Analiza poboru mocy

Zaprezentowana przez Kochera [58] analiza poboru mocy (ang. power analysis) układów kryptograficz-nych jest jednym z najstarszych rodzajów pasywkryptograficz-nych ataków side-channel. Możliwość jej zastosowania wynika ze zróżnicowania poboru mocy w zależności od aktualnego stanu całego układu jak i realizowanych operacji.

Zmiany poboru mocy, choć stosunkowo nieduże ze względu na niskie wartości napięć zasilania V_CC, mogą być łatwo mierzone przez pomiar spadku napięcia na niewielkich rezystorach R (około 50Ω) włączo-nych szeregowo w obwód napięcia zasilającego urządzenie. Pobór mocy jest następnie wyznaczany jako iloraz P = V_CC ·∆V

R . Najostrzejszym wymaganiem w całym ataku z pomiarem poboru mocy jest jakość miernika służącego do pomiaru napięcia. Powinien on cechować się dużą graniczną częstotliwością pracy, wysoką rozdzielczością i jak najmniejszym błędem wskazań. W wielu przypadkach wymaganie dotyczące dużej granicznej częstotliwości pracy może zostać złagodzone ze względu na to, że spora część układów kryptograficznych to karty mikroprocesorowe. Karty te są wyposażone w proste mikroprocesory takto-wane wolnymi zegarami (rzędu kilkudziesięciu MHz) lub zewnętrznym sygnałem zegarowym. Zewnętrzny sygnał zegarowy pozwala atakującemu obniżyć szybkość działania urządzenia co ułatwia przeprowadzenie ataku.

Analiza poboru mocy jest dzielona na dwie grupy: bezpośrednią analizę poboru mocy SPA (ang. Simple

Power Analysis) i różnicową analizę poboru mocy DPA (ang. Differential Power Analysis).

Bezpośrednia analiza poboru mocy

Idea analizy SPA, zaproponowana przez Kochera w pracy [58], polega na analizie zmian poboru mocy przez urządzenie i powiązaniu ich z operacjami przez nie realizowanymi. Atak taki może ujawnić sekwencję wykonywanych operacji, której znajomość pozwala wnioskować o kluczu kryptograficznym wykorzystanym w algorytmie.

Atak SPA może zostać wykorzystany do analizy algorytmów kryptograficznych, których wykonanie zależy od przetwarzanych danych. W szczególności atak ten można zastosować do:

• rotacji i permutacji wykonywanych m.in. w czasie szyfrowania i deszyfrowania algorytmem DES,

• porównania, którego rezultatem jest zawsze wykonanie różnych sekwencji instrukcji. Sekwencje te

mogą być rozróżnione na charakterystyce SPA, jeśli mają różne charakterystyki poboru mocy,

• mnożenia, którego charakterystyka poboru mocy umożliwia uzyskanie informacji o operandach

3.1. PASYWNE ATAKI SIDE–CHANNEL 41

• potęgowania realizowanego za pomocą algorytmów podobnych do square and multiply, w których

kolejne mnożenia są warunkowane wartościami odpowiednich bitów wykładnika,

• precyzyjnej lokalizacji poszczególnych kroków szyfrowania, która jest niezbędna w wielu

innych atakach, m.in. w atakach z uszkodzeniami.

Atak SPA jest najbardziej skuteczny w stosunku do algorytmów, w których część instrukcji jest wy-konywana tylko przy spełnieniu określonych warunków. W takim przypadku na charakterystyce poboru mocy można zauważyć różnice w zależności od stanu warunku. Przykładem algorytmu, który może być zaatakowany za pomocą SPA jest potęgowanie metodą square and multiply (Alg. 2.4), w którym mnożenie jest wykonywane tylko, gdy kolejny bit wykładnika jest równy 1 (x(i) = 1). Analiza SPA algorytmu square

and multiply pozwala na wykrycie iteracji potęgowania, w których mnożenie było wykonane, pozwalając

tym samym ustalić, które bity klucza są równe 1 a które 0.

Ponieważ warunkiem przeprowadzenia analizy SPA jest zauważalna zmiana charakterystyki poboru mocy, dlatego też atakom tego typu można dość łatwo zapobiec. Najprostsze metody ochrony to ujed-nolicenie poboru mocy poprzez wyeliminowanie operacji warunkowych lub ujedujed-nolicenie poboru mocy niezależnie od warunku (w przypadku algorytmu square and multiply możliwe jest np.: wykonywanie mnożenia za każdym przebiegiem pętli przy czym, jeśli kolejny bit wykładnika ma wartość 0, to rezultat mnożenia jest ignorowany).

Różnicowa analiza poboru mocy

Wad analizy SPA nie ma różnicowa analiza poboru mocy DPA [58], która polega na porównywaniu charak-terystyk uzyskanych dla różnych danych. Dzięki wykorzystaniu wielu charakcharak-terystyk jednocześnie i ana-lizie różnicowej atakujący ma możliwość zauważenia zmian wynikających ze zmiany danych wejściowych wprowadzonych do urządzenia. Jest to możliwe nawet wtedy, gdy zmiany te są rozmyte w charakterystyce poboru mocy sekwencyjnego wykonania wielu instrukcji.

