Protiopatření eliminující proudovou analýzu

Podobné dokumenty
Postranními kanály k tajemství čipových karet

J.Breier, M.Vančo, J.Ďaďo, M.Klement, J.Michelfeit, Masarykova univerzita Fakulta informatiky

O čem byl CHES a FDTC? Jan Krhovják Fakulta informatiky Masarykova univerzita v Brně

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ


Odolnost kryptografického HW s ohledem na nasazení

Moderní metody substitučního šifrování

Architektura Intel Atom

Problematika náhodných a pseudonáhodných sekvencí v kryptografických eskalačních protokolech a implementacích na čipových kartách

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Konstrukce šifer. Andrew Kozlík KA MFF UK

Informatika / bezpečnost

Komerční výrobky pro kvantovou kryptografii

ZÁKLADY PROGRAMOVÁNÍ. Mgr. Vladislav BEDNÁŘ /14

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ MODERNÍ KRYPTOANALÝZA DIPLOMOVÁ PRÁCE FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

6. Cvičení [MI-KRY Pokročilá kryptologie]

Zpracování obrazu v FPGA. Leoš Maršálek ATEsystem s.r.o.

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Asymetrické šifry. Pavla Henzlová FJFI ČVUT v Praze. Pavla Henzlová (FJFI ČVUT v Praze) Asymetrické šifry 28.3.

Parametry ovlivňující proudovou analýzu mikroprocesoru vykonávajícího funkci AddRoundKey

SIM karty a bezpečnost v mobilních sítích

Direct Digital Synthesis (DDS)

kryptosystémy obecně další zajímavé substituční šifry klíčové hospodářství kryptografická pravidla Hillova šifra Vernamova šifra Knižní šifra

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

4. Úvod do paralelismu, metody paralelizace

Výukový materiál Hardware je zaměřený především na výuku principů práce hardwaru a dále uvádí konkrétní příklady použití.

Šifrová ochrana informací věk počítačů PS5-1

INFORMAČNÍ TECHNOLOGIE. Charakteristika vyučovacího předmětu 2.stupeň

CO JE KRYPTOGRAFIE Šifrovací algoritmy Kódovací algoritmus Prolomení algoritmu

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

3. Počítačové systémy

HSM a problémy s bezpečností API Masarykova univerzita v Brně Fakulta informatiky

MATURITNÍ OTÁZKY ELEKTROTECHNIKA - POČÍTAČOVÉ SYSTÉMY 2003/2004 TECHNICKÉ VYBAVENÍ POČÍTAČŮ

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

Semestrální práce z předmětu Speciální číslicové systémy X31SCS

Pohled do nitra mikroprocesoru Josef Horálek

Operace ALU. INP 2008 FIT VUT v Brně

Blokové a prúdové šifry

VzorTest-1. Prohlídka náhledu

Proudové šifry a posuvné registry s lineární zpětnou vazbou

Algoritmy a struktury neuropočítačů ASN - P11

Kryptoanalýza šifry PRESENT pomocí rekonfigurovatelného hardware COPACOBANA

Algoritmus pro hledání vlastních čísel kvaternionových matic

Mikrokontroléry. Doplňující text pro POS K. D. 2001

8. RSA, kryptografie s veřejným klíčem. doc. Ing. Róbert Lórencz, CSc.

31SCS Speciální číslicové systémy Antialiasing

LabView jako programovací jazyk II

Hammingovy kódy. dekódování H.kódů. konstrukce. šifrování. Fanova rovina charakteristický vektor. princip generující a prověrková matice

Základy kryptologie. Kamil Malinka Fakulta informačních technologií

Pokročilá kryptologie

Kompresní metody první generace

INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE

Restaurace (obnovení) obrazu při známé degradaci

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Testovací protokol. webový generátor PostSignum. sada PIIX3; 1 GB RAM; harddisk 20 GB IDE OS: Windows Vista Service Pack 2 SW: Internet Explorer 9


}w!"#$%&'()+,-./012345<ya

Architektura počítače

Použití čipových karet v IT úřadu

AŽD Praha s.r.o. Plně elektronické staniční zabezpečovací zařízení AŽD ESA33. Panel EIP. (Elektronic Interface Panel)

Projekt BROB B13. Jízda po čáře pro reklamní robot. Vedoucí projektu: Ing. Tomáš Florián

Předmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu

[1] samoopravné kódy: terminologie, princip

KTE/TEVS - Rychlá Fourierova transformace. Pavel Karban. Katedra teoretické elektrotechniky Fakulta elektrotechnická Západočeská univerzita v Plzni

Certifikace pro výrobu čipové karty třetí stranou

Bezpečnostní mechanismy

Vzdálenost jednoznačnosti a absolutně

KPB. Režimy činnosti symetrických šifer - dokončení. KPB 2015/16, 7. přednáška 1

A6M33SSL: Statistika a spolehlivost v lékařství Teorie spolehlivosti Přednáška 2

Kryptografie - Síla šifer

Řízení IO přenosů DMA řadičem

Nízkofrekvenční (do 1 MHz) Vysokofrekvenční (stovky MHz až jednotky GHz) Generátory cm vln (až desítky GHz)

SODATSW Case Study 2009 Nasazení řešení Datový trezor ve společnosti Synthesia, a.s.

Adresovatelné RGB LED

APLIKACE ALGORITMŮ ČÍSLICOVÉHO ZPRACOVÁNÍ SIGNÁLŮ 1. DÍL

Základní pojmy. Program: Algoritmus zapsaný v programovacím jazyce, který řeší nějaký konkrétní úkol. Jedná se o posloupnost instrukcí.

základní vlastnosti, používané struktury návrhové prostředky MATLAB problém kvantování koeficientů

Zobrazování barev Josef Pelikán CGG MFF UK Praha.

Kryptografie a počítačová bezpečnost

MĚŘENÍ A ANALÝZA ELEKTROAKUSTICKÝCH SOUSTAV NA MODELECH. Petr Kopecký ČVUT, Fakulta elektrotechnická, Katedra Radioelektroniky

Náhodné signály. Honza Černocký, ÚPGM

Ing. Jan Matějka ECO trend Research centre s.r.o.

Mifare Mifare Mifare Mifare Mifare. Standard 1K/4K. Velikost paměti EEPROM 512bit 1/4 KByte 4KByte 4/8/16 KByte 4-72 KByte

ALGORITMY ČÍSLICOVÉHO ZPRACOVÁNÍ SIGNÁLŮ

Aritmetika s velkými čísly na čipové kartě

Příklad elektrický obvod se stejnosměrným zdrojem napětí

Profilování vzorků heroinu s využitím vícerozměrné statistické analýzy

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ PROUDOVÝ POSTRANNÍ KANÁL BAKALÁŘSKÁ PRÁCE FAKULTA ELEKTROTECHNIKY A KOMUNIKAČNÍCH TECHNOLOGIÍ ÚSTAV TELEKOMUNIKACÍ

PROCESOR. Typy procesorů

Digitální podepisování pomocí asymetrické kryptografie

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Šifrová ochrana informací věk počítačů PS5-2

Obecné výpočty na GPU v jazyce CUDA. Jiří Filipovič

UKRY - Symetrické blokové šifry

Kódy pro odstranění redundance, pro zabezpečení proti chybám. Demonstrační cvičení 5 INP

ZIFO, AIFO a bezpečnost osobních údajů

DSY-6. Přenosový kanál kódy pro zabezpečení dat Základy šifrování, autentizace Digitální podpis Základy měření kvality přenosu signálu

Správa přístupu PS3-2

Počítač jako prostředek řízení. Struktura a organizace počítače

Transkript:

SIX Research Centre Vysoké učení technické v Brně martinasek@feec.vutbr.cz crypto.utko.feec.vutbr.cz

Proudová analýza (PA) V dnešní době představuje efektivní a úspěšný způsob útoku cílený na bezpečné algoritmy např. AES nebo RSA, útoky cíleny na bezpečné kryptografické zařízení čipové karty, mobilní telefony, ATM, důležitá implementace protiopatření. 1. Runda 2. Runda 3. Runda 4. Runda 5. Runda 6. Runda 7. Runda 8. Runda 9. Runda 10. Runda

Proudová analýza Nejdůležitější fakta, proč PA funguje? proudová spotřeba je závislá na operacích vykonávaných kryptografickým modulem, proudová spotřeba je přímo závislá na zpracovávaných datech dle: Hammingovy váhy 1 (čipové karty), Hammingovy vzdálenosti (mikrokontroléry PIC), Zero-value (hardwarové implementace), základní dělení: SPA (Simple Power Analysis), DPA (Differential Power Analysis)- výhody. 1 Počet nenulových bitů ve slově.

Proudová spotřeba MOV instrukce!

DPA princip - porovnání spotřeby s odhadem Prooudové průběhy T vzorky Odhad proudové spotřeby pro S-box, H 256 klíčů (0 až 255) 8 průběhů Pro 8 průběhů Čas, ve kterém krypt. modul zpracovává S-box Korelace Správný odhad klíče R i = corr(t,h i )

DPA výsledek matice R

základní dělení Obecným cílem protiopatření je, aby závislost proudové spotřeby na zpracovávaných datech byla co nejmenší a co nejvíce náhodná, vede k neaplikovatelnosti proudových analýz, metody se děĺı do dvou velkých skupin: Skrývání (hiding) a Maskování (masking), tyto metody pak lze implementovat hardwarově nebo softwarově.

