基于硬件電路路徑差異的故障攻擊探究作者：王安（北京理工大學計算機學院）任燕婷（清華大學微電子學研究所）2023年2月5日匯報提綱2023/2/51時鐘毛刺故障注入技術簡介基于輪函數電路路徑差異的暫穩攻擊基于掩碼S-box電路路徑差異的錯誤率分析1、時鐘毛刺故障注入技術簡介側信道攻擊技術2023/2/53能量攻擊技術聲音攻擊技術電磁攻擊技術故障攻擊技術故障攻擊研究現狀2023/2/54差分故障攻擊注入到某個精確位置，再做差分分析公鑰密碼的故障攻擊注入到某個大致位置，再做數學計算篡改存儲器/執行流程的攻擊修改輪數、程序、掩碼等相似點：從密碼算法整體結構的角度來研究未來潛力點：從密碼算法局部模塊特征的角度來研究數字電路的基本原理2023/2/55時鐘毛刺時鐘2023/2/56毛刺時鐘時鐘的來源2023/2/57讀卡器提供外部晶振AES算法的硬件實現8分組密碼算法末輪的輸出通常為密文，可直接獲取2、基于輪函數電路路徑差異的暫穩攻擊暫穩效應（Transient-SteadyEffect）10Y值比X值晚到了t時間若t足夠大，Z將會有3個穩定值當X已到、Y未到時，該特殊的穩定值，稱為“暫穩值”暫穩值的泄露11利用毛刺將暫穩值保存！AES中S-box的串行實現2023/2/512設多個S-box用同一個組合電路先后實現[MAD03]每個時鐘計算一個S-box對AES的暫穩攻擊2023/2/513按時間先后：c1=y1⊕k1

①c2'=y1⊕k2（暫穩狀態）

②由①②得：c1⊕c2'

=k1⊕k2計算S1計算S2抗側信道攻擊主要技術——掩碼[Koc96]2023/2/514無防護實現掩碼實現對掩碼AES的暫穩攻擊2023/2/515掩碼S-box：存在一條短路徑按時間先后：c1=yw1⊕k1⊕w1=S(x1)⊕k1

①c2'=yw1⊕k2⊕w2c2''=yw2'⊕k2⊕w2=S(x1)⊕k2

②由①②得：c1⊕c2''=k1⊕k2暫穩攻擊實驗平臺搭建2023/2/516實驗平臺實物圖2023/2/517實驗結果12023/2/518攻擊了一種經典低功耗S-box的AES硬件電路[MS02]暫穩態實驗結果22023/2/519攻擊了一種“非常緊湊”的AES硬件電路[Can05]暫穩態實驗結果32023/2/520攻擊了一種“完美掩碼的非常緊湊”的AES硬件電路[CB08]暫穩態降低故障注入難度——放慢延遲時間2023/2/521暫穩態暫穩態電壓1.2V下攻擊S-boxA的結果電壓1.08V下攻擊S-boxA的結果效率比較2023/2/522FSA：故障靈敏度分析，CHES2010CTC：碰撞時間特征，CHES2011FRA：錯誤率分析，IEEETransactionsonCircuitsandSystemsII小結2023/2/523暫穩攻擊的優點：不需要對同一個明文加密2次不需要選擇特殊明文1次加密，即可攻破無防護的AES（的一半密鑰）暫穩攻擊的缺點：對長短路徑的差異過于依賴原理太簡單論文發表：YantingRen,AnWang*,LijiWu.Transient-SteadyEffectAttackonBlockCiphers.2015WorkshoponCryptographicHardwareandEmbeddedSystems(CHES2015).3、基于掩碼S-box電路路徑差異的錯誤率分析基于錯誤率分析的碰撞攻擊25場景：同一組合電路串行完成第10輪S盒S1和S2

[MAD03]流程：為S2注入極短的時鐘毛刺，實驗多次觀察：通過密文字節c2，判斷y2'是否發生錯誤，記錄錯誤率思想來源：YangLi,etal.,ClockwiseCollision[LOS12]碰撞區分器26若x1≠x2，則y2'正確的概率為：0若x1

=

x2，則y2'正確的概率為：1/65536

問題：區分度太低高效的錯誤率分析27我們發現：從輸出掩碼wi到輸出值的路徑t2遠遠短于從輸入值xi⊕mi和輸入掩碼mi到輸出值的路徑t1動機：保證wi正確地參與運算，即wi不會影響到出錯與否仿真驗證：wi不會影響到出錯與否28碰撞情況注：縱軸表示輸出值趨于穩定所需時間非碰撞情況高效的錯誤率分析29方法：選用滿足t2<t<t1的t，作為時鐘毛刺來注入錯誤區分器的效率：若x1

≠x2，則y2’

=y2的概率約為：0若x1=x2，則y2’

=y2的概率約為：1/256故障位置實驗平臺設計30實驗結果：大量平均后的成功率31對每個(x1,x2)

，40個時鐘毛刺下的成功率平均后，可得圖中一個點（藍點代表x1=x2，灰點代表x1≠x2）效率比較32CEPA：相關強化能量分析（CHES2010）CTC：碰撞時間特征（CHES2011）CCPA：碰撞相關能量分析（CHES2011）小結2023/2/533“率”是故障攻擊中一種很好的區分器不需要知道錯誤密文值，故可攻破故障檢測機制掩碼是為了保護信息，但掩碼的短路徑卻幫助了攻擊者論文發表：AnWang,ManChen,ZongyueWang,XiaoyunWang*.FaultRateAnalysis:BreakingMaskedAESHardwareImplementationsEfficiently.IEEETransactionsonCircuitsandSystemsII:EXPRESSBRIEFS,2013.VS參考文獻34[Bog07]A.Bogdanov,“Improvedside-channelcollisionattacksonAES,”inProc.SAC,2007,pp.84-95.[Can05]D.Canright,“AVeryCompactS-BoxforAES,”inProc.CHES,2005,vol.3659,pp.441-455.[CB08]D.CanrightandL.Batina,“Averycompactperfectlymaskeds-boxforAES,”inProc.ACNS,2008,pp.446-459.[ESH11]S.Endo,T.Sugawara,N.Homma,etal.Anon-chipglitchy-clockgeneratorfortestingfaultinjectionattacks.JCryptogrEng(2011)1,pp.265–270.[LOS12a]Y.Li,K.Ohta,andK.Sakiyama,“AnExtensionofFaultSensitivityAnalysisBasedonClockwiseCollision,”inProc.Inscrypt,2012,pp.46-59.[LOS12b]Y.Li,K.Ohta,andK.Sakiyama,“Towardeffectivecountermeasuresagainstanimprovedfaultsensitivityanalysis,”IEICETrans.onFundamentalsofElectronics,CommunicationsandComputerSciences,vol.E95–A,no.1,pp.234–241,2012.參考文獻35[LSG10]Y.Li,K.Sakiyama,S.Gomisawa,T.Fukunaga,J.Takahashi,andK.Ohta,“Faultsensitivityanalysis,”inProc.CHES,2010,pp.320-334.[MAD03]S.Mangard,M.Aigner,S.Dominikus:AHighlyRegularandScalableAESHardwareArchitecture.IEEETransactionsonComputers,52(4),pp.483-491,2003.[MMP11]A.Moradi,O.Mischke,C.Paar,etal.OnthePowerofFaultSensitivityAnalysisandCollisionSide-ChannelAttacksinaCombinedSetting.InProc.CHES,2012,pp.292-311.[MS02]S.MoriokaandA.Satoh,“Anoptimizeds-boxcircuitarchitectureforlowpowerAESdesign,”inProc.CHES,2002,pp.172-186.[SBG09]N.Selm