Đang tải... (xem toàn văn)
Tấn công phân tích năng lượng thực hiện lên giá trị trung gian của thuật toán mật mã để tìm khóa bí mật. Với việc sử dụng các giá trị ngẫu nhiên để che giá trị trung gian, làm cho năng lượng tiêu thụ của thiết bị độc lập với giá trị trung gian của thuật toán, masking (mặt nạ) là một giải pháp hữu hiệu để chống loại tấn công này. Bài viết trình bày phương pháp mặt nạ cho thuật toán AES chống tấn công DPA.
Nghiên cứu khoa học công nghệ MỘT GIẢI PHÁP CHỐNG TẤN CƠNG DPA HIỆU QUẢ Nguyễn Thanh Tùng* Tóm tắt: Tấn cơng phân tích lượng thực lên giá trị trung gian thuật tốn mật mã để tìm khóa bí mật Với việc sử dụng giá trị ngẫu nhiên để che giá trị trung gian, làm cho lượng tiêu thụ thiết bị độc lập với giá trị trung gian thuật toán, masking (mặt nạ) giải pháp hữu hiệu để chống loại cơng Bài báo trình bày phương pháp mặt nạ cho thuật tốn AES chống cơng DPA Từ khóa: Tấn công DPA, AES, Mặt nạ ĐẶT VẤN ĐỀ Trong năm gần đây, việc phân tích thuật tốn mật mã để khai phá thơng tin bí mật qua kênh kề ngày quan tâm đầu tư nghiên cứu Nhiều kỹ thuật công kênh kề lên thiết bị mật mã nghiên cứu, giới thiệu Những dạng cơng kênh kề điển hình kể đến cơng phân tích timming, cơng phân tích lỗi, cơng phân tích điện - từ trường, cơng phân tích âm thanh, cơng phân tích nhiệt độ cơng phân tích lượng Tấn cơng phân tích lượng loại công kênh kề không xâm lấn Kẻ công thực khai thác lượng thiết bị mật mã để tìm khóa mã Quy trình cơng thực việc đo phân tích tiêu thụ lượng khơng cần chi phí lớn đặc biệt hiệu [1], [2], [10] Các thiết bị mật mã đối mặt với cơng phân tích lượng thường không bị hư hại tham số khơng bị thay đổi nên khó nhận biết thiết bị bị công Tấn công phân tích lượng chia thành hai loại: Tấn cơng phân tích lượng đơn giản (Simple Power Analysis – SPA) cơng phân tích lượngvi sai (Difference Power Analysis –DPA) [10] Kỹ thuật công SPA khai thác mối quan hệ lệnh thực hình dáng vết tiêu thụ lượng Việc phân tích thực trục thời gian Tấn cơng DPA khai thác mối quan hệ liệu xử lý lượng tiêu thụ, dùng kỹ thuật thống kê, so sánh để tìm khóa bí mật thuật toán Trước thực tế khả cơng phân tích lượng tiêu thụ lên thiết bị mã hóa, có số nghiên cứu giải pháp chống công, tập trung vào phương pháp ẩn, mặt nạ… Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An tồn Thơng tin, 05 - 2017 33 Cơng nghệ thơng tin Mục đích Ẩn loại bỏ tương quan lượng tiêu thụ giá trị trung gian thuật toán qua việc ngẫu nhiên hóa san để thiết bị tiêu thụ mức lượng chu kỳ hoạt động Có thể thực Ẩn việc chèn thêm xáo trộn thứ tự hoạt động phép biến đổi thuật toán Mặt nạ phương pháp chống cơng với mục đích làm cho lượng tiêu thụ độc lập (kể liệu phụ thuộc vào lượng tiêu thụ thiết bị) Kỹ thuật mặt nạ sử dụng giá trị ngẫu nhiên để che giá trị trung gian thuật toán mật mã Mặt nạ phải che tất giá trị trung gian thuật toán suốt thời gian thực giá trị trung gian tức thời tính dựa giá trị trung gian trước