Формальное изучение вопросов изменчивости питания и атак по побочным каналам для устройств нанометрового масштаба

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 23:30, 6 ноября 2015.
A Formal Study of Power Variability Issues and Side-Channel Attacks for Nanoscale Devices
Multi-query Computationally-Private Information Retrieval with Constant Communication Rate.PNG
Авторы Mathieu Renauld, Fran¸cois-Xavier Standaert, Nicolas Veyrat-Charvillon, Dina Kamel, and Denis Flandre
Перевели коллектив проекта «Gir»
Год перевода 2011 г.
Скачать оригинал

__NUMBEREDHEADINGS__

Аннотация. Изменяемость является центральным вопросом в глубоких субмикронных технологиях, в которых становится все более трудным получение двух чипов с одинаковым поведением. Хотя воздействие изменчивости хорошо изучено с точки зрения микроэлектроники, очень мало работ исследовали этот вопрос в криптографическом смысле. Это является важной задачей, так как 65 и менее нано технологии будут в скором времени применены в большом числе устройств безопасности. На основе измерений, выполненых для 20 прототипов AES чипов, эта работа предлагает первое комплексное решение вопроса изменчивости для атак по побочным каналам. Мы покажем, что масштабирование технологии подразумевает существенные изменения с точки зрения физической безопасности. Во-первых, общие модели утечек (например, на основе подхода Хэмминга к операциям с данными) более не применимы, так как размеры транзисторов уменьшаются, даже для стандартных CMOS схем. Это влияет как на оценку аппаратных затрат, так и на формальную часть, предполагая, что независимые вычисления приводят к независимым утечкам. Во-вторых, мы обсуждаем последствия изменчивости для профильных атак по побочным каналам. Мы описываем такое расширение модели утечек, которое позволяет профилированной модели для одного устройства привести к успешной атаке против другого устройства. Мы также определяем понятие воспринимаемой информации для данного контекста, что обобщает понятие основной информации в деградированных моделях утечек. Наши результаты показывают, что существующие атаки по побочным каналам не вполне подходят для этого нового контекста. Они представляют собой важный шаг в понимании проблем, связанных с будущими теоретическими и практическими технологиями устойчивой к утечкам криптографии.

Введение

Атаки по побочным каналам являются одной из наиболее значимых угроз для современных криптографических приложений. С появлением анализа мощности [1] и электромагнитного анализа [2][3], разработка и оценка мер противодействия таким физическим атакам становится все более важной исследовательской темой. Оценка безопасности коммерческих продуктов (таких как смарт-карты) подразумевает основные разработки в области безопасности для устройств. На различных уровнях предлагались всевозможные решения для повышения безопасности от атак по побочным каналам. Они варьируются от предложений по модификации аппаратной части [4] и до универсальных методик, с использованием формализмов современной криптографии [5]. Значительный успехи были достигнуты в части лучшего понимания статистических аспектов анализа мощности и ее связи с такими контрмерами, как маскировка и скрытие (описаны в DPA книге [6] ).

В отличие от классического криптоанализа, работающего с абстрактными математическими объектами, криптоанализа побочных каналов зависит от конкретного приложения. Эта особенность специализации значительно увеличивает мощность. Криптографические алгоритмы, которые предполагаются (и доказаны) безопасными от классических противников, даже при больших сложностях с временем и памятью, часто оказываются совершенно небезопасными против физических атак на незащищенные устройства. Как следствие, технологическая зависимость лежит в основе как теоретического, так и практического анализа побочных каналов. С одной стороны, атаки на криптографические системы являются наиболее эффективными, если они обладают хорошим пониманием физических основ. С другой стороны, решения (доказуемые) по обеспечению безопасности от утечек в устройствах должны полагаться на правильное осознание особенностей имеющегося оборудования. В этой работе мы будем решать вопрос технологической зависимости и покажем, что некоторые из общих допущений, использованных при анализе мощности атак, не будут применимы в будущем шифровальном оборудовании.

В частности, масштабирование CMOS технологии, которое лежит в основе большинства нынешних микроэлектронных устройств, используется для интегральных схем еще с конца 1950-х. Сокращение транзисторов, как правило, связано с необходимостью повышения работоспособности и сокращения затрат на каждую операцию. Но, при достижении масштаба нанометров, возникают два основных негативных побочных эффекта. Во-первых, относительная важность вопроса увеличения статичных токов (т.е. потребления энергии, даже если не производится расчет) [7]. Во-вторых, становится важным вопрос изменчивости устройств (т.е. становится все труднее создать идентичных чипы) [8][9]. Как следствие, целью данной работы является изучение влияния этих эффектов, с акцентом на изменчивость мощности, с точки зрения атак по побочным каналам. Точнее говоря, наш вклад заключается в следующем.

  1. В классических DPA атаках используется коэффициент корреляции Пирсона для того, чтобы сравнить прогнозы для утечек с фактической работой чипа [10]. Эти (так называемые) корреляционные атаки будут наиболее эффективны,

если доступна хорошая модель предсказания утечек. Очень часто решением этой задачи является использование веса (или расстояния) Хэмминга для рабочих данных. Мы покажем, что такие модели не являются точными для технологий в 65 и менее нанометров. Следовательно, их использование может привести к переоценке безопасности (защищенной или нет) конкретной реализации.

  1. Последние работы в области устойчивой к утечкам криптографии часто предполагают, что независимые вычисления приводят к независимым утечкам. Мы утверждаем, что эти предположения не выполняются для 65-нм технологий. В частности, мы покажем, что линейные модели утечек, зависящие только от бита ввода/вывода и S-бокса, не в состоянии учесть паразитные эффекты, возникающие в процессе вычислений. Затем мы обсудим последствия данного наблюдения и подчеркнем, что они отличаются от работы [11], которая предполагает независимость на уровне цепочек, и работы [12], которая предпологает независимость в более широком масштабе, например, между функциональными блоками.
  2. Профилированные атаки, например, с использованием шаблонов [13] или стохастических моделей [14], являются важным классом атак по побочным каналам, в котором противник сначала характеризует целевое устройство (для того, чтобы получить точное представление о распределении вероятностей утечек), а затем использует эти знания в сильной онлайн фазе. В этом контексте важно знать, является ли полученный для одного устройства профиль применимым к другим аналогичным устройствам. Мы обсуждаем этот вопрос в свете повышенной изменчивости современных технологий. Для этой цели мы определяем воспринимаемую информацию, которая является обобщением информации для деградированных моделей утечек.
  3. Наконец, мы приводим эмпирические оценки как для утечек информации, так и для показателей эффективности различных атак и приложений. Наши результаты получены для набора из 20 реализаций AES модели для 65-нм маломощных CMOS технологий. Мы используем эти эксперименты, чтобы обсудить влияние на утечки информации подачи питания и выбора значимых временных образцов. Мы также используем данное исследование, чтобы сравнить реальные измерения с их моделированием.

