Algorithmische Tegenmaatregelen Tegen Passieve en Actieve Fysieke Aanvallen

Symmetrische cryptografie is de hoeksteen in het verdedigen van technologie tegen cyber aanvallen. Sinds het voorstel van de Data Encryptie Standaard (DES) konden mensen beveiligde software en hardware maken. Desalniettemin, deze hoogtechnologische cryptografie beloopt gevaar wanneer het zich bevindt in een ingebed apparaat.

In 1999 werd een aanval genaamd differentiële vermogen analyse gepubliceerd. De aanval misbruikt de relatie tussen het vermogen gebruik van een apparaat en de data die daardoor vloeit. Gebruik makende van statistische methoden konden de auteurs de DES breken met maar enkele duizenden keren het cijfer op te roepen. Omdat de aanval zo sterk was werd het meteen duidelijk dat er onmiddellijk tegenmaatregelen nodig waren. Het begon ook een nieuw veld genaamd nevenkanaal analyse.

Één maatregel blonk uit tegenover de anderen en werd al vlug het mantelstuk om hardware applicaties te verdedigen. Deze maatregel noemt men maskeringsmethoden. De methode splitst essentieel het symmetrische cijfer op in enkele stukken. Elk stuk appart lijkt te werken op willekeurige data, maar breng de stukken bij elkaar en het originele cijfer duikt terug op. Het idee achter deze maskeringmethoden bevindt zich in ruis amplificatie. Het observeren van meerdere stukjes van een berekening tegelijkertijd maakt de ruis, die afkomstig was van de meetapparatuur of van het apparaat zelf, exponentieel groter. Dit maakt het voor de industrie mogelijk om een tegenmaatregel te ontwerpen die enkel breekt als je het gemaskeerde cijfer miljoenen of zelfs meer keer moet oproepen. Deze getallen kan je typisch niet bereiken in de praktijk.

Desalniettemin, ook al bereiken maskeringsmethoden praktische veiligheid, ze komen met extra kosten voor hardware. Typisch hebben maskeringsmethode een verlaagde snelheid en een verhoogde oppervlakte kost. Deze extra kosten zijn vaak limiterend voor de industrie. Ook de academische wereld heeft hun zinnen gezet op de maskeringsmethoden. Al zijn er beveiligingsmodellen om de veiligheid van de maskeringsmethoden te verifiëren, ze zijn nog steeds ruw. Vaak zijn deze modellen te sterk. Bijvoorbeeld, ze beschouwen tegenstrevers met ongelimiteerde grondstoffen of oproepen aan het symmetrische primitief. De modellen zijn ook vaak te zwak omdat ze niet al de fysieke effecten van hardware beschouwen. In het kort, de modellen staan niet dicht genoeg bij de realiteit. Dit resulteerd dan in het maken van onveilige maskeringen of maskeringen die veel te duur zijn.

We bekijken of de perfecte veiligheid van een maskering wel noodzakelijk is. We stellen een beveiligingsmodel voor waarbij een tegenstrever maar een eindig aantal oproepen heeft voor het symmetrisch primitief. We stellen ook een analyse methode voor in dat model waarmee we een maskering in zijn geheel kunnen verifiëren in de plaats het gebruiken van een modulaire methode. Deze analyse is interessant voor twee redenen. De eerste is dat deze de velden van symmetrische sleutel cryptografie en nevenkanaal analyse combineert. Dat legt een connectie bloot tussen het gemaskeerde primitief en het primitief zelf. De tweede reden staat in verband met zogenaamde drempel implementaties en de mogelijkheid om de kost van de willekeurigheid in de maskering te reduceren. Deze laatste kost is het aantal cryptografische willekeurige waarden die er moeten gegenereerd worden. De kost is vaak onder gerapporteerd en niet bestudeerd. Met onze nieuwe analyse methode kunnen we hogere-orde drempel implementaties maken, een academische vraag die al enkele jaren open is gebleven. Deze nieuwe drempel implementaties laten ons toe om maskeringen te maken die het minimum aan extra willekeurige waarden gebruikt. We bestuderen deze maskeringen zodat we deze willekeurigheidskost kunnen verwijderen zonder ze te verplaatsen naar andere kosten.

De tweede onderzoeksrichting draait rond foutenanalyse. In 1997 hebben Biham en Shamir getoond dat een goed geplaatste fout een cijfer zoals DES kan breken. Erger nog, men kan de geheime sleutel van DES terug vinden met maar enkele zulke fouten. Foutenanalyse en zijn tegenmaatregelen zijn grotendeels nog niet onderzocht geweest. In deze thesis stellen we een tegenstrever voor die fouten kan maken in een cijfer. We bestuderen dan beveiligingsmodellen voor deze tegenstrever. Specifieker nog, we geven een composeerbaar model wat betekend dat de compositie tussen circuits die veilig zijn in het model terug veilig is. Hiermee kunnen we tegenmaatregelen maken die elk primitief kan verdedigen. We bereiden dan onze analyse uit om gecombineerde aanvallen te begrijpen. Dit zijn aanvallen waarbij de tegenstrever gebruikt maakt van nevenkanaal analyse en foutenanalyse. We bereiden ook de tegenstrever uit en beschouwen extensies aan de fouten die deze kan zetten zodat die dichterbij de praktijk komt te staan. Alweer bekijken we of we beveiligingsmodellen kunnen maken voor deze sterkere tegenstrever. Het resultaat is een eerste stap naar het maken van bewijsbaar veilige tegenmaatregelen.