Parametry ovlivňující proudovou analýzu mikroprocesoru vykonávajícího funkci AddRoundKey

Podobné dokumenty
Postranními kanály k tajemství čipových karet

Protiopatření eliminující proudovou analýzu

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ MODERNÍ KRYPTOANALÝZA DIPLOMOVÁ PRÁCE FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

J.Breier, M.Vančo, J.Ďaďo, M.Klement, J.Michelfeit, Masarykova univerzita Fakulta informatiky

- + C 2 A B V 1 V 2 - U cc

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ PROUDOVÝ POSTRANNÍ KANÁL BAKALÁŘSKÁ PRÁCE FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

Obrázek č. 1 : Operační zesilovač v zapojení jako neinvertující zesilovač

Abychom se vyhnuli užití diferenčních sumátorů, je vhodné soustavu rovnic(5.77) upravit následujícím způsobem

OPERA Č NÍ ZESILOVA Č E

L A B O R A T O R N Í C V I Č E N Í

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

Paměti Josef Horálek

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ PROUDOVÝ POSTRANNÍ KANÁL MIKROPROCESORŮ DIPLOMOVÁ PRÁCE

Přednáška v rámci PhD. Studia

elektrické filtry Jiří Petržela aktivní prvky v elektrických filtrech

O čem byl CHES a FDTC? Jan Krhovják Fakulta informatiky Masarykova univerzita v Brně

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Popis obvodu U2403B. Funkce integrovaného obvodu U2403B

Petr Myška Datum úlohy: Ročník: první Datum protokolu:

Nízkofrekvenční (do 1 MHz) Vysokofrekvenční (stovky MHz až jednotky GHz) Generátory cm vln (až desítky GHz)

13 Měření na sériovém rezonančním obvodu

Zvyšující DC-DC měnič

Úloha D - Signál a šum v RFID

Střední průmyslová škola elektrotechnická a informačních technologií Brno

I/O modul VersaPoint. Analogový výstupní modul, 16 bitový, napětí, 1 kanál IC220ALG321. Specifikace modulu. Spotřeba. Vlastnosti. Údaje pro objednávku

Zpětná vazba a linearita zesílení

Nelineární obvody. V nelineárních obvodech však platí Kirchhoffovy zákony.

MĚŘENÍ HRADLA 1. ZADÁNÍ: 2. POPIS MĚŘENÉHO PŘEDMĚTU: 3. TEORETICKÝ ROZBOR. Poslední změna

Operační zesilovač. Úloha A2: Úkoly: Nutné vstupní znalosti: Diagnostika a testování elektronických systémů

Polovodičov. ové prvky. 4.přednáška

MĚŘENÍ Laboratorní cvičení z měření Měření parametrů operačních zesilovačů část Teoretický rozbor

Přednáška v rámci PhD. Studia

I/O modul VersaPoint. Analogový výstupní modul, 16 bitový, napětí/proud, 1 kanál IC220ALG320. Specifikace modulu. Spotřeba. Údaje pro objednávku

A45. Příloha A: Simulace. Příloha A: Simulace

Na trh byl uveden v roce 1971 firmou Signetics. Uvádí se, že označení 555 je odvozeno od tří rezistorů s hodnotou 5 kω.

INTEGROVANÁ STŘEDNÍ ŠKOLA TECHNICKÁ BENEŠOV. Černoleská 1997, Benešov. Elektrická měření. Tematický okruh. Měření elektrických veličin.

Operační zesilovač (dále OZ)

GFK-2004-CZ Listopad Rozměry pouzdra (šířka x výška x hloubka) Připojení. Skladovací teplota -25 C až +85 C.