TẤN CƠNG DPA LÊN AES Tấn cơng DPA xác định khóa bí mật thiết bị mật mã dựa vết lượng ghi thiết bị thực mã hóa giải mã khối liệu khác Tấn cơng DPA phân tích tiêu thụ lượng thời điểm hoạt động thuật tốn có liên quan đến khóa mã 2.1 Thuật tốn AES AES thuật tốn mã hóa tiên tiến sử dụng rộng rãi nhiều lĩnh vực an ninh quốc gia, truyền thơng, tài chính, ngân hàng… Cipher_Key AddRoundKey Sub_Key SubBytes ShiftRows MixColumns PlainText Cipher text AddRoundKey ShiftRow SubBytes Final_Key Hình Luồng biến đổi thuật tốn AES AES [12] có cấu trúc dạng SPN, xử lý với kích cỡ khối 128 bit, với kích thước khóa 128, 192 hay 256 bit Hoạt động thuật toán sau: Tại thời điểm bắt 34 Nguyễn Thanh Tùng, “Một giải pháp chống công DPA hiệu quả.” Nghiên cứu khoa học cơng nghệ đầu phép mã hóa, liệu rõ đầu vào ghi vào mảng trạng thái Sau phép cộng khóa vòng khởi đầu, mảng trạng thái biến đổi cách thực thi hàm vòng liên tiếp với phép biến đổi AddRoundKey (), SubByte (), ShiftRow (), MixColumn () với số lần vòng lặp 10, 12 14 (phụ thuộc vào độ dài khóa 128, 192 hay 256 bit), tất vòng lược đồ mã hóa giống nhau, trừ vòng cuốicùng khơng có phép biến đổi MixColumns() Trạng thái cuối chuyển thành đầu (bản mã) Luồng biến đổi thuật tốn AES biểu diễn hình 2.2 Tấn công DPA lên AES a Kỹ thuật công Tấn công DPA lên AES thực theo chiến thuật bao gồm bước Bước 1: Bước công DPA lựa chọn, xác định vị trí cơng Đối với thuật tốn AES chọn vị trí cơng đầu Sbox vòng (giá trị trung gian phụ thuộc vào khóa mã) Bước 2: Đo lượng tiêu thụ thiết bị mật mã mã hóa liệu xây dựng thành ma trận lượng tiêu thụ Bước 3: Tính giá trị trung gian giả định thiết bị thực thuật tốn với khóa giả thiết Bước 4: Ánh xạ giá trị trung gian giả định thành lượng tiêu thụ giả định Bước 5: So sánh giá trị điện tiêu thụ giả định giá trị lượng thu được, đánh giá kết kết luận khóa bí mật tìm b Thực nghiệm cơng DPA lên AES -128 Mơ hình thực nghiệm gồm Smartcard, nhận liệu từ máy tính, mã hóa thuật tốn AES trả lại kết máy tính Tần số clock 11.0592MHz, nguồn điện 5V, cổng giao tiếp RS-232 Để đo lượng tiêu thụ vi xử lý ta nối tiếp điện trở 1Ω đường đất Điện áp rơi điện trở phản ánh lượng tiêu thụ vi xử lý, đo digital oscilloscope có băng thông đầu vào 1GHz, độ phân giải bits Sử dụng tín hiệu DTR để trigger oscilloscope Tốc độ trích mẫu 250MS/s Vết lượng tiêu thụ oscilloscope ghi lại truyền sang máy tính để phân tích Cho smartcard mã hóa với 256 khóa giả thiết Dùng hệ số tương quan để xác định khóa Quan sát cho thấy khóa giả thiết 233 có tương quan lớn (khoảng 0.7 - hình 2), thể đỉnh nhơ lên biểu Tạp chí Nghiên cứu KH&CN qn sự, Số Đặc san An tồn Thơng tin, 05 - 2017 35 Công nghệ thông tin đồ vi sai ứng với khóa giả thiết 233 (các khóa khác khơng có đỉnh nhơ lên) Vì vậy, xác định khóa giả thiết 233 khóa thuật tốn Hình Biểu đồ vi sai ứng với hai khóa giả thiết k =233 k=234 Tấn công DPA thực lượng tiêu thụ thiết bị mật mã phụ thuộc vào giá trị