Подводя итог, можно отметить, что многие имеющиеся работы охватывают воздействие нанотехнологий с точки зрения микроэлектроники, например, [15], всего в нескольких из них рассмотрены последствия для проблемы безопасности. Насколько нам известно, только экспериментальное моделирование в работе [16] изучает этот вопрос. В данной работе мы расширяем предварительные исследования и показываем, что масштабирование технологий вызывает новые проблемы для теории и практики атак по побочным каналам, которые не являются полностью решенными доступными статистическими инструментами, методами и предположениями.

Предварительные сведения

Основные цели

Наш анализ основан на реальных и смоделированных треках мощности, полученных для S-бокса AES модели, специально созданных для маломощных 65-нм CMOS технологий и измеряемых при двух различных напряжениях питания: 1,2В и 0,5В. Мы использовали оптимизированную структуру S-бокса, основанную на композитной арифметике полей, описанной в работах [17] и [18].

Измерения были выполнены для 20 прототипов чипов для этого S-бокса, каждый из которых сделан из 1530 CMOS логических транзисторов, с максимальной глубиной 22. Задержка S-бокса составляет 3 нс при напряжении питания в 1,2В, что определяет максимальную рабочую частоту в 200 МГц (с учетом 2 нс для безопасности). Эта максимальная тактовая частота падает ниже 10 МГц при уменьшении напряжения питание до 0.5В. В наших экспериментах мы следили за падением напряжения на резисторе, введеном в цепь питания микросхем, используя осциллограф с высокой точностью (1 отбор/сек); работа чипа велась на частоте в 2 МГц (из-за ограничений нашей прототипной платы). Дальнейшее моделирование было выполнены с использованием модели Спайса, при таких же параметрах, как и для реальных измерений в выбранном технологическом узле.

Обозначения

Пусть трек мощности будет выходом для функции утечек . В наших экспериментах функция утечек будет существенно зависеть от трех входных параметров: и . Дискретные случайные величины обозначают входные значения для используемого S-бокса, дискретная случайная величина С обозначает индекс используемого чипа, непрерывная случайная величина обозначает шум в измерениях. В результате, мы обозначим случайную величину, представляющию трек утечек, как , где аргументы записываются заглавными буквами, если они являются переменными, и, как прописными буквами если они фиксированны. Например отвечает за одиночный трекизмерения, с соответствующими входными и чипом , отвечает за случайную величину для трека с шумами, с соответствующими входными и чипом . Обозначим также временной образец в треке утечки, как . И, наконец, иногда удобно рассматривать бесшумные средние треки, которые определяются как:

где означает средний оператор, который должен быть заменен выборочным средним оператором (обозначается как ) при применении к фактическим измерительным трекам. Среды моделирования, такие как у Спайса, не позволяют непосредственно задать параметры для уровня шума в треках мощностей. Таким образом, они обеспечивают бесшумные треки по умолчанию. В этом случае для того, чтобы проанализировать влияние шума на безопасность наших AES S-боксов, наша оценка использует аддитивный гауссовский шум (который является разумной отправной точкой для моделирования анализа атак по побочным каналам). Обозначим через функцию плотности вероятности (pdf) для нормальной случайной величины со средним , дисперсией и оценивающую вход . Это дает нам:

где имеет среднее равное 0 и дисперсию . При рассмотрении нескольких временных образцов для трека (т.е. ), среднее и дисперсия будут заменятся средним вектором и ковариационной матрицей. Наше моделирование оценки предпологает одинаковое распределение шумов для всех входов, чипов и временных образцов. В отличие от этого, при рассмотрении реальных треков мощностей, шум непосредственно присутствует в измерениях, получаемых с осциллографа. В этом случае наши оценки характеризуют его распределение, чтобы учесть возможные корреляции между различными временными образцами.

В качестве иллюстрации приводится рисунок 9 в приложении А, на котором показаны бесшумные треки мощности для 4 различных входов, измеренные для 10 различных чипов, при напряжении питания в 1,2В и 0,5В, полученные при моделировании и реальных измерениях.

Распределение шумов

Предварительный анализ для набора треков утечек обычно начинается с определения характеристик шума. Для этой цели мы впервые применили систему фильтрации, описанную в приложении B, с целью устранения некоторых паразитных частот из треков. Затем мы проверили распределение остаточных шумов. В последних работах по атакам по побочным каналам, это распределение, как правило, считается нормальным, со средним равным нулю и дисперсией [6]. Использование проверки нормальности (подобно квадратичному тесту Пирсона) говорит нам, что, формально, остаточный шум не точно соответствует нормальному распределению. Тем не менее, соотношение между энтропией для нормального распределения и расхождение Кульбака-Лейблера с фактическим распределением для нее является меньше, чем 0,5%, что означает, что распределения остаточных шумов очень близко к гауссовскому. Как будет показано в следующем разделе, это предположение также подтверждается с точки зрения побочных каналов, при сравнении утечек информации, рассчитаных реальным распределением или с помощью нормального распределения.

Физическая изменчивость

Трек потребляемой мощности для электронного устройства может быть разделена на статическую и динамичную части. Эти части могут быть определены при помощи визуального осмотра: статическая мощность соответствует постоянной части треков, динамическая мощность соответствует их переменной части. Динамическая мощность, как правило, наиболее полезна в атаках по побочным каналам, потому что ее сильная зависимость от входа может быть использована для накопления информации о секретных значениях, используемых устройством. Как обсуждалось в работе [19], физическая изменчивость динамической энергии в нано устройствах может быть объяснена колебаниями емкости, которые усиливаются при увеличении задержек на вычисления, из-за случайных сбоев, генерируемых изменчивостью несбалансированных логических путей. В дальнейшем, мы в основном уделим внимание двум параметрам, которые влияют на физическую изменчивость.

