Teil 2: Chipkarten. Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Transkript

1 Systemsicherheit Teil 2: Prof. Dr. Inhalt Einführung : Vortrag Joachim Posegga (SmartCardIntroJoachimPosegga.ppt) Hardwaresicherheit: Markus Kuhn (sc99-tamper-slides.pdf) Timing Attacks: Paul Kocher Differential Power Analysis: Paul Kocher Differential Fault Analysis: Dan Boneh, Biham/Shamir 2

2 : Hardwaresicherheit Klassisches Chiplayout: Infineon SLE 66CX160S Crypto Coprocessor CPU RAM EEPROM Logic ROM Quelle:Prof. Dr. Andreas Steffen, 2003 Zürcher Hochschule Winterthur 3 : Hardwaresicherheit 4

3 : Timing Attacks TimingAttacks.pdf Beispiel: Let s 0 = 1. For k = 0 to w-1 If (bit k of x) is 1 then Let R k = (s k m) mod n. Else Let R k = s k. Let s k+1 = R k 2 mod n. EndFor. Return (R w-1 ) 5 : Timing Attacks Ziel: Berechne geheimen Exponenten x (z.b. in ElGamal y=g x mod p oder in RSA sig = m d mod n) Angriff: Finde Bit b+1 wenn Bits 1 b schon bekannt sind (fürb = 0 bis b = x -1). Da die ersten b Bits bekannt sind, kann der Angreifer zu jedem m den Wert s b berechnen. Hypothetischer einfacher Fall: Wähle Paare (m, s b ) für die bekannt ist, dass die Berechnung von R b = (s b m) mod n sehr langsam ist. (Mit der in der Karte verwendeten Langzahlarithmetik auszuprobieren.) Wenn die Berechnung von md mod n immer lange dauert, ist das (b+1)-ste Bit gleich 1, sonst gleich 0. Angriff kann mit Techniken der Signalerkennung verbessert werden. 6

4 : Simple Power Analysis Beispiel: Let s 0 = 1. For k = 0 to w-1 If (bit k of x) is 1 then Else Let R k = (s k m) mod n. Let R k = s k. Let s k+1 = R k 2 mod n. EndFor. Return (R w-1 ) Multiplikation benötigt mehr Strom als andere Operationen Wenn (bit k of x)=1 werden 2 Multiplikationen in einer For- Schleife benötigt -> doppelter Stromverbrauch 7 : DPA Beispiel: DES ( Aufzeichnung von Messreihen von verschiedenen DES-Verschlüsselungen mit dem gleichen DES-Schlüssel. Auswahl eines Teils dieser Messreihen unter einer Hypothese für einen bestimmten DES-Teilschlüssel: Hypothese richtig: Gewichtete Summe der ausgewählten Messreihen weist eindeutige Peaks auf. Hypothese falsch: Keinerlei statistische Auffälligkeiten. Bei DES: treffe Hypothesen über die 2 6 Schlüsselbits, die zum Input einer bestimmten S-Box gehören. 8

5 : DPA Beispiel: DES 9 : SPA Beispiel: DES Simple Power Analysis (SPA): Direkte Messung des Stromverbrauchs. (Quelle: 16 Runden sind klar sichtbar. 10

6 : SPA Beispiel: DES DES-Schlüsselregister werden in Runde 2 einmal und in Runde 3 zweimal rotiert. 11 : SPA Beispiel: DES mit jump ohne jump 12

7 : DPA Beispiel: DES Verschlüssele Nachrichten (je 64 Bit) und messe den Stromverbrauch in den letzten Runden Die Anzahl der Messpunkte sein pro Nachricht Das ergibt ein Array S[ ][ ] von Messwerten Sei C[ ] das Array mit den berechneten Chiffretexten 13 : DPA Beispiel DES: Auswahlfunktion D(Ki,C) Wende IP auf C an, um, L16 und R15 zu erhalten = R14 = f(r15,) f R15 = L14f(R14,K15) L16 = R15 IP -1 C 14

8 : DPA Beispiel DES: Auswahlfunktion D(Ki,C) Wende E auf R15 an, um R15 zu erhalten R15 (32) E R15 (48) S1 S2 S3 S4 S5 S6 S7 S8 (32) P 15 : DPA Beispiel DES: Auswahlfunktion D(Ki,C) Wähle S-Box (z.b. S2) aus und rate die zugehörigen R15 (32) E 6 Schlüsselbits R15 (48) S1 S2 S3 S4 S5 S6 S7 S8 (32) P 16