Historie počítačů. 0.generace. (prototypy)

Unipolární tranzistor aplikace

Universální přenosný potenciostat (nanopot)

ODHALOVÁNÍ PADĚLKŮ SOUČÁSTEK PARAMETRICKÝM MĚŘENÍM

teorie elektronických obvodů Jiří Petržela analýza šumu v elektronických obvodech

GFK-2005-CZ Prosinec Rozměry pouzdra (šířka x výška x hloubka) Připojení. Provozní teplota -25 C až +55 C. Skladovací teplota -25 C až +85 C

Dioda jako usměrňovač

Operační zesilovač, jeho vlastnosti a využití:

Ochrana informací šifrováním pro integrovanou výuku VUT a VŠB-TUO

Prvky a obvody elektronických přístrojů II

KRYPTOANALÝZA POSTRANNÍMI KANÁLY

1.1 Pokyny pro měření

Středoškolská technika SCI-Lab

Rezonanční řízení s regulací proudu

Základní zapojení s OZ. Vlastnosti a parametry operačních zesilovačů

Teorie elektronických

Přednáška 3 - Obsah. 2 Parazitní body effect u NMOS tranzistoru (CMOS proces) 2

Řídicí obvody (budiče) MOSFET a IGBT. Rozdíly v buzení bipolárních a unipolárních součástek

Polovodičové prvky. V současných počítačových systémech jsou logické obvody realizovány polovodičovými prvky.

D C A C. Otázka 1. Kolik z následujících matic je singulární? A. 0 B. 1 C. 2 D. 3

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Střední odborná škola a Střední odborné učiliště, Hustopeče, Masarykovo nám. 1

1. Základy teorie přenosu informací

Rezistor je součástka kmitočtově nezávislá, to znamená, že se chová stejně v obvodu AC i DC proudu (platí pro ideální rezistor).

FVZ K13138-TACR-V004-G-TRIGGER_BOX

Quantization of acoustic low level signals. David Bursík, Miroslav Lukeš

Sběrnicová struktura PC Procesory PC funkce, vlastnosti Interní počítačové paměti PC

MĚŘENÍ Laboratorní cvičení z měření. Měření parametrů operačních zesilovačů, část 3-7-3

Punčochář, J.: OPERAČNÍ ZESILOVAČE V ANALOGOVÝCH SYSTÉMECH 1

Střední průmyslová škola elektrotechnická a informačních technologií Brno

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ ANALOGOVÝ SPÍNAČ PRO APLIKACE V TECHNICE SPÍNANÝCH PROUDŮ

EduKit84. Výuková deska s programátorem pro mikrokontroléry PIC16F84A firmy Microchip. Uživatelská příručka

Oscilátory. Návod k přípravku pro laboratorní cvičení v předmětu EO.

Flyback converter (Blokující měnič)

Manuál přípravku FPGA University Board (FUB)

1. Navrhněte RC oscilátor s Wienovým článkem, operačním zesilovačem a žárovkovou stabilizací amplitudy, podle doporučeného zapojení, je-li dáno:

GFK-1904-CZ Duben Rozměry pouzdra (šířka x výška x hloubka) Připojení. Skladovací teplota -25 C až +85 C. Provozní vlhkost. Skladovací vlhkost

1. Navrhněte a prakticky realizujte pomocí odporových a kapacitních dekáda derivační obvod se zadanou časovou konstantu: τ 2 = 320µs

Napájení mikroprocesorů. ČVUT- FEL, katedra měření, přednášející Jan Fischer. studenty zapsané v předmětu: A4B38NVS

INTEGROVANÁ STŘEDNÍ ŠKOLA TECHNICKÁ BENEŠOV. Černoleská 1997, Benešov. Elektrická měření. Tematický okruh. Měření elektrických veličin.

Snímání biologických signálů. A6M31LET Lékařská technika Zdeněk Horčík Katedra teorie obvodů

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

výkonovou hustotu definovat lze (v jednotkách W na Hz). Tepelný šum (thermal noise) Blikavý šum (flicker noise)

Měření vlastností jednostupňových zesilovačů. Návod k přípravku pro laboratorní cvičení v předmětu EOS.

GFK-1913-CZ Prosinec Rozměry pouzdra (šířka x výška x hloubka) Připojení. Skladovací teplota -25 C až +85 C.

1.6 Operační zesilovače II.

Návrh frekvenčního filtru

Studium tranzistorového zesilovače

Měření rozložení optické intenzity ve vzdálené zóně

2. Pomocí Theveninova teorému zjednodušte zapojení na obrázku, vypočtěte hodnoty jeho prvků. U 1 =10 V, R 1 =1 kω, R 2 =2,2 kω.

