Проблемы защиты криптографических устройств от криптоанализа на аппаратном уровне

В настоящее время, одним из самых популярных методов осуществления атак, является метод использующий особенности реализации и рабочей среды, такие атаки называются побочными или сторонними. Сторонняя атака – это разновидность криптографической атаки, которая использует полученные данные по побочным каналам. Информацией, добытой из побочного канала, являются данные, полученные с устройства шифрования и не являющиеся ключевой, то есть открытым текстом или же шифртекстом.

Большинство осуществляемых атак на криптографические системы используют уязвимости в аппаратной реализации и расположении механизмов криптоалгоритма. Подобные атаки обусловлены корреляцией между физическими параметрами, измеренными в различные моменты времени, и внутренним состоянием устройства, имеющим отношение к секретному ключу. Сторонние атаки используют особенности реализации устройств для выявления секретных параметров, использующихся в вычислительных операциях. Подобный подход можно считать более эффективным, чем классический криптоанализ.

Рисунок 1 Схематичное отображение взаимодействия злоумышленника и криптосистемы.

В настоящее время количество криптографических атак, основанных на особенностях реализации и рабочей среды, возросло и продолжает возрастать. Так, например, злоумышленник может выполнять измерения времени, затрачиваемого на выполнение криптографической операции, анализировать поведение криптографического устройства в случае возникновения определённых ошибок. Также возможен замер потребляемой энергии, когда устройство шифрования выполняет операции с ключом. Сбор побочной информации для злоумышленника не является затруднительным, что необходимо учитывать.

Атаки

Рисунок 2 Типы классификации атак по побочным каналам.

Атака по времени.

Такая атака основана на замере времени, которое необходимо устройству для выполнения операции шифрования. Злоумышленник, получив подобные данные, получает возможность раскрыть информацию о закрытом ключе пользователя. Данный тип атаки предполагает значительные затраты на высокоточную аппаратуру съёма времени, что связано с методикой съема данных. Для алгоритма AES, например, потребуется порядка 4000 измерений, причём результатами являются только лишь фрагменты закрытого ключа.

Атака по мощности.

Для того что бы замерить мощность, потребляемую устройством, достаточно соединить последовательно с цепью питания резистор с низким сопротивлением. Падение напряжения на нём, разделённое на сопротивление, даст значение силы тока (Так возможно получение значения силы тока в моменты совершения операций устройством).

Атаки по мощности

Простая атака Разностная атака

Рисунок 3 – Разновидности атак по мощности.

Простая атака основывается на получении данных обрабатываемых устройством. Информация, полученная таким способом, может дать сведения о работе устройства и закрытом ключе. Для реализации такой атаки злоумышленник должен обладать точными данными о реализации устройства.

Разностная атака, основанная на анализе потребляемой мощности, подразумевает:  визуальное представление потребляемой мощности устройством, статический анализ, статические методы исправления ошибок для нахождения информации о закрытом ключе. Её стоимость не является большой, что обусловлено низкой стоимостью оборудования, необходимого для совершения атаки – низкоомного резистора и устройства съёма напряжения.

Атака по электромагнитному излучению.

В процессе выполнения операций криптографическим устройством, происходит электромагнитное излучение. Злоумышленник, измерив и проанализировав это излучение, может добыть данные о выполняемых вычислениях, а так же различные используемые данные.

Атаки

Простые Дифференциальные

Рисунок 4 – Разновидности атак по электромагнитному излучению.

Атака на основе ошибок вычислений.

Во время работы криптографического устройства, возможно появление ошибок, что приводит к ошибочной выходной информации, которая может стать побочным каналом и увеличить уязвимость алгоритма шифрования. Опасность заключается в том, что злоумышленник может намеренно вызывать ошибки в работе устройства, например физическими воздействиями. А далее использовать получаемые данные в своих целях, раскрытия закрытого ключа.

Заключение.

Для незащищенных от атак по сторонним каналам устройств, высока вероятность утечки данных, их кражи. Это обусловлено доступностью методов её несанкционированного съема, а именно – атакам извне. Наиболее распространенной, эффективной и дешевой является атака по мощности и атака на основе ошибок вычислений. Они не подразумевают высоких затрат на аппаратуру, необходимую для их осуществления. Однако, в сравнении можно утверждать, что вторая уступает. Это связано с тем, что метод сильно зависит от того, на каком именно уровне алгоритма шифрования вызвана ошибка (Атака подразумевает воздействие на алгоритм шифрования ”снизу вверх”).

Что бы повысить стойкость криптографических устройств к атакам по побочным каналам, необходимо предусматривать все возможные факторы воздействия на уровне его проектирования и реализации. Устройство шифрования можно называть стойким, если метод криптоанализа злоумышленника не является лучшим, чем разработчика. Со временем каждый тип устройства нуждается в повторной оценке стойкости после его производства, так как происходит развитие в средствах вычислительной техники, способной обнаруживать и использовать малейшие утечки данных устройства по побочным каналам.