Во-первых, напряжение питания может быть уменьшено, что приводит к уменьшению динамической мощности и увеличению задержки, а это подразумевает более высокую изменчивость. Во-вторых, в треках могут быть выбраны различные временные образцы. Из-за воздействие вычислительных задержек на случайные сбои в этих треках, образцы, соответствующие началу вычислений обладают меньшей изменчивостью, чем те, которые имеются к концу вычислений. Эти параметры можно проиллюстрировать при помощи дисперсии треков мощности для входных открытых текстов и чипов, как показано на рисунке 1. Видно, что разница между чипами (в связи с физической изменчивостью) увеличивается при переходе напряжения питания от 1,2В к 0,5В. Кроме того, для питания в 0,5В, то есть, когда изменчивость становится значительной, эта разница локализована в конечных временных образцах. Обратим внимание, что этот эффект особенно заметен при реальных измерениях.

Снижение размерности

Одна из сложных задач при атаках по побочным каналам заключается в выборе правильных образцов интереса для треков. Ранее выдвигалось много предположений по решению данного вопроса. Простое решение состоит в применении атак для всех образцов в треке и выборе тех, которые работают лучше. Это возможно, например, при DPA атаках Кохера [1], корреляционных атаках [10] или шаблонных атаках [13] (при условии, что шаблоны построены для сокращененного числа проб). Кроме того, можно также использовать такие методы сокращения размерности, как атака по основным компонентам (РСА) или линейная дискриминантная атака (LDA) [20]. Эти линейные преобразования могут быть использованы для проецирования треков в малые подпространства с целью "обобщения" полезной информации от нескольких образцов

Рис. 1. Отклонения от треков мощности для входных текстов и чипсы. Слева: напряжение питание в 1,2В, справа: 0,5В, наверху: моделирование, внизу: реальные измерения.

PCA атака использует межклассовую дисперсию как критерий оптимизации, в то время как LDA атака использует соотношение межклассовой и внутриклассовой дисперсии. Рисунок 11 в приложении С показывает собственные вектора, соответствующие основным компонентам при PCA и LDA атаках для моделирования треков. Это показывает, что физическая изменчивость делает применение PCA атаки бесмысленным, так как она не может выявить различия между дисперсией для внутреннего текста и чипов. В отличие от этого, LDA атака дает хорошие результаты в этом случае и отбирает только ранние временные образцы в треках, где дисперсия текстов большая и дисперсия чипов маленькая. С целью упрощения интерпретации результатов для наших анализов в следующих разделах мы уменьшаем размерность, выбирая один из трех значимых временных образцов, с малой, средней и крупной изменчивостью (примеры даны в верхней левой части рисунка 9 в приложении А).

Теоретический анализ информации

Целью данной работы является изучение влияния изменчивости чипов на атаки по побочным каналам. Для этой цели, мы начнем с теоретического анализа информации. Как указано в работе[21], можно проводить количественный анализ безопасности реализации в отношении противника, который может определить функцию плотности вероятности утечек. В нашем контексте, мы будем рассматривать информацию между секретным входом для S-бокса и соответствующей утечкой . Мы проанализировали три типа утечек. Во-первых, мы использовали моделирование . Во-вторых, мы использовали реальные измерения . В-третьих, мы рассмотрели ситуацию с гибридным сочетанием из среднего трека, полученного на осциллографе и смоделированного шума: .

Интересно, что наличие внитричиповой изменчивости подразумевает новые опасения относительно вида функцию плотности вероятности утечек. В нашей 65-нм технологии, два кремниевых элемента с одинаковыми функционалами могут привести к различным мощностям потребления. И эта изменчивость может даже произойти внутри чипа, например, два S-боксы в пределах одной реализации AES модели могут иметь разные модели утечек. Как следствие, этот раздел будет посвящен двум основным сценариям. В первом из них, определение профиля и атака выполняются на одном чипе. Этот сценарий отражает классическое предположение, что два одинаково сделанных чипа дают одинаковые утечки. Это соответствует худшему случаю, когда вся информация, видимая при утечке, может быть использована противником. Во втором (более реалистичном) сценарии, используются разные чипы для определения профиля и атаки. Мы рассматриваем возможность создания шаблонов для набора из n чипов и атаки на (n+1)-й чип, чтобы вывести влияние процесса изменчивости. Делая это, мы вводим новое понятие "воспринимаемой информации", которое относится к потере информации, происходящей из-за деградации шаблона противника.

В этом разделе будут также рассмотрены два дополнительных вопроса. Во-первых, мы оцениним предположение о "независимой утечке", которое часто требуется при формальном анализе безопасности в физической криптографии, [12][11]. Затем мы обсудим понятие обоснованности модели и ее связь со сценариями стандартных DPA атак [10][13][1][22] и алгебраических атак по побочным каналам [23][24][25].

Наихудший случай: создание профиля и атака в одном чипе

Анализ утечек информации в криптографических приложения требует, прежде всего, выбора техники создания профиля, с целью оценки функции плотности вероятности утечек. В этом разделе, мы используем шаблонные атаки [13], которые являются наиболее общим решением для данной цели. Шаблонная атака по существу работает в два этапа. В первом этапе создания профиля, противник строит 256 гауссовских шаблонов, обозначаемых как , соответствуюзих 256 максимально правдоподобным оценкам условной функции плотности . Затем, во втором онлайн этапе, он использует эти шаблоны для восстановления информации из чипа с утечкой, для которого выберается максимально вероятный входной кандидат:

Теоретический анализ информации, введеный в работе [21], состоит в оценке вероятностей для различных входов и вычислении взаимной информации:

где получена из при помощи формулы Байеса и являются множествами всех возможных входных значений и утечек. На практике реальные распределения утечек неизвестны априори, ни для противников, ни для оценщиков. Таким образом, вероятность утечки в зависимость от входа заменяется выборочной оценкой (т.е. как правило, по одной на каждый измеренный трек). Вероятность входа в зависимость от утечки заменяется оценкой противника .В целом, предполагается, что модель противника достаточно близка к фактической утечке в чипе, что позволяет формально вычислять взаимную информацию. Как показано в работе [26] в контексте маскировочных контрмеры, взаимная информация является отличным показателем успеха шаблона противника. Однако, если модель противника деградирует по какой-либо причине и отличается от фактического распределения утечки в чипе, то взаимная информация не может быть вычислена.

