Rekonfigurowalny hybrydowy generator chaotyczny

Politechnika Pozna«ska Wydziaª Informatyki

Katedra In»ynierii Komputerowej

Rekonfigurowalny hybrydowy generator chaotyczny

dla kryptografii sprz¦towej

Rozprawa doktorska

Michaª Melosik

Promotor gªówny: Wiesªaw Marszaªek

Rutgers University, NJ, USA

Promotor pomocniczy: Paweª ‘niataªa

.

Pozna«, 2017

Spis treści

Spis rysunków 5

Spis tabel 8

1 Wstęp 9

1.1 Obszar badań . . . 9

1.2 Uzasadnienie tematu badawczego . . . 12

1.3 Cel i zakres pracy . . . 16

2 Kryptografia w systemach wbudowanych 20 2.1 Podstawowe wymogi bezpieczeństwa . . . 20

2.2 Komercyjne moduły kryptograficzne . . . 28

2.3 Ograniczenia technologiczne . . . 29

3 Ocena bezpieczeństwa generatorów chaotycznych 32 3.1 Korekcja chaotycznego ciągu bitów . . . 32

3.2 Chaos w sekwencjach binarnych . . . 33

3.2.1 Test 0-1 do detekcji chaosu . . . 33

3.2.2 Interpretacja wyników testu 0-1 . . . 34

3.3 Próbkowanie sygnału chaotycznego . . . 36

3.3.1 Kryterium częstotliwościowe . . . 36

3.3.2 Kryterium MI . . . 38

3.3.3 Miara informacji wzajemnej a kryterium częstotliwościowe . . . 39

2

SPIS TREŚCI 3

4 Ataki sprzętowe w kryptografii chaotycznej 42

4.1 Zakres bezpieczeństwa sprzętowego . . . 42

4.2 Struktura trojanów sprzętowych . . . 46

4.3 Klasyfikacja trojanów sprzętowych . . . 48

4.4 Trojany w generatorach chaotycznych . . . 51

4.4.1 Atak na obwód drukowany . . . 51

4.4.2 Atak synchronizacyjny . . . 60

4.4.3 Atak na parametry generatora cyfrowego . . . 63

4.4.4 Atak na dokładność obliczeniową . . . 65

5 Hybrydowy generator chaotyczny 71 5.1 Konfiguracja modułowa . . . 71

5.2 Hybrydowa sekwencja chaotyczna . . . 74

5.3 Język VHDL-AMS w opisie generatora chaotycznego . . . 76

5.4 Moduł analogowy modelu hybrydowego . . . 78

5.4.1 Reprogramowalna matryca analogowa FPAA . . . 78

5.4.2 Rekonfigurowalny obwód Chua . . . 79

5.5 Odporność na działanie trojanów sprzętowych . . . 84

5.5.1 Odporność obwodu drukowanego . . . 84

5.5.2 Odporność parametrów generatora cyfrowego . . . 84

5.5.3 Odporność dokładności obliczeniowej . . . 86

6 Ocena bezpieczeństwa modelu hybrydowego 89 6.1 Poziom bezpieczeństwa sprzętowego . . . 89

6.2 Ograniczenia w rejestracji danych do oceny losowości . . . 90

6.3 Model hybrydowy a źródła kwantowe . . . 92

7 Oryginalne osiągnięcia pracy 97

Bibliografia 100

Pragnę wyrazić szczególne wyrazy podziękowania Panu dr hab. inż. Wiesławowi Marszałkowi za otrzymane wsparcie merytoryczne, poświęcony czas oraz zaangażowanie w opiece naukowej.

Dziękuję Panu dr hab. inż. Pawłowi Śniatale za cenne uwagi oraz życzliwość.

Pragnę również podziękować Panu Profesorowi Andrzejowi Handkiewiczowi kierownikowi Ka- tedry Inżynierii Komputerowej za wszelkie wsparcie oraz życzliwość okazaną w czasie mojej pracy zawodowej.

Dziękuję mojej Żonie oraz Mamie za okazane wsparcie oraz cierpliwość podczas pisania pracy.

Spis rysunków

1.1 Rozwój systemów wbudowanych oraz wzrost znaczenia inżynierii komputerowej na przestrzeni lat. . . 10 1.2 Klasyfikacja metod bezpieczeństwa i zagrożeń w systemach wbudowanych. . . 11 1.3 Teoretyczna koncepcja zapobiegania zagrożeniom w procesie projektowania

urządzeń mobilnych. . . 14 1.4 Moduły bezpieczeństwa w koprocesorze kryptograficznym. . . 15 1.5 Wymogi generatora chaotycznego jako sprzętowego modułu kryptografii alter-

natywnej. . . 17 2.1 Zależność sekwencji pseudolosowej od wartości zalążkowej inicjującej niezmien-

ny generator pseudolosowy. . . 21 2.2 Modułowa struktura tworzenia wartości inicjującej (zalążkowej) dla generato-

rów pseudolosowych. . . 23 2.3 Znaczenie wektora inicjującego w trybach szyfrowania dla blokowych algoryt-

mów kryptograficznych. . . 25 2.4 Zależność szyfrogramu od aktualnej wartości wektora inicjującego. . . 26 2.5 Ogólny algorytm działania deterministycznego generatora pseudolosowego. . . 27 2.6 Komercyjne kwantowe generatory losowe firmy Quantis [37]:

(a) wersja USB oraz układ główny,

(b) wersja PCI-E oraz wersja sieciowa. . . 29 2.7 Generacja ciągu prawdziwie i pseudolosowego w systemach wbudowanych. . . 31 3.1 Korekcja von Neumana wektora bitów chaotycznych. . . 33 3.2 Odpowiedź układu opartego na równaniu logistycznym dla różnych wartości

parametru µ: (a)-(b) µ = 3,39 oraz (c)-(d) µ = 3,99. . . . 35 3.3 Zmienne x(N ) składające się wartości co 1, 2, 4 i 8 próbkę. . . . 37 3.4 Dwa dualne generatory chaotyczne z memristorami [41]. . . 39 3.5 Miara informacji wzajemnej oraz oryginalny atraktor dla układu Lorenza (a)-

(b) oraz obwodu Chua z memristorami (c)-(d). . . 40

5

SPIS RYSUNKÓW 6 3.6 Rekonstrukcja atraktorów w zależności od T dla systemu Lorenza (a)-(f) oraz

dla obwodu Chua z memristorami (g)-(l). . . 41 4.1 Usunięcie obudowy układu scalonego i zastosowanie stacji do mikro pomiarów

w identyfikacji struktury obwodu [45]. . . 44 4.2 Ideowy model struktury trojanu sprzętowego w systemie wbudowanym. . . . 47 4.3 Podział i klasyfikacja trojanów sprzętowych według [56]. . . 49 4.4 Obszar aktywności trojanów sprzętowych w obwodach drukowanych działają-

cych na układy scalone (IC) [66]. . . 53 4.5 Generator chaotycznych sekwencji binarnych oparty na obwodzie Chua w re-

alizacji Matsumoto. . . 55 4.6 Wyniki symulacyjne napięć V_2a oraz V (bity1) dla generatora chaotycznych

sekwencji binarnych bez aktywnego trojanu (a) oraz z aktywnymi trojanami (b) i (c). . . 56 4.7 Najmniejszy nieautonomiczny generator chaotyczny LMT (Lindberg-Murali-

Tamasevicius) z trojanami sprzętowymi. . . . 57 4.8 Wynik działania generatora LMT bez obecności trojanu (a) oraz z obecnym

trojanem zmieniającym częstotliwość fAC z wartości 7 kHz na wartość 3 kHz (b). . . 58 4.9 Zachowanie zmiennych dynamicznych pc− qc dla obwodu LMT bez aktywnych

trojanów (a), (b) oraz z aktywnymi trojanami (c), (d). . . 59 4.10 Zależność dynamiki chaotycznej od zmiany częstotliwości źródła (a) oraz war-

tości rezystancji w interpretacji testu 0-1. . . 59 4.11 Skutki synchronizacji chaotycznych źródeł zalążkowych w inicjacji generatorów

pseudolosowych. Wykresy V (v2) oraz V (bity1) dotyczą napięć w obwodzie z rysunku 4.6. . . 62 4.12 Schemat ataku na wartość parametru µ = U cyfrowego generatora chaotycz-

nego opartego na równaniu logistycznym. . . 64 4.13 Wyniki testu 0-1 dla generatora z rysunku 4.12. . . 65 4.14 Trojan zmniejszający precyzję obliczeniową w stałoprzecinkowym cyfrowym

generatorze opartym na równaniu logistycznym. . . 67 4.15 Wyniki testu 0-1 oceniające wpływ trojanu sprzętowego na dynamikę chaotycz-

ną generatora opartego na równaniu logistycznym. . . 68 4.16 Przejściowa utrata właściwości chaotycznych w wektorze D. . . . 69 4.17 Zachowanie zmiennych dynamicznych pc−qcoceniających ciąg w którym funk-

cja główna zostaje naprzemiennie aktywowana. . . 70

SPIS RYSUNKÓW 7 5.1 Koncepcja hybrydowego generatora chaotycznego. . . 72 5.2 Sekwencje bitów chaotycznych D, C oraz N dla obwodu Chua (a) oraz układu

