Русская Википедия:Атака по сторонним каналам

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Файл:Power attack.png
Атака по энергопотреблению на алгоритм RSA. Левый пик соответствует операции быстрого возведения в степень без умножения, правый — с умножением, что позволяет восстановить значение обрабатываемых битов.

Атака по сторонним (или побочным) каналам (Шаблон:Lang-en) — класс атак, направленный на уязвимости в практической реализации криптосистемы. В отличие от теоретического криптоанализа, атака по сторонним каналам использует информацию о физических процессах в устройстве, которые не рассматриваются в теоретическом описании криптографического алгоритма. Хотя подобные атаки были хорошо известны уже в 1980-х годах, они получили широкое распространение после публикации результатов Шаблон:Iw в 1996 году[1].

Введение

Криптографический примитив[2] можно рассматривать с двух разных точек зрения: с одной стороны, это абстрактный математический объект (алгоритм, возможно параметризованный ключом, переводящий некоторый входной текст в выходной текст); с другой стороны, этот примитив в конечном счёте должен быть реализован в программе, исполняемой на определённом процессоре, на определённом оборудовании, таким образом, он будет обладать определённой спецификой, присущей именно этой реализации.

«Классический» криптоанализ рассматривает криптографические примитивы с первой точки зрения. Второй подход используется в криптоанализе по побочным каналам. Среди параметров специфичных для конкретной реализации обычно используют время выполнения операций, потребляемую мощность, электромагнитное излучение, звуки, издаваемые устройством, и другие. Атаки по сторонним каналам обладают меньшей общностью чем традиционные атаки, основанные на математическом анализе криптографического алгоритма, но в то же время они существенно эффективнее. На текущий момент большинство осуществлённых на практике удачных атак используют слабости в реализации и размещении механизмов криптоалгоритма.Шаблон:Sfn

Классификация атак

Атаки по сторонним каналам в литературе обычно классифицируют по следующим независимым признакамШаблон:Sfn:

Контроль над вычислительным процессом

В зависимости от степени воздействия на вычислительный процесс атаки можно разделить на:

  • Пассивные — атакующий получает необходимую информацию без заметного влияния на систему; система при этом продолжает функционировать как прежде.
  • Активные — атакующий реализует некоторое воздействие на систему, в результате которого изменяется её поведение; такое изменение может быть и неопределимым для атакуемой системы, но криптоаналитик в состоянии определить и использовать эту информацию.

Способ доступа к системе

В зависимости от уровня доступа[3] к аппаратному модулю можно выделить три класса атак[4]:

  • Агрессивные (Шаблон:Lang-en) — вскрытие системы криптоаналитиком и получение прямого доступа к внутренним компонентам.
  • Полуагрессивные (Шаблон:Lang-en) — воздействие на внутренние компоненты происходит без непосредственного контакта с устройством: например с помощью лазерного луча[5].
  • Неагрессивные (Шаблон:Lang-en) — без воздействия на исследуемую систему; используется только внешне доступная информация: например время вычисления или потребляемая энергия.

Следует заметить, что устройства обычно оборудуются защитными механизмами, защищающими от проникновения (агрессивных атак)[6]. Неагрессивные же атаки заметить и предотвратить практически невозможно. Неагрессивные атаки также более выгодны с экономической точки зрения: масштабные атаки почти не требуют увеличения стоимости оборудования.[5]

Применяемый метод анализа

В зависимости от методов, применяемых для анализа полученной информации, атаки по сторонним каналам можно поделить на[7]:

  • Простые (Шаблон:Lang-en) — исследование прямой зависимости между процессами в устройстве и полученной криптоаналитиком информацией; полезная информация в сигнале должна быть отделима от уровня шумов.
  • Разностные (Шаблон:Lang-en) — криптоаналитик использует статистические методы для исследования зависимости между входными данными и информацией, полученной по стороннему каналу; используется множество измерений, специальная обработка сигнала и коррекция ошибок[8].

Известные типы атак

Атака зондированием

Атака зондированием (Шаблон:Lang-en) — агрессивная пассивная простая атака. Для получения информации устройство вскрывается, с помощью оптического микроскопа исследуется печатная плата и устанавливаются щупы на проводники, по которым идут сигналы, или же с помощью микроскопа[9] исследуется состояние ячеек памяти[10][11]. Процесс упрощается при использовании зондирующей установки, включающей в себя микроскопы и микроманипуляторы для установки щупов на поверхности чипа. Такие установки используются в полупроводниковой промышленности для тестирования образцов продукции; цена на вторичном рынке составляетШаблон:Когда порядка 10 тыс. долларов[10]. Чтобы упростить наблюдение, криптоаналитик обычно замедляет тактовую частоту работы устройства[12].

Атаки по времени

Шаблон:Main

Атака по времени (Шаблон:Lang-en) — первая из широко известных атак по сторонним каналам, предложенная Полом Кохером в 1996 году[13] и применённая на практике против алгоритма RSA в 1998 году[14]. Атака основана на предположении, что различные операции выполняются в устройстве за различное время, в зависимости от поданных входных данных. Таким образом, измеряя время вычислений и проводя статистический анализ данных, можно получить полную информацию о секретном ключе.