9 : DPA Beispiel DES: Auswahlfunktion D(Ki,C) Wähle eines der 4 (blauen) Ergebnisbits als Targetaus R15 (32) E R15 (48) S1 S2 S3 S4 S5 S6 S7 S8 (32) P 17 : DPA Beispiel DES: Auswahlfunktion D(Ki,C) D(Ki,C) = (Wert des Bits von, das mit dem Target- R15 (32) E Bit XOR-Verknüpft wird) kann mit Hilfe von berechnet werden. R15 (48) S1 S2 S3 S4 S5 S6 S7 S8 (32) P 18

10 : DPA Beispiel DES: Auswertung Berechne T[ i][ j] = 999 k = 0 1 D( i, C[ k]) ( S[ k][ j]) 2 Im Array T [ korrekter_schlüssel_ki ] [ j ] wurden Messungen, in denen dieses Bit gleich 1 war, immer mit +1/2 gewichtet, und wenn es gleich 0 war, immer mit -1/2 gewichtet. Geringste Unterschiede im Stromverbrauch zwischen diesen beiden Fällen werden so aufsummiert. In den Arrays T [ falscher_schlüssel_ki ] [ j ] werden die Stromverbrauchsunterschiede nivelliert, da +1/2 und -1/2 pseudozufällig verteilt sind. 19 : DPA Beispiel DES: Ergebnis (Quelle: aboutus/people/oswald/papers/dpa_tutorial.pdf) Ki = (korrekt) Ki = (falsch) 20

11 : DFA Beispiel RSA: Berechnung einer Signatur mit dem Chinesischen Restsatz Erweiterter Euklidischer Algorithmus: Man kann ganze Zahlen a und b berechnen mit ggt(p,q)= ap + bq Mit m p = m mod p und m q = m mod q gilt für ggt(p,q)=1 somit m = apm q + bqm p mod n (Chinesischer RS) Beweis: Aus 1 = ap + bq folgt (ap + bq) mod q = ap mod q = 1 (analog für p) Somit (apm q + bqm p ) mod q = (apm q ) mod q = = (ap mod q)(m q mod q) = 1 m q analog (apm q + bqm p ) mod p = m p Ergebnis folgt aus dem Chinesischen Restsatz 21 : DFA Beispiel RSA: Berechnung einer Signatur mit dem Chinesischen Restsatz Mit m p = m mod p und m q = m mod q gilt für ggt(p,q)=1 m d mod n = ap(m q d mod q-1 mod q) + bq(m p d mod p-1 mod p) Beweis: [ ap(m q d mod q-1 mod q) + bq(m p d mod p-1 mod p) ] mod q = = [ap(m q d mod q-1 mod q)] mod q = [ap mod q] [m q d mod q-1 mod q] = m q d mod q = m d mod q Analog für p, Behauptung folgt mit Chinesischem Restsatz 22

12 : DFA Beispiel RSA: Ausnutzen des Fehlers Wurde früher auf häufig angewendet, da m p, m q, d mod q-1, d mod p-1 nur halb so lang sind wie n. Idee DFA: Erzeuge einen Fehler bei einer der Berechnungen modulo p oder q, OBDA bei m p = m p d mod p-1 mod p ( m q = m q d mod q-1 mod q sei korrekt); der fehlerhafte Wert sei m p Berechne sig = apm q + bqm p und eine korrekte Signatur sig = apm q + bqm p. Bilde ggt( n, sig sig ) = ggt( pq, bqm p - bqm p ) = ggt(pq, q(bm p - bm p )) =q 23 : DFA Beispiel RSA: Ausnutzen des Fehlers Verbesserung DFA: Eine fehlerhafte Signatur genügt Bilde ggt( n, m (sig e mod n)) 24

13 : DFA Beispiel DES: Erzeuge wenige zufällige Bitfehler in den Registern für L und R R15 f L16 IP -1 C 25 : DFA Beispiel DES: Ein Bitfehler in R15 Folge: 1 Bitfehler in L16, bis zu 8 Bitfehler in R15 f L16 IP -1 C 26

14 : DFA Beispiel DES: Fehlerhaftes Bit aus R15 wird höchstens verdoppelt, beeinflusst höchstens 2 S-Boxen R15 E R15 S1 S2 S3 S4 S5 S6 S7 S8 (32) P 27 : DFA Beispiel DES: Teilschlüssel von, die in die betroffenen S-Boxen eingehen, können so getestet werden R15 E R15 S1 S2 S3 S4 S5 S6 S7 S8 (32) P 28