Уязвимости криптоалгоритмов

Защита от дифференциальных атак через анализ энергопотребления сих пор остается актуальной проблемой, поскольку эта неинвазивная атака не подлежит эффективному выявлению. Большинство из имеющихся методов противодействия призваны лишь усложнить анализ, чем полностью его ликвидировать, таким образом вопрос криптоанализа определяется количеством измерений, которые может осуществить злоумышленник.

Атаки через анализ электромагнитного излучения (EM Attack)

Будкой электронное устройство во время работы осуществляет электромагнитное излучение. Злоумышленник, который наблюдает эти излучения и понимает их к целевым вычислений и данных может получить значительный объем информации о реализации и секретные данные. В этом плане атаки через анализ ЭМИ часто сравнивают с атаками через

анализ энергопотребления, поэтому для их внедрение часто используют подобные техники и методики.

Подобно атак через анализ энергопотребления, атаки через анализ ЭМИ можно разделить на простые и дифференциальные, использующие статистические методы .

Возможность использования ЭМИ как канала утечки информации известна довольно давно, однако возможность ее применения к электронных устройств, выполняющих криптографические операции с целью криптоанализа появилась относительно недавно. Первые такие атаки были в лучшем случае напивинвазивнимы, и часто требовали нарушения целостности корпуса устройства и правильного размещения антенны в непосредственной близости с целевым компонентом. На сегодня атаки через анализ ЭМИ могут быть полностью неинвазивными, измеряя излучения на расстоянии.

В современной литературе выделяют два типа таких излучений: прямые или предполагаемые и случайные излучения. Первый тип излучений вызван обычными потоками тока, имеющих место при работе устройства. Причиной случайных излучений, как правило служат структурные соединения и некоторые виды модуляции. Реальное преимущество современных атак заключается в использовании именно случайных излучений. Причем в таком случае ЭМИ выглядит многоканальным, что способствует компрометации данных даже в устойчивых к дифференциальным атак через анализ энергопотребления устройств .

Относительно алгоритмов, варианты атаки на которые рассматривались до сих пор, стоит отметить, что уязвимыми остаются те же системы что и для анализа через энергопотребления. В частности предметом атаки были алгоритмы DES, AES, RSA, COMP128 и т.д. В общем, атака через анализ ЭМИ в большей степени является платформозалежною, поэтому актуальными в первую очередь возникают реализации на базе ПЛИС, специализированных ИС (СИС) и микропроцессоров. Ярким подтверждением этого является работа , где авторы рассматривают атаки на ПЛИС реализации процессора эллиптических кривых.

В качестве средств противодействия атакам через анализ ЭМИ выделяют две категории: уменьшение интенсивности сигнала и уменьшения информативности сигнала излучения. Первые средства включают защищенное конструирования устройства с целью уменьшения каналов случайных излучений в системе, экранирование критических компонентов и т.д. Вторая группа мероприятий предусматривает рандомизацию процесса вычислений и другие методы описаны ранее для противодействия класса атак через энергопотребления (см. табл.), С целью уменьшения эффективности статистических методов анализа.

В публикации авторы указывают на другие типы ПКВИ и атак, правда не столь распространены, как те, что уже были рассмотрены. В частности сюда можно отнести акустические атаки (acoustic attacks) и атаки видимого света (visible light attacks), анализ сообщений о некорректном обработку данных (error message attacks), частотные атаки (frequencybased attacks), а также ряд микроархитектурних атак типа анализа использования кешпамьяти (cachebased attacks) и т.д.

Особый интерес также представляет новый класс атак использует закладные модули (Trojan Sidechannel) для создания скрытых ПКВИ . Специалисту по безопасности трудно выявить такие блоки, поскольку вызванные ими ПКВИ «зашифрованные» злоумышленником, и отличить их от обычного шума без знания «секрета» практически невозможно.

ПКВИ и пытаются автоматически восстановить секретные параметры, используя специальные техники. Возможность редактирования кода позволяет пользователю приспособить атаку практически к любому специализированной реализации.

Конечно, появление новых, а также совершенствование существующих универсальных средств анализа ПКВИ способствовать разработчикам в оценке уязвимостей и построению более защищенных криптографических устройств. Однако, не стоит забывать, что общедоступность таких средств делает их мощным инструментом для атак на существующие реализации, что в свою очередь повышает в наше время опасность физического криптоанализа.

Выводы

В статье рассмотрены основные группы атак на криптографические устройства через побочные каналы утечки информации. По каждому классу основных атак приводятся методы противодействия, которые были предложены до сих пор. Вместе с тем, отмечается значительное влияние большинства имеющихся методов на производительность конечной реализации.

Актуальность опасности ПКВИ подтверждает появление на рынке универсальных устройств для исследования и проведения атак, что делает их общедоступными как для разработчиков надежных устройств так и для злоумышленников. Как показывают последние исследования, общие особенности этих атак, дают возможность применить их практически к любому программно или аппаратно реализованного алгоритма (МП устройства, ПЛИС / СИС, смарткарты и т.д.).

Вместе с тем, открытыми остаются проблемы поиска уязвимостей ПКВИ в реализациях государственных криптоалгоритмов, в первую очередь ГОСТ 2814789 и ДСТУ 41452002, а также разработка универсальных и эффективных методов для противодействия их использования.