Выделяют степени подверженности алгоритмов данному типу атак[15]:

  • Атака невозможна на алгоритмы, операции которых выполняются за одинаковое число тактов на всех платформах: вращение, сдвиг и другие битовые операции над фиксированным числом бит.
  • Возможна атака на алгоритмы, использующие сложение и вычитание.
  • Особенно подвержены атакам по времени алгоритмы, использующие умножение, деление, возведение в степень и битовые операции над произвольным числом бит.

Одной из разновидностей атак по времени также являются атаки на кэш (Шаблон:Lang-en). Данный тип атак основывается на измерениях времени и частоты промахов в кэш процессора и направлен на программные реализации шифров[16].

Атаки по времени также могут применяться удалённо. Так, например, известны атаки по сети на сервера использующие OpenSSL[17].

Из распространённых алгоритмов атаке по времени подвержены DES, AES[18], IDEA, RC5[13].

Атаки по ошибкам вычислений

Атака по ошибкам вычислений (Шаблон:Lang-en) — активная атака. Основная идея — осуществление различных воздействий на шифратор с целью возникновения искажения информации на некоторых этапах шифрования. Управляя этими искажениями и сравнивая результаты на разных этапах работы устройства, криптоаналитик может восстановить секретный ключ. Изучение атак на основе ошибок вычислений обычно разделяется на две ветви: одна изучает теоретические возможности для осуществления различных ошибок в исполнении алгоритма, другая исследует методы воздействия для реализации этих ошибок в конкретных устройствах.

Методы воздействия

Наиболее распространённые методы воздействия[19]:

Типы ошибок

Атаки по ошибкам вычислений могут быть классифицированы по типу полученной ошибки[19]:

  • Постоянные или переменные ошибки. Постоянные ошибки влияют на всём времени исполнения алгоритма, например фиксирование значения в памяти или изменение пути прохождения сигнала. Переменные ошибки отражаются только на определённых этапах работы.
  • Место возникновения ошибки: локальная ошибка, например изменения ячейки памяти, или ошибка в произвольном месте устройства, например атака с помощью электромагнитного поля.
  • Время воздействия: некоторые атаки требуют применения воздействия в строго определённое время, как например изменения тактовой частоты, другие же позволяют осуществлять атаку в более широком диапазоне времени работы.
  • Тип ошибки: смена значения бита, установка фиксированного значения, смена значения группы битов целиком, изменения потока исполнения команд и другие.

Примеры атак на ошибки вычислений

Атаки на основе ошибок вычислений изучаются с 1996 года[22] и с тех пор почти для всех алгоритмов была показана возможность взлома с помощью такого типа атак. Среди известных алгоритмов можно выделить:

Атаки по энергопотреблению (потребляемой мощности)

Атака по энергопотреблению, или атака по потребляемой мощности (Шаблон:Lang-en) — пассивная атака, предложенная Полом Кохером в 1999 году[26]. Суть данной атаки состоит в том, что в процессе работы шифратора криптоаналитик с высокой точностью измеряет энергопотребление устройства и таким образом получает информацию о выполняемых в устройстве операциях и их параметрах. Так как питание устройства обычно предоставляется внешними источниками, такая атака очень легко осуществима: достаточно поставить последовательно в цепь питания резистор и точно измерять ток, проходящий через него. Другой способ — измерять изменения напряжения на выходах устройства в процессе шифрования[27].

Атаки по потребляемой мощности отличаются высокой эффективностью с точки зрения затрат на криптоанализ. Так например простая атака по потребляемой мощности (Шаблон:Lang-en) на смарт-карту осуществима за несколько секунд, а некоторые варианты разностных атак по потребляемой мощности (Шаблон:Lang-en) позволяют получить секретный ключ всего за 15 измерений[26].

Атаки по электромагнитному излучению

Атака по электромагнитному излучению (Шаблон:Lang-en) — пассивная атака. Электронные шифрующие устройства излучают электромагнитное излучение во время своей работы. Связывая определённые спектральные компоненты этого излучения с операциями выполняемыми в устройстве, можно получить достаточно информации для определения секретного ключа или самой обрабатываемой информации.

Примером этого вида атак является перехват ван Эйка, осуществлённый в 1986 году. В дальнейшем атаки по электромагнитному излучению применялись к различным шифрам, таким как:

Акустические атаки

Шаблон:Main Акустическая атака (Шаблон:Lang-en) — пассивная атака, направленная на получение информации из звуков, производимых устройством. Исторически данный тип атак связывается с прослушкой работы принтеров и клавиатур,[33] но в последние годы были найдены уязвимости позволяющие использовать акустические атаки направленные на внутренние компоненты электронных шифраторов[34].

Атаки по видимому излучению

Атака по видимому излучению (Шаблон:Lang-en) — пассивная атака, предложенная Маркусом Куном в 2002 году[35]. В своей работе он показал, что используя высокоточный датчик интенсивности света можно измерить изменения в интенсивности рассеянного от монитора света, и таким образом восстановить изображение на экране[36]. Данный тип атак также можно применить к шифраторам, использующим светодиодные индикаторы, анализируя данные от которых можно получить информацию об операциях в устройстве[37].