Jednym z algorytmów do którego analizy zastosowano DPA jest algorytm DES. W algorytmie tym danymi wejściowymi do ostatniej rundy algorytmu są 32 bitowe bloki danych L₁₆ i R₁₆. Blok R₁₆ pod-dawany jest przekształceniu F, którego jednym z elementów są podstawienia realizowane za pomocą 8 tablic Sbox, których wyjście jest permutowane i dodawane do bloku L₁₆za pomocą operacji bitowej XOR. W analizie DPA atakujący dąży do odzyskania klucza ostatniej rundy algorytmu na podstawie znajomo-ści szyfrogramów i charakterystyk poboru prądu. W tym celu definiowana jest funkcja D (c, b, K_r), której argumentem jest szyfrogram c, indeks szukanego bitu danych b oraz możliwa wartość 6 bitów klucza run-dy K_r odpowiadających tablicy Sbox, której wyjście zostało dodane do bitu L^(b)₁₆. Jeśli klucz K_r został odgadnięty poprawnie, to wartość funkcji jest równa rzeczywistej wartości szukanego bitu. W przeciwnym

42 ROZDZIAŁ 3. ATAKI TYPU SIDE-CHANNEL

przypadku funkcja przyjmuje wartości 0 albo 1 a prawdopodobieństwo, że uzyskany w ten sposób wynik będzie równy rzeczywistej wartości bitu L^(b)₁₆, wynosi 1/2.

Rozpoczynając atak DPA, atakujący zbiera m charakterystyk poboru mocy przez urządzenie T_i[1..k] zapamiętując jednocześnie odpowiadające im szyfrogramy c_i. Następnie dla każdego odgadywanego bitu L^(b)₁₆ atakujący oblicza charakterystykę różnicową wszystkich charakterystyk T_i

∆_D[j] = P_k i=1D(c_i, b, K_r)T_i[j] P_k i=1D(c_i, b, K_r) ⁻ P_k i=1(1 − D(c_i, b, K_r)) T_i[j] P_k i=1(1 − D(c_i, b, K_r)) ^{. (3.1)}

Pierwszy składnik we wzorze (3.1) jest średnią wszystkich charakterystyk T_i dla których funkcja D dla odpowiadającego im szyfrogramu c_i i odgadniętej wartość klucza K_r przyjęła wartość bitu L^(b)₁₆ równą 1. Drugi składnik jest średnią wszystkich charakterystyk T_i dla których funkcja D wynosi 0.

Jeśli klucz K_r został odgadnięty niepoprawnie, to wówczas funkcja D(c_i, b, K_r) zachowuje się jak funkcja losowa (z pr. 1/2 przyjmuje wartości równe i różne od rzeczywistej wartości szukanego bitu) nieskorelowana z rzeczywistymi wartościami bitu b. W takiej sytuacji prawdopodobieństwo każdej z moż-liwych wartości bitu L^(b)₁₆ jest jednakowe, a różnica średnich powinna dążyć do zera. W praktyce oznacza to, że dla niepoprawnie odgadniętego klucza K_iwartości charakterystyki ∆_D dążą do 0 wraz ze wzrostem liczby użytych charakterystyk

lim

m→∞∆_D[j] = 0. (3.2)

W przypadku gdy klucz K_r został odgadnięty poprawnie, wartości wszystkich funkcji D(c_i, b, K_r) dla każdego szyfrogramu c_ibędą miały zawsze poprawną wartość co spowoduje, że charakterystyka różnicowa powinna się stabilizować przy rosnącej liczbie pomiarów m. Co więcej, wszelkie zakłócenia pomiarów jak i dane, które nie są skorelowane z funkcją D, nie powodują zakłóceń analizy DPA.

Różnicowa analiza poboru mocy wyższych rzędów

Atakom typu DPA można zapobiegać przez zaburzanie powiązania charakterystyk poboru mocy z danymi przetwarzanymi w algorytmie. Jedna z najprostszych metod polega na rozbiciu operacji na dwa etapy, w których przetwarzane są części informacji (np.: blok B jest zapisywany jako B = B₁⊕ B₂ i operacje wy-konywane są oddzielnie dla każdego bloku B₁ i B₂). Po zakończeniu operacji uzyskane wyniki są składane razem tworząc właściwe wyjście algorytmu. To proste rozwiązanie wyklucza możliwość użycia analizy DPA ponieważ pobór mocy zależy od wartości poszczególnych bloków przetwarzanych w algorytmie i nie jest skorelowany z wartościami bloku oryginalnego. Niemniej jednak rozwiązanie takie nie zawsze może być zastosowane i może zostać zaatakowane za pomocą różnicowej analizy poboru mocy drugiego rzędu (ang.

second order DPA), w której poszukuje się korelacji między parami bitów a uzyskanymi charakterystykami

3.1. PASYWNE ATAKI SIDE–CHANNEL 43 Możliwe jest również zastosowanie charakterystyk różnicowych wyższych rzędów (ang. high order DPA) jednak złożoność tego typu ataków rośnie szybko z rzędem analizy.