EMC a blokování napájení

Základy elektrotechniky

Číslicový Voltmetr s ICL7107

11. Odporový snímač teploty, měřicí systém a bezkontaktní teploměr

LABORATORNÍ PROTOKOL Z PŘEDMĚTU SILNOPROUDÁ ELEKTROTECHNIKA

Microchip. PICmicro Microcontrollers

Wienův oscilátor s reálným zesilovačem

EC Motor. IO Modul EC200. EC200 Int. EC200 Ext. Verze 1.20, revize PMControl s.r.o.

Impulsní regulátor ze změnou střídy ( 100 W, 0,6 99,2 % )

Střední průmyslová škola elektrotechnická a informačních technologií Brno

Zvyšování kvality výuky technických oborů

Technická kybernetika. Obsah. Principy zobrazení, sběru a uchování dat. Měřicí řetězec. Principy zobrazení, sběru a uchování dat

Transkript:

Rok / Year: Svazek / Volume: Číslo / Number: 211 13 5 Parametry ovlivňující proudovou analýzu mikroprocesoru vykonávajícího funkci AddRoundKey Parameters affecting the current analysis of the microprocessor executing the function AddRoundKey Zdenik Martinásek, Tomáš Petřík, Peter Stančík martinasek@feec.vutbr.cz, xpetri@stud.feec.vutbr.cz, peter.stancik@phd.feec.vutbr.cz Fakulta elektrotechniky a komunikačních technologií VUT v Brně. Abstrakt: Článek popisuje analýzu proudového postranního kanálu za různých podmínek a pro různé konstrukční vlastnosti kryptografického modulu. Jako kryptografický modul je použit mikroprocesor PIC16f84A pracující se symetrickou šifrou AES. Analýza je zaměřena na proudový postranní kanál při vykonávání funkce AddRoundKey z šifrovacího algoritmu. Proudový odběr mikroprocesoru byl měřen v závislosti na velikosti napájecího napětí, velikosti odporu bočníku a velikosti kapacity blokovacího kondenzátoru. Abstract: The article describes a side channel power analysis under various conditions. As a cryptographic module was used microprocessor PIC16F84A working with AES (Advanced Encryption Standard). The measurements was focuses on the current consumption during the execution of the function AddRoundKey. Power consumption was measured depending on size supply voltage, size of shunt resistance, capacity of blocking capacitor and ambient temperature.

