра блока приводит к значительным ее ограничениям производительности, потому что она требует вычисления шифрования различных частей по отдельности. В результате важной проблемой является установить точный уровень безопасности, который она предоставляет в роли порядка схемы .

Чтобы решить эту проблему, Пруф и др. провели всестороннее изучение маскировки первого порядка (например, атака по энергопотреблению второго порядка) в [8]. В их исследовании, два образца утечки, соответствующих разным частям сначала смешиваются с функцией объединения. Наконец, объединенные физические утечки сравниваются с прогнозами, связанными с ключом, с помощью коэффициента корреляции Пирсона [9]. Различные функции объединения анализируются касательно эффективности атак, и из анализа можно сделать следующие выводы:

  • Для каждого устройства и функции объединения можно продемонстрировать оптимальную функцию прогноза (или модель), что приводит к улучшенной сопротивляемости атакам.
  • Кроме анализа, основанного на коэффициенте Пирсона и предложения «Модели утечки массы Хэмминга», «упорядоченная функция объединения изделий» (обе рассматриваются подробно в этой работе) являются лучшими из того, что представлено в литературе.

Первые наблюдения, на самом деле, естественны. Так как каждое устройство характеризуется своей функцией утечки, существует одна оптимальная модель для прогнозирования этих утечек, что отличным образом использует их функцию плотности вероятности (фпв - аббревиатура). Для каждой опциональной модели существует один способ совмещать образцы утечек, что приводит к лучшей возможной корреляции. Но идея оптимальной функции объединения также приводит к ряду проблем. С другой стороны, как признают авторы [8], их анализ производился для исправленной (масса Хэмминга) функции утечки. Поэтому, вопрос о том, как на наблюдения, сделанные в этом контексте, повлияет функция утечки, все еще открыт. С другой стороны, их анализ также производится для данного статического инструмента, например, коэффициента Пирсона. Поэтому можно задуматься, в какой степени этот статистический инструмент полезен при оценке DPA второго порядка.

Этот второй вопрос в частности интересен в свете последних результатов [10]. Эта ссылка показывает, что в контексте (так называемых) стандартных DPA первого порядка и при наличии той же модели утечки, самые популярные отличительные признаки, такие как использование дистанционных тестов [11], корреляционного анализа и гауссовых шаблонов [12], требует приблизительно того же числа путей к ключам извлечения. Разницы, наблюдаемые на практике, существуют только из-за статистических искажений. Кроме того, оказывается, что коэффициент корреляции может относиться к концепции условной энтропии, которая была установлена в качестве меры утечки через сторонние каналы в [13]. Поэтому разумным является вопрос о том, работают ли эти наблюдения в случае со вторым порядком. Например, может ли коэффициент корреляции быть использован для оценки утечки информации маскированной реализации?

В этой работе мы отвечаем на этот вопрос отрицательно. Мы демонстрируем, что атаки DPA второго порядка являются типичной средой, в которой две части структуры для анализа восстановления ключа через сторонние каналы Eurocrypt 2009 ведут к разной информации. Во-первых, информационный теоретический анализ оценивает объем утечки, предоставленной замаскированной реализацией. Он определяет ее ограничения безопасности и исследует коэффициент успешности взломщика, который может с легкостью обработать утечку фпв. Во-вторых, анализ безопасности оценивает эффективность одного конкретного отличительного признака. Применяя эту структуру, мы показываем улучшенные данные касательно поведения разных атака DPA второго уровня и функций объединения. Затем мы обсуждаем влияние этих наблюдений на моделированные и не моделированные сценарии атак и подтверждаем наши теоретические исследования практическими экспериментами. Мы отмечаем, что наши результаты не противоречат [8], а скорее подчеркивают то, что единственный отличительный признак не может охватить все особенности функции утечки. Это позволяет нам подтвердить то, что, с информационно-теоретической точки зрения, повышения числа частей в схеме маскировки приводит к улучшенной физической безопасности, достаточное количество шума ограничивает качество оценок взломщика [1]. Маскировка более высокого порядка также предоставляет вариант для информационно-теоретических измерений, представленных в [13]. Мы демонстрируем, что измерения могут использоваться для установления конкретного количества частей и шума, требуемых для достижения конкретного уровня безопасности (против самых сложных атак, использующих интенсивные моделированные модели утечек), при меньшей сложности данных, чем в предыдущих методах.

Подводя итог вышесказанному, следует сказать, что атаки по сторонним каналам второго порядка являются довольно простым случаем, при котором (при конкретных условиях) большинство популярных отличительных признаков ведут себя одинаково, если к ним применяют те же самые модели утечки. Как следствие этого, можно использовать «один признак для всего». Напротив, DPA второго порядка (или выше) могут оказывать сопротивление распространению вероятности утечки, которое может принять любую форму (обычно комбинация). Отсюда, получившие конкретное количество информации из замаскированной реализации или даже испытавшие на себе те же самые модели утечки (и функции объединения) различные статистические инструменты будут использовать преимущество зависимости от ключа совсем разными способами. Другими словами, в зависимости от устройств и контрмер та или иная атака может оказаться действенней, отсюда мы и придумали название «и целого мира мало».