Методы противодействия

Методы противодействия атакам по побочным каналам зависят от конкретной реализации алгоритма и необходимой степени защищённости устройства. Существуют официальные стандарты по защищённости криптографических устройств, такие как TEMPEST и FIPS. В литературе, посвящённой атакам по сторонним каналам, выделяют следующие общие методы противодействияШаблон:Sfn:

Экранирование

Достаточно сильное физическое экранирование устройства позволяет устранить почти все побочные каналы утечки информации. Недостатком экранирования является существенное увеличение стоимости и размеров устройства.

Добавление шума

Добавление шума существенно усложняет задачу криптоаналитика. Шумы уменьшают процент полезной информации в побочном канале, делая её нецелесообразной по затратам или вообще невозможной. Шум может быть добавлен как программно (введение случайных вычислений), так и аппаратно (установка различных генераторов шума).

Уравнивание времени выполнения операций

Чтобы криптоаналитик не смог провести атаку по времени исполнения все этапы шифрования в устройстве должны выполняться за одинаковое время. Добиться этого можно следующими способами:

  • Добавление фиксированной задержки. Если известна конечная платформа, то можно рассчитать время выполнения каждой операции и уравнять их добавив фиксированные задержки.
  • Выполнение одновременно нескольких возможных операций. Если в какой-то момент исполнения алгоритма должно выполниться либо умножение, либо возведение в квадрат, то должны выполниться обе операции, а ненужный результат отброшен.

Очевидным недостатком таких решений является замедление работы устройства. Также такие меры не помогают от динамических задержек, таких как промах в кэш.

Балансировка энергопотребления

По возможности при проведении операций должны быть задействованы все аппаратные части устройства (например регистры или вентили), на неиспользуемых частях следует проводить ложные вычисления. Таким образом можно добиться постоянства энергопотребления устройством и защититься от атак по энергопотреблению.

Устранение условных переходов

Защититься от множества атак по сторонним каналам можно устранив в алгоритме операции условного перехода, зависящие от входных данных или секретного ключа. В идеале алгоритм вообще не должен содержать операторов ветвления, зависящих от входных данных или ключа, и все вычисления должны производиться с помощью элементарных побитовых операций.

Независимость вычислений от данных

Если вычисления явно не зависят от входных данных или секретного ключа, то криптоаналитик также не сможет их получить из информации по побочному каналу. Добиться этого можно несколькими способами:

  • Маскирование (Шаблон:Lang-en) — способ при котором к входным данным применяется некоторая маска, производятся вычисления и обратная коррекция маски. Таким образом при атаке по сторонним каналам криптоаналитик получит некоторое промежуточное значение, не раскрывающее входных данных.
  • Произведение вычислений вслепую (Шаблон:Lang-en) — подход в криптографии, при котором устройство предоставляет функцию шифрования, не зная при этом реальных входных и выходных данных. Впервые подобный подход был применён к алгоритму RSA и основан на свойстве гомоморфности функции шифрования[38].

Примечания

Шаблон:Примечания

Литература

Ссылки

Шаблон:Хорошая статья

Партнерские ресурсы
Криптовалюты
Магазины
Хостинг
Разное

  1. Шаблон:Статья
  2. Шаблон:Cite web
  3. Таковыми являются физический, электрический или логический уровень интерфейсов доступных криптоаналитику.
  4. Шаблон:Статья
  5. 5,0 5,1 5,2 Шаблон:Статья
  6. Шаблон:Cite web
  7. Ошибка цитирования Неверный тег <ref>; для сносок YongBin Zhou, DengGuo Feng не указан текст
  8. Шаблон:Статья
  9. Используются электронные и ионные микроскопы
  10. 10,0 10,1 Шаблон:Статья
  11. Шаблон:Cite web
  12. Шаблон:Книга
  13. 13,0 13,1 Шаблон:Статья
  14. Шаблон:Статья
  15. Шаблон:Статья
  16. Шаблон:Статья
  17. Шаблон:Статья
  18. Шаблон:Статья
  19. 19,0 19,1 Шаблон:Cite web
  20. Шаблон:Статья
  21. 21,0 21,1 Шаблон:Статья
  22. 22,0 22,1 Шаблон:Статья
  23. Шаблон:Статья
  24. Шаблон:Статья
  25. Шаблон:Статья
  26. 26,0 26,1 Шаблон:Статья
  27. Шаблон:Cite web
  28. Шаблон:СтатьяШаблон:Недоступная ссылка
  29. Шаблон:Статья
  30. Шаблон:Статья
  31. Шаблон:Статья
  32. Шаблон:Статья
  33. Шаблон:Статья
  34. Шаблон:Cite web
  35. Шаблон:Статья
  36. Шаблон:Cite web
  37. Шаблон:Статья
  38. Шаблон:Cite web
Источник — http://wikihandbk.com/ruwiki/index.php?title=Русская_Википедия:Атака_по_сторонним_каналам&oldid=9048557