trung gian thiết bị xử lý Các nghiên cứu chứng minh cơng DPA thành cơng lên thuật tốn AES Smartcard với chi phí thời gian hợp lý [1], [2] ĐỀ XUẤT GIẢI PHÁP MẶT NẠ CHO AES Như phân tích trên, với khả ngày cao, đa dạng mã thám, yêu cầu thuật toán mật mã phải thực thi giải pháp phòng chống Để chống cơng DPA lên AES phải làm cho lượng tiêu thụ thiết bị độc lập với giá trị trung gian Bài báo trình bày lý thuyết đề xuất thực giải pháp mặt nạ cho AES Smartcard 3.1 Tổng quan mặt nạ Mặt nạ thực che giá trị v giá trị mặt nạ m theo công thức: v m= v * m (1) Mặt nạ Boolean: Thực che giá trị trung gian v giá trị m với phép Xor: vm v m (2) Mặt nạ toán học: Thực che giá trị trung gian vbằng giá trị ngẫu nhiên m qua phép toán (cộng nhân modular): Phép cộng modular: vm v m (mod n) Phép nhân modular: vm v m (mod n) Modular n tính theo moduler thuật tốn mật mã 36 Nguyễn Thanh Tùng, “Một giải pháp chống công DPA hiệu quả.” Nghiên cứu khoa học công nghệ 3.2 Đề xuất sơ đồ mặt nạ cho thuật toán AES Để chống công DPA lên AES phải thực mặt nạ đầy đủ (che hết giá trị trung gian), báo trình bày sơ đồ mặt nạ đầy đủ cho tất phép biến đổi thuật toán AES – 128 (hình 3) a Mặt nạ cho phép biến đổi vòng AES AddRoundKey: Đầu tiên, che khóa k mặt nạ, che rõ d mặt nạ, trình Addroundkey kết hợp byte rõ d byte khóa k (đã mặt nạ) SubBytes: Thực mặt nạ để che bảng tra cứu S-box ShiftRows: Biến đổi ShiftRows dịch chuyển bytes trạng thái Tất bytes trạng thái mặt nạ với giá trị khơng đổi Vì vậy, hoạt động thực mặt nạ MixColumns: Biến đổi MixColumns trộn bytes từ hàng khác cột Để che hết giá trị trung gian, cần thực dòng mặt nạ, đồng thời cần thực mặt nạ giống cho vòng Với điều kiện trên, để thực mặt nạ đầy đủ cho giá trị trung gian thuật toán AES, báo đề xuất sử dụng 06 mặt nạ độc lập gồm: hai mặt nạ m m’ che cho đầu vào đầu biến đổi SubBytes mặt nạ m1, m2, m3, m4 để che đầu vào biến đổi MixColumns Quá trình chuẩn bị: Tính trước mặt nạ S-box mặt nạ Mixcolumns sau: Mặt nạ bảng tra cứu S-box Sm tính theo cơng thức: Sm (x m)= S(x) m’ (3) đó, m mặt nạ đầu vào, m’ mặt nạ cho đầu S-box Giá trị mặt nạ đầu phép biến đổi MixColumns theo công thức: MixColumns (m1, m2, m3, m4) = (m’1, m’2, m’3, m’4) Quá trình thực hiện: Bắt đầu vòng làm việc, che rõ d với giá trị m’i (m’1, m’2, m’3, m’4), che khóa k với mặt nạ (là kết phép XOR m’ivà m) Biến đổi AddRoundKey thực phép XOR rõ khóa (đều mặt nạ) Giá trị trung gian (d k) mặt nạ theo công thức: (d m’i) (k m m’i) = (d k) m Tạp chí Nghiên cứu KH&CN qn sự, Số Đặc san An tồn Thơng tin, 05 - 2017 (4) 37 Công nghệ thông tin Lúc giá trị trung gian (d k) che mặt nạ m Tiếp theo, biến đổi SubBytes, thực che giá trị trung gian theo bảng Sm (x m)= S(x) m’ Sau bước này, giá trị trung gian che với mặt nạ m’ Sau biến đổi ShiftRows mặt nạ m’ nguyên Trước MixColumns, tiến hành che mặt nạ mi với m1 hàng đầu tiên, sang m2 hàng thứ 2, sang m3 hàng thứ sang m4 hàng thứ tư Biến đổi MixColumns