ATAQUES SCA (SIDE CHANNEL ATACKS) A IMPLEMENTACIONES DE CIFRADORES EN HARDWARE.

Héctor Bretón GonzálezMaestría en Ciencias en Ingeniería de

CómputoDirector de tesis: Dr. Moisés Salinas Rosales

Introducción

Hoy en día los sistemas criptográficos en hardware están sujetos al riesgo de emitir energía que divulgue información.

La información divulgada se puede obtener por medio de análisis de consumo de energía, emisión de patrones térmicos, observación de tiempo de señales y variaciones de voltaje en los bornes, etc.

Los ataques que buscan obtener la información de esta manera se les conoce como SCA (Side Channel Attacks)

Antecedentes

Criptografía: busca ocultar información de agentes distintos al emisor y al receptor.

Los primeros ataques criptográficos se basan en tratar de desencriptar el mensaje o buscar el valor de la llave teniendo el mensaje cifrado y sin cifrar.

2 tipos de criptografía: Simétrica Asimétrica

Antecedentes

Se ha visto que a veces es más fácil extraer la información por medios físicos, para facilitar posteriormente el análisis.

Los ataques SCA se basan en buscar obtener la información de canal lateral.

• La información de canal lateral es aquella que puede ser obtenida de un dispositivo criptográfico que no es ni el mensaje en texto plano, ni el mensaje ya encriptado.

Estado del arte

Los ataques SCA comenzaron a ser estudiados por investigadores entre 1996 y 1999 [4].

Las técnicas de ataque más perjudiciales son aquellas que resulten económicas y fáciles y que exploten las fugas de información más sencillas.

Tipos de ataque SCA

Invasivos y no invasivos: Requieren el desempaquetado del chip o tener acceso directo al interior de los componentes. Una técnica no invasiva ataca solamente la información externa disponible como pueden ser los ataques de tiempo y consumo de potencia que se detallarán más adelante.

Activos y pasivos: Tratan con el funcionamiento adecuado del dispositivo, es decir, inducen el malfuncionamiento del dispositivo para inducir errores y ver el comportamiento en los resultados. Las pasivas son aquellas que no alteran el funcionamiento del dispositivo.

Ataques de tiempo SCA

Se basan en medir el tiempo que toma el realizar alguna operación. La medición del tiempo es sobre todo útil en sistemas de criptografía asimétricos.

Criptoanálisis de un Exponencial modular simple: Se usa para métodos como RSA y Diffie-Hellman, basados en computar R=yxmod n, esta operación es variante en tiempo dependiendo de los valores de “y”, “x” y “n”

Ataques de tiempo SCA

Ataque de CRT (Chinese Remainder Theorem): Este método reduce el tiempo de las funciones exponenciales en RSA, haciendo reducciones previas para hacer los cálculos y las ocupa después, el tiempo ocupado cambia en función del mensaje grandemente.

Criptoanálisis de tiempo del Estándar de Firma Digital. Se fuga información dado que el tiempo de ejecución crece si los bits más significativos de la llave son “1”.

Ataques de potencia SCA

Ataque de análisis de potencia simples. Se basan principalmente en observar la representación de la potencia de una unidad cuando se realiza la operación de encriptación.

Ataque de análisis de potencia diferencial: Consiste no solo de la visualización, si no de un análisis estadística con corrección de error, para obtener información acerca de las llaves.

Ataques de potencia SCA

Análisis de potencia diferencial de fallas:

Se induce una falla en el sistema por medio de aplicarle un voltaje diferente al requerido y se ve el funcionamiento del sistema con el mismo valor de entrada después de aplicarle una falla

Problemática

Para prevenir este tipo de escenarios es necesario considerar en el diseño de hardware un conjunto de controles y estrategias de diseño que minimicen las emanaciones de energía no deseadas. En este escenario se requiere contar por ende con una batería de pruebas encaminadas a SCA contra las cuales el diseñador pueda validar su trabajo en términos del diseño seguro.

Justificación

Se requiere una forma de probar eficientemente que los sistemas criptográficos sean realmente seguros y no sólo que usen un método de encripción seguro, para ello se propone la unificación de varias de las técnicas de SCA más efectivas y menos costosas en la creación de una batería de pruebas de ataques SCA.

