基于硬件電路路徑差異的故障攻擊探究

基于硬件電路路徑差異的故障攻擊探究作者：王安（北京理工大學(xué)計算機(jī)學(xué)院）任燕婷（清華大學(xué)微電子學(xué)研究所）2023年2月5日匯報提綱2023/2/51時鐘毛刺故障注入技術(shù)簡介基于輪函數(shù)電路路徑差異的暫穩(wěn)攻擊基于掩碼S-box電路路徑差異的錯誤率分析1、時鐘毛刺故障注入技術(shù)簡介側(cè)信道攻擊技術(shù)2023/2/53能量攻擊技術(shù)聲音攻擊技術(shù)電磁攻擊技術(shù)故障攻擊技術(shù)故障攻擊研究現(xiàn)狀2023/2/54差分故障攻擊注入到某個精確位置，再做差分分析公鑰密碼的故障攻擊注入到某個大致位置，再做數(shù)學(xué)計算篡改存儲器/執(zhí)行流程的攻擊修改輪數(shù)、程序、掩碼等相似點(diǎn)：從密碼算法整體結(jié)構(gòu)的角度來研究未來潛力點(diǎn)：從密碼算法局部模塊特征的角度來研究數(shù)字電路的基本原理2023/2/55時鐘毛刺時鐘2023/2/56毛刺時鐘時鐘的來源2023/2/57讀卡器提供外部晶振AES算法的硬件實現(xiàn)8分組密碼算法末輪的輸出通常為密文，可直接獲取2、基于輪函數(shù)電路路徑差異的暫穩(wěn)攻擊暫穩(wěn)效應(yīng)（Transient-SteadyEffect）10Y值比X值晚到了t時間若t足夠大，Z將會有3個穩(wěn)定值當(dāng)X已到、Y未到時，該特殊的穩(wěn)定值，稱為“暫穩(wěn)值”暫穩(wěn)值的泄露11利用毛刺將暫穩(wěn)值保存！AES中S-box的串行實現(xiàn)2023/2/512設(shè)多個S-box用同一個組合電路先后實現(xiàn)[MAD03]每個時鐘計算一個S-box對AES的暫穩(wěn)攻擊2023/2/513按時間先后：c1=y1⊕k1

①c2'=y1⊕k2（暫穩(wěn)狀態(tài)）

②由①②得：c1⊕c2'

=k1⊕k2計算S1計算S2抗側(cè)信道攻擊主要技術(shù)——掩碼[Koc96]2023/2/514無防護(hù)實現(xiàn)掩碼實現(xiàn)對掩碼AES的暫穩(wěn)攻擊2023/2/515掩碼S-box：存在一條短路徑按時間先后：c1=yw1⊕k1⊕w1=S(x1)⊕k1

①c2'=yw1⊕k2⊕w2c2''=yw2'⊕k2⊕w2=S(x1)⊕k2

②由①②得：c1⊕c2''=k1⊕k2暫穩(wěn)攻擊實驗平臺搭建2023/2/516實驗平臺實物圖2023/2/517實驗結(jié)果12023/2/518攻擊了一種經(jīng)典低功耗S-box的AES硬件電路[MS02]暫穩(wěn)態(tài)實驗結(jié)果22023/2/519攻擊了一種“非常緊湊”的AES硬件電路[Can05]暫穩(wěn)態(tài)實驗結(jié)果32023/2/520攻擊了一種“完美掩碼的非常緊湊”的AES硬件電路[CB08]暫穩(wěn)態(tài)降低故障注入難度——放慢延遲時間2023/2/521暫穩(wěn)態(tài)暫穩(wěn)態(tài)電壓1.2V下攻擊S-boxA的結(jié)果電壓1.08V下攻擊S-boxA的結(jié)果效率比較2023/2/522FSA：故障靈敏度分析，CHES2010CTC：碰撞時間特征，CHES2011FRA：錯誤率分析，IEEETransactionsonCircuitsandSystemsII小結(jié)2023/2/523暫穩(wěn)攻擊的優(yōu)點(diǎn)：不需要對同一個明文加密2次不需要選擇特殊明文1次加密，即可攻破無防護(hù)的AES（的一半密鑰）暫穩(wěn)攻擊的缺點(diǎn)：對長短路徑的差異過于依賴原理太簡單論文發(fā)表：YantingRen,AnWang*,LijiWu.Transient-SteadyEffectAttackonBlockCiphers.2015WorkshoponCryptographicHardwareandEmbeddedSystems(CHES2015).3、基于掩碼S-box電路路徑差異的錯誤率分析基于錯誤率分析的碰撞攻擊25場景：同一組合電路串行完成第10輪S盒S1和S2