Lorenza (b). . . 75 5.3 Implementacja układu równań opisujących obwód Chua w środowisku Ana-

digmDesigner dla matrycy FPAA. . . . 80 5.4 Chaotyczna sekwencja bitów z komparatora dla zmiennej y. . . . 81 5.5 Przebiegi sygnałów chaotycznych, kolejno x, y oraz z, dla układu Chua reali-

zowanego na dwóch matrycach FPAA. . . 83 5.6 Wyniki testu 0-1 dla hybrydowej sekwencji chaotycznej z parametrem µ = 3,50

(a) i µ = 3,99 (b). . . . 86 5.7 Poprawna (bezpieczna) praca generatora hybrydowego w przypadku działania

trojanu (okresowa sekwencja D). . . . 87 5.8 (a) Oddziaływanie trojanu zmniejszającego liczbę bitów Y w generatorze opar-

tym na równaniu logistycznym. (b) Podtrzymanie właściwości chaotycznych mimo oddziaływania trojanu. . . 88 6.1 Problem wiarygodnej oceny poziomu losowości generatora wartości zalążkowych. 91 6.2 Wykres różnorodności występowania 10000 bitów w sekwencjach s1-s9. . . . 95

Spis tabel

6.1 Źródła sekwencji bitów poddane ocenie programem ent. . . . 94 6.2 Wyniki 6 testów z pakietu ent dla sekwencji s1-s9 . . . 96

8

Rozdział 1

Wstęp

1.1 Obszar badań

Projektowanie kryptograficznych systemów wbudowanych wymaga uwzględnienia wzajem- nych powiązań między informatyką i elektroniką. Szczególną rolę zaczyna odgrywać inżynieria komputerowa scalająca ze sobą zagadnienia związane z architekturą sprzętową systemów wbu- dowanych przy jednoczesnym uwzględnieniu wybranych aspektów warstwy programowej. Ze względu na specyfikę systemów wbudowanych trudno jest jednoznacznie wskazać gdzie zacie- rają się granice między elektroniką a informatyką. Przy obecnym rozwoju technologicznym dyscypliny te ściśle się przenikają a ich rozdzielenie w zaawansowanych systemach nie jest już możliwe (rysunek 1.1). Głównym czynnikiem, który przyczynił się do rozwoju inżynierii komputerowej była miniaturyzacja układów elektronicznych. Specyfika urządzeń mobilnych z systemami wbudowanymi wymaga często stosowania odmiennych architektur sprzętowych w zależności od założeń systemu. Współczesne systemy wbudowane spotykane są w komunika- cji, aparaturze medycznej, infrastrukturze wojskowej oraz większości obszarów powiązanych z bezpieczeństwem danych. Każdy system operacyjny oraz oprogramowanie narażone jest na działanie złośliwego oprogramowania takiego jak wirusy lub trojany. Problem ten można roz- wiązać zapewniając ochronę w postaci oprogramowania antywirusowego. Innym rozwiązaniem często stosowanym w urządzeniach mobilnych jest przeniesienie najbardziej newralgicznych modułów bezpieczeństwa do warstwy sprzętowej. Realizacja sprzętowa dotyczy głównie klu- czowych modułów bezpieczeństwa takich jak generatory liczb losowych lub algorytmy kryp- tograficzne. Podejście takie w podstawowym założeniu miało gwarantować ochronę przed działaniem złośliwego oprogramowania. Powszechne wykorzystanie systemów wbudowanych wymusza ciągłą poprawę bezpieczeństwa dla użytkownika końcowego przed atakami. Obecnie obserwowana jest tendencja do podejmowania badań nad nieautoryzowanymi zmianami w

9

1.1. Obszar badań 10

Elektronika

Systemy wbudowane w latach 1990-2000

Informatyka

Warstwa programowa Warstwa sprzętowa

Elektronika Systemy wbudowane od lat 2000

Informatyka

Warstwa programowa Warstwa sprzętowa

In ynieria Komputerowa

IK

Rysunek 1.1: Rozwój systemów wbudowanych oraz wzrost znaczenia inżynierii komputerowej na przestrzeni lat.

warstwie sprzętowej. Zmiany te są szczególnym rodzajem ataku mającym na celu osłabienie bezpieczeństwa. W ostatnich dziesięciu latach pojawiły się nowe zagrożenia w postaci ataków z całkowitym pominięciem systemu operacyjnego i oprogramowania urządzenia mobilnego.

Ten specyficzny rodzaj zagrożenia określany jest terminem trojanów sprzętowych (ang. har- dware trojans) [1–4].

Zgodnie z definicją podaną w [1] za trojan sprzętowy uważa się: ”dodatkowy obwód lub zmianę (parametrów, połączeń) wprowadzoną do układu z wrogim zamiarem, która nie może zostać wykryta w ramach podstawowego procesu testowania.”

Trojany sprzętowe zmniejszają poziom bezpieczeństwa całego systemu bez ingerencji w war- stwę oprogramowania. Bagatelizowanie trojanów sprzętowych może skutkować dokonaniem ataków sprzętowych, praktycznie niewykrywalnych dla użytkownika końcowego.

Projektowanie systemów wbudowanych opiera się na wyborze jednej z trzech głównych architektur sprzętowych: układów scalonych dedykowanego przeznaczenia ASIC (ang. Appli- cation Specific Integrated Circuit ), matryc reprogramowalnych oraz mikrokontrolerów. Wy- bór typu architektury zależy od założeń docelowego przeznaczenia systemu, jego specyfiki jak również ograniczeń ekonomicznych w procesie produkcyjnym. Realizacja układów ASIC jest rozwiązaniem technologicznie najdroższym, z najdłuższym czasem projektowania i fizycznego wytwarzania [5, 6]. Proces projektowania układów ASIC dodatkowo obarczony jest dużym

1.1. Obszar badań 11

Symteryczna

Asymteryczna

Biometryczna

Odporno na ataki

Konwencjonalna Alternatywna

Kwantowa

Chaotyczna Kryptogra a

Programowe Sprz^towe

Trojany programowe

Wirusy

Trojany sprz^towe Bezpieczeństwo danych

Rysunek 1.2: Klasyfikacja metod bezpieczeństwa i zagrożeń w systemach wbudowanych.

ryzykiem popełnienia trudno wykrywalnych błędów projektowych. Minimalizacja kosztów produkcji oraz redukcja czasu projektowania systemów mikroelektronicznych stała się moż- liwa przez wprowadzenie na rynek reprogramowalnych matryc cyfrowych FPGA (ang. Field Programmable Gate Array). Matryce FPGA w przeciwieństwie do układów ASIC mogą być dowolnie reprogramowane. Opracowanie systemu wbudowanego w oparciu o układy reprogra- mowalne jest osiągalne dla większej grupy inżynierów. Projektowanie systemów bazujących na układach ASIC wymaga znaczących środków finansowych oraz nastawione jest na produk- cję w masowej skali. Oprócz wymienionych układów w warstwie sprzętowej nadal mogą być stosowane klasyczne układy mikroprocesorowe [7].

Dynamiczny rozwój kryptografii sprzętowej wymusił podjęcie badań nad oceną jej odpor- ności na ataki o charakterze zewnętrznym oraz wewnętrznym. Zagrożenie ze strony trojanów sprzętowych dotyczy każdej z wymienionych architektur sprzętowych. Zabezpieczenie war- stwy sprzętowej przed nieautoryzowanymi zmianami wymaga opracowania takich koncepcji, których potencjalne zastosowanie zwiększy odporność na działanie trojanów sprzętowych bez konieczności zwiększania budżetu.

Nowe formy zagrożeń wymusiły poszukiwanie interdyscyplinarnych metod bezpieczeństwa (rysunek. 1.2). Rozwiązania interdyscyplinarne wymagają oceny pod kątem możliwości ich in- tegracji z systemami mikroelektronicznymi oraz określeniem podatności na ataki. Badania w tym zakresie przyczyniły się do powstania i rozwoju tzw. kryptografii alternatywnej. Zali- czyć do niej można trzy grupy: biometrię wykorzystywaną do identyfikacji użytkowników, kryptografię chaotyczną wykorzystującą teorię chaosu deterministycznego w bezpieczeństwie

1.2. Uzasadnienie tematu badawczego 12

danych oraz kryptografię kwantową. Rozpatrując kryptografię alternatywną pod kątem sys- temów wbudowanych, szczególnie kluczowe znaczenie ma miniaturyzacja jej podstawowych modułów. Ze względu na ograniczenia fizyczne nie wszystkie rozwiązania stosowane w al- ternatywnym bezpieczeństwie danych mogą zostać zastosowane w urządzeniach mobilnych.

Czynnikiem ograniczającym są rozmiary samych modułów i aparatury kontrolno-pomiarowej.

Pomimo intensywnych badań w zakresie kryptografii kwantowej nie udało się opracować ta- kich modułów kwantowych, które pozwalałby na bezpośrednia integrację z układem ASIC lub strukturą matrycy FPGA [8]. W odróżnieniu od kryptografii kwantowej, moduły krypto- grafii chaotycznej mogą zostać poddane miniaturyzacji - nawet do rozmiarów układów sca- lonych [9, 10]. Aktualne obszary badań nad kryptografią chaotyczną skupiają się nad oceną poziomu jej bezpieczeństwa, wykrywaniem i eliminacją czynników zagrożeń umożliwiających przeprowadzenie ataku sprzętowego [11, 12]. Szczególnie kluczowe znaczenie zyskują badania w zakresie podatności wprowadzania trojanów sprzętowych do generatorów chaotycznych. Do tej pory w badaniach nad generatorami chaotycznymi używanymi w kryptografii nie zosta- ła podjęta próba oceny zagrożenia ze strony trojanów sprzętowych [13, 14]. Nie jest również znana żadna koncepcja zapobiegania tego typu zagrożeniom. Dalszy rozwój kryptografii cha- otycznej powinien odbywać się ze szczególnym uwzględnieniem najnowszych zagrożeń. Prio- rytetowym kierunkiem badań jest próba zdefiniowania jak największej grupy potencjalnych trojanów sprzętowych, możliwych do wprowadzenia w realnych obwodach chaotycznych. Ana- liza konkretnych przypadków powinna w dalszej kolejności stanowić podstawę do opracowania koncepcji rozwiązania zabezpieczającego przed atakami sprzętowymi w kryptografii chaotycz- nej.

