Данная статья посвящена исследованию основных видов атак по сторонним каналам, применяемых для криптографических устройств. Рассмотрены отличительные особенности и способы реализации. В заключение статьи приведен краткий вывод.
Ключевые слова:информационная безопасность,атаки по побочным каналам, криптографическое устройство, эллиптическая кривая.
Введение.
В связи с быстрым ростом мобильных устройств, производятся попытки внедрения новых методов шифрования на замену алгоритмов с открытым ключом, таких как RSA. Это вызвано тем, что ресурсы у мобильных устройств довольно ограничены, а для обеспечения безопасности необходимо постоянно увеличивать длину ключа. Связано это с развитием вычислительной техники и технологии облачных вычислений, способных вычислить ключ. Например, в 1999 году 512-битный ключ был вычислен за семь месяцев, что гораздо меньше срока устаревания секретной информации. На данный момент Лаборатория RSA рекомендует использовать для обычных задач ключи размером 1024 бита, а для особо важных — 2048 бит.
Однако, от длинны ключа напрямую зависит время шифрования и расшифровки сообщения, а значит и затрачиваемые вычислительные ресурсы устройства, на котором реализован данный алгоритм. Этот факт ставит разработчика перед выбором между защищенностью и быстродействием устройства. Оптимальным вариантом может стать криптосистема на эллиптических кривых (ЭК).
Преимуществом ECC перед RSA является значительно меньший размер ключа для обеспечения такой же стойкости алгоритма. Также на данный момент не существует алгоритмов решения суб-экспоненциальной сложности для эллиптических кривых над конечными полями, что позволяет гарантировать стойкость алгоритма шифрования. Стоит заметить, что существуют алгоритмы суб-экспоненциальной сложности для суперсингулярных ЭК, поэтому необходимо обращать внимание на форму ЭК при построении криптосистемы.
Но так как в мире нет ничего идеального, то и у криптосистем на эллиптических кривых есть недостатки. Одним из них является подверженность криптосистем к атакам по сторонним каналам.
Атаками по сторонним каналам(SCA) называются атаки на криптографические устройства, при которых злоумышленник, помимо зашифрованного сообщения и/или открытого ключа, обладает дополнительной информацией, такой как: время выполнения шифрования; потребляемая мощность во время работы; акустические шумы, издаваемые во время работы; электромагнитное излучение, генерируемое устройством и т. д.
История.
Первым упоминанием использования побочных каналов для получения информации стали мемуары Питера Райта, старшего офицера разведки МИ-5 Великобритании. Ему удалось осуществить взлом шифра роторной шифровальной машины, находящейся в посольстве Египта в Лондоне. Для этого он предложил установить микрофон и записывать звуки, издаваемые машиной, при наладке. Это позволило вычислить положение двух из трех роторов, а впоследствии и вскрыть шифр.
На статическую зависимость времени, затрачиваемого криптографическим устройством при вычислении операции возведения в степень, и значением секретного ключа обратил внимание Пол Кохер в своих исследованиях в 1996 году [1]. С тех пор разработчики криптосистем перестали смотреть на аппаратную реализацию устройства, как на “черный ящик”.
Классификация.
Существует несколько видов классификации атак по сторонним каналам.
- По факту вмешательства различают:
а) Пассивные атаки — атаки, производимые без вмешательства в работу криптосистемы.
б) Активные атаки — атаки с активным вмешательством в работу криптосистемы.
- По характеру воздействия различают:
а) Разрушающие атаки — атаки с вскрытием криптосистемы и непосредственным воздействием на ее составные части.
б) Полу разрушающие атаки — атаки с воздействием на составные части криптосистемы, но без непосредственного контакта с ней (например, использование лазерного луча или температурное воздействие).
в) Неразрушающие атаки — атаки без непосредственного воздействия на криптосистему (подсчет энергопотребления или времени выполнения операций).
- По способу анализа полученных данных различают:
а) Простые атаки — поиск прямой зависимости между водными данными и информацией, полученной из побочного канала.
б) Дифференцированные атаки — выявление взаимосвязи между водными данными и информацией, полученной из побочного канала, путем статистической обработки большого количества измерений.
Известные виды атак.
Атаки зондированием (ProbingAttack).
Атака зондированием является наиболее простой пассивной разрушающей атакой.
Для получения секретной информации криптографическое устройство вскрывается, после чего исследуется при помощи микроскопа, и затем устанавливаются микрощупы на сигнальные проводники. Также с помощью микроскопа есть возможность анализа ячеек памяти устройства. [2] Ячейки памяти под увеличением представлены на рисунке 1.
