Einleitung Theorie Praxis Demo Gegenmaßnahmen Zusammenfassung. Faulty Hardware. Seminar on Mathematical Weaknesses of Cryptographic Systems

Transkript

1 Faulty Hardware Seminar on Mathematical Weaknesses of Cryptographic Systems Martin Heistermann July 17, 2013

2 Motivation: Beispielszenario Smartcard zur Authentifizierung Geheimnis darf nicht kopierbar sein Algorithmen und Protokolle sicher Korrekt implementiert Gegen Timing- und Sidechannel-Angriffe gesichert Selbstzerstörung beim Öffnen Ist das sicher?

3 Motivation: Beispielszenario Smartcard zur Authentifizierung Geheimnis darf nicht kopierbar sein Algorithmen und Protokolle sicher Korrekt implementiert Gegen Timing- und Sidechannel-Angriffe gesichert Selbstzerstörung beim Öffnen Ist das sicher? Nein! Smartcard kann sich verrechnen.

4 Idee Angriff auf Implementierung, nicht auf Algorithmus Kein Sidechannel-Angriff Fehlerhafte Ergebnisse durch Hardware-Fehler Fehler können geheime Daten verraten!

5 Fehlerquellen Natürliche Ursachen CPU-Bugs ( F00F -Bug) RAM: 2 5 Bitfehler / h bei 8 GB RAM (Google, 2009) Fault Injection Temperatur Spannungsversorgung (Über-, Unterspannung, Glitches) Takt (Übertaktung, Glitches) Laser Ionisierende Strahlung...

6 Angriffsszenarien Zertifizierungsstellen (z.b. SSL-CA) Smartcards (EC-Karten, Ausweise) Autos (Türschloss, Wegfahrsperre) TPM-Module Geldautomaten Spielekonsolen Software Reverse Engineering...

7 Beispiele verwundbarer Cryptosysteme RSA: Eine falsche RSA-CRT-Signatur Faktorisierung O(log 2 n) Paare (m, m d ): d berechenbar m e, mê m berechenbar ( 5 faults) Fiat-Shamir-Authentifizierung DES: Ciphertexte Key berechenbar, bis auf 3 reduzierbar AES: 4kb Ciphertext RC4 (?) Unbekannte Algorithmen...

8 Beispiele verwundbarer Cryptosysteme RSA: Eine falsche RSA-CRT-Signatur Faktorisierung O(log 2 n) Paare (m, m d ): d berechenbar m e, mê m berechenbar ( 5 faults) Fiat-Shamir-Authentifizierung DES: Ciphertexte Key berechenbar, bis auf 3 reduzierbar AES: 4kb Ciphertext RC4 (?) Unbekannte Algorithmen...

9 RSA-Cryptosystem RSA-Cryptosystem Öffentlich: n, e ( encrypt ) Geheim: p, q, d ( decrypt ) Verschlüsseln: m = x e mod n Entschlüsseln: x = m d mod n (auch signieren)

10 Theorie: Chinesischer Restsatz (CRT) Chinesischer Restsatz (CRT) n 1,..., n k paarweise teilerfremd a 1,..., a k ganze Zahlen = x : i : x a i mod n i Berechnung von x ist einfach

11 RSA-Signatur Theorie: RSA-CRT s = h d mod n RSA-Signatur mit CRT a 1 = h d a 2 = h d mod p mod q s = CRT(a 1, a 2, p, q, q 1 ) } {{ } secret CRT() : 3 Additionen, 2 Multiplikationen 4 schneller

12 Angriff: Fehlerhafte RSA-CRT-Signatur (Boneh 97) Fehlerhafte Signatur a 1 = h d mod p â 2 h d mod q ŝ = CRT(a 1, â 2, p, q, q 1 )

13 Angriff: Fehlerhafte RSA-CRT-Signatur (Boneh 97) Fehlerhafte Signatur a 1 = h d mod p â 2 h d mod q ŝ = CRT(a 1, â 2, p, q, q 1 ) Angriff: ŝ und s bekannt

14 Angriff: Fehlerhafte RSA-CRT-Signatur (Boneh 97) Fehlerhafte Signatur a 1 = h d mod p â 2 h d mod q ŝ = CRT(a 1, â 2, p, q, q 1 ) Angriff: ŝ und s bekannt (s ŝ) = 0 mod p (s ŝ) 0 mod q p = gcd(n, s ŝ)

15 Angriff: Fehlerhafte RSA-CRT-Signatur (Boneh 97) Fehlerhafte Signatur a 1 = h d mod p â 2 h d mod q ŝ = CRT(a 1, â 2, p, q, q 1 ) Angriff: ŝ und s bekannt (s ŝ) = 0 mod p (s ŝ) 0 mod q p = gcd(n, s ŝ) Eine einzige fehlerhafte Signatur reicht!