Для того чтобы отразить такие ситуациях, введем следующее определение воспринимаемой информации:

При создании профиля и атаки в одном чипе с достаточно точными шаблонами, и будут одинаковыми, и воспринимаемая информация сводится к взаимной информации. С точки зрения побочных каналов, смысл воспринимаемой информации близок к взаимной информации: она включает информацию о скрытых переменных , полученную при наблюдении утечек , полученных в соответствии с плотностью , и интерпретированных с помощью модели .Это означает, что воспринимаемая информация меньше или равна взаимной информации, и может иметь отрицательное значение, показывая, что утечка была неправильно интерпретирована противником. В этом случае атаки по побочным каналам не приводят к своему правильному результату (то есть они не выдают правильный ключ). Воспринимаемая информация может также уменьшаться пропорционально шуму. Такое противоречивое поведение будет наблюдаться в следующих случаях: меньшее количество шумов может увеличить неправильную интерпретацию модели, так как вероятность правильного события будет близка к нулю в этом случае. Отметии, наконец, что в при моделировании, сумма утечек в уравнениях (2) и (3) становится неотъемлемой для аналитического описания функции плотности вероятности.

Результаты нашего анализа для наихудшего случая для создания профиля и атаки в одном чипе отображены на рисунке 2 (как среднее для 20 чипов); модели использовуют 1, 2 или 3 образца (обозначаются как 1D, 2D и 3D). Они не дают отклонений от предыдущего теоретического анализа информации (например, воспринимаемая информация всегда положительна). Они также подтверждают, что снижение питания уменьшает утечки информации, и, что большие измерения для утечек предоставляют противнику больше информации [27]. На деле, наиболее интересные наблюдения в этих экспериментах, относятся к моделированию:

  1. Смоделированный шум. Как видно из правой части рисунка, средние измерения вместе со смоделированным шумом (т.е. ) обеспечивают отличное приближение к фактическим измерениям с реальными шумами (т.е. ) с точки зрения утечки информации. Это согласуется с нашим наблюдениеми в разделе 2.3.
  2. Смоделированные треки. Как видно из различия между левой и правой частями рисунка, утечки информации для смоделированных треков соответствуют реальному треку при 1,2В, и имеют больше отклонения при 0,5В (т.е. при росте изменчивости). Это можно объяснить трудностями рассмотрения всех физических эффектов в симулирующих моделях (в том числе для наших). Обеспечение числовых значений должно проводится с осторожностью в таких случаях.

В остальной части статьи, мы систематизированно рассмотрим усредненные измерения и моделирования шума в наших оценках, так как они ведут себя очень близко к реальным измерениям, позволяя делать изменения уровней шума.(Для каждого эксперимента, мы дополнительно проверили, чтобы ни один смоделированный шум не имел значительных отклонение от реального уровня, показанного на рисунке 2.)

Рис. 2. Взаимная информация между входом X и соответствующей утечкой L для функции со стандартным отклонением шумов; для 1D, 2D и 3D утечек. Слева: моделирование. Кривые справа: измерение + моделирование шума. Звездочкой обозначены реальные измерения.

Предположение о «Независимой утечке»

Важное предположение, содержащееся в нескольких работах из области устойчивой к утечкам криптографии, состоит в том, что независимые вычисления приводят к независимым утечкам. Наши эксперименты показывают, что такое предположения не выдерживается на практике. Первой причиной для этого, обсуждаемой в работе [28], являются перекрестные связи: ток, протекающий в одном проводе шины может существенно повлиять на один из соседних проводов, как с точки зрения задержек, так и потребляемой мощности. В целом, связь между локально связанными частями интегральной схеме, такими как наши S-боксы, имеет значительное влияние в этом отношении. Например, треки утечек различных чипов на рисунке 9, существенно отличаются.

Основной причиной различных форм являются ошибки, то есть случайные переходы на входах/выходах, вызванные сигналами, поступающими в различное время. Поскольку моменты появления сигналов зависят от всего пути цепочки, сбои будут просто выражать зависимость утечек от различных частей цепи.

В общем, трудно оценить количественно воздействие каждого типа связи, возможного в рамках интегральной схемы. Это происходит потому, что только сочетание всех этих эффектов можно наблюдать в измеряемом треке. Тем не менее, можно показать, что простые модели, которые представляют собой линейные комбинации S-боксов входных или выходных битов, не в состоянии охватить всю сложность утечек для наших треков. Стохастические модели, введенные Шиндлером и соавт. [14] являются очень полезным инструментом для количественной оценки данного утверждения. Принцип стохастических моделей состоит в осуществлении регрессии для того, чтобы найти функцию наиболее похожую на реальную функцию утечек, где представляют собой основу для регрессии. Если использовать выходные биты S-бокса в качестве базовых векторов, приближенная функция будет линейной. И, добавляя квадратичные, кубические,... значения в базис, можно уточнить приближение. В конце концов, стохастическая модель, использующая все возможные степени, равные или меньшие 8, имеет достаточно степеней свободы, чтобы задать независимое значение для утечки каждого входа S-бокса, т.е. она строго эквивалентна исчерпывающему построению 256 шаблонов.

Обратим внимание, что при оценке утечки информации стохастической моделью с помощью небольших базисов, модель, используемая противником не соответствует фактической утечке функции плотности вероятности . Это происходит, например, если стохастическая модель не в состоянии охватить все зависимости утечек от треков.

