Cryptanalysis
旁道攻擊的實用性如何?它們有多大的顧慮?
我看到很多關於對加密系統進行非常複雜的側通道攻擊的研究。大多數(但絕對不是全部)似乎都遵循一種趨勢,即加密系統做了一些非常愚蠢的事情,比如在沒有 IV 或 nonce 的情況下解密給它的任何塊(通常是 ECB 模式)。
也就是說,已經有針對智能卡的實際攻擊和針對 RSA 的定時攻擊。
那麼,在建構一個使用密碼學(無論是公鑰還是對稱密鑰)的系統時,這種攻擊的實用性如何?並且,可以遵循哪些準則來確定您的系統是否需要保護(例如功率分析保護、發射、時序等)?
是的,如果過去預示著未來,那麼旁道攻擊是切實可行的,也是一個真正值得關注的問題。
自八十年代中期以來,我一直從事智能卡的專業工作,並多次目睹部署的系統容易受到多種形式的側通道攻擊;例子(我個人做了1和3):
- RAM 緩衝區在復位時未清除、可讀(使用標準命令 Get Response)、先前 PIN 比較的洩漏狀態,即使增加 PIN 呈現計數器已被禁止(通過硬體復位或/和刪除 EPROM 程式電壓);這允許通過預期的 5000 次嘗試來恢復 4 位數的密碼。
- 如果 PIN 正確與否,使用永久儲存器寫入的 PIN 呈現的持續時間會抑制洩漏的時序依賴性,效果相同。
- 時間依賴性,其中值之間比較的持續時間會洩漏第一個錯誤字節的索引,從而允許找到一個 $ n $ -字節值與預期 $ n\cdot2^7 $ 嘗試而不是 $ 2^{8\cdot n-1} $ .
- 返回製造商測試模式(通過軟體利用、硬體修改或破壞),允許提取永久記憶體內容,包括機密(變體:可以強制普通軟體讀取錯誤的位置)。
- 微探測,窺探公車專用道,洩露各種秘密資訊。
- 簡單功率分析直接洩漏 RSA 中的指數位。
- 簡單的功耗分析洩漏活動(例如,開始永久儲存器的程式),結合時序測量洩漏敏感資訊(例如,好的或壞的 PIN,在此之前被記錄)。
- 差分功率分析,允許密鑰恢復。
- 故障注入(通常被認為是旁道攻擊)。
我已經看到這給易受攻擊的智能卡的供應商造成了極大的尷尬,並相信在(遙遠的)過去,此類漏洞偶爾會被大規模利用,特別是在智能卡付費電視領域.
更一般地,當使用加密的設備被破壞時,這通常被更好地描述為側通道攻擊而不是加密攻擊。
補充:查看這篇介紹性文章的part1(alt.)、part2(alt.)、part3;而這篇 2012 年的論文展示了對智能手機和 PDA 的遠端 SPA 和 DPA 攻擊。
如果加密設備/系統可以落入對手手中或以其他方式變得足夠可訪問(定時/暴風雨/DEMA/SPA/DPA 攻擊在某種程度上可能是遠端的),並且它包含任何機密性甚至完整性重要的資訊(例如密鑰/私鑰、身份驗證器、計數器..),那麼需要密切注意旁道攻擊。