Уязвимости криптоалгоритмов

Для построения механизмов безопасности с заданными целями используют структурные блоки, которые играют роль набора определенных примитивов. В криптографических устройствах и протоколах в качестве таких примитивов выступают криптоалгоритмы - симметричные и асимметричные шифры, хешфункции и т.п. Характерной особенностью этих механизмов является то, что на самом деле они определяют лишь функции, которые необходимо выполнить, без учета того как эти функции будут реализованы и внедрены.

При разработке криптосистем и протоколов безопасности часто учитывают условные предположения относительно их работы. Конечная реализация представляется в форме идеальной «черного ящика», что исключает любые случаи внутреннего наблюдения или вмешательства со стороны злоумышленника. При таких предположений уровень защищенности определяется только математическими свойствами криптоалгоритмов и размером их секретных параметров.

Однако в реальности эти механизмы безопасности не способны сами по себе обеспечить практический уровень безопасности. Большинство известных атак на криптографические системы используют уязвимости именно в реализации криптоалгоритмов. Такие уязвимости позволяют злоумышленнику полностью сломать или значительно ослабить теоретическую устойчивость конечных решений безопасности.

Стремительное развитие отрасли криптографических устройств, в первую очередь средств идентификации (смарткарт, TPMмодулив, токенов, специализированных микроконтроллеров) ставит перед нами задачу всестороннего анализа имеющихся на сегодня каналов утечки информации, сложности их использования для атаки и методов противодействия.

Общая классификация атак через ПКВИ

Модель атаки через ПКВИ может включать целый набор побочных каналов утечки - мощность потребления электроэнергии и электромагнитное излучение (ЭМИ), звуковые и световые сигналы, временные параметры выполнения, ошибки в работе, частотные параметры и т.д. (Рис. 1). Как следствие, последние исследования показывают, что атаки через ПКВИ есть на несколько порядков эффективнее и более практичными для осуществления чем атаки основаны на классическом криптоанализа.

В зависимости от возможности атакующего управлять вычислительным процессом системы, атаки можно разделить на две категории: пассивные и активные. К пассивным атак относится незаметная взаимодействие с вычислительным процессом целевой системы. Злоумышленник получает информацию о ее работе, однако поведение системы такая же, как и при отсутствии атаки. Для активной атаки характерен определенный влияние на функционирование целевой системы. В зависимости от того как она отвечает на такое влияние, атакующий наблюдает различие в работе.

На защищенность криптографических устройств, рассматривают также возможные способы проведения атаки - набор физических, электрических и логических интерфейсов, которые потенциально могут использовать злоумышленник. Учитывая это положение, атаки можно разделить на классы инвазивных, напивинвазивних и неинвазивных атак.

Инвазивные атаки предусматривают физическое вмешательство в устройство, для доступа к внутренним компонентам системы - шин данных, тактирующего линий и проводников. Инва зивним атакам противодействуют устройства с устойчивостью к вмешательств, после их выявления уничтожают критические данные системы.

Напивинвазивни атаки практикуют физическое вмешательство без разрушения структуры устройства, или некорректное использование внешних выводов. Ярким примером полу инвазивной действует является ионизация лазерным лучом внутренних компонентов (памяти) для изменения их параметров и соответственно выходных характеристик системы.

Неинвазивные атаки используют исключительно наблюдение или манипуляцию работы устройства, без физического вмешательства. Они оперируют лишь зовнишньодоступною информацией с ПКВИ, которая зачастую носит непреднамеренный характер. Важной особенностью неинвазивных атак является то, что они полностью не подлежат обнаружению.

В зависимости от методов использованных в процессе анализа полученных измерений, атаки через ПКВИ разделяют на простые и дифференциальные.

Простые атаки через ПКВИ эксплуатируют полученную информацию, которая зависит в основном от последовательности выполненных операций. Типичным для простого анализа является построение единой диаграммы ПКВИ, с которой атакующий может напрямую восстановить секретные данные. В случае невозможности применения простого анализа ПКВИ, например, из-за наличия значительного шума в измерениях, возможна попытка дифференциального анализа с помощью статистических методов.

В дифференциальных атаках через ПКВИ устанавливается соотношение между данными, которые были обработаны в системе и сигналом ПКВИ. Поскольку эти зависимости как правило очень слабые, для их эффективного использования применяются статистические методы.

На сегодня обнаружено более десятка различных каналов утечки информации, которые представляют опасность для тех или иных платформ и реализаций. Атаки, использующие определенный канал утечки информации, часто объединяются под названием в соответствии с особенностью такого канала.

Атаки по времени выполнения (timing attacks)

Время выполнения операций криптосистемы может различаться в зависимости от входных данных. Причинами этого могут быть оптимизация кода, условные переходы и разветвления в алгоритме, использование кешпамьяти, выполнения процессорных инструкций по неодинаковое количество тактов (умножение и деление) и т.д. Таким образом, типична зависимость характеристик производительности от секретных параметров и входных данных, которые определяют ход выполнения алгоритма.