Булева маскировка и атаки второго порядка

В литературе предлагаются много различных схем маскировки. Несмотря на то, что они могут привести к совсем разным показателям, применение атак второго порядка в основном полагается на те же принципы, независимые от типа маскировки. Поэтому мы решили сфокусироваться на обобщенной таблице поиска (аббревиатура – ОТП), которая описана, например, в [14]. Такая схема представлена в нижней левой части Рисунка 1, с использованием дополнения к ключу и слоя S-box шифра блока, в качестве конкретного примера. Это можно объяснить следующим образом. Для введенного текста случайная маска сначала генерируется внутри устройства. Значение считается маскированной переменной. Затем алгоритм шифрования (здесь имеет место добавление к ключу и S-box) применяется для маскированных переменных, где обозначает секретный ключевой бит (далее мы будет использовать термин под-ключ). Одновременно с этим, некоторые понятия, такие как коррекция, также подсчитываются, так, что в течение криптографических вычислений сложение по модулю 2 между маскированной переменной и ее соответствующей маской дает первоначальную переменную. В случае с ОТП вычисленная заранее функция Sbox' используется для этой цели. К примеру, на Рисунке 1 ввод Sbox маскированной S-box может быть прописан, как Sbox , где обозначает маску вывода, произведенного Sbox'.

Рис. 1. Изображение DPA второго порядка.

На практике контрмеры ОПТ могут применяться различными способами. Главным образом, два вычисления S-box могут быть произведены последовательно (типично для реализаций ПО) или параллельно (типично для аппаратных реализаций). Чтобы описать DPA второго порядка, которые мы исследуем в этой работе, сначала мы используем последовательный подход (параллельный будет рассмотрен в следующем разделе). Также мы полагаемся на терминологию, представленную в [13]. Изначально идеей DPA второго порядка является преимущество объединения утечек двух промежуточных вычислений во время процесса шифрования (например, маскированное значение и его маска). В программном подходе вычисление этих промежуточных переменных будет производиться двумя разными тактовыми циклами. Поэтому два образца утечки и , соответствующие этими вычислениями могут быть обнаружены при слежке утечки, как показано на верху Рисунка 1. Следуя стандартной DPA, описанной в [10], взломщик затем предпримет три (плюс один опциональный) шага:

  1. Для различного текста и кандидатов в под-ключи , взломщик прогнозирует промежуточные значения в целевой реализации. Например, можно спрогнозировать ввод Sbox в S-box на Рисунке 1.
  2. Для каждого из этих прогнозируемых значений взломщик моделирует утечки. Из-за присутствия маски в реализации этот прогноз может использовать фпв (если вероятность принимается через маски и утечки шума) или более простые функции, например, захват только конкретных моментов этой фпв.
  3. Опционально, взломщик совмещает образцы утечек в единую переменную.
  4. Для каждого кандидата в под-ключ взломщик сравнивает моделированные утечки с реальными измерениями, полученными с тем же текстом xi и секретным под-ключом s. При DPA второго порядка каждая модель сравнивается с двумя образцами в полосах слежения. Это сравнение не зависит от всех других пунктов. Следовательно, эти атаки имеют две переменные. На практике это сравнение применяется ко многим парам точек в полосах слежения утечки и кандидате в под-ключ, который показал лучшие результаты и который был отобран взломщиком.

Что касается анализа атак первого порядка, сравнение различных отличительных признаков требует, чтобы их снабдили теми же образцами утечки. Однако, в отличие от случая с первым порядком и, как будет сказано в следующем разделе, лучшая пара образцов утечки не обязательно будет одинаковой для всех отличительных признаков. Это происходит потому, что разные отличительные признаки могут использовать разные утечки фпв с разной эффективностью в этом случае. На практике требуется протестировать все пары образцов в полосах слежения (но это будет значить проведение статистических тестов , если полосы имеют образцов). В этой работе мы предполагаем, что лучшая пара образцов предоставляется к тем атакам, которые мы производим (что можно легко сделать при симуляции экспериментов и что требует значительной – но разрешимой – мощности вычислений при выполнении атак, основанных на реальных измерениях).

Наконец, мы будем использовать следующие обозначения:

  • : вектор битов текста.
  • : вектор случайного ввода битов маски.
  • : вектор случайного вывода битов маски.
  • : промежуточное значение в шифровании .
  • : другое промежуточное значение в шифровании .
  • : вектор образцов утечки, соответствующий первым промежуточным значениям в процессе шифрования.
  • : вектор образцов утечки, соответствующий вторым промежуточным значениям в процессе шифрования.
  • : вектор, содержащий модели утечки (например, прогнозы), соответствующие кандидатам в под-ключи и тексту .

В остальной части работы эти обозначения (в капителях) будет представлять образцовые значения, а их копии заглавными буквами будут представлять случайные переменные.