211/51 22. 9. 211 VOL.13, NO.5, OCTOBER 211 Parametry ovlivňující proudovou analýzu mikroprocesoru vykonávajícího funkci AddRoundKey Zdeněk Martinásek 1, Tomáš Petřík 1, Peter Stančík 1 1 Fakulta elektrotechniky a komunikačních technologií VUT v Brně Email: martinasek@feec.vutbr.cz, xpetri@stud.feec.vutbr.cz, peter.stancik@phd.feec.vutbr.cz Abstrakt Článek popisuje analýzu proudového postranního kanálu za různých podmínek a pro různé konstrukční vlastnosti kryptografického modulu. Jako kryptografický modul je použit mikroprocesor PIC16f84A pracující se symetrickou šifrou AES. Analýza je zaměřena na proudový postranní kanál při vykonávání funkce AddRoundKey z šifrovacího algoritmu. Proudový odběr mikroprocesoru byl měřen v závislosti na velikosti napájecího napětí, velikosti odporu bočníku a velikosti kapacity blokovacího kondenzátoru. U CC = 5V T1 T1 IC T2 C T2 U OUT = 5V U IN = V U IN = 5V a) b) IC C U OUT = V 1 Úvod Proudová analýza (Powe analysis, PA) studuje výkonovou spotřebu kryptografického zařízení v závislosti na jeho činnosti, byla představena v roce 1998 panem Kocherem [4]. Průběh proudové spotřeby elektronického zařízení (kryptografického modulu) není s časem konstantní a na první pohled vykazuje náhodný charakter. Většina moderních kryptografických zařízení bývá založena na technologii CMOS (Complementary Metal Oxide Semiconductor). Základním stavebním prvkem logiky založené na CMOS technologii je invertující člen (obr. 1). Branami CMOS tranzistorů u invertoru protékají tři různé druhy proudů [8], první se nazývá svodový proud, druhý proud nabíjející/vybíjecí parazitní kapacity a třetí se nazývá zbytkový proud. Invertor obsahuje dva tranzistory T1 (PMOS) a T2 (NMOS) řízené napětím s opačným typem vodivosti. Invertor pracuje následovně: je-li vstupní napětí (U IN ) v logické úrovni 1, je otevřen tranzistor T2 a T1 je uzavřen, je-li vstupní napětí (U IN ) v logické úrovni, je otevřen tranzistor T1 a T2 je uzavřen. V obou těchto stabilních stavech je výkonová spotřeba minimální, tranzistory odebírají malý proud ze zdroje a ten se mění v tepelné záření. Výkonová špička nastává při přechodu mezi těmito stavy, kdy po krátký čas jsou otevřeny oba tranzistory (T1, T2) a napájení je přes ně zkratováno k zemi (svodový proud). Velikost proudové špičky je úměrná počtu právě přepínaných tranzistorů v celém integrovaném obvodu. Dominantní zdroj výkonových změn je nabíjení parazitní kapacity proudem I C a vybíjení parazitní kapacity proudem I D (vybíjecí/nabíjecí proud). Tato Obrázek 1: Model invertoru logiky založené na CMOS. a) Nabíjení parazitní kapacity. b) Vybíjení parazitní kapacity. parazitní kapacita představuje kapacity řídicích elektrod následujících tranzistorů. Dynamická výkonová spotřeba invertoru lze vyjádřit vztahem [8]: P dyn = C U 2 CC P 1 f, (1) kde C je parazitní kapacita, P 1 je pravděpodobnost přechodu mezi stavy 1, f je kmitočet spínání a U CC je napájecí napětí. Pokud měříme výkonovou spotřebu (na zemnící nebo napájecí svorce invertoru) bude největší špička během nabíjení parazitní kapacity[8]. Důsledkem výše popsaných příčin výkonových změn je, že proudová spotřeba kryptografického modulu je přímo závislá na zpracovávaných datech a probíhajících operacích. Útočník může z naměřené proudové spotřeby kryptografického modulu určit algoritmus, instrukci, tajný klíč a další senzitivní materiál. Proudová analýza může být aplikována v podstatě na všechny elektronické kryptografické zařízení, protože tyto zařízení musí být během provozu napájeny. Za 1 let své existence útoky jednoduchou a diferenční proudovou analýzou jsou obsáhle publikovány například útok na algoritmus DES [4], RSA [3] a AES [9, 1]. Tato četnost vychází z faktu, že zařízení na měření proudového odběru je cenově dostupné prakticky komukoli, útočník nemusí mít k dispozici žádné drahé speciální zařízení. Postačí měřicí karta do počítače nebo osciloskop, ale i tyto měřící zařízení se musí správně použít jinak dochází ke zkreslení výsledků. Většina publikací týkající PA nepopisuje experimentální pracoviště, nestandardní nastavení některých parametrů a postup měření. Několik základních in- 51 1

