Skriv ut
Embedded expertCRI:

Strömförbrukning
avslöjar kryptot

Mät strömmen som förbrukas när FPGA:n krypterar, och du kan direkt avslöja den kryptonyckel som används. Amerikanska Cryptography Research berättar om den typ av kryptoattack som kallas strömförbrukningsanalys och hur du skyddar dig mot den.
Klicka här
för nedladdning!
PDF, 651 kbyte
.
 embexFler kostnadsfria rapporter finns på etn.se/
Du tror att du är säker mot avlyssning eftersom du använder den senaste generationens kryptoteknik. Men det finns så kallade sidoattacker på kryptering, som inte bryr sig om att försöka utmana kryptomatematiken i sig, utan istället försöker hitta hittar bakvägar i implementeringen. En sådan så kallad ”sidoattack” är att noggrannt mäta strömförbrukningen under det att enskilda bitar i kryptonyckeln processas.
Energin som förbrukas i en FPGA beror på omkopplingsaktiviteten i dess transistorer, vilket i sin tur beror på vilken typ av operationer som genomförs.
Det skriver Pankaj Rohatgi, säkerhetsexpert på amerikanska Cryptography Research, i en artikel exklusivt publicerad i Elektroniktidningens Embedded Expert — en serie tekniska rapporter om inbyggda system. I Pankaj Rohatgis meritlista finns att han en gång var med och utvecklade IBM:s kryptoprocessor 4758.

Ibland är strömförbrukningsanalys så enkel som att en enda gång logga strömförbrukningen under kryptooperationen och sedan närmast i klartext läsa av den hemliga kryptonyckeln. Ibland kan angriparen behöva integrera strömförbrukningsmätningar under flera pass, för att hitta korrelationerna mellan olika steg i kryptobearbetningen under störande brus. Men även i detta fall kan attacken blir framgångsrik med enkla medel.
Processen kan automatiseras och även attacker som omfattar miljoner operationer är relativt enkla att utföra med hjälp av ett vanligt digitalt minnesoscilloskop och en PC.
Pankaj Rohatgi berättar hur du kan försvåra en strömförbrukningsanalys av din krypto-FPGA genom att på olika sätt blanda bort korten för angriparen. Du kan exempelvis ändra på algoritmerna eller introducera slump.

Rapporten finns här (pdf, 651 kbyte).

Artikeln har publicerats i en kortare version i senaste numret av magasinet Elektroniktidningen.