Атаки второго порядка с коэффициентом Пирсона

В теории DPA второго порядка возможна, если распределения вероятности различны для разных значения под-ключа . Это можно отобразить, например, для функции утечки массы Хэмминга, которая часто применяется на практике при атаках по сторонним каналам [15] и является примером в [8]. Это означает, что образцы утечки и могут быть прописаны следующим образом:

где – это функция массы Хэмминга, а это значения нормального распространяемого шума со средним отклонением 0 и стандартным . В случае с 8-битной S- box (например, AES) это приводит к 9 возможным распределениям утечки, соответствующим 9 значениям массы Хэмминга секретного статуса , как отмечено в [16]. Левые части Рисунков 11, 12 и 13 в Приложении A показывают совместные распределения утечки в настройках и четко иллюстрируют то, что они зависимы от ключа. Как сказано в предыдущем разделе, использование этих зависимостей требует инструмента сравнения. При статистической оценке DPA второго порядка Пруф и др. используют коэффициент корреляции Пирсона. В случае с атаками первого порядка, использующими единственный образец утечки , применяются вычисления:

где и обозначают средние и стандартные отклонения образца случайной переменной, соответственно. Чтобы использовать этот инструмент для атак второго порядка, классическим способом является совмещение двух образцов утечки и при помощи функции комбинации . Например, Шари и др. предложили взять результат двух центральных образцов [1]: , а Мессерджес использовал абсолютную разницу между ними [6]: . Как показано в правой части Рисунков 11, 12 и 13, эти объединяющие функции также приводят к зависимости от ключа. Кроме этих стандартных примеров мы составили схему распределения суммарной объединяющей функции , потому что она может использоваться для эмуляции поведения маскировки ОТП в настройках оборудования, где две S-boxes Рисунка 1 вычисляются параллельно.

Выбор модели и зависимости утечки C

После описаний, данных выше, и предположения, что взломщик знает хорошую модель утечки для образцов и , остается определить, какую модель использовать при вычислении . То есть нам не нужно прогнозировать образцы утечки по отдельности, только их комбинацию. Кроме того, в отличие от атак первого порядка, существует дополнительная переменная (например, маска), которая неизвестна взломщику. Но при получении модели для отдельных образцов можно также заполучить и модель для их комбинации. Например, предположив, что модель массы Хэмминга, которая отлично подходит для утечек уравнений и , мы можем воспользоваться функцией комбинации, полученную через маску. Для каждого кандидата в под-ключ модель получается при помощи формулы:

Это похоже на то, что предлагается в [8], где среднее число дополнительно прибавляется к шуму утечки (что является более общим, но требует дополнительного моделирования, например, точные данные о распространении шума). В качестве иллюстрации Рисунок 2 показывает модели утечки, советующие абсолютной - абсолютная разница - разнице и функции объединения упорядоченного результата. Опять же они зависят только от 9 значений массы Хэмминга секретного статуса, в отличие от значений суммированной функции объединения, для которой среднее значение (над масками) постоянно для всех секретных статусов. Отсюда получаем, как указано в [15], что эта суммированная функция объединения не приведет к успешным корреляционным атакам второго порядка.

Рис. 2. Модели утечки для DPA второго порядка с использованием коэффициента корреляции.

Рисунок теоретически подтверждает предыдущий теоретический анализ Пруфа и др., где демонстрируется, что функция объединения упорядоченного результата приводит к наиболее эффективным атакам второго порядка по сторонним каналам при использовании коэффициента Пирсона и применении модели утечки массы Хэмминга для отдельных образцов. В самом деле, эти конкретные настройки дают начало линейным зависимостям моделей в массе Хэмминга секретных статусов . Также в отличие от функции объединения абсолютной разницы, все 9 возможных масс Хэмминга соответствуют разной модели в этом конкретном случае.

Интересно то, что эффективность функции объединения упорядоченного результата можно легко объяснить, если взглянуть на вычисление уравнений:

Так как результат упорядочен, мы имеем , что приводит к:

А эта формула, фактически, близка к прямой генерализации коэффициента корреляции Пирсона в случае с тремя случайными переменными:

Единственная разница между уравнениями и заключается в стандартном отклонении образцов утечки, которые зависимы от ключа. Поэтому при применении к тем же самым парам образцов, атаки, использующие уравнение или , эквивалентны. Интуитивно, эти уравнения предоставляют простое объяснение функции объединения упорядоченного результата. То есть, такая функция объединения будет эффективно использовать пары образцов утечки, которые линейно связаны с ключом. Как показано на Рисунках 11, 12 и 13, это достигается в случае с функцией массы утечки Хэмминга для двух образцов и .

Оценка утечки второго порядка: информационный анализ

В целом атаки по сторонним каналам второго порядка не так легко перехватить. А точнее, легко увидеть, что анализ, основанный только на коэффициенте корреляции, может пострадать от определенных ограничений. Например:

  • Если взять коэффициент Пирсона в качестве отличительного признака и функцию утечки массы Хэмминга, существуют (тривиальные) функции объединения для образцов (например, сумма), которые не приводят к успешному восстановлению ключа.
  • Если взять коэффициент Пирсона в качестве отличительного признака и функцию объединения упорядоченного результата, существуют функции утечки (например, без линейных зависимостей между образцами), которые не приводят к успешному восстановлению ключа.