[MAD03]流程：為S2注入極短的時鐘毛刺，實驗多次觀察：通過密文字節(jié)c2，判斷y2'是否發(fā)生錯誤，記錄錯誤率思想來源：YangLi,etal.,ClockwiseCollision[LOS12]碰撞區(qū)分器26若x1≠x2，則y2'正確的概率為：0若x1

=

x2，則y2'正確的概率為：1/65536

問題：區(qū)分度太低高效的錯誤率分析27我們發(fā)現(xiàn)：從輸出掩碼wi到輸出值的路徑t2遠(yuǎn)遠(yuǎn)短于從輸入值xi⊕mi和輸入掩碼mi到輸出值的路徑t1動機(jī)：保證wi正確地參與運(yùn)算，即wi不會影響到出錯與否仿真驗證：wi不會影響到出錯與否28碰撞情況注：縱軸表示輸出值趨于穩(wěn)定所需時間非碰撞情況高效的錯誤率分析29方法：選用滿足t2<t<t1的t，作為時鐘毛刺來注入錯誤區(qū)分器的效率：若x1

≠x2，則y2’

=y2的概率約為：0若x1=x2，則y2’

=y2的概率約為：1/256故障位置實驗平臺設(shè)計30實驗結(jié)果：大量平均后的成功率31對每個(x1,x2)

，40個時鐘毛刺下的成功率平均后，可得圖中一個點(diǎn)（藍(lán)點(diǎn)代表x1=x2，灰點(diǎn)代表x1≠x2）效率比較32CEPA：相關(guān)強(qiáng)化能量分析（CHES2010）CTC：碰撞時間特征（CHES2011）CCPA：碰撞相關(guān)能量分析（CHES2011）小結(jié)2023/2/533“率”是故障攻擊中一種很好的區(qū)分器不需要知道錯誤密文值，故可攻破故障檢測機(jī)制掩碼是為了保護(hù)信息，但掩碼的短路徑卻幫助了攻擊者論文發(fā)表：AnWang,ManChen,ZongyueWang,XiaoyunWang*.FaultRateAnalysis:BreakingMaskedAESHardwareImplementationsEfficiently.IEEETransactionsonCircuitsandSystemsII:EXPRESSBRIEFS,2013.VS參考文獻(xiàn)34[Bog07]A.Bogdanov,“Improvedside-channelcollisionattacksonAES,”inProc.SAC,2007,pp.84-95.[Can05]D.Canright,“AVeryCompactS-BoxforAES,”inProc.CHES,2005,vol.3659,pp.441-455.[CB08]D.CanrightandL.Batina,“Averycompactperfectlymaskeds-boxforAES,”inProc.ACNS,2008,pp.446-459.[ESH11]S.Endo,T.Sugawara,N.Homma,etal.Anon-chipglitchy-clockgeneratorfortestingfaultinjectionattacks.JCryptogrEng(2011)1,pp.265–270.[LOS12a]Y.Li,K.Ohta,andK.Sakiyama,“AnExtensionofFaultSensitivityAnalysisBasedonClockwiseCollision,”inProc.Inscrypt,2012,pp.46-59.[LOS12b]Y.Li,K.Ohta,andK.Sakiyama,“Towardeffectivecountermeasuresagainstanimprovedfaultsensitivityanalysis,”IEICETrans.onFundamentalsofElectronics,CommunicationsandComputerSciences,vol.E95–A,no.1,pp.234–241,2012.參考文獻(xiàn)35[LSG10]Y.Li,K.Sakiyama,S.Gomisawa,T.Fukunaga,J.Takahashi,andK.Ohta,“Faultsensitivityanalysis,”inProc.CHES,2010,pp.320-334.[MAD03]S.Mangard,M.Aigner,S.Dominikus:AHighlyRegularandScalableAESHardwareArchitecture.IEEETransactionsonComputers,52(4),pp.483-491,2003.[MMP11]A.Moradi,O.Mischke,C.Paar,etal.OnthePowerofFaultSensitivityAnalysisandCollisionSide-ChannelAttacksinaCombinedSetting.InProc.CHES,2012,pp.292-311.[MS02]S.MoriokaandA.Satoh,“Anoptimizeds-boxcircuitarchitectureforlowpowerAESdesign,”inProc.CHES,2002,pp.172-186.[SBG09]N.Selm