1.2 Uzasadnienie tematu badawczego

Rynek układów elektronicznych cechuje dynamiczny rozwój. W krótkich odstępach czasu wprowadzane są nowe wersje urządzeń mobilnych, aparatury medycznej, itp. Aby sprostać wymaganiom rynkowym, producenci muszą zagwarantować użytkownikowi końcowemu rela- tywnie niską cenę ze względu na dużą konkurencję w branży. Czynniki ekonomiczne spowodo- wały przeniesienie fizycznej produkcji układów elektronicznych (szczególnie układów ASIC) do krajów w których możliwe jest obniżanie kosztów fizycznego wytwarzania systemów mikro- elektronicznych. Czynniki te są coraz częściej brane pod uwagę przy wyborze miejsca realizacji układów wytwarzanych dla celów zbrojeniowych. Zleceniodawca pozbawiony jest przejrzy- stych metod nadzoru nad produkcją. Brak aparatu kontroli przyczynia się do powstawania spekulacji związanych z umieszczaniem trojanów sprzętowych w urządzeniach mobilnych.

Coraz częściej przypuszczenia te zostają potwierdzone przez niezależne doniesienia nauko-

1.2. Uzasadnienie tematu badawczego 13

we, rządowe oraz publicystyczne [15]. Czynnik ekonomiczny może stać się główna przyczyną obniżenia poziomu bezpieczeństwa w systemach wbudowanych.

Dla podmiotu atakującego szczególnie istotna wydaje się możliwość dezaktywacji wybra- nego modułu bezpieczeństwa bez fizycznego kontaktu z urządzeniem w miejscu jego działania.

Ryzyko wprowadzenia tzw. wejścia tylnego (ang. backdoor ) do systemów wbudowanych na etapie produkcji układów ASIC stanowi realne zagrożenie bezpieczeństwa. Nieautoryzowa- ne zmiany dokonywane w wyniku ataków sprzętowych związane są m.in. z wprowadzaniem dodatkowych modułów, modyfikacji kluczowego modułu lub zmiany założeń systemu mikro- elektronicznego. Wszystkie trzy przypadki sprowadzają się do wprowadzania trojanów sprzę- towych. Próba zapobiegania tym zagrożeniom nie będzie skuteczna jeśli zostanie rozpatrywa- na indywidualnie z punktu widzenia samej informatyki lub tylko elektroniki. Rozpatrywanie tej problematyki konieczne jest bezpośrednio w odniesieniu do inżynierii komputerowej. Ze względu na koszty całkowita rezygnacja z produkcji seryjnej układów scalonych w niektórych krajach nie jest możliwa. W tym względzie finansowanie badań nad trojanami sprzętowymi jest znacznie tańsze, niż budowa własnej linii produkcyjnej układów scalonych [15].

Coraz więcej państw podejmuje próby zabezpieczenia się przed trojanami sprzętowymi. W przypadku układów mikroelektronicznych dla infrastruktury wojskowej rozważa się produkcję wybranych newralgicznych elementów w zamkniętych wojskowych ośrodkach naukowych [15].

Przeprowadzenie ataku może dotyczyć tylko jednego modułu warstwy sprzętowej, który od- grywa podstawową funkcję w bezpieczeństwie np. jest generatorem binarnych sekwencji lo- sowych lub generatorem wartości zalążkowych (ang. seed ). W zapobieganiu zagrożeniom ze strony trojanów sprzętowych konieczne jest zdefiniowanie najważniejszych etapów w procesie projektowania systemu mikroelektronicznego. Dla każdego z etapów należy podjąć próbę in- dywidualnego zdefiniowania potencjalnych zagrożeń. Dopiero dokładna klasyfikacja zagrożeń pozwala na opracowanie koncepcji zapobiegania atakom sprzętowym. Na rysunku 1.3 przed- stawiono pełen proces projektowania systemów wbudowanych z potencjalnymi zagrożeniami oraz potencjalnymi mechanizmami przeciwdziałania.

Projektowanie systemów wbudowanych rozpoczyna się od zdefiniowana założeń w formie szczegółowej specyfikacji zawierającej wytyczne dla planowanej technologii. Pierwsze zagro- żenia mogą pojawiać się już we wstępnym etapie projektowania. Wymogi bezpieczeństwa modułu mogą zostać celowo zmienione przez osoby niepożądane. Taka ingerencja stwarza ry- zyko obniżenia poziomu bezpieczeństwa całego systemu. Aby zapobiegać nieautoryzowanej zmianie należy rozważyć opracowanie niezależnych modułów bezpieczeństwa przygotowywa- nych z osobnymi specyfikacjami do których dostęp ma tylko ograniczona grupa inżynierów.

W przypadku zmian w jednym module nadal będzie istniała szansa, że założenia drugiego modułu pozostaną nadal niezmienione. W następnym etapie projektowania dokonywana jest

1.2. Uzasadnienie tematu badawczego 14

Specy kacja

Implementacja

Fizyczna produkcja

Monta i testowanie

System operacyjny

Oprogramowanie

Warstwa sprzętowa

Warstwa programowa Mody kacja wymogów

bezpiecze stwa

Przeciwdzia anie Proces projektowania Zagrożenia

Wprowadzanie dodatkowych funkcji

Wirusy komputerowe Fizyczna ingerencja

w uk ad

Niezale ne modu y bezpiecze stwa

Hybrydowa architektura sprzętowa

Ochrona antywirusowa Niezależne analogowe

i cyfrowe układy reprogramowalne

Rysunek 1.3: Teoretyczna koncepcja zapobiegania zagrożeniom w procesie projektowania urządzeń mobilnych.

implementacja w oparciu o wybraną architekturę sprzętową. Proces ten może odbywać się bez- pośrednio na poziomie tranzystorowym (układy ASIC) lub z wykorzystaniem języków opisu sprzętu HDL (ang. Hardware Description Language) dla matryc reprogramowalnych FPGA.

W niektórych przypadkach dodatkowo może zostać wykonany drukowany obwód peryferyjny z podstawowymi elementami pasywnymi i aktywnymi (np. analogowe generatory chaotyczne).

Każda implementacja podatna jest na wprowadzenia dodatkowych funkcji, które nie zostały uwzględnione na etapie specyfikacji. Zastosowanie niezależnych architektur sprzętowych two- rzących hybrydową warstwę sprzętową może ograniczyć zagrożenia w procesie projektowania.

Niezależne moduły bezpieczeństwa mogą zostać realizowane z wykorzystaniem kilku odmien- nych architektur tworząc model hybrydowy. Moduł bezpieczeństwa będzie opierał się zarówno na układach analogowych i cyfrowych. Podejście takie może znacząco utrudnić wprowadzanie nieautoryzowanych zmian ze względu na rozdzielność tego procesu.

1.2. Uzasadnienie tematu badawczego 15

System bezpiecze stwa Warstwa programowa

Warstwa sprzętowa

PRBG AES OFB^{, etc.}

sMEM PUF

KA

Koprocesor kryptograficzny Modu krytptogra i

alternatywnej (wen trzny lub zewn trzny) Odporność na ataki sprzętowe

Atak A Atak B Atak C

Rysunek 1.4: Moduły bezpieczeństwa w koprocesorze kryptograficznym.

Poprawa bezpieczeństwa systemów wbudowanych w warstwie sprzętowej wymaga wyod- rębnienia i realizacji kluczowych modułów bezpieczeństwa jako niezależnych podzespołów peryferyjnych lub struktur mieszanych programowo-sprzętowych. Koncepcja obu rozwiązań może sprowadzać się do struktury hybrydowej opartej na:

• użyciu matrycy FPAA (ang. Field Programmable Analog Array) współdziałającej z mo- dułem cyfrowym implementowanym programowo,

• wykorzystaniu dwóch dwóch matryc FPGA i FPAA.

Pierwsze rozwiązanie jest podejściem bardziej uniwersalnym. Opracowanie modelu programowo- sprzętowego może zostać wykorzystane w niezależnych pracach wdrożeniowych wykorzystują- cych tylko matryce FPGA i FPAA. Problemem zasadniczym jest opracowanie takiej koncep- cji struktury hybrydowej, która będzie przydatna w potencjalnych pracach wdrożeniowych.

Opracowanie modelu hybrydowego dla architektur reprogramowalnych dodatkowo pozwoli w przyszłości na realizację sprzętowych modułów bezpieczeństwa jako dedykowanych układów scalonych. Niejednorodny charakter zagrożenia atakami sprzętowymi wymusza badania nad nowymi formami realizacji kluczowych podzespołów bezpieczeństwa [16]. Coraz większe zna- czenie w bezpieczeństwie sprzętowym zaczynają odgrywać badania związane z możliwością praktycznego zastosowania kryptografii chaotycznej w systemach wbudowanych [13].

Na rysunku 1.4 zaznaczono kluczowe moduły bezpieczeństwa w warstwie sprzętowej syste- mu wbudowanego z koprocesorem kryptograficznym. Elementy składowe dedykowanego ukła- du kryptograficznego można podzielić ze względu na ich funkcję [17]. Pierwszą grupę stanowią generatory pseudolosowe PRBG (ang. Pseudo Random Bit Generator ). Drugą grupę stanowią moduły pełniące rolę funkcji fizycznie nieklonowanej PUF (ang. Physical Unclonable Func- tion). Ich zadaniem jest generowanie wektorów umożliwiających autoryzację urządzenia w oparciu o niepowtarzalny i jednocześnie niemożliwy do skopiowania na inne urządzenie iden- tyfikator [18]. Kolejną grupą są sprzętowe blokowe algorytmy kryptograficzne, na przykład

1.3 Cel i zakres pracy 16

AES (ang. Advanced Encryption Standard ). Do ich bezpiecznego użycia w procesie krypto- graficznym konieczne są sprzętowe algorytmy realizujące tryb szyfrowania, np. CBC (ang.

Cipher Block Chaining) [19]. Dla wzmocnienia bezpieczeństwa coraz częściej stosuje się rów- nież kryptograficznie zabezpieczone układy pamięci [20].

Generatory PRBG nadają się do realizacji w każdej z cyfrowych architektur sprzętowych.

Szybkość generacji ciągów losowych zależy od głównego zegara w systemie. Podstawowym problemem przy implementacji tych generatorów jest fizyczna realizacja źródła o wysokiej entropii generującego wartości zalążkowe inicjujące pracę generatora. Zarówno w układach ASIC jak i układach reprogramowalnych ograniczenia technologiczne uniemożliwiają imple- mentację wielu niezależnych źródeł entropii. Ze względu na charakter oraz naturę tych źródeł nie wszystkie one mogą zostać zintegrowane z urządzeniami mobilnymi. Możliwość wrogie- go wpływania na źródło entropii (poprzez trojany sprzętowe) stwarza krytyczny problem bezpieczeństwa dla generatorów PRBG, a tym samym całego systemu bezpieczeństwa. Aby zminimalizować możliwość dokonania skutecznego ataku coraz częściej podejmowane są pró- by zastosowania modułów kryptografii alternatywnej jako źródeł entropii. W tym kontekście obwody chaotyczne mogą być stosowane zarówno jako zewnętrzne i wewnętrzne generato- ry wartości zalążkowych. Atrakcyjność kryptografii chaotycznej wynika z dużych możliwości miniaturyzacyjnych generatorów chaotycznych. Do tej pory problem bezpieczeństwa sprzę- towego generatorów chaotycznych (podatności na wprowadzanie trojanów sprzętowych i ich oddziaływanie) nie był przedmiotem badań [14]. W przypadku realnego zagrożenia wymagane jest opracowanie takich rozwiązań, które będą gwarantowały bezpieczeństwo nie powodując znaczących utrudnień na etapie procesu projektowania i fizycznego wytwarzania układu. Do- piero tak ukierunkowane badania pozwolą na ocenę możliwości wdrożeniowych rozwiązań dedykowanych dla warstwy sprzętowej.

1.3 Cel i zakres pracy

Badania w ramach tej pracy mają na celu podjęcie próby opracowania nowej klasy ge- neratora chaotycznego o strukturze hybrydowej, cechującego się zwiększoną odpornością na ataki sprzętowe dokonywane z użyciem trojanów sprzętowych. W ramach prowadzonych ba- dań należy dokonać selekcji najbardziej newralgicznych elementów bezpieczeństwa w trady- cyjnym generatorze chaotycznym tak jak na rysunku 1.5. Istotna jest docelowa architektura sprzętowa ze względu na sposób dokonywania ataków trojanami sprzętowymi. Ze względu na zabezpieczenie struktury generatora hybrydowego kluczowe jest określenie potencjalnych trojanów sprzętowych. Do oceny poprawności generatora niezbędna jest adaptacja metody pozwalającej na monitorowanie generowanych binarnych sekwencji chaotycznych pod kątem

1.3 Cel i zakres pracy 17

Generator chaotyczny

sprz
towy modu^ kryptogra^i alternatywnej

Parametry generatora

Architektura sprzetowa

Adaptacja metody do oceny pracy generatora

Przewidywanie ataków Przeciwdzia anie atakom Newralgiczne elementy bezpieczeństwa

Rysunek 1.5: Wymogi generatora chaotycznego jako sprzętowego modułu kryptografii alternatywnej.

poprawności działania. Badania przedstawione w pracy oparte są na dokonaniu symulacji komputerowych z wykorzystaniem środowisk: Matlab, RStudio, Mentor Graphics SystemVi- sion, LTSpice oraz AnnadigmDesigner. Ze względu na teoretyczno-koncepcyjny charakter pracy dla warstwy sprzętowej zakłada się użycie tylko matrycy FPAA. Badania zostały po- dzielone na cztery etapy:

• Adaptacja metod do oceny dynamiki chaotycznej generowanej sekwencji bi- narnej. Bezpieczeństwo generatorów zostanie poddane ocenie na podstawie analizy bi- narnej sekwencji chaotycznej przy zastosowaniu testu 0-1 do detekcji chaosu. Metoda ta pozwala na wykrycie dynamiki chaotycznej poprzez analizę sekwencji kolejnych warto- ści generowanych przez system nieliniowy bez znajomości modelu matematycznego dla badanego systemu. Podczas adaptacji zostanie opracowana nowa metoda próbkowania sygnałów chaotycznych dla prawidłowego przygotowania danych wejściowych. Problem właściwego próbkowania sygnałów czasu ciągłego na potrzeby testu 0-1 nie został do- tychczas rozwiązany dla większej grupy układów.

• Zdefiniowanie problemów bezpieczeństwa w wybranych sprzętowych genera- torach chaotycznych. Zostanie zbadana podatność obwodów chaotycznych na wpro- wadzanie trojanów sprzętowych oraz ocena skutków ich aktywności. Analizie poddane zostaną wybrane układy chaotyczne czasu ciągłego realizowane jako układy analogo- we w formie obwodów drukowanych oraz cyfrowe systemy chaotyczne w reprezentacji stałoprzecinkowej. Uzyskane wyniki pozwolą na opracowanie klasyfikacji potencjalnych trojanów sprzętowych osłabiających poziom bezpieczeństwa generatorów chaotycznych.

• Opracowanie koncepcji struktury hybrydowej generatora chaotycznego Za- kłada się opracowanie koncepcji hybrydowego modelu programowo-sprzętowego. Część cyfrowa zostanie symulowana programowo z zastosowaniem arytmetyki stałoprzecinko- wej. Moduł analogowy zostanie implementowany z użyciem matrycy FPAA. Struktura

1.3 Cel i zakres pracy 18

hybrydowa pozwoli na integrację rozwiązania z systemami wbudowanymi w urządze- niach mobilnych i wykorzystanie modelu hybrydowego jako układu generującego war- tości zalążkowe dla sprzętowych generatorów pseudolosowych.

• Analiza porównawcza bezpieczeństwa hybrydowego generatora chaotyczne- go z generatorem kwantowym. Hybrydowa binarna sekwencja chaotyczna zostanie porówna pod kątem losowości z sekwencją referencyjną uzyskaną z kwantowego genera- tora losowego. Ze względu na ograniczenia w długości wektora sekwencji hybrydowej w ocenie losowości wykorzystany zostanie pakiet ent [21].

Do tej pory w badaniach nad zastosowaniem obwodów chaotycznych w kryptografii sprzę- towej problem trojanów sprzętowych nie był rozpatrywany. Tym samym brak jest skutecznego rozwiązania zapewniającego generację sygnałów chaotycznych w przypadku ataku sprzętowe- go. Rosnąca potrzeba zapewnienia bezpieczeństwa systemów wbudowanych potwierdza po- trzebę podjęcia pogłębionych badań w tym zakresie.

Zasadniczą część pracy stanowią rozdziały 2-6, a podsumowanie wyników przedstawiono w rozdziale 7.

• Rozdział 2

Podano podstawowe wymogi dotyczące bezpieczeństwa generatorów losowych ze szcze- gólnym uwzględnieniem generatorów wartości zalążkowych. Opisano wybrane komer- cyjne moduły kryptograficzne. Przybliżono problem ograniczeń technologicznych w re- alizacjach generatorów losowych i zalążkowych.

• Rozdział 3

Wyjaśniono znaczenie korekcji von Neumanna w zwiększeniu różnorodności występowa- nia bitów zalążkowych. Przybliżone zostały podstawy teoretyczne testu 0-1 oraz charak- teryzacja nowej metody rozwiązania problemu nadpróbkowania opartej na kryterium częstotliwościowym. Kryterium to zostało poddane analizie porównawczej z metodą miary informacji wzajemnej.

• Rozdział 4

Opisano poszczególne poziomy bezpieczeństwa sprzętowego oraz omówiono klasyfikację trojanów. Przeprowadzono szczegółową analizę nowych modeli trojanów sprzętowych.

Opracowane modele zostały użyte do przeprowadzenia nieopisanych do tej pory w lite- raturze ataków na znane generatory chaotyczne. Do wykrywania aktywności trojanów zaproponowano wykorzystanie testu 0-1.

1.3 Cel i zakres pracy 19

• Rozdział 5

Przedstawiono koncepcję nowego hybrydowego generatora chaotycznego o strukturze mieszanej programowo-sprzętowej. Generator ten jest nowym rozwiązaniem dla bez- piecznego generowania binarnych sekwencji zalążkowych. Omówiono sposób tworzenia hybrydowej sekwencji chaotycznej. Odporność na działanie trojanów z rozdziału 4 zo- stała potwierdzona badaniami symulacyjnymi przy użyciu testu 0-1. Zaproponowano metodę modelowania generatora hybrydowego w języku VHDL-AMS pozwalającą na jednoczesną symulację części analogowej i cyfrowej. Na potrzeby sprzętowej realizacji modułu analogowego wykorzystano zestaw matryc FPAA.

• Rozdział 6

Przeprowadzono ocenę poziomu bezpieczeństwa sprzętowego hybrydowego generatora chaotycznego. Ocena taka jest ważnym kryterium bezpieczeństwa i do tej pory nie była rozważana w kontekście znanych obwodów chaotycznych. Rozważono problem ograni- czeń w rejestracji danych do weryfikacji poprawnego działania generatorów zalążko- wych. Jednocześnie przeprowadzono analizę poziomu losowości hybrydowej sekwencji chaotycznej z użyciem pakietu ent. Analiza ta została rozszerzona o nową metodę po- równawczą z kwantowym losowym źródłem odniesienia.

• Rozdział 7

Dokonano podsumowania wyników pracy oraz opisano oryginalne osiągnięcia w pracy ze wskazaniem na konkretne rozdziały.

Rozdział 2

Kryptografia w systemach wbudowanych

2.1 Podstawowe wymogi bezpieczeństwa

Obecnie prawie każdy system kryptograficzny posiada zintegrowany generator pseudolo- sowy dla zapewnienia bezpiecznego procesu kryptograficznego. Struktury zastosowanego ge- neratora uzależnione są od wolnych zasobów w warstwie sprzętowej. Do najbardziej znanych generatorów należą A5/1 [22] oraz Fortuna [23]. Sprzętowe moduły kryptograficzne przed im- plementacją w docelowej infrastrukturze elektronicznej powinny zostać poddane ocenie pod kątem spełnienia kilku niezależnych kryteriów bezpieczeństwa. Dla generatorów losowych kry- teria te można podzielić na trzy grupy [24]:

• analizę losowości,

• badanie źródła wartości zalążkowej,

• analizę fizycznej budowy modułu kryptograficznego pod kątem jego podatności na ataki sprzętowe.

W większości praktycznych rozwiązań ocena bezpieczeństwa generatorów losowych sprowa- dzana jest niestety tylko do pierwszej grupy. Ocena losowości dokonywana jest w oparciu o zestaw piętnastu testów statystycznych NIST badających ciągi o długości nie mniejszej niż 1 milion bitów [25]. Testy statystyczne NIST są dostępne w formie gotowego pakietu komputerowego zapewniającego prostą współpracę z użytkownikiem, tak aby mogła z niego korzystać jak największa grupa specjalistów. Należy zwrócić uwagę, że pakiet z testami NIST został przygotowany tak aby użytkownik zwolniony był z konieczności posiadania specjali-

20

2.1 Podstawowe wymogi bezpieczeństwa 21

PRBG₁ (CSPRBG₁) warto

zal kowa₁

PRBG₁ (CSPRBG )

Okre
lenie cyklu losowego Testy NIST Ocena zjawiska

1

(ograniczone mo^liwo ci testów NIST)

Rysunek 2.1: Zależność sekwencji pseudolosowej od wartości zalążkowej inicjującej niezmienny generator pseudolosowy.

stycznej wiedzy eksperckiej z zakresu podstaw matematycznych dla każdej ze stosowanych metod statystycznych. Uzyskanie pozytywnych wyników dla kilkunastu testów potwierdza losowy charakter badanej sekwencji. Mimo powszechnego stosowania metody opartej na te- stach statystycznych NIST wykazano w [26] ze nie zawsze uzyskane wyniki można traktować wiarygodnie. Należy zwrócić uwagę, że badania te można dalej kontynuować w kontekście ob- liczeń równoległych [27, 28]. Generatory implementowane cyfrowo generują sekwencję losową tylko w cyklu o ściśle określonej długości bitów. Przekroczenie tego cyklu bez zmiany wartości zalążkowej (następnej inicjacji) skutkuje generowaniem ponownie tej samej sekwencji losowej.

Drugim kryterium w ocenie bezpieczeństwa jest badanie źródła wartości zalążkowych.

Zgodnie z [29] badanie entropii może być metodą używaną zamiennie w stosunku dla metody opartej na testach statystycznych NIST.

Bezpieczeństwo w kryptografii sprzętowej uwarunkowane jest również sposobem fizycznej realizacji konkretnych układów. Kluczowa staje się analiza struktury układu pod względem ilości zastosowanych źródeł entropii, sposobu ich realizacji. Zgodnie z [19, 23] zaleca się, aby generatory sekwencji losowych nie były ograniczone tylko do jednego źródła entropii. Układy w kryptografii sprzętowej z jednym źródłem losowości cechują się niskim poziomem bezpie- czeństwa - istnieje (często tylko domniemane) ryzyko możliwości wrogiego oddziaływania na źródło entropii. W przypadku komputerowych systemów operacyjnych wiele niezależnych źró- deł entropii zapewnia użycie generatora /dev/random [30]. Generator ten korzysta z dostępnej entropii na poziomie systemu operacyjnego. W systemach wbudowanych nie posiadających klasycznego systemu operacyjnego problemem jest możliwość integracji niezależnych źródeł entropii. Konieczne staje się opracowanie takich rozwiązań, które mogłyby zostać zrealizo- wane jako różne i niezależne obwody cyfrowe oraz analogowe. Stosunkowo nowym kryterium

2.1 Podstawowe wymogi bezpieczeństwa 22

oceny bezpieczeństwa układów kryptograficznych jest analiza ich podatności na możliwość dokonania ataku i działanie trojanów sprzętowych. Szczególnego znaczenia nabiera zdefinio- wanie i zapobieganie możliwym atakom sprzętowym przy użyciu trojanów sprzętowych. Dla generatora losowego zawierającego tylko jedno źródło entropii niezbędne staje się przewidy- wanie wszystkich potencjalnych nieautoryzowanych zmian mogących skutkować zagrożeniem bezpieczeństwa sprzętowego. W odniesieniu do rysunku 2.1 szczególne niebezpieczeństwo wi- doczne jest przy wielokrotnym użycie tej samej wartości zalążkowej. Do tej pory znane ataki na generatory pseudolosowe dotyczyły możliwości przewidywania ich okresu [31, 32]. Biorąc pod uwagę schemat z rysunku. 2.1 skuteczniejszym atakiem może okazać się modyfikacja generatora zalążkowego.

Zdefiniowanie potencjalnych zagrożeń i wynikających z nich konsekwencji pozwala zabez- pieczyć system na etapie ustalania jego ogólnych wymogów lub bezpośrednio podczas pro- jektowania i fizycznej realizacji. Analizując proces projektowania sprzętowych generatorów losowych konieczne staje się przeprowadzenie możliwie pełnej klasyfikacji trojanów sprzęto- wych w celu opracowania skutecznych mechanizmów obronnych. Z uwagi na rozległość tego zagadnienia w rozprawie sprzętowa analiza bezpieczeństwa jest ograniczona tylko do genera- torów wartości zalążkowych w generatorach pseudolosowych. Analiza odporności systemów kryptograficznych na działanie trojanów sprzętowych stała się przy obecnym rozwoju techno- logicznym kluczowym kryterium oceny bezpieczeństwa w kryptografii sprzętowej. Zagrożenia te można rozpatrywać w kontekście samej struktury generatora losowego lub w odniesieniu do układu odpowiadającego za generowanie wartości inicjujących (zalążkowych). Uzyskanie pozytywnych wyników z analiz w zakresie losowości, poziomu entropii, oraz fizycznej struk- tury układu może być tylko pozorną gwarancją bezpieczeństwa, która zostaje utracona w wyniku późniejszej aktywacji trojanów sprzętowych. Ze względu na ograniczenia generatorów prawdziwie losowych TRBG omówionych w rozdziale 2.2 w systemach wbudowanych domi- nują generatory pseudolosowe, których działanie opiera się na ściśle określonym algorytmie generacji ciągu losowego. Algorytm wymaga wprowadzenia wartości zalążkowej - inicjującej.

Wybór i implementacja konkretnego algorytmu pseudolosowego we współczesnych systemach cyfrowych nie jest zadaniem trudnym biorąc pod uwagę narzędzia komputerowo wspoma- ganego projektowania. Procesem złożonym i czasochłonnym jest wybór metody generującej wartość zalążkową. W komputerach PC z systemami operacyjnymi wartości zalążkowe mogą pochodzić z zewnętrznych sensorów monitorujących aktualną temperaturę procesora, prędko- ści obrotów urządzeń chłodzących, etc. W zaawansowanych zastosowaniach częściej spotykane jest podejście polegające na tworzeniu wartości zalążkowej jako wyniku mieszania kliku nie- zależnych źródeł składowych. Każda z tych wartości pochodzi z niezależnego modułu. Użycie dwa razy tej samej wartość zalążkowej skutkuje utworzeniem dwóch takich samych ciągów

2.1 Podstawowe wymogi bezpieczeństwa 23

Parametr jednorazowy:

- aktualna warto
licznika - inna warto
unikatowa

Parametr u^ytkownika:

- has^o autoryzacyjne - dane biometryczne

Warto^ zal^{ }kowa (inicjuj^ca)

Opcjonalne

Wymagane

Opcjonalne

PRBG

generator pseudolosowy

CBC

Tryby Szyfrowania Blokowego

rd o entropii:

- zjawiska zyczne - procesy chemiczne

IV

IV

Rysunek 2.2: Modułowa struktura tworzenia wartości inicjującej (zalążkowej) dla generatorów pseudolosowych.

losowych. Każdy z nich uzyska pozytywne wyniki w ocenie losowości - niestety będą to iden- tyczne ciągi. Zgodnie z [24] użycie w kryptografii wielokrotnie identycznych ciągów losowych stwarza możliwości przeprowadzenia skutecznego ataku. W celu uniknięcia tych problemów wskazane jest aby układ używany do generowania wartości zalążkowych posiadał strukturę modułową z niezależnymi źródłami entropii jak pokazano na rysunku 2.2 [24]. Wpływa to na zwiększenie różnorodności w uzyskiwanych wartościach. Rozwiązania takie w większości przypadków możliwe są do osiągnięcia jeżeli system wbudowany posiada system operacyjny.

Modułowa konstrukcja wartości zalążkowych jest trudniejsza w realizacji dla systemów pozba- wionych warstwy programowej. Systemy tej kategorii realizują dedykowane zadanie w oparciu o konkretne algorytmy sprzętowe. Jeśli źródło entropii w systemie wbudowanym pochodzi z obserwacji zjawiska fizycznego po zewnętrznej stronie obudowy układu, możliwe staje się po- średnie wpływanie na tworzenie bitów inicjujących przez oddziaływanie np. na temperaturę.

Rozpatrując cyfrową realizację konkretnego generatora pseudolosowego, należy ocenić możliwość skutecznego wprowadzenia dodatkowych źródeł entropii. Jeżeli ograniczenia tech- nologiczne uniemożliwiają wprowadzenie kolejnych źródeł zgodnie z [24] zalecane jest wpro- wadzenie opcjonalnych parametrów zewnętrznych. W sytuacji kiedy system wbudowany jest urządzeniem autonomicznym działającym bez systemu operacyjnego możliwość wprowadzenia parametrów dodatkowych jest silnie ograniczona. Zastosowanie licznika nie gwarantuje bez- pieczeństwa ze względu na wprowadzenie dodatkowych regularności. Osobnym parametrem opcjonalnym używanym dodatkowo lub zamiennie w stosunku do parametru użytkownika jest parametr jednorazowy. Jego praktyczna realizacja jest zagadnieniem problematycznym.

Ograniczenia implementacyjne oraz brak współpracy ze strony użytkownika wymusza two-

2.1 Podstawowe wymogi bezpieczeństwa 24

rzenie wektorów zalążkowych w oparciu o tylko jedno źródło entropii. Większość realizacji z pojedynczym źródłem prezentowanych w literaturze pomija problem możliwości wprowadze- nia dodatkowych parametrów zwiększających różnorodność wartości inicjujących właśnie ze względu na ograniczenia technologiczne [17].

W przypadku generatorów pseudolosowych ważne jest zapewnienie różnorodności genero- wanych sekwencji w kolejnych cyklach pracy generatora losowego. Ma to szczególne znaczenie w symetrycznej kryptografii blokowej, w której ciąg danych jawnych przeznaczony do szy- frowania dzielony jest na mniejsze bloki o ściśle określonej długości. Każdy z utworzonych bloków wiadomości jawnej poddawany jest procesowi szyfrowania z użyciem silnego algoryt- mu kryptograficznego i tajnego klucza - zgodnie z rysunkiem 2.3. Szyfrowanie blokowe dla pełnego bezpieczeństwa danych wymaga zastosowania jednego z trybów szyfrowania [19]. Z uwagi na brak bloku zerowego konieczne jest użycie bloku z danymi losowymi lub nieprzewi- dywalnymi w zależności od trybu szyfrowania. Wektor inicjujący w kanale komunikacji jest zawsze jawny. Tak samo jawny jest algorytm blokowy. Jedynym tajnym elementem systemu bezpieczeństwa z rysunku 2.3 jest klucz autoryzacyjny. Kluczowym dla bezpieczeństwa blo- kowo szyfrowanych wiadomości jest zapewnienie nieprzewidywalności wektorów inicjujących używanych w kolejnych cyklach. Jest to jedna z najważniejszych zasad gwarantujących bez- pieczeństwo w blokowym procesie kryptograficznym [19]. Każdy blok tekstu jawnego przed procesem szyfrowania poddawany jest operacji XOR z szyfrogramem otrzymanym z bloku poprzedniego. Uzyskane bloki szyfrogramów są ze sobą łączone przez zastosowanie jednego z trybów szyfrowania np. CBC [33]. Problematyczny w większości trybów szyfrowania jest wybór pierwszego bloku. W praktyce początkowym blokiem danych jest wektor inicjujący IV (ang. Initialization Vector ) będący nieprzewidywalnym ciągiem binarnym [19]. Wartość tego wektora jest znana i transmitowana bez dodatkowego zabezpieczenia razem z ramką szyfrogramu. Jawność wartości IV jest niezbędna dla przeprowadzenia procesu deszyfracji (uzyskania wiadomości jawnej). Rozważmy przypadek na rysunku 2.4: należy zaszyfrować wiadomość Tekst jawny 1 używając hasła Tajny klucz 1 i dokonywać jej wielokrotnej trans- misji. W wyniku działania pierwszej transmisji algorytmu kryptograficznego otrzymujemy Szyfrogram 1(A), gdzie A jest aktualną wartością wektora inicjującego IV. Jeżeli w procesie kryptograficznym za każdym razem szyfrowany jest ten sam tekst jawny, losowa wartość IV gwarantuje powstanie za każdym razem szyfrogramu o innej wartości. Zasada ta skutecznie uniemożliwia dokonywanie ataków i stwierdzenia czy szyfrowany jest ciągle ten sam tekst.

Uzyskiwany szyfrogram jest ściśle uzależniony od algorytmu kryptograficznego, hasła oraz wartości wektora inicjującego zgodnie z rysunkiem 2.4. W przypadku kiedy wektor inicju- jący generowałby zawsze taka samą wartość lub wartość przewidywalną wówczas zachodzi możliwość dokonania ataku na hasło lub treści wiadomości przez zastosowanie technik kryp-

2.1 Podstawowe wymogi bezpieczeństwa 25

Wektor inicjuj
cy

sekwencja binarna

Szyfrogram

blok 1

Algorytm kryptogra czny

Tekst jawny

blok 1

Szyfrogram

blok 2

Algorytm kryptogra czny

Tekst jawny

blok 2

Szyfrogram

blok n

Algorytm kryptogra czny

Tekst jawny

blok n

Tajny klucz

has^o dost^pu

Wektor inicjuj
cy

sekwencja binarna

Tekst jawny

blok 1

Algorytm kryptogra czny

Szyfrogram

blok 1

Tekst jawny

blok 2

Algorytm kryptogra czny

Szyfrogram

blok 2

Tekst jawny

blok n

Algorytm kryptogra czny

Szyfrogram

blok n

Tajny klucz

has^o dost^pu

Rysunek 2.3: Znaczenie wektora inicjującego w trybach szyfrowania dla blokowych algorytmów kryptograficznych.

toanalizy. Ciągi binarne z wektorów inicjujących przechowywane są razem z szyfrogramem który zabezpieczają. Jeśli wartości wektorów inicjujących przechowywane są osobno, należy je przechowywać aż do momentu deszyfracji wiadomości. Bez znajomości wartości wektora ini- cjującego nie jest możliwe poprawne zastosowanie odwrotnego algorytmu kryptograficznego.

W kryptografii sprzętowej największą wagę przykłada się do wyboru oraz sposobu implemen- tacji samego algorytmu blokowego. Niestety problem wyboru oraz implementacji generatora wartości inicjujących traktowany jest z niższym priorytetem bezpieczeństwa. Dla zapewnienia pełnego bezpieczeństwa systemu kryptograficznego należy szczegółowo analizować oraz oce- niać układy spełniające funkcję generatorów wektorów inicjujących. Zastosowanie mocnego hasła dostępowego, silnego algorytmu kryptograficznego przy jednocześnie źle działającym generatorze wartości inicjujących naraża system bezpieczeństwa na dokonanie skutecznych ataków [19]. Hasło dostępowe w odróżnieniu od wektora inicjującego musi być traktowane

2.1 Podstawowe wymogi bezpieczeństwa 26

Tekst jawny 1 Wektor inicjuj cy (A)

sekwencja binarna

Algorytm kryptogra czny Tajny klucz 1

has o dost pu

IV(A)

Tekst jawny 1 Wektor inicjuj cy (B)

sekwencja binarna

Algorytm kryptogra czny Tajny klucz 1

has o dost pu

IV(B)

Rysunek 2.4: Zależność szyfrogramu od aktualnej wartości wektora inicjującego.

jako tajne - znane tylko nadawcy i odbiorcy. Ze względów użytkowych zmiana hasła nie jest wymagana przy każdym nowym procesie kryptograficznym.

Na rysunku 2.5 przedstawiono schemat deterministycznego algorytmu losowego w oparciu o wytyczne NIST [24]. Sygnały ze źródła entropii powinny zostać bezpośrednio przekazane do bloków inicjacji oraz ponownej inicjacji. Zadaniem funkcji inicjującej jest tworzenie danych cyfrowych ze źródła entropii przy jednoczesnym ich mieszaniu z parametrami jednorazowymi i zewnętrznymi. Zebrane dane cyfrowe przekazywane są do pamięci stanu wewnętrznego, któ- ry inicjuje działanie algorytmu pseudolosowego. Po osiągnięciu okresowości przez algorytm pseudolosowy blok stanu wewnętrznego aktywowany jest nowymi wartościami ze źródła en- tropii. Tworzona sekwencja binarna powinna zostać poddana kontroli i ocenie pod kątem poziomu losowości. Wykrycie stanu zagrożenia musi zostać zgłoszone do bloku kontroli. Blok kontroli bezpieczeństwa na rysunku. 2.5 ma za zadanie tak modyfikować wybrane parametry generatora aby wznowić jego poprawne działanie.

Kompleksowa ocena bezpieczeństwa sprzętowego generatora losowego powinna uwzględ- niać wymagania z rysunków 2.2 i 2.5. Szczegółowa wiedza dotycząca struktury danego gene- ratora pozwala na określenie na ile realne staje się zagrożenie ze strony trojanów sprzętowych.

Spełniając restrykcyjne wymogi względem testów statystycznych, poziomu entropii oraz oce- ny struktury układu nie można zagwarantować prawidłowego i bezpiecznego działania układu w miejscu jego docelowego przeznaczenia. W kontekście współczesnych ataków sprzętowych istnieje ryzyko, że oceniany układ wykazywał satysfakcjonujący poziom bezpieczeństwa tylko w fazie testów. Dokonywanie analizy podatności na działanie trojanów sprzętowych jako ge- neratorów zalążkowych jest szczególnym wyzwaniem w procesie projektowania i testowania sprzętowych układów kryptograficznych. Szczegółowa analiza możliwości zagrożeń ze strony

2.1 Podstawowe wymogi bezpieczeństwa 27

Stan wewn
trzny

Funkcja reinicjuj^ca

Funkcja formuj^ca

Binarna sewkencja losowa

Dodatkowe wejscie aktywuj^ce

Funkcja testuj^ca Stan zagro^enia

Wektor wyj^ciowy

(PRBG, IV)

Parametry dodatkowe

ród^o entropii Parametr jednorazowy

Funkcja inicjuj^ca

Rysunek 2.5: Ogólny algorytm działania deterministycznego generatora pseudolosowego.

trojanów sprzętowych odnosi się zawsze do konkretnej grupy obwodów i układów. W odnie- sieniu do obszaru pracy analiza ta zostanie przeprowadzona dla generatorów chaotycznych sekwencji binarnych.

Osobny problem stanowią prawne regulacje dla zastosowania układów kryptograficznych charakteryzujących się możliwością celowego obniżenia poziomu bezpieczeństwa. Wprowadza- nie takich regulacji prawnych w kryptografii pozwala agencjom rządowym odpowiedzialnym za bezpieczeństwo przechwytywać dane istotne dla bezpieczeństwa narodowego [34, 35]. Bio- rąc pod uwagę współczesne globalne zagrożenia, regulacje prawne mogą przyczynić się do obniżenia bezpieczeństwa kryptograficznego systemów wbudowanych na rzecz poprawy bez- pieczeństwa globalnego. Niższy poziom bezpieczeństwa będzie umożliwiał dostęp do tajnych danych wybranym agencjom posiadającym odpowiednie zaplecze techniczne i naukowe.

2.2 Komercyjne moduły kryptograficzne. 28

2.2 Komercyjne moduły kryptograficzne

Zróżnicowanie systemów bezpieczeństwa zależy od wymogów infrastruktury informatycz- nej w jakiej będą pracowały. Opracowanie generatora losowego jest procesem długotrwałym.

Ze względów ekonomicznych w rozwiązaniach komercyjnych rezygnuje się z projektowania własnych generatorów losowych na rzecz rozwiązań licencjonowanych. Biorąc pod uwagę moż- liwość wprowadzania trojanów do warstwy sprzętowej istnieje ryzyko wprowadzenia przez producenta mechanizmów umożliwiających przeprowadzenie ataku lub zapewnienia tzw. wej- ścia tylnego. Modyfikacje takie mogą zostać wprowadzane na zlecenie agencji nadzorujących producentów w sposób jawny lub niejawny. Zaleca się aby kluczowe moduły bezpieczeństwa były dostarczane przez wiarygodne podmioty. Dla strategicznych obszarów takich jak kryp- tograficzna infrastruktura wojskowa wskazane jest aby najważniejsze moduły bezpieczeństwa były wytwarzane w ośrodkach naukowych pod ścisłą kontrolą. Komercyjne moduły kryptogra- ficzne dostępne są w dwóch formach: syntezowalnych układów IPCore oraz specjalistycznych peryferyjnych urządzeń rejestrujących losowe zjawiska fizyczne. Układy IPCore dostępne są w formie kodów źródłowych języka opisu sprzętu HDL ułatwiających ich bezpośrednią in- tegrację z większym projektem systemu mikroelektronicznego [36]. Rozwiązania komercyjne z założenia miały wykazywać prostą możliwość integracji z istniejącymi urządzeniami mo- bilnymi dla których są przeznaczone. W przypadku układów IPCore jest to możliwe przez włączenie gotowego rozwiązania do własnego projektu. Podejście takie dotyczy matryc re- programowalnych oraz układów ASIC. Przy integracji komercyjnego generatora sekwencji niezbędna jest tylko znajomość jego interfejsu komunikacyjnego koniecznego do rejestrowa- nia i dalszego przesyłania binarnych sekwencji losowych. Znajomość wewnętrznej struktury generatora losowego nie jest wymagana, a ze względu na rozwiązania komercyjne może być częściowo niejawna. W przypadku komercyjnych generatorów losowych w formie zewnętrznych autonomicznych urządzeń ich integracja z urządzeniem mobilnym jest znacznie trudniejsza.

Barierę mogą stanowić ograniczenia technologiczne związane z rozmiarami urządzenia oraz specyfiką rejestrowanego zjawiska losowego. Stosując komercyjne rozwiązania kryptograficz- ne należy zawsze zachować ostrożność przy wprowadzaniu ich do newralgicznej ze względów bezpieczeństwa infrastruktury elektronicznej. W wielu przypadkach producent ogranicza się do dostarczenia dokumentacji technicznej z wyłącznie przedstawioną główną ideą generacji sekwencji losowej bez szczegółów dotyczących użytej elektroniki. Ograniczenia wynikające z braku tych informacji sprzyjają spekulacjom dotyczącym możliwości wprowadzenia niejawne- go mechanizmu w warstwie sprzętowej, który może obniżać poziom bezpieczeństwa modułu kryptograficznego.

2.3 Ograniczenia technologiczne 29

(a)

(b)

Rysunek 2.6: Komercyjne kwantowe generatory losowe firmy Quantis [37]:

(a) wersja USB oraz układ główny, (b) wersja PCI-E oraz wersja sieciowa.

Jednymi z najbardziej znanych komercyjnych generatorów są kwantowe generatory loso- we szwajcarskiej firmy Quantis IDQ (rysunek 2.6). Z poziomu użytkownika konieczne jest zapewnienie tylko komunikacji USB lub PCI-E. Główny układ generatora kwantowego posia- da znacznie większe rozmiary niż współczesne układy scalone. Tym samym jego integracja z warstwą sprzętową urządzeń mobilnych jest znacznie utrudniona. Podczas projektowania generatorów sekwencji losowych należy zapewnić możliwie jak najwięcej niezależnych źródeł entropii, które nadają się do bezpośredniej implementacji jako obwody mikroelektroniczne.

Generator kwantowy jest idealnym źródłem entropii. Niestety jego minimalizacja i zastoso- wanie jako generatora zalążkowego nie są możliwe.

2.3 Ograniczenia technologiczne

Generatory binarnych sekwencji losowych dzielą się na dwie grupy ze względu na rodzaj zjawisk na których bazują. Pierwsza grupa to zjawiska niedeterministyczne, do których zali- cza się: szumy atmosferyczne, promieniowanie kosmiczne, szumy termiczne, wybrane procesy chemiczne i zjawiska fizyczne (w tym również zjawiska kwantowe). Druga grupa obejmuje zjawiska i procesy deterministyczne, do których zaliczyć można chaos deterministyczny oraz programowe i sprzętowe algorytmy pseudolosowe. Głównym kryterium wyboru źródła loso-

2.3 Ograniczenia technologiczne 30

wości i metody realizacji jest docelowe miejsce działania i rozmiary urządzenia mobilnego.

Równie istotnym kryterium przy wyborze generatora losowego jest czas potrzebny do wyge- nerowania odpowiedniej sekwencji losowej [23]. Rejestracja ciągów losowych pochodzących z obserwacji procesu fizycznego może być procesem długotrwałym. Między różnymi źródłami o wysokiej entropii występują znaczące różnice w czasie formowania ciągu binarnego. Obecnie uznanymi za najlepsze (cechujące się największą entropią) są generatory oparte na rejestracji reakcji chemicznych, zjawisk fizycznych - w tym zjawisk kwantowych. Niestety wykorzystanie tych zjawisk do tworzenia losowych ciągów binarnych musi zachodzić w ściśle określonym śro- dowisku badawczym, które zapewnia poprawny proces akwizycji danych. Rejestracja wymaga zastosowania specjalistycznej aparatury pomiarowej i systemu transmisji. Ograniczenia tech- nologiczne dotyczące natury zjawiska uniemożliwią miniaturyzację i integrację generatorów prawdziwie losowych z układami mikroelektronicznymi [8].

Na rysunku 2.7 przedstawiono schemat formowania binarnej sekwencji losowej tworzonej z obserwacji zjawiska fizycznego. Podstawowym celem jest zapewnienie właściwych warun- ków środowiska umożliwiających przeprowadzenie pomiarów. W zależności od specyfiki zja- wiska, środowisko obserwacji może wymagać specjalistycznego laboratorium wraz z pełnym wyposażeniem pomiarowym. Konieczne są niezawodne systemy zasilania, komputerowe sys- temy przetwarzania danych, zabezpieczenia przed szkodliwym działaniem zjawiska dla osób nadzorujących (np. przy rejestracji promieniowania radioaktywnego). W obserwowanych zja- wiskach rejestrowane są sygnały ciągłe - rysunek 2.7(a). Przy użyciu odpowiedniej funkcji formującej (komparatora wartości) tworzona jest binarna sekwencja losowa. Poziom progowy w komparatorze ustalany jest tak aby uzyskać możliwie największy poziom entropii. Wartość progowa dobierana jest eksperymentalnie i może wymagać zmiany w przypadku nieoczekiwa- nych odchyleń jakie zaszły w procesie rejestracji. W generatorach prawdziwie losowych (ang.

True Random Bit Generator ) podczas formowania sekwencji binarnej powstają przedziały z nadmiarem tych samych wartości (ang. bias). Eliminacja przedziałów tych dokonywana jest przez zastosowanie ekstraktora losowości (czerwony blok na rysunku 2.7(a)). Dopiero proces ekstrakcji pozwala na zastosowanie sekwencji w systemach bezpieczeństwa zarówno w war- stwie sprzętowej jak i programowej. Proces rejestracji umożliwia tworzenie kliku sekwencji bitów przez rejestrację niezależnych sygnałów czasu ciągłego. Złożone zaplecze do obserwacji zjawiska w kontekście kryptograficznych urządzeń mobilnych nie znajduje praktycznego za- stosowania ze względu na rozmiary aparatury oraz specyfikę samego zjawiska. Uzasadnione staje się użycie innych generatorów pozwalających na ich bezpośrednią integrację z systemem wbudowanym. Uwarunkowania współczesnych cyfrowych systemów transmisji, układów za- bezpieczenia danych, wymuszają stosowanie generatorach losowych, w których ciąg losowy formowany jest stosunkowo szybko bez specjalistycznych wymagań związanych ze środowi-

2.3 Ograniczenia technologiczne 31

Ś owisko obserwacji zjawiska System bezpieczeństwa Warstwa programowa

Warstwa sprzętowa

'..0101100...'

'..0011000...'

TRBG2 TRBG1

x1(t)

x2(t)

zjawiska zyczne i chemiczne

(a)

System bezpiecze stwa Warstwa programowa

Warstwa sprzętowa

'..0101..' '..1101..'

PRBG1 PRBG2

(b)

Rysunek 2.7: Generacja ciągu prawdziwie i pseudolosowego w systemach wbudowanych.

skiem obserwacji oraz aparatury rejestracyjnej. Wymagania te wymuszają użycie generatorów pseudolosowych realizowanych jako algorytmy programowe lub sprzętowe. Sposób generacji ciągu zależy od zastosowanego algorytmu oraz częstotliwości zegara taktującego procesor.

Przy rozwiązaniach kryptograficznych zaleca się stosowanie kryptograficznie bezpiecznych generatorów pseudolosowych [19].

Stosowane podejścia algorytmiczne w generatorze pseudolosowym pozwalają na jego inte- grację bezpośrednio z wybraną architekturą sprzętową. W zależności od dostępnych zasobów sprzętowych możliwa jest realizacją kilku niezależnych generatorów. Przewaga algorytmów PRBG nad TRBG jest znacząca. Należy zwrócić uwagę, że użycie generatora PRBG nie eliminuje zagrożeń wielokrotnego użycia tej samej wartości zalążkowej. Przy implementacji sprzętowej generatora pseudolosowego problem integracji z systemem wbudowanym genera- tora wartości zalążkowych pozostaje zasadniczą kwestią bezpieczeństwa . Wielokrotne użycie tej samej wartości zalążkowej będzie przekładało się na powielenie generowania takich samych sekwencji losowych przy kolejnych cyklach pracy generatora, co może stanowić podstawę do opracowania skutecznej strategii przeprowadzania ataku sprzętowego.

Rozdział 3

Ocena bezpieczeństwa

generatorów chaotycznych

3.1 Korekcja chaotycznego ciągu bitów

W tworzonej sekwencji binarnej pochodzącej z obwodu chaotycznego jako źródła entropii mogą występować nadmiarowe przedziały z taka samą wartością bitów ’0’ lub ’1’. Powodem jest wolnozmienna dynamika zjawiska chaosu oraz czas próbkowania aparatury rejestrująco- pomiarowej [14]. Nadmiarowość wartości stwarza poważny problem bezpieczeństwa generato- rów zalążkowych stosowanych w inicjacji generatorów pseudolosowych. Problem ten dotyczy również inicjacji kryptograficznie bezpiecznych generatorów pseudolosowych. Sekwencja bi- narna utworzona z obserwacji źródła o wysokiej entropii posiadająca długie przedziały bitów tej samej wartości stwarza uzasadnione ryzyko wystąpienia sytuacji w której przedziały te zostaną ponownie użyte jako wartości inicjujące kolejne cykle pracy generatora losowego. Wie- lokrotne użycie identycznych wartości zalążkowych wywołuje generację tej samej sekwencji losowej w każdym nowym cyklu pracy generatora. Przekłada się to bezpośrednio na możliwość przeprowadzenia ataku w trybach szyfrowania.

Aby zwiększyć różnorodność w ciągu binarnym formowanym z wolnozmiennego źródła entropii konieczne jest zastosowanie jednej z metod korekcji. Najszczęśniejszej używaną w literaturze przedmiotu jest korekcja von Neumanna znana również jako ekstraktor losowo- ści [14]. W metodzie tej nadmiarowe przedziały eliminowane są zgodnie z zasadą {0, 0} :=

X, {1, 1} := X, {1, 0} := 1, {0, 1} := 0 (gdzie X oznacza brak bitu); przedstawioną na rysunku 3.1. Korektor von Neumanna bada pary bitów uformowane z obserwacji źródła entropii i na ich podstawie tworzy nowy wektor jak pokazano na rysunku 3.1. Jeśli w badanej parze zawar- te są dwa kolejne bity o tej samej wartości wówczas do nowego wektora nie zostaje dokonane

32

3.2.1 Test 0-1 do detekcji chaosu 33

Korektor von Neumanna Chaotyczny generator bitów ...0011110001001011000000011010...

Źródło entropii Binarna sekwencja chaotyczna

...01011...

Binarna sekwencja losowa Podtrzymywanie i monitorowanie

w
a^ciwo^ci chaotycznych Przej^cie mi^dzy zjawiskami

(utrata czci bitów)

Rysunek 3.1: Korekcja von Neumana wektora bitów chaotycznych.

nowe podstawienie. W przypadku wykrycia pary różnych bitów zostaje podstawiona wartość pierwszego z bitów. Algorytm korektora von Neumana może zostać zrealizowany zarówno w warstwie programowej jak i sprzętowej systemu wbudowanego. Jak wspomniano obecność korekcji bitów jest niezbędna w celu zabezpieczenia przed powtórnym wykorzystaniem tych samych wartości zalążkowych dla generatora losowego. Jak wykazano w literaturze [14] wek- tor bitów chaotycznych poddany korekcji wykazuje wysoki poziom losowości podczas analizy testami statystycznymi NIST. Należy zwrócić uwagę, że użycie korekcji bitów nie gwarantu- je zachowania bezpieczeństwa sprzętowego. Konieczne jest również stałe monitorowanie oraz ochrona integralności obwodu chaotycznego przed wrogim działaniem czynników zewnętrz- nych mogących zaburzać jego działanie. W [14] stwierdzono, że sekwencja uzyskana po proce- sie korekcji posiada różnorodne występowanie bitów 0 i 1 i może zostać bezpośrednio użyta do inicjowania generatorów pseudolosowych. W tej samej pracy nie została zbadana możliwość wpływania na generator chaotyczny tak aby zamiast sygnału chaotycznego wywołać sygnał okresowy. Problem ten został dopiero zbadany w [38]. Zastosowanie korekcji von Neumanna na regularnym ciągu bitów nie będzie gwarantowało bezpieczeństwa - nowo utworzony ciąg zo- stanie całkowicie zredukowany lub pozostanie nadal regularny. Wyniki badań z [38] pokazują, że istnieje uzasadniona konieczność opracowania nowych metod zabezpieczenia generatorów chaotycznych jako źródeł zalążkowych. Rozwiązaniem tego typu problemów bezpieczeństwa jest opracowanie nowej koncepcji generatora chaotycznego z jednoczesną adaptacją najnow- szych narzędzi matematycznych do oceny poprawności dynamiki chaotycznej.

3.2 Chaos w sekwencjach binarnych

3.2.1 Test 0-1 do detekcji chaosu

Test 0-1 do detekcji chaosu jest stosunkowo nowym aparatem matematycznym używa- nym do wykrywania dynamiki chaotycznej dla wektora wartości pochodzącego z systemu dla którego model matematyczny nie jest znany [39–41]. Wyniki reprezentowane są w postaci numerycznej (liczba rzeczywista K z przedziału [0,1]) oraz graficznej (dwuwymiarowa re- prezentacja specjalnych zmiennych dynamicznych pc i qc). W przypadku wykrycia sekwencji