基于硬件电路路径差异的故障攻击探究

基于硬件电路路径差异的故障攻击探究作者：王安（北京理工大学计算机学院）任燕婷（清华大学微电子学研究所）2023年2月5日汇报提纲2023/2/51时钟毛刺故障注入技术简介基于轮函数电路路径差异的暂稳攻击基于掩码S-box电路路径差异的错误率分析1、时钟毛刺故障注入技术简介侧信道攻击技术2023/2/53能量攻击技术声音攻击技术电磁攻击技术故障攻击技术故障攻击研究现状2023/2/54差分故障攻击注入到某个精确位置，再做差分分析公钥密码的故障攻击注入到某个大致位置，再做数学计算篡改存储器/执行流程的攻击修改轮数、程序、掩码等相似点：从密码算法整体结构的角度来研究未来潜力点：从密码算法局部模块特征的角度来研究数字电路的基本原理2023/2/55时钟毛刺时钟2023/2/56毛刺时钟时钟的来源2023/2/57读卡器提供外部晶振AES算法的硬件实现8分组密码算法末轮的输出通常为密文，可直接获取2、基于轮函数电路路径差异的暂稳攻击暂稳效应（Transient-SteadyEffect）10Y值比X值晚到了t时间若t足够大，Z将会有3个稳定值当X已到、Y未到时，该特殊的稳定值，称为“暂稳值”暂稳值的泄露11利用毛刺将暂稳值保存！AES中S-box的串行实现2023/2/512设多个S-box用同一个组合电路先后实现[MAD03]每个时钟计算一个S-box对AES的暂稳攻击2023/2/513按时间先后：c1=y1⊕k1

①c2'=y1⊕k2（暂稳状态）

②由①②得：c1⊕c2'

=k1⊕k2计算S1计算S2抗侧信道攻击主要技术——掩码[Koc96]2023/2/514无防护实现掩码实现对掩码AES的暂稳攻击2023/2/515掩码S-box：存在一条短路径按时间先后：c1=yw1⊕k1⊕w1=S(x1)⊕k1

①c2'=yw1⊕k2⊕w2c2''=yw2'⊕k2⊕w2=S(x1)⊕k2

②由①②得：c1⊕c2''=k1⊕k2暂稳攻击实验平台搭建2023/2/516实验平台实物图2023/2/517实验结果12023/2/518攻击了一种经典低功耗S-box的AES硬件电路[MS02]暂稳态实验结果22023/2/519攻击了一种“非常紧凑”的AES硬件电路[Can05]暂稳态实验结果32023/2/520攻击了一种“完美掩码的非常紧凑”的AES硬件电路[CB08]暂稳态降低故障注入难度——放慢延迟时间2023/2/521暂稳态暂稳态电压1.2V下攻击S-boxA的结果电压1.08V下攻击S-boxA的结果效率比较2023/2/522FSA：故障灵敏度分析，CHES2010CTC：碰撞时间特征，CHES2011FRA：错误率分析，IEEETransactionsonCircuitsandSystemsII小结2023/2/523暂稳攻击的优点：不需要对同一个明文加密2次不需要选择特殊明文1次加密，即可攻破无防护的AES（的一半密钥）暂稳攻击的缺点：对长短路径的差异过于依赖原理太简单论文发表：YantingRen,AnWang*,LijiWu.Transient-SteadyEffectAttackonBlockCiphers.2015WorkshoponCryptographicHardwareandEmbeddedSystems(CHES2015).3、基于掩码S-box电路路径差异的错误率分析基于错误率分析的碰撞攻击25场景：同一组合电路串行完成第10轮S盒S1和S2

[MAD03]流程：为S2注入极短的时钟毛刺，实验多次观察：通过密文字节c2，判断y2'是否发生错误，记录错误率思想来源：YangLi,etal.,ClockwiseCollision[LOS12]碰撞区分器26若x1≠x2，则y2'正确的概率为：0若x1

=

x2，则y2'正确的概率为：1/65536

问题：区分度太低高效的错误率分析27我们发现：从输出掩码wi到输出值的路径t2远远短于从输入值xi⊕mi和输入掩码mi到输出值的路径t1动机：保证wi正确地参与运算，即wi不会影响到出错与否仿真验证：wi不会影响到出错与否28碰撞情况注：纵轴表示输出值趋于稳定所需时间非碰撞情况高效的错误率分析29方法：选用满足t2<t<t1的t，作为时钟毛刺来注入错误区分器的效率：若x1

≠x2，则y2’

=y2的概率约为：0若x1=x2，则y2’

=y2的概率约为：1/256故障位置实验平台设计30实验结果：大量平均后的成功率31对每个(x1,x2)

，40个时钟毛刺下的成功率平均后，可得图中一个点（蓝点代表x1=x2，灰点代表x1≠x2）效率比较32CEPA：相关强化能量分析（CHES2010）CTC：碰撞时间特征（CHES2011）CCPA：碰撞相关能量分析（CHES2011）小结2023/2/533“率”是故障攻击中一种很好的区分器不需要知道错误密文值，故可攻破故障检测机制掩码是为了保护信息，但掩码的短路径却帮助了攻击者论文发表：AnWang,ManChen,ZongyueWang,XiaoyunWang*.FaultRateAnalysis:BreakingMaskedAESHardwareImplementationsEfficiently.IEEETransactionsonCircuitsandSystemsII:EXPRESSBRIEFS,2013.VS参考文献34[Bog07]A.Bogdanov,“Improvedside-channelcollisionattacksonAES,”inProc.SAC,2007,pp.84-95.[Can05]D.Canright,“AVeryCompactS-BoxforAES,”inProc.CHES,2005,vol.3659,pp.441-455.[CB08]D.CanrightandL.Batina,“Averycompactperfectlymaskeds-boxforAES,”inProc.ACNS,2008,pp.446-459.[ESH11]S.Endo,T.Sugawara,N.Homma,etal.Anon-chipglitchy-clockgeneratorfortestingfaultinjectionattacks.JCryptogrEng(2011)1,pp.265–270.[LOS12a]Y.Li,K.Ohta,andK.Sakiyama,“AnExtensionofFaultSensitivityAnalysisBasedonClockwiseCollision,”inProc.Inscrypt,2012,pp.46-59.[LOS12b]Y.Li,K.Ohta,andK.Sakiyama,“Towardeffectivecountermeasuresagainstanimprovedfaultsensitivityanalysis,”IEICETrans.onFundamentalsofElectronics,CommunicationsandComputerSciences,vol.E95–A,no.1,pp.234–241,2012.参考文献35[LSG10]Y.Li,K.Sakiyama,S.Gomisawa,T.Fukunaga,J.Takahashi,andK.Ohta,“Faultsensitivityanalysis,”inProc.CHES,2010,pp.320-334.[MAD03]S.Mangard,M.Aigner,S.Dominikus:AHighlyRegularandScalableAESHardwareArchitecture.IEEETransactionsonComputers,52(4),pp.483-491,2003.[MMP11]A.Moradi,O.Mischke,C.Paar,etal.OnthePowerofFaultSensitivityAnalysisandCollisionSide-ChannelAttacksinaCombinedSetting.InProc.CHES,2012,pp.292-311.[MS02]S.MoriokaandA.Satoh,“Anoptimizeds-boxcircuitarchitectureforlowpowerAESdesign,”inProc.CHES,2002,pp.172-186.[SBG09]N.Selm