Эти наблюдения предполагают, что простая ситуация в случае первого порядка, где коэффициент корреляции может (при конкретных физических условиях, детализированных в [10]) быть использован в качестве отличительного признака и в виде средства утечки по сторонним каналам, здесь не имеет место. При атаках по сторонним каналам второго порядка эта корреляция является лишь отличительным признаком. Поэтому это типичный случай, когда полезно задействовать структуру Eurocrypt 2009 на практике:

  1. Во-первых, производится информационный теоретический анализ, чтобы оценить физические утечки, независимо от взломщика, который их использует. При применении контрмер (например, маскировки) этот шаг позволяет вычислить, насколько безопасность устройства улучшилась касательно устойчивости к взлому, при котором взломщик может успешно смоделировать утечки фпв. Другими словами, он может использоваться в качестве объективного измерения качества контрмер при наихудшем сценарии (например, самый лучший взломщик, больше количество запросов – подробнее см. в [13]).
  2. Во-вторых, производится анализ безопасности, чтобы оценить, насколько эффективно конкретный отличительный признак (например, коэффициент Пирсона с заданной функцией объединения) может использовать доступную утечку. Этот шаг полезен для превращения результатов предыдущего теоретического анализа в «ряд измерений, требуемых для извлечения ключа» в данном сценарии.

В этом разделе мы исследуем первую часть анализа. В этих целях, а также чтобы сравнить наши выводы с предыдущими работами, мы используем те же предположения, что и в [8], например функцию утечки массы Хэмминга для двух образцов, как описано в Разделе 3. Согласно определениям в [13], мы вычисляем:

Рис. 3. Утечка информации для разных функций объединения.

Так как образцы утечки нормально распределены, это можно легко произвести в функции стандартного отложения шума . Некоторые упрощения позволяют ускорить вычисления, например, если поставить условие, что только девять распределений возможны, соответствующие девяти массам Хэмминга секретных статусов . Также, чтобы оценить потерю информации, вызванную разными функциями объединения, мы схожим образом оценили . Здесь задействованы немного более сложные интегралы, например, объединение результатов приводит к смешиванию распределений нормальных результатов. Рисунок 9 в Приложение A иллюстрирует эти распределения для двух секретных статусов и двух . Значения общей информации, соответствующие этим разным утечкам информации (например, ), представлены на Рисунке 3, в функции перемены шума (на шкале log). На этом рисунке мы наблюдаем:

  1. Все функции комбинации задействуют потерю информации, которую можно избежать, напрямую применяя 2-мернуое совместное распределение утечки.
  2. Функции объединения суммарной и абсолютной разницы приводят к тем же утечкам информации. Это можно понять из формы их распределения: распределение объединения абсолютной разницы можно рассматривать, как одно из суммарных объединений, которое было сложено.
  3. Для малого an упорядоченный результат является наименьшей информативной функцией объединения. Напротив, при повышении шума утечка информации объединения упорядоченных результатов приближается к одному из совместных распределений.
  4. Соответственная эффективность варьируется в зависимости от количества шума. В частности, после определенного шумового порога объединение результатов несет больше информации об , чем суммарная/абсолютная разница.

Заметьте, что утечка вывода суммарного объединения четко соотносится с предыдущей оценкой [16], в которой маскировка анализируется в настройках оборудования.

Условия моделированных атак: анализ безопасности (I)

Предыдущий информационно-теоретический анализ предоставляет новый взгляд на понимание связи между схемой маскировки, ее физическими утечками и использованием этой информации для атак по сторонним каналам. Например, он показывает, что суммарная функция объединения приводит к значительным утечкам информации (что можно наблюдать в различных фпв в приложении), хотя они не могут быть напрямую использованы с помощью коэффициента корреляции Пирсона. Предыдущие работы, такие как одна из Ваддла и Вагнера [7], показали, как преодолеть эти ограничения коэффициента корреляции при помощи возведения в квадрат объединенных образцов. Но наш анализ поднимает вопрос о том, могут ли эти информационные утечки быть использованы напрямую (например, без возведения в квадрат) другими отличительными признаками. Чтобы ответить на этот вопрос, мы применяем вторую часть структуры в [13], например, анализ безопасности. Этот раздел начинается с оценки моделированных (шаблонных) атак, у которых имеется сильная связь с предыдущим информационно-теоретическим анализом.

Результаты различных шаблонных атак против той же самой маскированной AES S-box, как в предыдущем разделе, даны на Рисунке 4 для двух разных стандартных отклонений шума. Мы напоминаем, что эти атаки используют не гауссовы шаблоны, как в [12], а конкретные распределения утечек, как в предыдущем информационно-теоретическом анализе (например, атаки с использованием совместных распределений применяют гауссовы комбинации; атаки с использованием функции объединения упорядоченного результата, и т.д., как показано в приложении A). Разные степени успешности вычисляются посредством 1000 независимых экспериментов и подтверждают теоретические прогнозы в Теореме 2 в [13].

Во-первых, мы видим, что функции объединения суммарной и абсолютной разницы приводят в той же эффективности атак в данном моделированном случае (так как их выводы ведут к тем же утечкам информации). Во-вторых, мы видим, что точка на Рисунке 3, где суммарная/абсолютная разница и кривые упорядоченного результата пересекаются, имеет важный смысл. Слева от пересечения (например, для ) функции объединения суммарной/абсолютной разницы позволяют проводить более эффективные атаки, чем упорядоченные результаты. Справа от пересечения (например, для ), верно противоположное заявление.

Рис. 4. Коэффициент успешности (симулированных) моделированных атак против маскированной AES S-box.

И как показано в Приложении A, Рисунок 10, эти атаки обладают одинаковой эффективностью на пересечении, которое равно приблизительно (то есть, ). Конечно, эти эксперименты частично искусственные, так как на практике взломщик, который может смоделировать утечки, чаще всего использует шаблоны, основанные только на совместном распределении. По крайней мере, это самая лучшая стратегия, если у взломщика есть достаточно данных и времени для моделирования фпв многомерной утечки. Однако наши результаты подтверждают, что информационно-теоретический анализ предоставляет объективную оценку качества контрмер, направленных на лучших шаблонных взломщиков в настройках DPA. Поэтому они говорят о том, что такой анализ является важной частью при оценке контрмер сторонних каналов. Также эти результаты приводят к тем же выводам, что и в [17], и показывают, что сопротивляемость эффективным атакам по смоделированным шаблонам может быть достигнута только при помощи маскировки.

Условия не моделированных атак: анализ безопасности (II)

Предыдущий раздел показал, что для точных смоделированных шаблонных атак существует связь между утечкой информации устройства и коэффициентом успешности взломщика. Напротив, мы знаем, что в не моделированном случае корреляционных атак это наблюдение, как правило, не работает. Например, коэффициент Пирсона нельзя использовать для применения утечек, соответствующих суммарному объединению в разделе 3.1. Поэтому нужно проверить, существуют ли другие, не моделированные отличительные признаки, которые могут быть полезными в этом случае. Мы отвечаем на этот вопрос положительно, используя анализ общей информации (АОИ), представленный в [18]. Его можно считать копией шаблонных атак, при которых распределения утечки оцениваются именно в момент атаки, а не перед ней.

Коэффициент успешности корреляции и атаки АОИ (здесь и далее, было проведено более 500 независимых экспериментов) с использованием различных функций объединения, даны на Рисунке 5, опять же с применением (симулированных) настроек, описанных в предыдущей главе. В наших экспериментах АОИ оценивает фпв при помощи гистограмм с линейно расставленными ячейками, и соответствует количеству возможных значений для моделей, как предложено в [18]. То есть мы используем 9 ячеек для каждого образца утечки и разделяем образцы утечек согласно 9 массам Хэмминга секретного статуса . Можно выделить следующие наблюдения:

  1. При сценарии с низким уровнем шума АОИ с функциями объединения суммарной и абсолютной разницы работает лучше, что также касается и шаблонных атак.
  2. Напротив, а также в отличие от шаблонных атак, АОИ без функции объединения (например, использование совместного распределения напрямую, как в [19][20]) является не самым эффективным решением в наших симуляциях. Это вызвано потребностью оценивать двумерные распределения, что требует сбора большего количества данных.
  3. По схожим причинам (например, также это относится к разной эффективности фпв оценок во время атак) при повышении шума АОИ с функциями объединения суммарной и абсолютной разницы больше не эквиваленты.
  4. Наконец, атаки с использованием коэффициента корреляции Пирсона дают лучшие результатов, особенно когда они совмещены с упорядоченными результатами (что естественно, так как наши симулированные утечки отлично выполнили требования Раздела 3.1).
Рис. 5. Коэффициент успешности (симулированных) не моделированных атак - маскированная AES S-box.

Мы отмечаем, что все эти не моделированные отличительные признаки приводят к значительному снижению эффективности по сравнению с моделированными, описанными в предыдущем разделе.

Экспериментальные результаты

Предыдущие разделы оценивали влияние маскировки S-box в отношении разных отличительных признаков сторонних каналов, основанных на симуляциях. Но что касается большинства исследований по физически обозреваемой криптографии, нужно подтвердить, что все наши выводы разумно подтверждены практическими измерениями, произведенными против реального чипа. В этих целях мы также произвели ряд атак против маскированной реализации DES в 8-битном микроконтроллере RISC семьи Atmel AVR. Рассматривание DES (а не AES) было мотивировано практическими соображениями. Так как вывод DES S-box является 4-битным, он позволяет рассматривать различные ситуации: в первом (низкий уровень шума) сценарии, 4 оставшихся бита на шине являются постоянными; во втором сценарии эти 4 бита используются, чтобы произвести некоторый дополнительный алгоритмический шум при помощи прикрепления (секретных) случайных строк двум целевым значениям на Рисунке 1. Это интересно, так как уровень шума был важным параметром, например, в наших симуляциях на Рисунке 5. Поэтому разные сценарии могут использоваться для адаптации уровня шума также и в наших экспериментальных настройках. Результаты на Рисунке 6 вносят интересное дополнение в наши предыдущие симуляции и приводят к следующим наблюдениям:

  1. Опять же демонстрируются отличная эффективность шаблонных атак [прим. 1] и хорошее поведение корреляционных атак с использованием функции объединения упорядоченного результата. Интересно то, что их относительная эффективность сближается при повышении количества алгоритмического шума в измерениях, что предлагается информационно-теоретическим анализом в Разделе 4.
  2. АОИ с использованием совмещенного распределения является гораздо более эффективным, чем в случае с AES. То, что 4-битная DES S-box позволяет проводить оценку фпв, связано со пониженным числом ячеек (например, 25, а не 81).
  3. Присутствие алгоритмического шума (в правой части Рисунка 6) влияет на разные отличительные признаки по-разному. Примером может послужить ситуация, когда АОИ с функцией объединения абсолютной разницы подвергается большему дополнительному шуму, чем ее копия при использовании коэффициента Пирсона.
Рис. 6. Коэффициент успешности различных экспериментальных атак против маскированного DES.