Левая часть рисунка 3 показывает утечку информации, соответствующую различным стохастических моделей. Для низкого уровня шума со стандартным отклонением и базиса малой степени видно, что стохастические модели не являются точными, так как воспринимаемая информация имеет отричаетельные значения. На рисунке также показано, что добавление показателей в базис изменяет результаты в зависимости от временных образцов. Опять же, сложно дать простое определение нелинейным членам в базисе, так как они относятся к различным физическим эффектам. Как показано на правой части рисунка 3, комбинаторная схема соединяет несколько блоков, а любое промежуточное значение может быть использовано в качестве дополнительного базового вектора. Наши эксперименты по крайней мере показывают, что для любого временного образца в треке (даже для поздних, которые в основном зависят от выходных битов S-бокса) различные функции не могут быть предсказаны с помощью линейной комбинации битов.

Эти наблюдения имеют важные последствия для формальной работы в области физически наблюдаемой криптографии. Во-первых, они противоречат предположению из работы [11], в котором для доказательства безопасности требуется, чтобы разные блоки давали независимые утечки.

Рис. 3. Слева: взаимная информация между входом X и соответствующей утечкой L, для функции шума, полученной с помощью вероятностных моделей, содержащих функции различной степени для выходных битов S-бокса (при питании в 1,2В). Справа: комбинация блоков.

В общем смысле, маловероятно, чтобы это условие выполнялось для локально связанных частей цепи. Внедрение эффектов связи (например, функций утечки с квадратичными, кубическими и др выражениями) при подобном анализе дает интересные возможности для дальнейшего исследования. Теоретически, наши эксперименты показывают, что предположения [12][29], возможно, не всегда выполняются совместно. В этих работах предполагается независимость на более высоком уровне абстракции, например, требуя, чтобы два PRG приводили к независимой утечке. Учитывая важность взаимодействия в субмикронных технологиях, для выполнения этого требования, по крайней мере, необходимо обеспечить достаточное (по времени или пространству) расстояние между исполнениями, с тем чтобы точечные зависимости стали пренебрежимо малыми.

Реалистичный сценарий: создание профиля и атака для разных чипов

Как внутричиповая изменчивость увеличивается в последних CMOS технологиях, анализ для наихудшего сценария из предыдущего раздела уже не соответствует фактическим сценариям атаки. Это происходит потому, что шаблоны созданные для определенной реализации могут не быть оптимальными для других реализаций. Как следствие, мы теперь сосредоточимся на более реалистичной ситуации, когда создание профилей и атака проводятся для различных чипов. Успех восстановление ключей для побочных каналов будет существенно зависить от степени, в которой построеные при профилировании шаблоны достаточно близки к фактическому потреблению мощности. Опять же, измерения можно сделать при помощи воспринимаемой информации. Для того, чтобы построить устойчивую модель утечки , мы в первую должны улучшить профилирование, чтобы принять процессную изменчивость во внимание. Для этой цели подход заключается в расширении шаблона профилирования, как показано на рисунке 4. Этот подход представляет из себя классическую атаку с условным распределением утечек и , где (соотв. обозначает среднюю для образца (соот. дисперсию) переменную утечку для фиксированного текста , с чипа и случайного шума . Для того, чтобы учесть изменчивомсть между чипами, можно просто накапливать эти выборочные средние и дисперсии, рассматривая несколько чипов вместо одного.

Рис. 4. Пример шаблона, построенного из 1 чипа (вверху) и из 4 чипов (внизу).

Это означает применение следующих оценок:

, где

когда (аддитивный) моделируемый шум используется для . На левой части рисунка 5 показаны утечки информации из различных шаблонов, полученные с помощью различных наборов профилирующих чипов. Это показывает, что изменчивость имеет важные последствия для применения атак по побочным каналам. Во-первых, мы видим, что создание профиля для большого набора чипов позволяет избежать ситуаций, в которых воспринимаемая энтропия является отрицательной (см., например, кривую "10 против 1"). Это возможно лишь за счет уменьшенной утечки информации: по выведению внутричиповой изменчивости непосредственно в шаблонах, можно также получить модели, которые являются менее точными для отдельных чипов. Это можно наблюдать при значительно более высокой информационной кривой для худшего сценария (обозначается как "1 против 1 (один и тот же чип)"). Во-вторых, правая часть рисунка показывает эффект выбора временного образца на атаку: информация сокращается как при уменьшении входной изменчивости (время выборки от 75 до 110), так и при увеличении изменчивости чипа (время выборки от 75 до 300).

Рис. 5. Слева: теоретический анализ информации для различных наборов чипов (питанией в 1,2В). Справа: теоретический анализ информации для различных временных образцов (питание в 0,5В).

Очень важно правильно понять смысл этих различных кривых. Они показывают, что моделирование внитричиповой изменчивости с простым расширением шаблонных атак (как мы делали в этом разделе) приводит к значительной потере информации. Таким образом, подчеркивается необходимость разработки новых противников для атак по побочным каналам, которые могут лучше справляться с такими ситуациями. Одно из возможных решений, обсуждаемое в следующем разделе, заключается в использовании не профилированных противников а осуществления онлайн оценок при выполнении атаки.

Другим важным замечанием является то, что эти эксперименты не снижают актуальности кривой для худшего сценария при оценке безопасности: отличное создание профиля для одного чипа и оценка воспринимаемой информации в этом контексте (т.е. взаимной информации) остаются полезными для определения безопасности в пределах реализации. С точки зрения криптографических построений хорошей новостью является то, что технология масштабирования обычно делает достижение этого предела более трудным для фактических противников.

Устойчивость модели по сравнению с DPA устойчивостью

В предыдущем разделе было предположено, что внутричиповая изменчивость делает строительство точных шаблонов сложной задачей. Существуют случаи, в которых модель противника не устойчива, в том смысле, что она приводит к негативным значениям воспринимаемой информации. Следуя работе [21], модель утечек будет неустойчивой, если асимптотический успех байесовского противника при восстановлении секретного значения равен единице. В настоящей работе предполагается, что модель неустойчива, если все входы х могут быть восстановлены благодаря их соответствующим утечкам.

Это определение устойчивости очень строгое: одного обращения в шаблоны (например когда ) достаточно для неустойчивости модели. Тем не менее, она представляет особый интерес для применения алгебраических атак по побочным каналам [23][24][25], в которых ошибки в утечке информации обычно делают невозможным нахождение решений системы уравнений, содержащих секретный ключ. Как следствие, сейчас мы обсудим решение для получения устойчивых моделей утечки.