Skrývání Cílem je zajištění nezávislosti proudové spotřeby na zpracovávaných datech, prvním způsobem je snaha o vyrobení zařízení, které bude mít proudovou spotřebu náhodnou (pro stejné instrukce, data různá proudové spotřeba), druhým způsobem je snaha o vyrobení zařízení, které bude mít proudovou spotřebu konstantní pro všechny instrukce a data, v praxi se k těmto cílům bĺıžíme použitím metod ovlivňující časovou oblast a okamžitou amplitudu proudové spotřeby.

základní princip Ovlivnění okamžité amplitudy Ovlivnění časové oblasti

Skrývání - ovlivnění časové oblasti Z principu DPA je požadována synchronizace proudových průběhů (např. výstup S-box vždy ve stejný čas), požadujeme, aby kryptografické zařízení provádělo instrukce v náhodném pořadí, následně se proudová spotřeba jeví jako náhodná, používané techniky: vkládání prázdných operací - náhodné vkládání prázdných instrukcí (celkový počet konstantní, pozice náhodné), degradace výkonosti, generátor náhodných čísel,

Skrývání - ovlivnění časové oblasti přesouvání operací (Shuffling) - znáhodnění provádění instrukcí algoritmů, u kterých nezáleží na pořadí (bloková šifra AES, S-box), není degradována rychlost, ale nelze aplikovat na všechny operace, hardwarové techniky ovlivňují časovou oblast pomocí hodinového signálu, vynechání hodinového pulzu, náhodná změna frekvence, existence více zdrojů hodinového signálu (přepínání) atd.

Skrývání - ovlivnění časové oblasti Princip promíchání provádění operací (AES, S-box). Standartní 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Shuffiling Promíchané 3 15 2 16 10 13 6 14 5 1 12 9 8 11 7 4

Skrývání - ovlivnění časové oblasti PromÍchání pořadí S-box

Skrývání - ovlivnění časové oblasti

Skrývání - ovlivnění amplitudy Přímé ovlivnění proudové spotřeby jednotlivých instrukcí, tyto metody se snaží docílit znáhodnění proudové spotřeby snížením SNR (SNR = 0), snížením hodnoty užitečného signálu X zvýšením hodnoty šumu, provádění instrukcí paralelně, použití speciálních rušiček (přepínání mezi obvody, paralelizace atd.) a filtrování proudové spotřeby (kapacitory, konstantní zdroje proudu, kryty atd.), implementace speciálních logických buněk pro jednotlivé operace (proudová spotřeba konstantní).

Maskování Technika maskování znáhodňuje zpracovávané data (cíl útoku mezivýsledek např. S-box), velká výhoda je vhodnost implementace na úrovni algoritmu, každý mezivýsledek je maskován v m = v m, operace definována algoritmem, exkluzivní součet XOR, additivní maskování, násobení, multiplikativní maskování, maska je generována náhodně v kryptografickém zařízení (pro útočníka neznámá), ve většině případů aplikováno na otevřený text popřípadě šifrovací kĺıč (bělení textu popřípadě kĺıče).

Maskování - příklad additivní masky Otevřený text (mezivýsledek) 255 80 29 27 58 6 92 8 74 250 38 12 235 56 15 41 XOR Maskovaná data 157 14 4 90 20 11 195 6 226 163 240 9 194 51 225 32 Náhodná maska 98 94 25 65 46 13 159 14 168 89 214 5 41 11 238 9

DPA Contest - ukázky protiopatření Ukázky jsou založeny na průbězích z DPA Contest v4.2, mezinárodní soutěž pořádaná francouzskou univerzitou (Télécom ParisTech), cílem férové porovnání DPA útoků, implementace AES-128 chráněna RSM (Rotating Sbox Masking) + Shuffling S-box (režije maskování), kryptografický modul čipová karta s čipem Atmel ATMega-163.

DPA Contest - AES Additivní maskování Promíchání S-box

Nemaskovaná implementace AES (cca 1 až 20 průběhů)

AES protiopatření - maskování a promíchání

AES protiopatření chybná implementace DPA Contest Opps J chyba implementace...

Závěr Proudová analýza představuje efektivní útok proti dnes používaným šifrovacím algoritmům a kryptografickým zařízením, k eliminaci těchto útoků se používají protiopatření, cílem protiopatření je odstranění závislosti proudové spotřeby na vykonávaných instrukcích a zpracovávaných datech, základní dělení: Skrývání a Maskování, SW X HW implementace, útoky na protiopatření útoky SODPA, možná spolupráce s VUT.

Děkuji za pozornost! martinasek@feec.vutbr.cz crypto.utko.feec.vutbr.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář