Электромагнитная атака: различия между версиями

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
Интерактивная навигация по истории
[непроверенная версия][непроверенная версия]
← Предыдущая правкаСледующая правка →
Содержимое удалено Содержимое добавлено
ВизуальныйВики-текст
Строка 93: Строка 93:
== Литература ==
== Литература ==
* {{Статья|автор=Chao Luo, Yunsi Fei, David Kaeli|заглавие=Side-channel Timing Attack of RSA on a GPU|ссылка=http://delivery.acm.org/10.1145/3350000/3341729/a32-luo.pdf?ip=93.175.11.22&id=3341729&acc=OA&key=4D4702B0C3E38B35%2E4D4702B0C3E38B35%2E4D4702B0C3E38B35%2E6D218144511F3437&__acm__=1576840249_f151878206fca70745047a708a837129|язык=en|издание=3|тип=|издательство=Journal ACM Transactions on Architecture and Code Optimization (TACO)|год=2019|месяц=8|число=|том=16|номер=|страницы=1-18|doi=10.1145/3341729|ref=Chao Luo, Yunsi Fei, David Kaeli}}
* {{Статья|автор=Chao Luo, Yunsi Fei, David Kaeli|заглавие=Side-channel Timing Attack of RSA on a GPU|ссылка=http://delivery.acm.org/10.1145/3350000/3341729/a32-luo.pdf?ip=93.175.11.22&id=3341729&acc=OA&key=4D4702B0C3E38B35%2E4D4702B0C3E38B35%2E4D4702B0C3E38B35%2E6D218144511F3437&__acm__=1576840249_f151878206fca70745047a708a837129|язык=en|издание=3|тип=|издательство=Journal ACM Transactions on Architecture and Code Optimization (TACO)|год=2019|месяц=8|число=|том=16|номер=|страницы=1-18|doi=10.1145/3341729|ref=Chao Luo, Yunsi Fei, David Kaeli}}
* {{Статья|автор=François Koeune, François-Xavier Standaert|заглавие=A Tutorial on Physical Security and Side-Channel Attacks|ссылка=https://s3.amazonaws.com/academia.edu.documents/30747461/Alessandro_Aldini_Foundations_of_Security_Analy.pdf?response-content-disposition=inline%3B%20filename%3DPrivacy-preserving_database_systems.pdf&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWOWYYGZ2Y53UL3A%2F20191220%2Fus-east-1%2Fs3%2Faws4_request&X-Amz-Date=20191220T113224Z&X-Amz-Expires=3600&X-Amz-SignedHeaders=host&X-Amz-Signature=5fd1ee590c82180c74324083efdbd4cf448de67ebca6057502b72e91257e84b1#page=84|язык=en|издание=|тип=|издательство=Springer, Berlin, Heidelberg|год=2019|месяц=8|число=|том=16|номер=|страницы=78-108|doi=10.1007/11554578_3|ref=François Koeune, François-Xavier Standaert}}

Версия от 12:11, 20 декабря 2019

В криптографии электромагнитными атаками называются атаки по сторонним каналам, работающие по принципу измерения электромагнитного излучения, испускаемого устройством, с последующим анализом полученного сигнала. Целью данного вида атак является захват ключей шифрования. Электромагнитные атаки обычно неинвазивны и пассивны, что означает, что эти атаки могут быть выполнены без физического ущерба для целевого устройства или его нормального функционирования. Однако более качественный сигнал с меньшим количеством шумов может быть получен злоумышленником именно путем распаковывания чипа и получения сигнала на более близких расстояниях от источника. Электромагнитные атаки эффективны против криптографических реализаций, которые выполняют различные операции на основе данных, обрабатываемых в настоящем времени, например, алгоритм быстрого возведения в степень в алгоритме RSA. Различные операции испускают различное количество излучения, таким образом электромагнитный след шифрования может точно указать выполняемые операции, позволяя злоумышленнику полностью или частично получить закрытый ключ.

Как многие другие атаки по сторонним каналам, электромагнитные атаки зависят от конкретной реализации криптографического протокола, а не от самого алгоритма. Довольно часто электромагнитные атаки выполняются в сочетании с другими атаками по сторонним каналам, такими как, например, атака по энергопотреблению.

Предпосылки

Электромагнитное излучение

Электромагнитные волны представляют собой излучение, порождённое электрическими зарядами и их движением. Данный тип волн характеризуется таким параметром как длина волны. Любой электрический прибор, испускает электромагнитное излучение за счет магнитного поля. Таким образом, когда компьютер выполняет вычисления, такие как, например, шифрование, электричество, проходящее через транзисторы электронных схем, создает магнитное поле, что приводит к возникновению электромагнитных волн[1][2][3].

Электромагнитные волны могут быть обнаружены с помощью индукционной катушки, после чего для дальнейшей обработки компьютером, волны оцифровываются аналого-цифровым преобразователем с заданной тактовой частотой.

Индукционная катушка

Электронное устройство, выполняющее вычисления, синхронизируется с тактовыми импульсами, которые работают на частотах порядка от мегагерц (МГц) до гигагерц (ГГц). Однако из-за аппаратной конвейерной обработки и сложности некоторых команд выполнение определенных операций требует несколько тактов[4]. Следовательно, частоты, на которых выполняются эти операции в разы ниже. Это означает, что не всегда необходимо оцифровывать сигнал с частотой тактовых импульсов. Часто можно получить информацию обо всех или большинстве операций выделяя сигналы с частотой порядка килогерц (кГц).

Разные устройства излучают информацию на разных частотах. Например, процессор Intel Atom будет пропускать ключи во время шифрования RSA и AES на частотах от 50 МГц до 85 МГц[5]. Реализация ECDSA в библиотеке Bouncy Castle для Android версии 4.4 уязвима к атакам по сторонним каналам извлечения ключей в диапазоне 50 кГц[6].

Обработка сигнала

Спектрограмма, показывающая шифрование и дешифрование RSA. Эти две функции показаны в виде толстых фиолетовых линий на графике, так как они сконцентрированы в небольшом частотном диапазоне с очень высокой амплитудой по сравнению с окружающим шумом.

Как было упомянуто ранее, каждая операция, выполняемая компьютером, испускает электромагнитное излучение. Более того различные операции излучают на разных частотах. В случае электромагнитных атак по сторонним каналам злоумышленника интересуют только те несколько частот, на которых происходит шифрование. Задача обработки сигналов состоит в том, чтобы изолировать эти частоты от посторонних излучений и шумов. Для выделения сигналов в заданном диапазоне частот применяется полосовой фильтр. Иногда злоумышленник не знает, на каких частотах выполняется шифрование. В таком случае электромагнитный след может быть представлена в виде спектрограммы, которая должна помочь определить, какие частоты наиболее часто используются в разные моменты исполнения. Так же в зависимости от атакуемого устройства и уровня шума могут потребоваться применение нескольких фильтров.

Методы атаки

Электромагнитные атаки могут быть разделены на: атаки простого электромагнитного анализа (simple electromagnetic analysis - SEMA ) и атаки дифференциального электромагнитного анализа (differential electromagnetic analysis - DEMA).

Простой электромагнитный анализ

При атаках использующих простой электромагнитный анализ, злоумышленник получает ключ непосредственно из электромагнитного следа. Такой подход очень эффективен против реализаций асимметричной криптографии[7]. Как правило, требуется всего несколько электромагнитных следов, однако злоумышленнику необходимо иметь четкое представление о криптографическом устройстве и о реализации криптографического алгоритма. Реализации, уязвимые к атакам на основе простого электромагнитного анализа, выполняют различные операции в зависимости от того, равен ли бит ключа 0 или 1. Более того различные операции будут использовать различное количество энергии и/или разные компоненты чипа. Таким образом, злоумышленник может наблюдать за всеми вычислениями шифрования, что позволит ему воссоздать ключ. Этот метод распространен во множестве различных типах атак по сторонним каналам, в частности, при атаках с анализом мощности.

К примеру, обычная атака на асимметричный RSA основана на том, что этапы шифрования зависят от значения битов ключа. Каждый бит обрабатывается операцией возведения в квадрат, а затем операцией умножения, если (и только если) бит равен 1[8].

Дифференциальный электромагнитный анализ

В некоторых случаях простой электромагнитный анализ (SEMA) невозможен или не дает достаточно информации. Атаки дифференциального электромагнитного анализа (DEMA) являются более сложными, но также более эффективными в случае реализации симметричной криптографии, в то время как атаки SEMA неприменимы[5]. Более того, в отличие от SEMA, DEMA-атаки не требуют большого количества информации об устройстве, на которое совершается атака.

Известные атаки

Несмотря на то, что с 1982 АНБ знало о том, что через схемы, излучающие высокочастотные сигналы, может происходить утечка секретной информации, этот факт был засекречен до 2000 года[9]. Примерно в это же время исследователи продемонстрировали первую электромагнитную атаку на алгоритмы шифрования[10]. С тех пор было представлены множество ещё более сложных атак.

Устройства

В этом разделе будут рассмотрена эффективность атак, обсуждаемых в данной статье, на различных устройствах.

Смарт-карты

Smart card pinout

Смарт-карты были разработаны с целью обеспечения более безопасной финансовой транзакции по сравнению с традиционными кредитными картами. Они содержат простые встроенные интегральные схемы, предназначенные для выполнения криптографических функций[11]. Эти карты подключаются непосредственно к устройству чтения (кардридер), которое обеспечивает необходимую для выполнения зашифрованной финансовой транзакции мощность. Было продемонстрировано, что многие атаки по сторонним каналам эффективны против смарт-карт, так как эти карты получают питание и тактовую частоту непосредственно от устройства чтения. Таким образом, "вмешавшись" в работу кардридера, можно легко получить электромагнитные следы, а значит организовать атаку по сторонним каналам. Впрочем, другие работы показали, что и сами смарт-карты также уязвимы для электромагнитных атак[12][13][14].

ППВМ

Программируемая пользователем вентильная матрица (ППВМ), как правило, используется в реализации аппаратных криптографических примитивов для увеличения скорости. Такие реализации так же уязвимы, как и другие программные примитивы. Например, в 2005 году реализация шифрования асимметричной криптосистемы, основанной на эллиптических кривых, оказалась уязвимой для атак SEMA и DEMA[15]. Также, примером может служить блочный шифр ARIA - стандартный, реализованный с помощью ППВМ, примитив, который допускает утечку информации связанной с ключами[16].

Персональные компьютеры

В отличие от смарт-карт, которые являются простыми устройствами, выполняющими одну функцию, персональные компьютеры выполняют одновременно много задач. Следствием этого является тот факт, что из-за высокого уровня шума и высокой тактовой частоты выполнять электромагнитные атаки по сторонним каналам становится гораздо труднее. Несмотря на это, исследователями в 2015 и 2016 годах были продемонстрированы атаки, использующие технологию NFC. Данная атака была спроектирована для ноутбука. Полученный сигнал, наблюдаемый в течение нескольких секунд, был отфильтрован, усилен и оцифрован для извлечения автономного ключа. Для большинства подобных атак требуется дорогое лабораторное оборудование, более того злоумышленник должен находиться очень близко к компьютеру жертвы[17][18]. Однако, некоторые исследователи смогли продемонстрировать атаки с использованием более дешевого оборудования с расстояния до полуметра[19]. Однако эти атаки, все же, требовали сбора большего количества следов, чем атаки, использующие более дорогое оборудование.

Смартфоны

В настоящее время смартфоны представляют особый интерес для электромагнитных атак по сторонним каналам. С того момента, как появились мобильные платежные системы, такие как Apple Pay, системы электронной коммерции становятся все более популярным явлением. Кроме того, объем исследований, посвященных атакам по сторонним каналам безопасности мобильных телефонов, также увеличился[20]. В настоящее время большинство атак представляют собой по сути ту же концепцию, в которой используется дорогостоящее оборудование для обработки сигналов[21]. Результатом, полученным в ходе одной из этих атак, был тот факт, что коммерческий радиоприемник может обнаружить утечку данных с мобильного телефона на расстоянии до трех метров[22].

Тем не менее, атаки с использованием низкокачественного потребительского оборудования также оказались успешными. Используя внешнюю звуковую карту USB, извлеченную из станции беспроводной зарядки, исследователи смогли восстановить ключ подписи пользователя в ECDSA реализациях Android OpenSSL и Apple CommonCrypto[20][21][22] .

Примеры уязвимых схем шифрования

Широко используемые теоретические схемы шифрования являются математически защищенными, однако этот тип защиты не учитывает их физическую реализацию и, следовательно, не обязательно защищает от атак по сторонним каналам. К счастью, многие из следующих уязвимостей были исправлены. Однако, стоит понимать, что не все проблемы ограничиваются представленным далее списком:

  • Libgcrypt - криптографическая библиотека GnuPG, реализация алгоритма шифрования с открытым ключом ECDH (с момента исправления)[18];
  • GnuPG реализация 4096-битного RSA (с момента исправления)[17][19];
  • GnuPG реализация 3072-битного ElGamal (с момента исправления)[17][19];
  • GMP реализация 1024-битного RS[5];
  • OpenSSL реализация of 1024-bit RSA[5].

Выполнимость

Все атаки, рассмотренные ранее, опирались на использование индукции для обнаружения непреднамеренного излучения. Тем не менее, технологии связи на дальних расстояниях (таких как AM-радиостанции) также могут быть использованы для атак по сторонним каналам. Однако, стоит отметить, что ни одного метода для извлечения сигнала на дальнем расстоянии не было продемонстрировано[23].

Мобильные платежные системы

Точки систем продаж, принимающие платежи с мобильных телефонов или смарт-карт, уязвимы. В таких системах могут быть спрятаны индукционные катушки, что позволит злоумышленнику записать финансовые транзакций со смарт-карт или платежи с мобильных телефонов. После извлечения записанной информации злоумышленник может подделать карту или совершить мошеннические платежи с помощью закрытого ключа. Был предложен сценарий, в котором мобильные платежи осуществляются с помощью биткойн-транзакций. Однако, поскольку в реализации биткойн-клиента для Android используется ECDSA, ключ подписи может быть извлечен в точке продажи[6]. Организовать такую атаку будет чуть сложнее, чем использовать скиммеры магнитной полосы, которые в настоящее время популярны при работе с традиционными карточками.

Контрмеры

Было предложено несколько контрмер против электромагнитных атак. Однако единого идеального решения пока не существует. Многие из следующих вариантов контрмер усложняют проведение электромагнитных атак, но не предотвращают их полностью.

Физические контрмеры

Один из наиболее эффективных способов предотвращения электромагнитных атак заключается в том, чтобы затруднить злоумышленнику сбор электромагнитного сигнала на физическом уровне. Например, посредством уменьшения уровня сигнала или защиты чипа[24].

Для снижения и фильтрации сигнала, а также создания посторонних шумов, маскирующих сигнал, эффективной мерой является экранирование цепей и проводов, например, клетка Фарадея.

Кроме того, большинство электромагнитных атак требуют, чтобы атакующее оборудование было очень близко к цели, поэтому расстояние является эффективной контрмерой.

Контрмеры на реализации

Поскольку многие электромагнитные атаки, особенно атаки SEMA, полагаются на асимметричные реализации криптографических алгоритмов, эффективной контрмерой является гарантия, что операция, выполняемая на определенном шаге алгоритма, не дает информацию о значении текущего бита. Рандомизация порядка битового шифрования, прерывания процесса и тактового цикла - все это эффективные способы затруднить осуществление атак[25].

Применение

  • Секретная программа Агентства национальной безопасности TEMPEST фокусируется как на слежке за системами, наблюдая электромагнитное излучение, так и на оборудовании для защиты от таких атак[26].
  • Федеральная комиссия по связи излагает правила, регулирующие непреднамеренные выбросы электронных устройств, в части 15 Кодекса Федеральных правил, раздел 47. Федеральная комиссия связи США не предоставляет сертификат о том, что устройства не производят избыточные выбросы, а вместо этого полагается на процедуру самопроверки[27].

Примечания

  1. Harada T., Sasaki H., Yoshio K. A. Investigation on radiated emission characteristics of multilayer printed circuit boards (англ.) // IEICE Transactions on Communications : journal. — 1997. — Vol. 80, no. 11. — P. 1645—1651.
  2. Soft tempest: Hidden data transmission using electromagnetic emanations. — April 1998. — Vol. 1525. — P. 124–142. — ISBN 978-3-540-65386-8. — doi:10.1007/3-540-49380-8_10.
  3. Messerges T. S., Dabbish E. A., Sloan R. H. Investigations of Power Analysis Attacks on Smartcards (англ.) // Smartcard : journal. — 1999. — P. 151—161.
  4. Electromagnetic analysis: Concrete results. — May 2001. — Vol. 2162. — P. 251–261. — ISBN 978-3-540-42521-2. — doi:10.1007/3-540-44709-1_21.
  5. 1 2 3 4 Do A., Ko S. T., Htet A. T. Electromagnetic Side-Channel Analysis on the Intel Atom Processor: A Major Qualifying Project Report (англ.) : journal. — Worcester Polytechnic Institute, 2013. — 15 April.
  6. 1 2 Side-channel analysis of Weierstrass and Koblitz curve ECDSA on Android smartphones. — 2016. — Vol. 9610. — P. 236–252. — ISBN 978-3-319-29484-1. — doi:10.1007/978-3-319-29485-8_14.
  7. Martinasek Z., Zeman V., Trasy K. Simple electromagnetic analysis in cryptography (неопр.) // International Journal of Advances in Telecommunications, Electrotechnics, Signals and Systems. — 2012. — Т. 1, № 1. — С. 13—19.
  8. Chao Luo, Yunsi Fei, David Kaeli, 2019, p. 4-5.
  9. NACSIM 5000 Tempest Fundamentals (Report). National Security Agency. February 1982.
  10. Quisquater J. J. A new tool for non-intrusive analysis of smart cards based on electro-magnetic emissions: the SEMA and DEMA methods (англ.) // Eurocrypt Rump Session : journal. — 2000.
  11. Smart Card FAQ: How do Smart Cards Work. Smart Card Alliance.
  12. On a new way to read data from memory. — December 2002. — P. 65–69. — ISBN 978-0-7695-1888-6. — doi:10.1109/SISW.2002.1183512.
  13. Electromagnetic analysis (ema): Measures and counter-measures for smart cards. — 2001. — Vol. 2140. — P. 200–210. — ISBN 978-3-540-42610-3. — doi:10.1007/3-540-45418-7_17.
  14. The EM side-channel(s). — 2002. — Vol. 2523. — P. 29–45. — ISBN 978-3-540-00409-7. — doi:10.1007/3-540-36400-5_4.
  15. Electromagnetic analysis attack on an FPGA implementation of an elliptic curve cryptosystem. — November 2005. — Vol. 2. — P. 1879–1882. — ISBN 978-1-4244-0049-2. — doi:10.1109/EURCON.2005.1630348.
  16. Kim C., Schläffer M., Moon S. Differential side channel analysis attacks on FPGA implementations of ARIA (англ.) // ETRI Journal : journal. — 2008. — Vol. 30, no. 2. — P. 315—325. — doi:10.4218/etrij.08.0107.0167.
  17. 1 2 3 Genkin D., Pipman I., Tromer E. Get your hands off my laptop: Physical side-channel key-extraction attacks on PCs (англ.) // Journal of Cryptographic Engineering : journal. — 2015. — Vol. 5, no. 2. — P. 95—112. — doi:10.1007/s13389-015-0100-7.
  18. 1 2 ECDH key-extraction via low-bandwidth electromagnetic attacks on PCs. — 2016. — Vol. 9610. — P. 219–235. — ISBN 978-3-319-29484-1. — doi:10.1007/978-3-319-29485-8_13.
  19. 1 2 3 Stealing keys from PCs using a radio: Cheap electromagnetic attacks on windowed exponentiation. — 2015. — Vol. 9293. — P. 207–228. — ISBN 978-3-662-48323-7. — doi:10.1007/978-3-662-48324-4_11.
  20. 1 2 Kenworthy G., Rohatgi P. Mobile Device Security: The case for side channel resistance (англ.) : journal. — 2012.
  21. 1 2 Genkin D., Pachmanov L., Pipman I., Tromer E., Yarom Y. ECDSA Key Extraction from Mobile Devices via Nonintrusive Physical Side Channels (англ.) : journal. — 2016.
  22. 1 2 Side Channel Attacks on Smartphones and Embedded Devices Using Standard Radio Equipment. — 2015. — Vol. 9064. — P. 255–270. — ISBN 978-3-319-21475-7. — doi:10.1007/978-3-319-21476-4_17.
  23. Characterization of the electromagnetic side channel in frequency domain. — October 2010. — Vol. 6584. — P. 471–486. — ISBN 978-3-642-21517-9. — doi:10.1007/978-3-642-21518-6_33.
  24. Zhou Y., Feng D. Side-Channel Attacks: Ten Years After Its Publication and the Impacts on Cryptographic Module Security Testing (англ.) // IACR Cryptology ePrint Archive : journal. — 2005. — P. 388.
  25. Ошибка в сносках?: Неверный тег <ref>; для сносок :1 не указан текст
  26. TEMPEST Documents.
  27. FCC Rule Part 15b. FCC certification.

Литература

Источник — https://ru.wikipedia.org/w/index.php?title=Электромагнитная_атака&oldid=104040621