thay đổi mặt nạ mi thành m’I với i =1,…,4 Lúc này, giá trị trung gian che với m’i Giá trị sử dụng để làm đầu vào cho biến đổi vòng vòng cuối Plaintext AddRoundKey K0 SubBytes, ShiftRows MixColumns AddRoundKey K1,…K9 SubBytes, ShiftRows AddRoundKeys AddRoundKey K10 Ciphertext : : : : Mặt nạ với m Mặt nạ với m’ Mặt nạ với m1,m2,m3,m4 Mặt nạ với m’1, m’2,m’3,m’4 Hình Sơ đồ mặt nạ cho thuật toán AES – 128 38 Nguyễn Thanh Tùng, “Một giải pháp chống công DPA hiệu quả.” Nghiên cứu khoa học cơng nghệ Vòng cuối khơng thực phép biến đổi MixColums Tại điểm kết thúc vòng cuối cùng, giá trị liệu lúc che với mặt nạ m’ (giá trị có sau bước SubBytes ShiftRows vòng) Lúc này, khóa vòng cuối che mặt nạ m’, thực phép Addroundkey cuối ta mã (không mặt nạ) Như vậy, mặt nạ gỡ bỏ đầu thuật toán để giải mã b Mặt nạ cho lược đồ khóa: Để bảo đảm an tồn, lược đồ khóa phải mặt nạ Sử dụng lại bytes mặt nạ m m’ cho tất vòng Bước thứ lược đồ khóa, khóa gốc (sử dụng cho khóa vòng đầu tiên) mặt nạ với giá trị mặt nạ (mi’ m) Mặt nạ mi’ m che cho khố vòng trừ cuối che mặt nạ m’ 3.3 Đánh giá an toàn a Đánh giá an tồn lý thuyết Tấn cơng DPA thực lượng tiêu thụ thiết bị mật mã phụ thuộc vào giá trị trung gian thiết bị xử lý Khi giá trị trung gian v che mặt m: v m v m (m giá trị ngẫu nhiên), vm độc lập với v, đó, lượng tiêu thụ vm độc lập với v Vì vậy, mặt nạ xóa bỏ mối liên hệ lượng tiêu thụ giá trị trung gian thiết bị Giải pháp đề xuất sử dụng 06 mặt nạ che tất giá trị trung gian, chống cơng DPA lên thuật tốn b Đánh giá an tồn thực nghiệm Hình Biểu đồ vi sai ứng với hai khóa giả thiết k =223 k=224 (đã mặt nạ) Thực nghiệm công DPA lên sơ đồ mặt nạ, biểu đồ vi sai (hình 4) cho thấy giá trị tương quan khóa giả thiết 233 lúc có giá trị khoảng 0.3 tương tự Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An tồn Thơng tin, 05 - 2017 39 Cơng nghệ thơng tin khóa khác (đã che gai nhọn nhơ lên so với thuật tốn khơng thực mặt nạ) Lúc này, thực cơng DPA khơng thể suy đốn giá trị khóa thuật tốn Qua thực nghiệm cho thấy giải pháp đề xuất chống công DPA lên AES -128 Smartcard KẾT LUẬN Tấn công DPA khai thác mối quan hệ liệu xử lý tiêu thụ điện Loại công dựa vào nhiều phép đo dùng thống kê để lọc bỏ nhiễu để tìm khóa bí mật thiết bị mật mã Bài báo đề xuất giải pháp chống công DPA lên thiết bị mật mã Giải pháp đề xuất sử dụng mặt nạ để che giá trị trung gian thuật toán mật mã Qua đánh giá lý thuyết thực nghiệm cho thấy sơ đồ mặt nạ đề xuất chống công DPA loại bỏ phụ thuộc liệu điện tiêu thụ, vậy, kẻ cơng khơng thể sử dụng phân tích DPA để tìm khóa thuật tốn Tuy nhiên, với phát triển phân tích mã (đặc biệt loại cơng DPA bậc cao) sơ đồ mặt nạ khơng thể tuyệt đối an tồn Hướng nghiên cứu tiếp sơ đồ mặt nạ an toàn, kết hợp với giải pháp xáo trộn, chèn, ẩn, ngẫu nhiên hóa hoạt động thuật tốn TÀI LIỆU THAM KHẢO [1] Nguyễn Hồng Quang, “DPA, dạng cơng sidechannel hiệu quả”, Tạp chí nghiên cứu Khoa học Công nghệ Quân sự, 2013 [2] Nguyễn Hồng Quang, “Trace lượng DPA”, Tạp chí nghiên cứu Khoa học Công nghệ Quân sự, 2013 [3] Alfred J Menezes, Paul C Van Oorschot, Scott A Vanstone, “Handbook of aplied cryptology”, Crc Press Inc, 1997 [4] Christophe Clavier, Benoit Feix, Georges Gagnerot, “Improved CollisionCorrelation Power Analysis on First Order Protected AES”, Ches, 2011 [5] D.R Stinson, “Cryptography: Theory and Practice”, CRC Press, Inc, 1995 [6] Emmanuel Prouff, “Side Channel Attacks against Block Ciphers Implementations and Countermeasures”, Ches, 2013 [7] Hamad Marzouqi, Mahmoud Al-Qutayri, Khaled Salah, “Review of gate-level differential power analysis and fault analysis countermeasures”, IET Information Security, 2013 40 Nguyễn Thanh Tùng, “Một giải pháp chống công DPA hiệu quả.” Nghiên cứu khoa học công nghệ [8] Jun Wu, Yiyu Shi, and Minsu Choi,Senior Member, “Measurement and Evaluation of Power Analysis Attacks on Asynchronous S-Box”, IEEE Information Security, 2013 [9] Oscar Reparaz, Benedikt Gierlichs, Ingrid Verbauwhed, “Selecting time samples for multivariate DPA”, Leuven, Belgium, 2012 [10] P Kocher, J Jaffe, and B Jun, “Differential power analysis,” proceedings of crypto 99, Lecture Notes in Computer Science, vol 1666, Springer, pp 388– 397, 1999 [11] S Mangard, E Oswald, F.-X Standaert, “One for all – all for one: unifying standard differential power analysis attacks”, IEEE transactions on instrumentation and measurement, vol.61, no.10, 2012 [12] National Institute of Standards and Technology (NIST) FIPS-197: Advanced Encryption Standard, November, 2001 ABSTRACT AN EFFICIENT SOLUTION GAINTS DPA ATTACKS Anpower analysis attack implement on the intermediate value of the cryptographic algorithm to find the secret key By using random values to mask the intermediate value and making the consumption power of device independent from the median value of algorithm, masking is an effective solution against the type of this attack This paper presents the masking method for AES algorithms against DPA attacks Keywords: DPA attacks, AES, Mask Nhận ngày 14 tháng 02 năm 2017 Hoàn thiện ngày 15 tháng năm 2017 Chấp nhận đăng ngày 01 tháng năm 2017 Địa chỉ: Học viện Kỹ thuật Mật mã * Email: tungkmm@yahoo.com Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An tồn Thơng tin, 05 - 2017 41 ... toán mật mã 36 Nguyễn Thanh Tùng, Một giải pháp chống công DPA hiệu quả. ” Nghiên cứu khoa học công nghệ 3.2 Đề xuất sơ đồ mặt nạ cho thuật toán AES Để chống công DPA lên AES phải thực mặt nạ đầy... Hoạt động thuật toán sau: Tại thời điểm bắt 34 Nguyễn Thanh Tùng, Một giải pháp chống công DPA hiệu quả. ” Nghiên cứu khoa học công nghệ đầu phép mã hóa, liệu rõ đầu vào ghi vào mảng trạng thái... nạ) Lúc này, thực cơng DPA khơng thể suy đốn giá trị khóa thuật tốn Qua thực nghiệm cho thấy giải pháp đề xuất chống công DPA lên AES -128 Smartcard KẾT LUẬN Tấn công DPA khai thác mối quan hệ