Для этой цели мы используем понятие ключевых классов. То есть, в предыдущем разделе мы всегда считали, что модель строится для всех 256 возможных S-боксов и входов x. Тем не менее, также можно построить менее информативные модели, учитывая меньшее количество шаблонов. Формально мы определяем функцию , которая сопоставляет каждому входу x ключевой класс . Число ключевых классов может быть равно (в случае тождественного отображения ) или меньше, чем число возможных входов: . Взаимный обмен информацией между переменными и входами X определяется следующим образом:

Учитывая переменную ключевых классов S, можно проверить правильность соответствующей модели утечек при условной матрице энтропии, определенной в работе [21]:

где s и s* обозначают правильные ключевой класс и кандидатов.Модель будет неустойчива тогда и только тогда, когда минимальным значением для каждой строки матрицы будут диагональные значения . Определив эти инструменты, мы можем разобрать компромисс между информативностью ключевого класса и обоснованность соответствующей модели утечек .Для этого мы рассматриваем последовательные ключевые классы с , отображающую функцию , отображающую группировку, близкую к утечкам и шаблонам, построенным для набора в 5 фишек, как показано в левой части рисунка 6. Правая часть рисунка показывает, как информативнось и надежность этих последовательных ключевых классов развивается вместе с вероятностями ошибки шаблона атаки, определенного как:

Видно, что можно построить ключевой класс с 6ю возможными значениями, для которых модель будет неустойчивой. Такие ключевые классы могут быть непосредственно использованы в алгебраических атаках по побочным каналам.

Рис. 6. Слева: построение более надежной/менее информативной модели. Справа: максимум информации предоставляемой моделью в зависимости от скорости классификации ошибок (питание в 1,2В).

Отметим, однако, что тут надо сделать теже комментарии, что и в предыдущем разделе. А именно, классические шаблонные атаки, вероятно, являются не самыми лучшими решениями для создания устойчивых к утечкам моделей.

В заключение этого раздела, мы отметим, что модель надежности является необходимым условием для успешных алгебраических атак по побочным каналам. Но для стандартных DPA атак [22], этого условия достаточно. То есть, стандартные DPA атаки, как правило, используют утечку в соответствующем исполнении S-бокса для нескольких текстов, то есть с тем, чтобы восстановить секретный ключ k. Следовательно, с точки зрения теоретической информации, соответствующей метрикой будет не , а с условной матрицей энтропии:

где k и k* обозначают правильный ключ и кандидата. Поскольку каждая строка матрицы вычисляется путем усреднения по 256 возможным входам x, то некоторые неправильно классифицированные треки не всегда могут помешать успешной DPA атаке. Другими словами, DPA-устойчивость для соответствующией матрицы с минимальной диагональю, будет более слабым требованием, чем надежность модели. В нашей ситуации, даже отображение приводит к успешной DPA атаке с использованием шаблонов. Анализ этого сценария приводится в следующем разделе.

Анализ безопасности

В предыдущем разделе приводился тщательный анализ утечек информации из AES S-боксов, реализованных для 65-нм CMOS технологий. Это показывает,что внутричиповая изменчивость делает применение профилированных атак (например, с помощью шаблонов, или стохастических моделей) менее эффективным, чем когда изменчивостью можно пренебречь. В этом разделе мы приводим вторую часть системы оценок из работы [21], т.е. анализ безопасности.

Рис. 7. Слева: Вероятность устойчивости для шаблонной атаки. Справа: ожидаемое число успешных сообщений с вероятностью в 0,9 для устойчивой атаки (питание в 1,2В).

С этой целью мы анализируем показатели эффективности различных противников в стандартных DPA рамках, для того, чтобы определить воздействие изменчивости в этом контексте. А именно, мы выполнили:

  • Шаблонные атаки, создавая профили в точности, как описано в разделе 2.3.
  • Корреляцию атак [10] с моделью утечек Хэмминга.(Это эквивалентно модели расстояний Хэмминга, соответствующей переходам входов S-бокса к к нулю.)
  • Анализ атак на взаимную информацию (MIA), используя модель Хэмминга и модель идентичности утечек (соответствует «7 из 8» S-боксу выходного бита). Наша реализация MIA анализа следует принципам, содержащимся в работе [30]: мы использовали гистограммы для анализа pdf функций, с 32 линейными интервалами, что позволило нам работать при слабой точности наших моделей утечек.
  • Непрофилированные атаки с использованием стохастических моделей, созданных онлайн, с линейными базисами, описанными в разделе 2.2. То есть, мы использовали методы создания профилей из работы [14], но это было сделано для каждого кандидата отдельно. Затем атака проводилась, как описано в работе [31]: каждый раз, когда противник получает новый трек, он повторяет профилирование и проверяет свои ключи непосредственно для набора доступных треков.

Рисунок 7 показывает влияние изменчивости на шаблонные атаки, для напряжения питания в 1,2В. Его левая часть показывает, что атаки могут вовсе не сработать, когда профилирование для определенного чипа используется для атаки на совершенно другой чип. Но, как говориться в предыдущем разделе, можно легко достич DPA-устойчивости путем профилирования более, чем 4 чипов. В правой части рисунка видно, что количество треков для атак снижается, когда модель устойчива и это количество ограниченно кривой для худшего сценария, соответствующей идеальной модели. Переход на питание в 0,5В приведет к аналогичным выводам, со сдвигом обеих кривых вправо.

На рисунке 8 показаны результаты для различных непрофилированных атак. Его правая часть содержит результаты корреляции атак на каждый из наших 20 чиповк. В нем подчеркивается, что модель Хэмминга (HW) позволяет достичь 100% успеха только для некоторых из этих чипов. Следовательно, она не может быть использована для оценки безопасности криптографических реализаций для этого случая.

Рис. 8. Слева: показатели эффективности для различных непрофилированных атак, усредненных по 20 чипам. Справа: показатели эффективности для корреляционных атак для каждого из 20 чипов (питание в 1,2В).

