Evaluatie van nevenkanaal aanvalbestendige cryptografische implementaties tijdens de ontwerpfase

Traditiegetrouw worden de meeste cryptografische algoritmes uitgevoerd op servers met een grote rekenkracht en opgeslagen in fysiek beveiligde locaties. Technologische verbeteringen hebben ons alomtegenwoordige ingebedde apparaten gebracht, die ons dagelijks leven omvatten. Veilige communicatie gebruik makend van dergelijke toestellen wordt bovendien verhinderd twee bijkomende aspecten. Ten eerste zijn de meeste cryptografische algoritmen gemaakt voor computers met hoge verwerkingssnelheid – een middel dat in geïntegreerde apparaten vaak schaars is. Ten tweede heeft recent onderzoek aangetoond dat fysieke aanvallen, in het bijzonder nevenkanaalaanvallen (SCA), een geheel nieuw perspectief voor de aanvaller maken. Bijvoorbeeld vermogensanalyse aanvallen, DPA [5], CPA [2] of MIA [4], buiten informatie uit dat inherent aanwezig is in het momentane stroomverbruik van een digitale schakeling tijdens werking. Vanwege hun niet-invasieve karakter zijn poweranalyse aanvallen erkend als belangrijke bedreiging voor hardwarebeveiliging. In feite zijn meerdere commerciële apparaten met beveiligingsfunctionaliteiten onlangs gebroken door deze technieken [1, 3, 6].

Onder de ingebedde apparaten, worden passief-aangedreven apparaten het meest gebruikt, terwijl ze het meest beperkt zijn in termen van middelen en vermogen-budget. Bijvoorbeeld, Radio Frequency IDentification (RFID) worden vaak gebruikt voor identificatie, access management, verzending tracking, en is beschikbaar om contactloze betalingen af te handelen. Daarom is het veiligstellen van passief-aangedreven apparaten, en allerlei soorten apparaten, een dwingende zaak in de nabije toekomst.

Bijgevolg streeft de cryptografische gemeenschap naar de ontwikkeling van lichtgewicht algoritmen die weinig rekenkracht vereisen, en tegelijk SCA afweren. Vanuit het wiskundig oogpunt is het probleem goed begrepen, en vele lichtgewicht algoritmen zijn al aanwezig, bijvoorbeeld, het PRESENT blokcijfer [7]. Ook hier bestaan ruwe natte-duim-regels, zoals de grootte van de toestand om het gebied te schatten, of het aantal operaties om de vertraging te schatten. Daarentegen missen we modellen en maatstaven voor nauwkeurige vergelijking van ontwerpen, en voor de SCA evaluatie ervan.

Simulatie is een krachtig instrument in hardware-ontwerp dat pre-silicium evaluaties van digitale schakelingen mogelijk maakt. Optimalisatietechnieken voor typische ontwerp parameters werden al lang bestudeerd en goed geïntegreerd in EDA (Electronic Design Automation) gereedschappen. Dit is bijvoorbeeld het geval voor de oppervlakte en de vertraging. Deze worden geschat tijdens verschillende fasen van de hardware-ontwerp pijplijn en geoptimaliseerd afhankelijk van de toepassingsvereisten. Reeds op hoog niveau, bijv. op register overdracht niveau, hebben hardware ontwerpers toegang tot de plaats van accurate modellen voor de vertraging of voor de oppervlakte. Deze zijn ingebed in standaard cel-bibliotheken, en ze worden gebruikt voor zowel simulatiedoeleinden als synthesetools. Modellen om het energieverbruik te schatten zijn minder nauwkeurig, maar bestaan desondanks. Ze zijn gericht op low-power / lage-energie-design, een bepaalde beperking voor bijv. Batterij-aangedreven apparaten.

Het zijkanaalweerstand van hardware circuits wordt meestal geëvalueerd op post-silicium niveau, het laatste stadium in hardware design. Dit heeft een aantal tekortkomingen. Post-productie-analyse is een handmatig en tijdrovend proces dat een hoge mate van lab deskundigheid vereist. Voor de halfgeleider-industrie, wordt het venster voor de aanpak van beveiligingsproblemen in dit stadium sterk beperkt door de time-to-market. Bovendien kan de volwassenheid van het ontwerp een obstakel zijn als substantiële aanpassingen aan het circuit nodig zijn.

Ons onderzoek tracht deze problemen op te lossen door de analyse van zijkanaalveiligheid in EDA ontwerp design flow te integreren. Samen met oppervlakte-, vertraging- of low-power-optimalisaties, is ons doel om SCA veiligheid te introduceren als een extra ontwerpbeperking. De belangrijkste uitdaging bestaat in het ontwikkelen van accurate en efficiënte instrumenten om het vermogen te simuleren. Deze verschillen van de huidige modellen voor low-power design, die zich richten op parameters zoals piek- of gemiddelde stroomverbruik. Een beoordeling van SCA-veiligheid heeft het momentane stroomverbruik nodig van een cryptografisch circuit, en moet dit modelleren voor de gehele uitvoeringstijd. Voor zover wij weten, ontbreken dergelijke modellen.

Referenties

[1] J. Balasch, B. Gierlichs, R. Verdult, L. Batina en I. Verbauwhede, "Power Analyse van Atmel CryptoMemory - Herstellen Sleutels van Secure EEPROM's," in onderwerpen in de cryptologie - CT-RSA 2012, O. Dunkelman, ed., vol. 7178 van Lecture Notes in Computer Science, Springer, 2012, pp. 19-34.

[2] E. Brier, C. Clavier, en F. Olivier, Correlatie Macht Analysis met een lekkage model, in cryptografische Hardware en Embedded Systems - CHES 2004, M. Joye en J.-J. Quisquater, eds., Vol. 3156 van Lecture Notes in Computer Science, Springer 2004, pp. 16-29.

[3] T. Eisenbarth, T. Kasper, A. Moradi, C. Paar, M. Salmasizadeh en MTM Shalmani, van de stroom van Power Analysis in de echte wereld: een volledige breuk van de KeeLoq Code Hopping Scheme, in CRYPTO D. Wagner, ed., vol. 5157 van Lecture Notes in Computer Science, Springer, Advances in de cryptologie - CRYPTO 2008, pp 203-220..

[4] B. Gierlichs, L. Batina, P. Tuyls, en B. Preneel, Mutual Information Analysis, in cryptografische Hardware en Embedded Systems - CHES 2008, E. Oswald en P. Rohatgi, eds, vol.. 5154 van Lecture Notes in Computer Science, Springer, 2008, pp. 426-442.

[5] P. C. Kocher, J. Jaffe, en B. juni, Kleine Kracht Analysis, in Advances in de cryptologie - CRYPTO '99, M. J. Wiener, ed, vol.. 1666 van Lecture Notes in Computer Science, Springer, 1999, pp. 388-397.

[6] D. Oswald en C. Paar, Breaking Mifare DESFire MF3ICD40: Macht Analyse en sjablonen in de echte wereld, in cryptografische Hardware en Embedded Systems - CHES 2011, B. Preneel en T. Takagi, eds, vol.. 6917 van Lecture Notes in Computer Science, Springer 2011, pp. 207-222.

[7]: A. Bogdanov, LR Knudsen, G. Leander, C. Paar, A. Poschmann, MJB Robshaw, Y. Seurin, C. Vikkelsoe, PRESENT: een ultra-lichtgewicht block cipher, in cryptografische Hardware en Embedded Systems - CHES 2007 jaargang 4727 van de serie Lecture Notes in Computer Science pp 450-466.