211/51 22. 9. 211 VOL.13, NO.5, OCTOBER 211.2 První varianta.15 Diferenční signál.1.1.5 -.1.2 4 6 8 1 12 14 x 1-5 Druhá varianta -.5 -.1.1 -.1 -.2 4 6 8 1 12 14 x 1-5 -.15 -.2 4 5 6 7 8 9 1 11 12 13 14 x 1-5 Obrázek 3: Výsledný diferenční průběh Obrázek 2: Naměřené průběhy první a druhé fáze formací o experimentálním pracovišti je uvedeno v práci [1]. Základní informace týkající se metod měření byly publikovány v [5]. Článek [2] zabývající se optickým PK uvádí nestandardní konfiguraci kryptografického modulu (vyšší napájecí napětí) z důvodu markantnějších výsledků měření. Publikace se nezabývají také nastavením ostatních parametrů ovlivňující měření například velikost taktovacího signálu, velikost napájecího napětí, velikost odporu bočníku, polohou oscilátoru atd. Tento článek popisuje analýzu proudového postranního kanálu za různých podmínek a pro různé konstrukční vlastnosti kryptografického modulu. Autoři navazují na předchozí práci [5, 6, 7]. Jako kryptografický modul je použit mikroprocesor PIC16f84A pracující se symetrickou šifrou AES. Analýza je zaměřena na proudový odběr modulu během vykonávání funkce AddRoundKey. Proudový odběr mikroprocesoru byl měřen v závislosti na velikosti napájecího napětí, velikosti odporu bočníku a velikosti kapacity blokovacího kondenzátoru. 2 Určení diferenčního průběhu Pro porovnání velikosti vlivu různých parametrů na měření proudové spotřeby byl určen diferenční průběh, který bude sloužit jako reference. Do kryptografického modulu byla implementována funkce AddRoundKey algoritmu AES a to ve dvou variantách. Tato operace provádí XOR nad blokem (maticí) otevřeného textu A a blokem tajného klíče K a ukládá výsledek do bloku S (rovnice 2). Ve své původní podobě pracuje AES algoritmus s bloky dat o délce 128 bitů tedy matice 4x4 Bajty. S = A K (2) V první variantně byla matice otevřeného textu A 1 a matice tajného klíče K 1 nulová (tzn. každé slovo má hodnotu h). V druhé variantě byla matice A 2 opět nulová, ale matice K 2 nabývala hodnot od 1h do FFh, kdy Hammingova váha w prvku následujícího je vždy větší o 1 oproti prvku předchozímu. Hodnota prvního slova klíče k, je rovna 1h (B 1 ) tedy w(k, ) = 1. Následující prvek v matici má hodnotu 3h (B 11 ) tedy Hammingova váha w(k,1 ) = 2. Poslední prvek k 3,3 pak nabývá hodnoty FFh (B 11111111 ), kde w(k 1,3 ) = 8. Matice tajného klíče pro obě varianty bude vypadat následovně (hexadecimální zápis): K 1 =, K 2 = 1 3 7 F 1F 3F 7F F F 1 3 7 F 1F 3F 7F F F Proudová spotřeba během provádění algoritmu v první a druhé variantě byla zaznamenána osciloskopem a následně vyhodnocena. Z teorie vyplývá, že v první variantě nedochází k žádné operaci s daty tedy přepnutí stavů tranzistorů, ukládání změn do paměti atd. V druhé variantě dochází k práci s daty dle výše popsaných pravidel. Výsledné průběhy jsou zobrazeny na obrázku obr. 2. Diferenční signál se následně vypočte prostým rozdílem průběhů napětí z těchto dvou fází, tzn. průběh napětí z první fáze se odečte od průběhu napětí z druhé fáze. Výsledkem této jednoduché operace je průběh signálu zobrazený na obrázku 3. Na obrázku jsou patrné špičky odpovídající práci s daty. Důležitá je viditelnost zvyšující se Hammingovi váhy tajného klíče w(k) = 1 až 8. 3 Vliv napájecího napětí Na obrázku 4 jsou zobrazeny diferenční průběhy pro různé hodnoty napájecího napětí U CC. Hodnoty byly naměřeny pro odpor bočníku = 1 Ω, frekvenci hodinového signálu f OSC1 = 4 MHz a blokovací kondenzátor = 1 nf. S rostoucím napětím U CC narůstá hodnota proudu odebíraného mikroprocesorem. Tento proud je přímo úměrný napětí na bočníku. Obrázek 5 znázorňuje průběh napětí, 51 2

