[密码学基础][每个信息安全博士生应该知道的52件事][Bristol52]43 为AES 对抗侧信道攻击的防御
這是一系列博客文章中最新的一篇,該文章列舉了“每個(gè)博士生在做密碼學(xué)時(shí)應(yīng)該知道的52件事”:一系列問題的匯編是為了讓博士生們?cè)诘谝荒杲Y(jié)束時(shí)知道些什么。
為AES描述一些基礎(chǔ)的(可能無效)的對(duì)抗側(cè)信道攻擊的防御
側(cè)信道防御:為什么
對(duì)于一個(gè)現(xiàn)代的嚴(yán)肅的密碼學(xué)方案,我們一般需要某種形式的安全證明。在AES中,我們認(rèn)為如果攻擊者不知道密鑰,那么它就是一個(gè)隨機(jī)排列。然而如果攻擊者有側(cè)信道信息,這可能不再安全。因此,我們能做什么防御它呢?理想的,我們可以創(chuàng)建一個(gè)完全不受側(cè)信道攻擊影響的實(shí)現(xiàn),然而,然而,這實(shí)際上意味著實(shí)現(xiàn)必須完全隔離,絕對(duì)沒有輸出流——這使得它相當(dāng)沒有意義!
也許我們可以確保,無論我們做什么,AES實(shí)現(xiàn)是否通過側(cè)信道泄漏信息都無關(guān)緊要?這就引出了泄漏彈性密碼學(xué)(leakage resilient cryptography)領(lǐng)域,這確實(shí)是一個(gè)非常強(qiáng)的安全需求。在這些條件下(這種情況很少)安全的方案往往比那些避免(/忽略)問題的方案效率低得多。由于在設(shè)計(jì)中必須始終進(jìn)行權(quán)衡,因此在實(shí)踐中,我們傾向于使用假定AES不泄漏任何信息的方案,并將它們與包含防御一些更簡(jiǎn)單的側(cè)通道攻擊的實(shí)現(xiàn)相結(jié)合。這樣做的目的是將攻擊成本比安全信息的價(jià)值更高,這樣(即使他們可以做到)就沒有敵人會(huì)攻擊這個(gè)系統(tǒng),因?yàn)樗辉倏尚辛恕?/p>
一些基本的防御
因此,考慮到這一點(diǎn),讓我們考慮一些基本的防御措施,以抵御一些不太復(fù)雜的側(cè)通道攻擊。正如問題中所指出的,這些技術(shù)可能很容易被忽略,所以請(qǐng)將本文視為解釋一般概念,而不是提供任何明智的建議!
時(shí)間攻擊
弱點(diǎn):
一些實(shí)現(xiàn)的運(yùn)行時(shí)間取決于它們的輸入。因此,通過通過觀察系統(tǒng)需要多長(zhǎng)時(shí)間來響應(yīng),可以了解到一些關(guān)于鍵/輸入的信息。
防御:
常數(shù)時(shí)間實(shí)現(xiàn)。就像標(biāo)題所說的,最好的對(duì)抗時(shí)間防御的方法就是確保實(shí)現(xiàn)需要花費(fèi)常數(shù)時(shí)間運(yùn)行,同時(shí)如今的大多數(shù)實(shí)現(xiàn)都是常數(shù)時(shí)間的。這可能在硬件上不是很難,但是在軟件上卻很難,因?yàn)槲⒋a(內(nèi)部處理器的程序)通常是商業(yè)機(jī)密。
功率分析(DPA,SPA)
弱點(diǎn):
一些實(shí)現(xiàn)的功耗與關(guān)鍵材料相關(guān),這通常是由于存儲(chǔ)值時(shí)的漢明距離。更多信息,請(qǐng)閱讀兩周前的博客。
防御1:
掩碼不是直接使用AES Sbox,而是將掩碼應(yīng)用于輸入值,并在掩碼Sbox中查找它(實(shí)際上,Sbox的值被重新排序以適應(yīng)掩碼)。然后,盡管攻擊者可能能夠檢測(cè)到某些內(nèi)部變量之間的關(guān)聯(lián),但這些變量都是隱藏的,并且不像以前那樣(直接)對(duì)應(yīng)于關(guān)鍵材料。更復(fù)雜的掩蔽方案實(shí)例化起來會(huì)更復(fù)雜,但是會(huì)導(dǎo)致更好的攻擊抵抗力。
防御2:
在進(jìn)行功率分析攻擊時(shí),攻擊者使用他們知道AES方案內(nèi)部結(jié)構(gòu)的事實(shí)。如果我們?cè)谖覀兊膶?shí)現(xiàn)中打亂s盒的順序(通過一些秘密排列),對(duì)手將不知道他們的讀數(shù)如何與內(nèi)部關(guān)鍵材料相對(duì)應(yīng)。另一種變體是故意使用非決定論,允許處理器自行對(duì)某些指令集合重新排序。
緩存流
弱點(diǎn):
如果適當(dāng)?shù)膯卧呀?jīng)在處理器緩存中,那么使用查找表(例如SBox)的mplem朝向的效率將會(huì)提高或降低。通過將大部分查找表推出緩存,攻擊者可以觀察是否調(diào)用了適當(dāng)?shù)膯卧?#xff0c;從而泄漏信息。如果可以觀察到加載緩存的成本,也可以觀察到定時(shí)攻擊或功率分析。
防御:
不要對(duì)秘密數(shù)據(jù)使用查詢表!這個(gè)列表中最簡(jiǎn)單的防御方法——如果您不想泄漏使用了哪些查找條目的信息,那么就不要使用查找表。對(duì)于AES,這是合理的,因?yàn)锳ES Sbox實(shí)際上可以作為輸入字節(jié)上的一個(gè)簡(jiǎn)單函數(shù)來計(jì)算。這對(duì)于(例如)沒有這種結(jié)構(gòu)的DES Sbox就不太實(shí)用。
總結(jié)
以上是生活随笔為你收集整理的[密码学基础][每个信息安全博士生应该知道的52件事][Bristol52]43 为AES 对抗侧信道攻击的防御的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [密码学基础][每个信息安全博士生应该知
- 下一篇: [Leetcode][第117题][JA