Атаки методами индуцированных сбоев  01

FAULT ATTACKS

Эффекты, возникающие в полупроводниках при облучении их лазером, начали изучать с середины 20го века (В.С. Вавилов и Н.А. Ухин, "Радиационные эффекты в полупроводниках и полупроводниковых приборах", 1969). Изначально усилия этих исследований были направлены на создание интегральных схем способных работать в агрессивных средах, например в космосе. Сейчас, благодаря доступности лазерных технологий, а также их точному воздействию на данные или инструкции, они стали применяться и в информационной безопасности.

 

Лазерное излучение может не только вывести микросхему из строя, но также изменить данные или инструкции, что непредсказуемым образом отразится на работе выполняемого алгоритма. Вероятно, именно из-за непредсказуемости эффекта лазер не рассматривался как инструмент взлома криптографических алгоритмов, до тех пор, пока не вышла работа D. Boneh, R. A. DeMillo, R. J. Lipton "On the importance of checking cryptographic protocols for faults" - EUROCRYPT'97, 1997. В этой работе было показано, что любая даже самая непредсказуемая ошибка, при которой устройство осталось работоспособным, позволяет вычислить ключ алгоритма RSA, реализованного с помощью китайской теоремы об остатках. Это работа ознаменовала революцию в области криптографии: если даже непредсказуемая и неизвестная ошибка может привести к такому результату, то что будет при преднамеренном воздействии на систему? Как в дальнейшем показали исследования и подтвердила практика, при методичном и точном воздействии можно взломать любой стандартный криптографический алгоритм, реализованный как программным, так и аппаратным способом.

Существует множество работ, описывающих эффекты в логических элементах и памяти полупроводниковых устройств при облучении их лазером. С точки зрения выполняемого алгоритма, практическим результатом такого воздействия являются (1) модификация памяти, включая регистры, Flash, и т.д. (2) изменение операций, когда облучаются логические элементы во время обработки сигнала. Было показано, что с помощью лазера можно переключать отдельные биты данных, например биты раундовых ключей (M. Agoyan, J.-M. Dutertre, A.-P. Mirbahat, D. Naccache, A.-L. Ribotta, A. Tria: "Single-bit DFA using multiple-byte laser fault injection" - HST 2010), изменять регистры памяти или пропускать инструкции микроконтроллера (O. Derouet: "Secure Smartcard Design against Laser Fault Injection" - FDTC 2007), а также провоцировать другие изменения в работе алгоритма.

Ошибки можно использовать для взлома криптографических алгоритмов. Например, для взлома блочных шифров можно изменить регистр в момент, когда в нем записан результат предпоследнего раунда. Такая ошибка будет создавать разность, которую можно использовать для дифференциального криптоанализа. Именно поэтому одним из направлений атак методами индуцированных сбоев является дифференциальный криптоанализ по ошибкам вычислений - Differential Fault Analysis (DFA). Описание этого метода для любого алгоритма, основанного на подстановочно-перестановочных сетях (Substitution Permutation Networks), можно найти в нашей работе "Blind Fault Attack against SPN Ciphers" - FDTC 2014 (эта работа загружена как приложение к описываемой технологии).

 

Аналитическую модель атаки по ошибкам вычислений можно разработать для любого алгоритма. Такая модель подразумевает время создания и эффект, например, можно допустить изменение одного бита данных на предпоследнем раунде AES или обнулить выход генератора случайных чисел.

 

На практике возможность создания аналитической модели проверяется непосредственно на тестируемом устройстве, которое подвергается физическому воздействию в специальных программно-аппаратных комплексах.

 

Генерация ошибки зависит от многих параметров, включая технологию производства, толщину кремния, длительность и поверхность облучения и т.д. Из-за огромного числа логических элементов сложно сразу локализовать точку, в которой может быть создана необходимая ошибка. Для упрощения и автоматизации процесса создания ошибок могут быть использованные специальные технологии, включающие:

1. Систему позиционирования, позволяющую перемещать лазер (воздействующее устройство) над поверхностью исследуемого вычислительного средства.


2. Систему синхронизации, распознающую необходимый шаг алгоритма в исследуемом устройстве и с регулируемой задержкой отправляющую сигнал для активации лазера.

3. Систему управления лазером, регулирующую длительность, энергию и другие параметры излучения.


4. Различные дополнительные системы, например, видеоконтроль, автоматический останов и другие.

Исследование алгоритма обычно происходит в несколько этапов. На первом этапе ищутся место, время и параметры излучения для создания необходимого эффекта (т.е. исследуются возможные модели ошибок). В этот момент платформа работает в автоматическом режиме, когда не требуется особый контроль со стороны исследователя. Если алгоритм известен и существует точная модель атаки, то первого этапа может быть достаточно. В противном случае на втором этапе анализируются результаты и уточняется модель ошибки. Если наблюдаемого эффекта не было получено, то требуется более тщательная аналитическая работа с использованием осциллоскопа и ручными настройками излучения.

Технологии создания ошибок это одна из частей атак методами индуцированных сбоев. Второй большой областью являются математические и аналитические методы, позволяющие воспользоваться сгенерированными ошибками. Дифференциальный анализ является математическим методом, в качестве аналитического метода можно привести технологию обхода датчиков света (или инфракрасного излучения), реализованных в кремнии. Нужно длительно облучать поверхность такого датчика одним лазером, а вторым пытаться найти контролирующий блок, отвечающий за перезагрузку устройства и попытаться его отключить. В этом случае даже если первый лазер будет распознан, то вторым можно отключать прерывание.

Математические методы, вследствие их академической ценности, зачастую исследуются университетами и научными центрами для последующих публикаций, в то время как аналитические методы представляют собой уникальные наработки, и поэтому сохраняются внутри компаний. 

www.cybears.ru