В левой части рисунка даны средние показатели эффективности (для всех 20 чипов) для различных непрофилированных атак. Предполагается, что атаки делают онлайн оценку моделей, выбирая использование стохастических или MIA моделей; это является перспективным подходом для борьбы с изменчивостью.

Выводы и открытые проблемы

Процессная изменчивость в нано устройствах поднимает новые проблемы для теории и практики атак по побочным каналам. Эксперименты, проведенные для 20 прототипов чипов, показывают, что прошлые DPA атаки не достаточны для оценки безопасности реализации в этом контексте. При отсутствии изменчивости, противники могут сперва создать профиль для модели утечки, а затем использовать его в онлайн атаки. С увеличением процессной изменчивости, становится необходимым создать правильную модель утечек для каждой конкретной реализации. Интеграция современных микроэлектронных схем также увеличивает сцепление между их частями, приводя к "независимым утечкам", часто требующимся в формальном анализе устойчивости. Таким образом, разработка новых методов для решения этого нового сценария атак имеет важное значение и позволяет избежать переоценки уровня безопасности реальных продуктов.

Благодарности

М. Рено является аспирантом, финансируемым проектом SCEPTIC. Ф-К Стендарт является исследователем бельгийской фонда научных исследований (FNRS - F.R.S). Н. Вейра-Шарвилон является исследователем, финансируемым проектом SCEPTIC. Д. Камель является аспирантом, финансируемым проектом Е.USER.

Приложения

A Образцы треков утечек

Рис. 9. Рисунки бесшумных треков утечек соответствующих 4 входам и 10 чипам.Слева: Питание в 1,2В, справа: питание в 0,5В. Вверху: моделирование, Внизу: реальные измерений.

В Предварительная обработка треков

Атаки по побочным каналам используют информацию о внутреннем состоянии вычислительного устройства, утечки, например, через следы энергопотребление. Эти треки мощностей также содержат какой-то шум, либо из-за непредсказуемого физического воздействия, либо из-за других возмущений, таких как измерительные артефакты (выбросы) или паразитные сигналы (помехи). Влияние шумов может иногда быть уменьшено путем переработки треков мощностей до фактического нападения.

Верхняя кривая в левой части рисунка 10 показывает автокорреляцию треков мощностей. Измеряется линейная корреляция между треком и его сдвигом на время . Автокорреляционная функция показывает две смешанные компоненты: фиксированные пики (около = 1000, 2000 и др.) и некоторых периодические синусоидальные компоненты с периодом, близким к 2000. Грубо говоря, соотношение пиков, отвечающим последовательным тактам из чипа, соответствуют полезным сигналам. Периодические паразитные синусоидальные компоненты могут быть отфильтрованы. Пример отфильтрованного трека приведен служит нижняя кривая левой части рисунка 10. Влияние этой предварительной обработки на распределение остаточного шума (по оценкам с гистограммам) показано в правой части рисунка. Здесь наглядно видно усиление стандартного отклонения при наличии шума.

Рис. 10. Слева: автокорреляции сигнала до (вверху) и после (внизу) предварительной обработки треков. Справа: распределение остаточных шумов с/без предварительной обработки.

С собстевенные вектора для PCA и LDA моделей

Рис.11. PCA (в середине) и LDA (нижняя) модели, примененные к трекам при питании в 1.2В.


Контакты авторов материала

Примечания

Литература

  1. 1,0 1,1 1,2 Kocher, P.C., Jaffe, J., Jun, B.: Differential Power Analysis. In: Wiener, M. (ed.) CRYPTO 1999. LNCS, vol. 1666, pp. 388–397. Springer, Heidelberg (1999)
  2. Gandolfi, K., Mourtel, C., Olivier, F.: Electromagnetic analysis: Concrete results. In: Ko ̧c, C ̧.K., Naccache, D., Paar, C. (eds.) CHES 2001. LNCS, vol. 2162, pp. 251–261. Springer, Heidelberg (2001)
  3. Quisquater, J.-J., Samyde, D.: ElectroMagnetic Analysis (EMA): Measures and Counter-Measures for Smart Cards. In: Attali, S., Jensen, T. (eds.) E-smart 2001. LNCS, vol. 2140, pp. 200–210. Springer, Heidelberg (2001)
  4. Tiri, K., Verbauwhede, I.: Securing encryption algorithms against dpa at the logic level: Next generation smart card technology. In: Walter, C.D., Ko ̧c, C ̧.K., Paar, C. (eds.) CHES 2003. LNCS, vol. 2779, pp. 125–136. Springer, Heidelberg (2003)
  5. Pietrzak, K.: Provable Security for Physical Cryptography. In: The Proceedings of WEWORC 2009, Graz, Austria (July 2009)
  6. 6,0 6,1 Mangard, S., Oswald, E., Popp, T.: Power Analysis Attacks. Springer, Heidelberg (2007)
  7. Roy, K., Mukhopadhyay, S., Mahmoodi-Meimand, H.: Leakage current mechanisms and leakage reduction techniques in deep-submicrometer CMOS circuits. Proceed- ings of the IEEE 91(2), 305–327 (2003)
  8. Bowman, K.A., Tang, X., Eble, J.C., Menldl, J.D.: Impact of extrinsic and intrinsic parameter fluctuations on CMOS circuit performance. IEEE Journal of Solid State Circuits 35(8), 1186–1193 (2002)
  9. Nassif, S., Bernstein, K., Frank, D.J., Gattiker, A., Haensch, W., Ji, B.L., Nowak, E., Pearson, D., Rohrer, N.J.: High Performance CMOS Variability in the 65nm Regime and Beyond. In: The Proceedings of IEDM 2007, Washington DC, USA, pp. 569–571 (December 2007)
  10. 10,0 10,1 10,2 10,3 Brier, E ́., Clavier, C., Olivier, F.: Correlation Power Analysis with a Leakage Model. In: Joye, M., Quisquater, J.-J. (eds.) CHES 2004. LNCS, vol. 3156, pp. 16–29. Springer, Heidelberg (2004)
  11. 11,0 11,1 11,2 Faust, S., Rabin, T., Reyzin, L., Tromer, E., Vaikuntanathan, V.: Protecting Cir- cuits from Leakage: the Computationally-Bounded and Noisy Cases. In: Gilbert, H. (ed.) EUROCRYPT 2010. LNCS, vol. 6110, pp. 135–156. Springer, Heidelberg (2010)
  12. 12,0 12,1 12,2 Dziembowski, S., Pietrzak, K.: Leakage-Resilient Cryptography. In: Proceedings of FOCS 2008, Philadelphia, Pennsylvania, USA, pp. 293–302 (October 2008)
  13. 13,0 13,1 13,2 13,3 Chari, S., Rao, J., Rohatgi, P.: Template Attacks. In: Kaliski Jr., B.S., Ko ̧c, C ̧ .K., Paar, C. (eds.) CHES 2002. LNCS, vol. 2523, pp. 13–28. Springer, Heidelberg (2003)
  14. 14,0 14,1 14,2 Schindler, W., Lemke, K., Paar, C.: A Stochastic Model for Differential Side Chan- nel Cryptanalysis. In: Rao, J.R., Sunar, B. (eds.) CHES 2005. LNCS, vol. 3659, pp. 30–46. Springer, Heidelberg (2005)
  15. Ghosh, S., Roy, K.: Parameter Variation Tolerance and Error Resiliency: New Design Paragigm for the Nanoscale Era. The Proceedings of the IEEE 98(10), 1718–1751 (2010)
  16. Lin, L., Burleson, W.: Analysis and Mitigation of Process Variation Impacts on Power-Attack Tolerance. In: The Proceedings of DAC 2009, San Francisco, CA, USA, pp. 238–243 (July 2009)
  17. Mentens, N., Batina, L., Preneel, B., Verbauwhede, I.: A Systematic Evaluation of Compact Hardware Implementations for the Rijndael SBOX. In: Menezes, A. (ed.) CT-RSA 2005. LNCS, vol. 3376, pp. 323–333. Springer, Heidelberg (2005)
  18. Kamel, D., Standaert, F.-X., Flandre, D.: Scaling Trends of the AES S-box Lower Power Consumption in 130 and 65 nm CMOS Technology Nodes. In: The Proceed- ings of ISCAS 2009, Taipei, Taiwan (May 2009)
  19. Kamel, D., Hocquet, C., Standaert, F.-X., Flandre, D., Bol, D.: Glicth-Induced Within Die Variations of Dynamic Energy in Voltage-Scaled Nano-CMOS Circuits. In: The Proceedings of ESSCIRC 2010, Seville, Spain (September 2010)
  20. Standaert, F.-X., Archambeau, C.: Using Subspace-Based Template Attacks to Compare and Combine Power and Electromagnetic Information Leakages. In: Os- wald, E., Rohatgi, P. (eds.) CHES 2008. LNCS, vol. 5154, pp. 411–425. Springer, Heidelberg (2008)
  21. 21,0 21,1 21,2 21,3 21,4 Standaert, F.-X., Malkin, T.G., Yung, M.: A Unified Framework for the Analysis of Side-Channel Key Recovery Attacks. In: Joux, A. (ed.) EUROCRYPT 2009. LNCS, vol. 5479, pp. 443–461. Springer, Heidelberg (2009)
  22. 22,0 22,1 Mangard, S., Oswald, E., Standaert, F.-X.: One for All - All for One: Unifying Standard DPA Attacks, Cryptology ePrint Archive: Report 2009/449
  23. 23,0 23,1 Renauld, M., Standaert, F.-X.: Algebraic Side-Channel Attacks. In: Bao, F., Yung, M., Lin, D., Jing, J. (eds.) Inscrypt 2009. LNCS, vol. 6151, pp. 393–410. Springer, Heidelberg (2010)
  24. 24,0 24,1 Renauld, M., Standaert, F.-X., Veyrat-Charvillon, N.: Algebraic Side-Channel At- tacks on the AES: Why Time also Matters in DPA. In: Clavier, C., Gaj, K. (eds.) CHES 2009. LNCS, vol. 5747, pp. 97–111. Springer, Heidelberg (2009)
  25. 25,0 25,1 Oren, Y., Kirschbaum, M., Popp, T., Wool, A.: Algebraic Side-Channel Analysis in the Presence of Errors. In: Mangard, S., Standaert, F.-X. (eds.) CHES 2010. LNCS, vol. 6225, pp. 428–442. Springer, Heidelberg (2010)
  26. Standaert, F.-X., Veyrat-Charvillon, N., Oswald, E., Gierlichs, B., Medwed, M., Kasper, M., Mangard, S.: The World is Not Enough: Another Look on Second- Order DPA. In: Abe, M. (ed.) ASIACRYPT 2010. LNCS, vol. 6477, pp. 112–129. Springer, Heidelberg (2010)
  27. Regazzoni, F., Cevrero, A., Standaert, F.-X., Badel, S., Kluter, T., Brisk, P., Leblebici, Y., Ienne, P.: A Design Flow and Evaluation Framework for DPA-Resistant Instruction Set Extensions. In: Clavier, C., Gaj, K. (eds.) CHES 2009. LNCS, vol. 5747, pp. 205–219. Springer, Heidelberg (2009)
  28. Nieuwland, A.K., Katoch, A., Meijer, M.: Reducing Cross-Talk Induced Power Consumption and Delay. In: Macii, E., Paliouras, V., Koufopavlou, O. (eds.) PAT- MOS 2004. LNCS, vol. 3254, pp. 179–188. Springer, Heidelberg (2004)
  29. Pietrzak, K.: A Leakage-Resilient Mode of Operation. In: Joux, A. (ed.) EUROCRYPT 2009. LNCS, vol. 5479, pp. 462–482. Springer, Heidelberg (2009)
  30. Gierlichs, B., Batina, L., Tuyls, P., Preneel, B.: Mutual Information Analysis. In: Oswald, E., Rohatgi, P. (eds.) CHES 2008. LNCS, vol. 5154, pp. 426–442. Springer, Heidelberg (2008)
  31. Lemke-Rust, K.: Models and Algorithms for Physical Cryptanalysis, PhD Thesis, Ruhr University Bochum, Germany (June 2007)