Solución a este tipo de problemas en la actualidad

Las soluciones se encuentran en el diseño del hardware. Sin embargo, se requiere probar que no existen fugas de información útiles para el atacante.Las soluciones más comunes en el diseño son:

Hacer el cifrado dos veces Implementación de nuevos estilos de diseño

de hardware tecnológico Cambios en el protocolo

Solución a este tipo de problemas en la actualidad

Las soluciones más comunes en el diseño son:

Cálculos independientes de los datos. Evitar el salto condicional. Permitir algoritmos modificados. Igualación de tiempo de las multiplicaciones y

acciones exponenciales Balanceo de consumo de energía Reducción del tamaño de la señal Agregar ruido Agregar un escudo físico

Posibles inconvenientes en el trabajo

Existe la posibilidad de que no se tengan suficientes implementaciones criptográficas en hardware para tener un buen muestreo.

Las técnicas más complejas de ataque suelen ser las más costosas, por lo que posiblemente estas técnicas no se puedan implementar en la batería, tales como técnicas de visualización térmica.

Trabajo y contribuciones esperadas

Como producto principal de este trabajo se hará la construcción de una batería de pruebas para detección de implementaciones no deseadas en implementaciones criptográficas que se desarrollen dentro de los trabajos del CIC.

Objetivo general del trabajo

Diseñar una batería de pruebas para realizar ataques SCA de tiempo, voltaje y consumo de energía para identificar las vulnerabilidades en términos de las emanaciones no deseadas de los desarrollos criptográficos en hardware.

Objetivos específicos del trabajo

Identificar y seleccionar las técnicas de ataque de tiempo, voltaje y consumo de energía.

Diseñar un escenario de pruebas para la realización de los ataques.

Diseñar la batería de pruebas con base en un escenario modelo.

Evaluar el funcionamiento de la batería de pruebas con desarrollos criptográficos de hardware de terceros.

Documentar y reportar los resultados obtenidos.

Índice tentativo de la tesis

Introducción. Planteamiento del Problema Justificación Objetivo General y Objetivos Específicos Estado del Arte Marco Teórico Diseño e Implementación Pruebas y Resultados Conclusiones y Recomendaciones Anexos Bibliografía

Plan de trabajoConsecutivo

Actividades o acciones a desarrollar

Productos Esperados

  1  

Investigación acerca de los métodos criptográficos, los

principales ataques existentes y las implementaciones

hechas a la fecha para evitar los ataques.

Estado del arte, selección de los

algoritmos a utilizar.

  2

Análisis de los diversos tipos de hardware con los que se va

a probar.

Informe del diseño de escenario de

pruebas

  3

Conjuntar las pruebas hechas para los diversos tipos de

hardware.

Informe del diseño de la batería de

pruebas

 4

Implementación de la batería de pruebas

Batería de pruebas

Plan de trabajo

Consecutivo

Actividades o acciones a desarrollar

Productos Esperados

 5 

Implementación de las pruebas sobre el hardware.

Documentación y resultados sobre

las pruebas. Documentación

acerca de la utilidad de la

batería.Artículo.

6 

Cambios en la batería de pruebas

Batería de pruebas mejorada

7 Integración de resultados Tesis

Recursos a utilizar

Osciloscopio Digital con memoria, Frecuenciómetro, Analizador de estados lógicos Implementaciones en hardware de

algoritmos criptográficos Estación de trabajo (computadora) Acceso a publicaciones especializadas Estación de trabajo de laboratorio

(espacio)

Comité tutorial

Dr. Moisés Salinas Rosales Dr. Raúl Acosta Bermejo Dr. Rolando Menchaca Méndez Dr. Marco Antonio Ramírez Salinas

MateriasPrimer Semestre1. Arquitectura de computadoras2. Programación de sistemas3. Teoría de autómatas4. Métodos matemáticos5. Seminario

Segundo Semestre1. Informática Forense2. Temas Selectos de Computación I (Seguridad de la información)3. Lenguajes de descripción de hardware4. Seminario II5. Tema de tesis

Tercer Semestre1. Hardware Criptográfico 2. Temas Selectos de Computación II (Introducción a la Criptografía)3. Temas Selectos de Computación III (Implementación de hardware para el FIPS140)4. Seminario II5. Tema de tesis

Cuarto Semestre1. Tema de tesis

Fuentes de información

[1] Hagai Bar-El, “Introduction to Side Channel Attacks”, Discretix, Israel.

[2] Standaert, François-Xavier, “Introduction to Side-Channel Attacks”, 2007, UCL Crypto Group, Louvain-la-Neuve, Bélgica

[3] Jean-Jacques Quisquater, “Side Channel Attacks, State of the art”, Math RiZK, consulting, Oct 2002.

[4]Adi Shamir, “A top view of Side Channel Attacks”, presentation, Computer Science Dept. The Weizmann Institute, Israel