211/51 22. 9. 211 VOL.13, NO.5, OCTOBER 211.15.1.5.4.3.2.1 -.5 -.1 -.15 -.2 U =1V CC U CC =9V U =7V CC U =5V CC 4 5 6 7 8 9 1 11 12 13 14 x 1-5 -.1 -.2 -.3 -.4 R = 47 B R = 22 B R = 1 B = 55 R = 1 B 4 5 6 7 8 9 1 11 12 13 14 x 1-5 Obrázek 4: Diferenční průběh pro různá napájecí napětí. U =1V CC.15 U =9V CC U CC =7V.1 U =5V CC.5 Obrázek 6: Diferenční průběhy pro různé velikosti odporu bočníku..4.3.2.1 = 47 = 22 = 1 = 55 = 1 -.5 -.1 -.15 -.2 1.381 1.382 1.383 1.384 1.385 1.386 1.387 1.388 x 1-4 -.1 -.2 -.3 -.4 1.365 1.366 1.367 1.368 1.369 1.37 x 1-4 Obrázek 5: Detail průběhů proudu pro různé velikosti napájecího napětí. ve výřezu z grafu na obrázku 4. Tyto napěťové špičky vznikají při operaci XOR mezi slovy h a FFh. Pro U CC = 5 V je velikost diferenčního napětí fáze 1 a 2 na bočníku oproti hodnotě ustálené přibližně 8 mv. Pro U CC = 1 V je tato diference dvojnásobná, tj. 16 mv. Se vzrůstajícím napájecím napětím mikroprocesoru se hodnoty napětí diferenčního průběhu zvyšovaly, avšak šumová složka se prakticky nezměnila. S vyššími hodnotami napájecího napětí je tedy kryptoanalýza proudového postranního kanálu mnohem účinnější. 4 Vliv odporu bočníku Na obrázku 6 jsou zobrazeny diferenční průběhy pro různé velikosti odporu bočníku. Hodnoty byly naměřeny pro napájecí napětí U CC = 1 V, frekvenci hodinového signálu f OSC1 = 4 MHz a kapacitu blokovacího kondenzátoru = 1 nf. Dle předpokladů (Ohmův zákon) se hodnoty diferenčního signálu zvyšovaly s rostoucí hodnotou odporu Obrázek 7: Detail Peak-to-Peak hodnot napětí pro různé velikosti odporu bočníku. bočníku. Obrázek 7 znázorňuje průběh napětí ve výřezu z grafu na obrázku 6. Z grafu je patrné, že se vzrůstajícím odporem bočníku se zvyšuje Peak-to-Peak hodnota diferenčního signálu na bočníku. Přechody ze stavu log. 1 do log. jsou sice výraznější, avšak klesá hodnota poměru S/N (Signal-to- Noise Ratio), tj. poměr užitečného signálu a signálu šumu, viz obr. 8. Pro = 1 Ω je maximální hodnota referenčního signálu U =,1672 V a pro = 47 Ω je maximální hodnota referenčního signálu U =,3776 V. 5 Vliv frekvence hodinového signálu Na obrázku 9 je zobrazen průběh diferenčního signálu pro odlišný takt hodinového signálu na vstupu OSC1 mikroprocesoru. Průběh byl naměřen pro odpor bočníku = 1 Ω, napájecí napětí U CC = 1 V a kapacitu blokovacího kondenzátoru = 1 nf. Frekvence hodinového signálu 51 3

