旁道攻擊的實用性如何？它們有多大的顧慮？

我看到很多關於對加密系統進行非常複雜的側通道攻擊的研究。大多數（但絕對不是全部）似乎都遵循一種趨勢，即加密系統做了一些非常愚蠢的事情，比如在沒有 IV 或 nonce 的情況下解密給它的任何塊（通常是 ECB 模式）。

也就是說，已經有針對智能卡的實際攻擊和針對 RSA 的定時攻擊。

那麼，在建構一個使用密碼學（無論是公鑰還是對稱密鑰）的系統時，這種攻擊的實用性如何？並且，可以遵循哪些準則來確定您的系統是否需要保護（例如功率分析保護、發射、時序等）？

是的，如果過去預示著未來，那麼旁道攻擊是切實可行的，也是一個真正值得關注的問題。

自八十年代中期以來，我一直從事智能卡的專業工作，並多次目睹部署的系統容易受到多種形式的側通道攻擊；例子（我個人做了1和3）：

1. RAM 緩衝區在復位時未清除、可讀（使用標準命令 Get Response）、先前 PIN 比較的洩漏狀態，即使增加 PIN 呈現計數器已被禁止（通過硬體復位或/和刪除 EPROM 程式電壓）；這允許通過預期的 5000 次嘗試來恢復 4 位數的密碼。
2. 如果 PIN 正確與否，使用永久儲存器寫入的 PIN 呈現的持續時間會抑制洩漏的時序依賴性，效果相同。
3. 時間依賴性，其中值之間比較的持續時間會洩漏第一個錯誤字節的索引，從而允許找到一個 $ n $ -字節值與預期 $ n\cdot2^7 $ 嘗試而不是 $ 2^{8\cdot n-1} $ .
4. 返回製造商測試模式（通過軟體利用、硬體修改或破壞），允許提取永久記憶體內容，包括機密（變體：可以強制普通軟體讀取錯誤的位置）。
5. 微探測，窺探公車專用道，洩露各種秘密資訊。
6. 簡單功率分析直接洩漏 RSA 中的指數位。
7. 簡單的功耗分析洩漏活動（例如，開始永久儲存器的程式），結合時序測量洩漏敏感資訊（例如，好的或壞的 PIN，在此之前被記錄）。
8. 差分功率分析，允許密鑰恢復。
9. 故障注入（通常被認為是旁道攻擊）。

我已經看到這給易受攻擊的智能卡的供應商造成了極大的尷尬，並相信在（遙遠的）過去，此類漏洞偶爾會被大規模利用，特別是在智能卡付費電視領域.

更一般地，當使用加密的設備被破壞時，這通常被更好地描述為側通道攻擊而不是加密攻擊。

補充：查看這篇介紹性文章的part1（alt.）、part2（alt.）、part3；而這篇 2012 年的論文展示了對智能手機和 PDA 的遠端 SPA 和 DPA 攻擊。

---

如果加密設備/系統可以落入對手手中或以其他方式變得足夠可訪問（定時/暴風雨/DEMA/SPA/DPA 攻擊在某種程度上可能是遠端的），並且它包含任何機密性甚至完整性重要的資訊（例如密鑰/私鑰、身份驗證器、計數器..），那麼需要密切注意旁道攻擊。

引用自：https://crypto.stackexchange.com/questions/3775