Подводя итог вышесказанному, нужно заметить, что эти эксперименты подтверждают тот факт, что DPA второго порядка «и целого мира мало». Единственным сильным заявлением, которое можно сделать в данных условиях, является то, что информационно-теоретические вычисления, оцененные с хорошими шаблонами, обладают наибольшей безопасностью при столкновении с наилучшим моделированным взломом. Что касается остальных отличительных признаков, их эффективность сильно зависит от реальной формы утечки фпв и инженерных знаний, которые могут применяться при создании атаки. В отличие от первого порядка, описанного в [10], гауссово предположение касательно образцов утечки, большей не имеет смысла с точки зрения взломщика (например, маскировка обычно использует комбинацию гауссова – или другого – распределения).

Обобщения более высокого порядка

Чтобы улучшить безопасность схем маскировки еще больше, одним из вариантов является увеличить их порядок. Этот последний раздел анализирует соотношение стоимости и безопасности, которое можно получить, обобщая контрмеры ОТП таким образом, а также детали случаев второго и третьего порядков для иллюстрации результатов. Вместо использования одной входной маски на каждую S-box, теперь мы используем две или три маски на S-box. Что касается цены, то нужно использовать одну или две дополнительных таблицы Sbox" и Sbox'", как описано, например в [21]. Обычно все инструменты, используемые в DPA второго порядка, могут быть легко обобщены до атак третьего и четвертого порядка. В частности информационно-теоретический анализ в Разделе 4 требует интеграции трех или четырех образцов утечек и . Утечка информации в этих разных схемах маскировки представлена на Рисунке 7, в функции шумовой вариации. На той же схеме мы представили среднее количество запросов на целевое устройство, требуемое для хорошей моделированной атаки (схожей с теми, что указаны в Разделе 5), чтобы достичь коэффициент успешности 90%. Эти цифры предоставляют количественный обзор наблюдений, сделанных в [1], где было продемонстрировано, что при наличии достаточного большого количества шума сложность данных атаки по сторонним каналам вырастает экспоненциально с количеством частей в схеме маскировки. Это значит, что при наличии шумовых вариаций в образцах утечки и частей сложность данных, требуемая для успешной атаки схемы маскировки, пропорциональна . Линейные зоны кривой (шкала log), которые находятся в правой части рисунка, предполагают, что эти ожидания выполняются в наших экспериментах. Важно и то, что рисунок также показывает, что влияние маскировки (более высокого порядка) может быть крайне мало в случае повышенной безопасности, для малых .

Рис. 7. Утечка информации и коэффициенты успешности для маскировки первого, второго и третьего порядков.

Заметьте, что эти результаты являются практической копией последнего теоретического анализа [22], где показано, что схемы маскировки, основанные на секретных схемах маскировки, приводят к безопасности реализаций, если количество частей является достаточно большим в отношении шума в измерениях.

Случай информационно-теоретического вычисления

Взглянув на Рисунок 7 главным вопрос для дизайнера (или оценочной лаборатории) является выбор нужного количества шума и частей, которые он должен добавить к реализации, чтобы достичь конкретного уровня безопасности. Это важно, так как увеличение этих параметров имеет большое влияние на производительность реализации. К сожалению, для высоких уровней безопасности, верная оценка количества полос слежения, требуемая для достижения конкретного коэффициента успешности, становится интенсивной (из-за проблем статистического отбора). Уже в симуляциях запуск 1000 атак, каждая из которых использует запросов, требует много времени. А когда мы переходим к анализу реальных слежек (требуется больше времени для создания и места для хранения), это ограничение становится еще более критичным. Интересно то, что это именно та ситуация, когда информационно-теоретический анализ становится полезным. Имея модель утечки, общая информация может быть оценена с меньшим количеством данных, чем коэффициент успешности соответствующей шаблонной атаки. И

Рис. 8. Утечка информации и коэффициенты успешности для маскировки первого, второго и третьего порядков.

согласно [13], Теореме 2, эта общая информация должна разумно сочетаться с количеством полос слежения, требуемых для достижения конкретного коэффициента успешности. Чтобы подтвердить эти ожидания, мы провели оценку этого количества, основанного на инверсии общей информации с постоянным фактором c. Как показано на Рисунке 8, это приблизительное значение является верным с той же постоянной c для всех атак и зависит от коэффициента успешности, который требуется достичь (здесь 90%). В итоге, эти симуляции подтверждают значимость информационно-теоретического анализа при создании контрмер против атак по сторонним каналам.

Прежде чем делать выводы, мы еще раз хотим заметить, что такой информационно-теоретический анализ перехватывает только самых мощных взломщиков, чье моделирование распределения утечки идеально. Но на практике снижение утечки информации не является единственным эффектом, который повышает безопасность в маскированных реализациях. То есть фпв оценка многомерных распределений может стать слишком сложной для использования всей информации в полосах слежения. Количество пар, троек и т.д. образцов для тестирования при атаках также значительно повышает их временную сложность (до , и т.д.). Однако мы считаем, что формальный анализ наихудшего сценария, как в этой работе, является важным шагом для лучшего понимания контрмер маскировки.

Выводы

Результаты этой работы предоставляют первую и унифицированную трактовку анализа энергопотребления более высокого порядка. Они позволяют выявить сильные и слабые стороны различных подходов к DPA второго порядка и предоставить разумное их объяснение. Наш анализ иллюстрирует, что при наличии криптографических устройств, защищенных маскировкой, не достаточно запуска одного произвольного отличительного знака для повышения безопасности реализации. Оценки должны состоять из двух этапов. Сначала информационно-теоретический анализ устанавливает реальную утечку информации (например, влияние контрмер, независимо от взломщика. Затем анализ безопасности устанавливает эффективность различных отличительных признаков при использовании этой утечки. Применяя такую методику к симуляциям и практическим экспериментам, мы последовательно получаем четкую и детальную оценку уровня безопасности, который может обеспечить схема маскировки.

Не вступая в противоречия с предыдущими результатами в этой области, наши исследования меняют понимание конкретных предположений и позволяют улучшить непосредственное восприятие. Во-первых, теоретический анализ и эмпирические атаки иногда демонстрируют большой разрыв между эффективностью моделированных атак, которые успешно используют информацию двух или более образцов утечки, и одной из не моделированных атак, которые чаще всего применяются на практике. Это относится к наблюдению о том, что статистика при атаках по сторонним каналам используется для выделения секретных данных (в то время как, их естественной целью является оценка). Поэтому исследование продвинутых техник оценки фпв в условиях атак по сторонним каналам является интересным направлением для будущих исследований, таких, например, как были запущены АОИ в [18].

Во-вторых, улучшение безопасности, полученное при повышении порядка схемы маскировки, незначительно, если оно не идет рука об руку с достаточным количеством шума в утечках. Это наблюдение относится к общепринятой догадке о том, что сопротивляемость сторонних каналов требует комбинации нескольких контрмер, чтобы быть эффективной. Мы также демонстрируем в этой работе то, что информационно-теоретический анализ обладает полезными свойствами и инструментами для точной оценки этого шумового порога. В результате, поиск лучшей комбинацией маскировки с другими контрмерами (например, стили двух полосной логики, рандомизация времени, и т.д.) является вторым интересным вопросом для исследования. Наконец, отношения между общей информацией и коэффициентом успешности моделированной атаки, которые экспериментально демонстрируются в этой работе в условиях DPA второго (и выше) порядка, могут быть проанализированы в целях получения ее более формального оправдания, например при допущении гауссова шума в утечках.

Благодарности. Эта работа была частично профинансирована Европейской Комиссией ECRYPT-II NoE (ICT-2007-216676), Бельгийской государственной программой IAP P6/26 BCRYPT, Валлонским проектом SCEPTIC, проектом FWO G.0300.07, K.U. Leuven-BOF (0T/06/40) и Австрийским научным фондом (FWF) по гранту за номером P22241-N23: «Исследование применения атак». Э. Освальда частично поддерживал грант EPSRC за номером EP/F039638/1. Ф.-К. Стандэрт – это научный сотрудник Бельгийского фонда научных исследований (FNRS-F.R.S).

A Дополнительные рисунки

Рис. 9. Распределение вероятностей утечки для функции объединения результата.
Fig. 10. Коэффициент успешности (симулированных) моделированных атак на маскированную AES S-Box.
Рис. 11. Доступно по адресу: eprint.iacr.org .
Рис. 12. Доступно по адресу: eprint.iacr.org .
Рис. 13. Доступно по адресу: eprint.iacr.org .

Контакты авторов материала

  1. Universit ́e catholique de Louvain, Crypto Group, Belgium
  2. Universit ́e catholique de Louvain, Crypto Group, Belgium
  3. University of Bristol, Department of Computer Science, UK
  4. K.U. Leuven, ESAT/SCD-COSIC and IBBT, Belgium
  5. Graz University of Technology, IAIK, Austria
  6. Ruhr University Bochum, Horst G ̈ortz Institute for IT Security, Germany
  7. Infineon Technologies AG, Security Innovation, Germany

Примечание

  1. Мы смоделировали шаблоны, как описано в [14] для DPA, основанной на шаблонах.

Литература

  1. 1,0 1,1 1,2 1,3 Chari, S., Jutla, C.S., Rao, J.R., Rohatgi, P.: Towards Sound Approaches to Counteract Power Analysis Attacks. In: Wiener, M. (ed.) CRYPTO 1999. LNCS, vol. 1666, pp. 398-412. Springer, Heidelberg (1999)
  2. Goubin,L.,Patarin,J.:DESandDifferentialPowerAnalysis.In:Koc,C.K.,Paar,C.(eds.) CHES 1999. LNCS, vol. 1717, pp. 158-172. Springer, Heidelberg (1999)
  3. Schramm, K., Paar, C.: Higher Order Masking of the AES. In: Pointcheval, D. (ed.) CT-RSA 2006. LNCS, vol. 3860, pp. 208-225. Springer, Heidelberg (2006)
  4. Mangard,S.,Popp,T.,Gammel,B.M.:Side-ChannelLeakageofMaskedCMOSGates.In: Menezes, A. (ed.) CT-RSA 2005. LNCS, vol. 3376, pp. 351-365. Springer, Heidelberg (2005)
  5. Joye, M., Paillier, P., Schoenmakers, B.: On Second-Order Differential Power Analysis. In: Rao, J.R., Sunar, B. (eds.) CHES 2005. LNCS, vol. 3659, pp. 293-308. Springer, Heidelberg (2005)
  6. 6,0 6,1 Messerges,T.S.:UsingSecond-OrderPowerAnalysistoAttackDPAResistantSoftware. In: Paar, C., Koc, C.K. (eds.) CHES 2000. LNCS, vol. 1965, pp. 238251. Springer, Heidelberg (2000)
  7. 7,0 7,1 Waddle, J., Wagner, D.: Towards Efficient Second-Order DPA. In: Joye, M., Quisquater, J.-J. (eds.) CHES 2004. LNCS, vol. 3156, pp. 1-15. Springer, Heidelberg (2004)
  8. 8,0 8,1 8,2 8,3 8,4 8,5 Prouff, E., Rivain, M., Bevan, R.: Statistical Analysis of Second Order DPA. IEEE Transactions on Computers 58(6), 799-811 (2009)
  9. Brier, E., Clavier, C., Olivier, F.: Correlation Power Analysis with a Leakage Model. In: Joye, M., Quisquater, J.-J. (eds.) CHES 2004. LNCS, vol. 3156, pp. 16-29. Springer, Heidelberg (2004)
  10. 10,0 10,1 10,2 10,3 Mangard, S., Oswald, E., Standaert, F.-X.: One for All, All for One: Unifying Standard DPA Attacks, Cryptology ePrint Archive, Report 2009/449
  11. Kocher, P.C., Jaffe, J., Jun, B.: Differential Power Analysis. In: Wiener, M. (ed.) CRYPTO 1999. LNCS, vol. 1666, pp. 388-397. Springer, Heidelberg (1999)
  12. 12,0 12,1 Chari, S., Rao, J., Rohatgi, P.: Template Attacks. In: Kaliski Jr., B.S., Koc, C.K., Paar, C. (eds.) CHES 2002. LNCS, vol. 2523, pp. 13-28. Springer, Heidelberg (2003)
  13. 13,0 13,1 13,2 13,3 13,4 13,5 13,6 13,7 Standaert,F. X., Malkin,T.G.,Yung,M.: AUnifiedFrameworkfortheAnalysisof Side-Channel Key Recovery Attacks. In: Joux, A. (ed.) EUROCRYPT 2009. LNCS, vol. 5479, pp. 443-461. Springer, Heidelberg (2009); extended version available on the Cryptology ePrint Archive, Report 2006/139, http://eprint.iacr.org/2006/139
  14. Prouff, E., Rivain, M.: A Generic Method for Secure S-box Implementation. In: Kim, S., Yung, M., Lee, H.-W. (eds.) WISA 2007. LNCS, vol. 4867, pp. 227-244. Springer, Heidelberg (2008)
  15. 15,0 15,1 Mangard, S., Oswald, E., Popp, T.: Power Analysis Attacks. Springer, Heidelberg (2007)
  16. 16,0 16,1 Standaert, F.-X., Peeters, E., Archambeau, C., Quisquater, J.-J.: Towards Security Limits in Side-Channel Attacks. In: Goubin, L., Matsui, M. (eds.) CHES 2006. LNCS, vol. 4249, pp. 30-45. Springer, Heidelberg (2006); latest version available on the Cryptology ePrint Archive, Report 2007/222, http://eprint.iacr.org/2007/222
  17. Oswald, E., Mangard, S.: Template Attacks on Masking - Resistance Is Futile. In: Abe, M. (ed.) CT-RSA 2007. LNCS, vol. 4377, pp. 243-256. Springer, Heidelberg (2006)
  18. 18,0 18,1 18,2 Gierlichs, B., Batina, L., Tuyls, P., Preneel, B.: Mutual Information Analysis - A Generic Side-Channel Distinguisher. In: Oswald, E., Rohatgi, P. (eds.) CHES 2008. LNCS, vol. 5154, pp. 426-442. Springer, Heidelberg (2008)
  19. Gierlichs, B., Batina, L., Preneel, B., Verbauwhede, I.: Revisiting Higher-Order DPA Attacks: Multivariate Mutual Information Analysis. In: Pieprzyk, J. (ed.) CT-RSA 2010. LNCS, vol. 5985, pp. 221-234. Springer, Heidelberg (2010)
  20. Prouff, E., Rivain, M.: Theoretical and Practical Aspects of Mutual Information Based Side-Channel Analysis. In: Abdalla, M., Pointcheval, D., Fouque, P.-A., Vergnaud, D. (eds.) ACNS 2009. LNCS, vol. 5536, pp. 499-518. Springer, Heidelberg (2009)
  21. Piret, G., Standaert, F.-X.: Security Analysis of Higher-Order Boolean Masking Schemes for Block Ciphers (with Conditions of Perfect Masking). IET Information Security 2(1), 1-11 (2008)
  22. Faust, S., Rabin, T., Reyzin, L., Tromer, E., Vaikuntanathan, V.: Protecting Circuits from Leakage: the Computationally-Bounded and Noisy Cases. In: Gilbert, H. (ed.) EUROCRYPT 2010. LNCS, vol. 6110, pp. 135-156. Springer, Heidelberg (2010)