Атаки по потребляемой мощности

 

Еще одна из пассивных атак предложена также Полом Кохером при участии ряда других сотрудников американской компании CryptographicResearch: атака по потребляемой мощности (SPA – simplepoweranalysis) [4]. Данная атака во многом похожа на предыдущую, однако, высокоточному замеру подлежит мощность, потребляемая шифратором в процессе выполнения криптографических преобразований.

 

В работе [4] доказывается, что такой высокоточный замер мощности, достаточный для криптоанализа, вполне возможен. В качестве доказательства, в частности, приводится результат замера мощности, потребляемой шифратором в процессе выполнения раундов №№ 2 и 3 алгоритма DES (иллюстрация из работы [4] приведена на рис. 2). На рисунке отчетливо видны операции вращения ключевых регистров процедуры расширения ключаDES (данная процедура подробно описана, например, в [10]): перед вторым раундом вращение выполняется на 1 бит, а перед третьим – на два бита (см. стрелочки на рис. 2). Кроме того, отчетливо видны различия между данными раундами (например, см. выделенные области) – эти различия могут проистекать, в том числе, из-за того, что в этих раундах используются различные биты ключа. Соответственно, они могут быть проанализированы криптоаналитиком с целью получения какой-либо информации о ключе шифрования.

 

 

Рис 2. Пример высокоточного замера потребляемой мощности.

 

В качестве противодействия SPA в [4] предлагаются различные методы зашумления – аналогично атакам по времени выполнения.

 

Усилением SPA является дифференциальный криптоанализ по потребляемой мощности DPA (differentialpoweranalysis), также предложенный в [4]. Данная атака является более эффективной, чем SPA, но и более сложно реализуемой на практике.

 

Другие пассивные атаки

 

В 2000 г. была предложена атака, использующая высокоточные измерения электромагнитного излучения шифратора, возникающего в процессе шифрования (см., например, [2]). Аналогично SPA и DPA, рассматриваются два варианта такой атаки: SEMA (simpleelectromagneticanalysis) и DEMA (differentialelectromagneticanalysis). Авторы статьи [2] в качестве атакуемых устройств избрали криптографические смарт-карты, реализующие алгоритмы DES, RSA и COMP128. Во всех трех случаях атака методом DEMA позволила вычислить значения ключей шифрования.

 

Еще одна атака основана на предположении, что шифраторы должны каким-либо образом сообщать о возникновении ошибочных ситуаций, которые могут возникнуть при расшифровании данных. Простейший вариант – попытка расшифрования неверным ключом. Сам факт ошибки расшифрования может в определенных случаях дать криптоаналитику некоторую полезную информацию (причем, в общем случае, сообщение шифратора об ошибке может быть достаточно развернутым и информативным).

 

Практически реализуемая атака, основанная на сообщениях об ошибках (errormessageleakage), была предложена известным криптологом Сержем Воденэ (SergeVaudenay) в [9].

 

Успех описанных атак зависит от множества различных факторов, в частности:

 

· содержит ли атакуемый алгоритм операции, критичные с точки зрения утечек информации по побочным каналам;

· насколько реализация алгоритма в программном или аппаратном шифраторе учитывает данные атаки и защищена от подобных утечек информации.

 

Наиболее часто атакуемыми оказываются криптографические смарт-карты, т.е. достаточно низкоскоростные шифраторы, работающие в условиях ограниченных ресурсов. В данном случае для проведения атаки нет необходимости в столь высокоточных замерах, какие были бы необходимы, например, для атаки на программный шифратор, работающий на современном персональном компьютере. Помимо упомянутой статьи [2], весьма показательной в данном случае является работа [1], посвященная атаке по времени выполнения на смарт-карту CASCADE.

 

Информация, полученная с помощью атак с использованием утечек данных по побочным каналам, может использоваться криптоаналитиком в контексте других атак, например, для сужения области возможных значений ключа шифрования. Однако, как показано в [2], возможен и идеальный для криптоаналитика вариант: полное раскрытие алгоритма (т.е. вычисление ключа шифрования) только за счет пассивнойside-channel-атаки.

 

 

1. Dhem J.-F., Koeune F., Leroux P.-A., Mestre P., Quisquater J.-J., Willems J.-L. A practical implementation of the timing attack. // http://citeseer.ist.psu.edu – June 15, 1998 – Universite catholique de Louvain, Louvain-la-Neuve, Belgium.

2. Gandolfi K., Mourtel C., Olivier F. Electromagnetic Analysis: Concrete Results. // http://citeseer.ist.psu.edu – 2001 – Gemplus Card International, France.

3. Kocher P.C. Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems. // http://citeseer.ist.psu.edu - Cryptography Research, Inc., San Francisco, USA.

4. Kocher P., Jaffe J., Jun B. Differential Power Analysis. // http://citeseer.ist.psu.edu – 1999 – Cryptography Research, Inc., San Francisco, CA, USA.

5. Lai X., Massey J. A Proposal for a New Block Encryption Standard. // http://bybin.narod.ru - 1990.

6. Nechvatal J., Barker E., Bassham L., Burr W., Dworkin M., Foti J., Roback E. Report on the Development of the Advanced Encryption Standard (AES). // http://csrc.nist.gov – National Institute of Standards and Technology.

7. Preneel B., Biryukov A., Oswald E., Van Rompay B., Granboulan L., Dottax E., Murphy S., Dent A., White J., Dichtl M., Pyka S., Schafheutle M., Serf P., Biham E., Barkan E., Dunkelman O., Quisquater J.-J., Ciet M., Sica F., Knudsen L., Parker M., Raddum H. Public Report D20: NESSIE security report. // http://www.cosic.esat.kuleuven.be. – February 19, 2003 – Version 2.0.

8. Schneier B. The Blowfish encryption algorithm. // http://www.schneier.com.

9. Vaudenay S. Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS… // http://lasecwww.epfl.ch – Swiss Federal Institute of Technology.

10. Панасенко С. Алгоритм шифрования DES и его варианты. // Connect! Мир связи. – 2006 - №№ 3, 4, 5, 7.

11. Панасенко С. Интересные алгоритмы шифрования, часть 2. // BYTE/Россия. – 2006 - № 5 – с. 74-79.

 

 

Об авторе:

Панасенко Сергей Петрович, нач. отдела разработки программного обеспечения фирмы АНКАД, кандидат технических наук.

С автором можно связаться: по телефонам (495)532-1313, (495)531-0000

или по E-mail [email protected]

http://www.panasenko.ru