Рис. 1. Ячейки памяти
При проведении анализа, для обеспечения удобства, тактовые частоты работы устройства снижаются.
Атаки по времени (Timingattack).
Атаки по времени основаны на том, что различные операции в криптографическом устройстве выполняются за разные промежутки времени. Для выполнения каждой операции в вычислительной технике требуется время, и это время может различаться в зависимости от входных данных [1]. Этот факт означает, что можно выполнив высокоточный замер времени выполнения алгоритма при различных входных данных и после анализа получить секретный ключ. Данный вид атака является пассивным и неразрушающим.
Атаки по потребляемой мощности (PowerAnalysisAttack).
Впервые данный вид атак был предложен Полом Кохером в 1999 году. Он основан на том, что криптографическое устройство потребляет различное количество электроэнергии на разных этапах работы [3]. Из курса физики известно, что элементы КМОП, на которых строится большинство современной вычислительной техники, потребляют энергию только при переключении. Исходя из этого, можно выполнить высокоточный замер потребляемой мощности устройством (например, путем добавления в цепь питания резистора) и провести анализ полученных данных. Данный анализ позволяет определить, какие операции выполнялись в устройстве, а также их параметры. Данный вид атаки является пассивным.
Схематичный вид снятых данных с цепи питания устройства представлен на рисунке 2.
Рис. 2. Схематичный вид снятых данных
Анализ полученных данных можно проводить двумя способами:
1. Простая атака по потребляемой мощности (SPA).
Простая атака по потребляемой мощности осуществляется сопоставлением участков временной диаграммы конкретным исполняемым функциям устройства и затем вычисление состояний конкретных регистров системы. Однако для осуществления данной атаки необходимы сведения о внутреннем устройстве криптосистемы.
2. Дифференциальная атака по потребляемой мощности (DPA).
Для реализации дифференциальной атаки по потребляемой мощности необходимо провести большое количество замеров, после чего провести статистический анализ. Это позволяет вычислить секретные данные, не зная внутренней структуры криптографического устройства, и даже при наличии помех и шумов.
Атаки по электромагнитному излучению (ElectromagneticAnalysisAttack).
Данный вид атак был известен и применялся в военных кругах достаточно давно. Первые экспериментальные результаты по электромагнитным атакам на криптографические устройства были представлены Квоскватером (Quisquater) и Гандольфи (Gandolfi). Наиболее полным несекретным исследованием атак при помощи электромагнитного излучения на сегодняшний день является работа Агравала (Agrawal). В его работе показано, что электромагнитное излучение может быть использовано не только для атак на криптографические средства, но и для обхода противодействий атакам по мощности [4].
EAA основана на электромагнитном излучении, которое генерирует криптографическое устройство. Получив диаграмму электромагнитного поля во время работы, при помощи высокоточных датчиков магнитного поля, можно провести ее анализ.
Атаки по электромагнитному излучению, как и PAA, можно разделить на 2 вида:
- Простые электромагнитные атаки.
- Дифференциальные электромагнитные атаки.
Акустические атаки (Acousticattack).
Акустическая атака направлена на извлечение секретной информации из звуков, генерируемых устройством во время работы. Изначально она использовалась для взлома электромеханических шифраторов и принтеров ударного действия. Однако он также применим при анализе звуков, издаваемых внутренними компонентами криптосистемы (например, кулером). Данный вид атаки является пассивным и неразрушающим.
Обычно для получения полезной информации по побочным каналам требуется высокочастотный замер, с дискретизацией близкой ко времени выполнения одной операции (порядка ГГц). Но частота приема микрофонов достигает лишь сотен кГц (для ультразвуковых микрофонов), однако даже при помощи таких измерений возможно полное извлечение ключа. [5]
Сложностью данной атаки является сильное влияние внешних воздействий(шумов) на успешность проведения анализа.
Выводы.
На данный момент проанализированы все известные побочные каналы утечки информации из криптографического устройства, однако существует вероятность появления новых видов атак по сторонним каналам. Сложность получения секретного ключа в основном зависит от качества построения самой криптосистемы, поэтому комбинирование полученных методов позволяет получить лучшие результаты.
Литература:
- P. Kocher «Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems», ACM Crypto' 96, 1996.
- S. Skorobogatov. “Side-channel attacks: new directions and horizons”, Design and Security of Cryptographic Algorithms and Devices (ECRYPT II), 2011.
- P. Kocher, J. Jaffe, B. Jun. «Differential power analysis», CRYPTO’99, 1999.
- D. Agrawal, B. Archambeault, «The EM Side–Channel(s). CHES 2002", 2002.
- D. Genkin, A. Shamir, E. Tromer, “RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis”, 2013.