16 Angriff: Fehlerhafte RSA-CRT-Signatur (Boneh 97) Fehlerhafte Signatur a 1 = h d mod p â 2 h d mod q ŝ = CRT(a 1, â 2, p, q, q 1 ) Angriff: ŝ und h bekannt

17 Angriff: Fehlerhafte RSA-CRT-Signatur (Boneh 97) Fehlerhafte Signatur a 1 = h d mod p â 2 h d mod q ŝ = CRT(a 1, â 2, p, q, q 1 ) Angriff: ŝ und h bekannt ŝ e = h mod p ŝ e h mod q p = gcd(n, ŝ e h)

18 Angriff: Fehlerhafte RSA-CRT-Signatur (Boneh 97) Fehlerhafte Signatur a 1 = h d mod p â 2 h d mod q ŝ = CRT(a 1, â 2, p, q, q 1 ) Angriff: ŝ und h bekannt ŝ e = h mod p ŝ e h mod q p = gcd(n, ŝ e h) Eine einzige fehlerhafte Signatur reicht!

19 Fault-Injection-Methoden Zeitlich lokalisiert: Laser, Spannung Räumlich lokalisiert: Laser, mehrere Spannungsversorgungs-Anschlüsse Konstant: Temperatur Aufwand: Glühlampe vs. Synchrotron

20 Fault Injection in der Praxis Tatsächlich auftretende Fehler bei Unterspannung (ARM9-CPU, Barenghi 10): Fehlerhaftes Laden aus dem RAM: Flip-Down Auch bei Instruktionen! (z.b. bne beq)

21 Demo Angriffsziel: 3e-Board mit ATmega8A Angriffs-Hardware: ab 10e Code 1 bigint x, msg =..., signkey=...; 2 while (true) { 3 s = sign_rsa_crt(msg, signkey); 4 uart_send(s); 5 }

22 26.3 Speed Grades ATmega8A Datasheet Figure Maximum Frequency vs. Vcc 16 MHz 8 MHz Safe Operating Area 2.7V 4.5V 5.5V ATmega8A [DATASHEET] 8159E AVR 02/

23 26.3 Speed Grades ATmega8A Datasheet Figure Maximum Frequency vs. Vcc 16 MHz 8 MHz Safe Operating Area 2.7V 4.5V 5.5V ATmega8A [DATASHEET] 8159E AVR 02/

24 Einleitung Theorie Praxis Demo Prototyp Gegenmaßnahmen Zusammenfassung

25 Einleitung Theorie Praxis Demo Gegenmaßnahmen Zusammenfassung Demo-Aufbau Bus Pirate USB Vcc 5V ATmega8A Vcc ~2.1V UART ~2V UART 5V

26 Gegenmaßnahmen Hardware Tamper-Resistance Softwareware Ergebnis prüfen (nicht nur mehrfach berechnen) Blinding? x = (m r d ) e r 1 RSA-CRT: Shamir s Vorschlag

27 Gegenmaßnahmen: RSA-CRT Shamir s Vorschlag ( 97) a 1 = h d mod (p r) a 2 = h d mod (q r) a 1 mod r? = a 2 mod r s = CRT(a 1 mod p, a 2 mod q, p, q, q 1 ) } {{ } secret

28 Gegenmaßnahmen in der Praxis gnutls (libnettle): CRT, keine Überprüfung OpenSSL: CRT, Test auf Fehler bei Fehlschlag square-and-multiply kein erneuter Test! Seit 2010 bekannt, nie gepatcht

29 Zusammenfassung Fehlerhafte Ergebnisse können Crypto-Schlüssel verraten Eine falsche Signatur kann reichen Wichtig: Ergebnisse überprüfen