I[A] I[A] I[A] I[A] 211/51 22. 9. 211 VOL.13, NO.5, OCTOBER 211.4.3.2 = 47 = 1.2.15.1.5 Detail1 Detail2.1 -.5 -.1 -.2 -.3 -.1 -.15 -.2 -.25 = 1nF = 22nF = 1nF = 33nF = 82nF -.4 4 5 6 7 8 9 1 11 12 13 14 x 1-5 4 6 8 1 12 14 x 1-5 Obrázek 8: Srovnání průběhů diferenčního signálu pro = 1 Ω a = 47 Ω. Obrázek 1: Diferenční průběhy pro různé velikosti blokovacího kondenzátoru.2.15.1 f = 15MHz 1 x 1-3 8 6 4 = 1nF = 22nF = 1nF = 33nF = 82nF.5 2-2 -.5-4 -.1 -.15-6 -8 2.6 2.65 2.7 2.75 2.8 2.85 x 1-5 1 1.5 2 2.5 3 3.5 4 x 1-5 Obrázek 11: Detail 1 diferenčního signálu Obrázek 9: Referenční. byla 15 MHz. Na průběhu proudové spotřeby jsou patrné výraznější přechody mezi stavy vnitřních obvodů mikroprocesoru pro nižší frekvence f OSC1 (porovnání s diferenčním průběhem kde frekvence hodinového signálu byla 4 MHz). Hodnoty maximální hodnoty diferenčního napětí fáze 1 a pro frekvence 4 a 15 MHz se liší o U 15,4 = 19,5-14,3 = 5,2 mv. S rostoucí frekvencí se ovšem zvýrazňuje oscilace napěťového signálu na bočníku, což je pro analýzu signálu nežádoucí. Výsledky měření nejsou tak čitelné, některé proudové špičky jsou matoucí např proudová špička v čase 3.8 s na obr. 9. Z hlediska bezpečnosti je proto výhodnější použití oscilátoru s vyšším taktem. Při vyšším taktu se také zvyšují požadavky na vzorkovací frekvenci osciloskopu (měřicího zařízení) a tím kladou vyšší nároky potenciálnímu útočníkovi. V ideálním případě by pro zvýšení bezpečnosti bylo výhodné použití takové frekvence taktu hodinového signálu, která by při analýze útočníkem způsobovala aliasing rekonstruovaného signálu. 6 Vliv kapacity blokovacího kondenzátoru Obrázek 1 zobrazuje průběhy diferenčního průběhu pro různé hodnoty kapacity blokovacího kondenzátoru. Hodnoty byly naměřeny pro napájecí napětí U CC = 1 V, frekvenci hodinového signálu f OSC1 = 4 MHz a odpor bočníku = 1 Ω. Kapacity blokovacího kondenzátoru byly voleny byly v hodnotách 1, 22, 1, 33 a 82 nf. Doporučená hodnota kapacity pro blokovací kondenzátor je = 1 nf. Na obrázku 11 je zobrazen první detail diferenčních průběhů. Konkrétně se jedná o proudový průběh vykonání instrukce bsf RB. Pin RB mikroprocesoru se nastaví na hodnotu log. 1 (napájecí napětí mikroprocesoru), což je doprovázeno vysokou napěťovou špičkou v průběhu diferenčního signálu. Pro velikost kapacity výrazně vyšší 1 nf je patrná výrazná oscilace signálu. Stejně tak to platí pro hodnoty nižší. V druhém detailu (obr. 12) je výrazná oscilace signálu při = 1 nf. Volba této hodnoty je ovšem z konstrukčního hlediska naprosto nevhodná. Z pohledu ochrany proti 51 4

I[A] 211/51 22. 9. 211 VOL.13, NO.5, OCTOBER 211.2.15.1.5 -.5 -.1 -.15 -.2 -.25 -.3 1.37 1.375 1.38 1.385 1.39 Obrázek 12: Detail 2 diferenčního průběhu = 1nF = 22nF = 1nF = 33nF = 82nF x 1-4 analýze PK by bylo vhodné použití vyšších hodnot kapacit blokovacích kondenzátorů. 7 Závěr Pro účely měření bylo vytvořeno a důkladně otestováno experimentální pracoviště s kryptografickým modulem. Jako kryptografický modul byl použit mikroprocesor PIC16f84A pracující se symetrickou šifrou AES. Analýza je zaměřena na proudový odběr modulu při vykonávání instrukcí funkce AddRoundKey. Proudový odběr mikroprocesoru byl měřen v závislosti na velikosti napájecího napětí, velikosti odporu bočníku, frekvence hodinového signálu a velikosti kapacity blokovacího kondenzátoru. Se vzrůstajícím napájecím napětím mikroprocesoru se hodnoty napětí diferenčního průběhu zvyšovaly, avšak šumová složka se prakticky nezměnila. S vyššími hodnotami napájecího napětí je tedy kryptoanalýza proudového postranního kanálu mnohem účinnější. Pro U CC = 5 V byla velikost diferenčního napětí fáze 1 a 2 na bočníku oproti hodnotě ustálené přibližně 8 mv. Pro U CC = 1 V byla tato diference dvojnásobná, tj. 16 mv. Volba velikosti odporu bočníku měla dle předpokladů také značný vliv na výsledky měření. S rostoucí hodnotou velikosti odporu se sice Peak-to-Peak hodnoty diferenčního signálu zvyšovaly, avšak rovněž narůstala velikost šumové složky ve výsledném průběhu, tj. klesal poměr odstupu užitečného signálu od šumu. Pro = 1 Ω je maximální hodnota diferenčního signálu U =,1672 V a pro = 47 Ω je maximální hodnota diferenčního signálu U =,3776 V. Z těchto důvodů volba menší hodnoty odporu bočníku výrazně usnadňuje analýzu proudového postranního kanálu (ideální hodnota = 1 Ω). Volba frekvence hodinového signálu se rovněž výrazným způsobem projevovala na výsledném průběhu diferenčního signálu. Pro PA je vhodnější použití nižší frekvence, která klade nižší nároky na měřicí zařízení. Oproti tomu z pohledu ochrany je vhodnější volba frekvence hodinového signálu co možná nejvyšší. S vyššími hodnotami kmitočtu je diferenční průběh napětí více zarušen šumem, výraznější oscilace napětí na bočníku. V případě analýzy vlivu velikosti kapacity blokovacích kondenzátorů byl průběh diferenčního signálu nejméně zarušen při použití doporučené velikosti kapacity 1 nf. V případě této volby je pak výsledný průběh diferenčního signálu nejméně zarušen šumem a přechody mezi stavy vnitřních obvodů mikroprocesoru jsou pak mnohem zřetelnější. U příliš nízkých, nebo naopak vysokých hodnot kapacit, je u diferenčního signálu výraznější oscilace při změnách stavů obvodů v mikroprocesoru. Literatura [1] Ambrose, J.; Aldon, N.; Ignjatovic, A.; aj.: Anatomy of Differential Power Analysis for AES. In Symbolic and Numeric Algorithms for Scientific Computing, 28. SYNASC 8. 1th International Symposium on, sept. 28, s. 459 466, doi:1.119/synasc. 28.8. [2] Ferrigno, J.; Hlavac, M.: When AES blinks: introducing optical side channel. Information Security, IET, ročník 2, č. 3, september 28: s. 94 98, ISSN 1751-879, doi:1.149/iet-ifs:2838. [3] Çetin Kaya Koç; Rothatgi, P.; Schindler, W.; aj. (editoři): Cryptographic Engineering. 29, ISBN 978-- 387-71816-3. [4] Kocher, P.; E, J. J.; Jun, B.: Differential Power Analysis. Springer-Verlag, 1999, s. 388 397. [5] Martinasek, Z.; Macha, T.; Stancik, P.: Power side channel information measurement. In Research in telecommunication technologies RTT21, September 21. [6] Martinasek, Z.; Macha, T.; Zeman, V.: Classifier of power side channel. In Proceedings of NIMT21, September 21, ISBN 978-8-214-4126- 2. [7] Martinasek, Z.; Machu, P.: New side channel in cryptography. In Proceedings of the 17th Conference Student EEICT 211, April 211, ISBN 978-8-214-4273- 3. [8] Peeters, E.; Standaert, F.-X.; Quisquater, J.-J.: Power and electromagnetic analysis: Improved model, consequences and comparisons. Integration, the VLSI Journal, ročník 4, č. 1, 27: s. 52 6, ISSN 167-926, doi:doi:1.116/j.vlsi.25.12.13, embedded Cryptographic Hardware. URL http://www.sciencedirect.com/ science/article/b6v1m-4j3nwy2-1/2/ 197aa6143d75a833ace314377841 [9] Sugawara, T.; Homma, N.; Aoki, T.; aj.: Differential power analysis of AES ASIC implementations with various S-box circuits. In Circuit Theory and Design, 51 5

211/51 22. 9. 211 VOL.13, NO.5, OCTOBER 211 29. ECCTD 29. European Conference on, aug. 29, s. 395 398, doi:1.119/ecctd.29.52754. [1] Velegalati, R.; Yalla, P. S. V. V. K.: Differential Power Analysis Attack on FPGA Implementation of AES. 28: s. 1 5. 51 6

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář