Ataque de canal lateral

El ataque a canales de terceros (o laterales) ( en inglés  side-channel attack ) es una clase de ataques dirigidos a vulnerabilidades en la implementación práctica de un criptosistema . A diferencia del criptoanálisis teórico , el ataque de canal lateral utiliza información sobre los procesos físicos en el dispositivo, que no se consideran en la descripción teórica del algoritmo criptográfico. Aunque tales ataques ya eran bien conocidos en la década de 1980 , se generalizaron después de la publicación de los resultados por Paul Kocher en 1996 [1] .

Introducción

Una primitiva criptográfica [2] puede verse desde dos puntos de vista diferentes: por un lado, es un objeto matemático abstracto ( un algoritmo , posiblemente parametrizado por una clave , que traduce un texto de entrada en un texto de salida); por otro lado, esta primitiva debe implementarse en última instancia en un programa que se ejecuta en un cierto procesador , en cierto hardware, por lo que tendrá ciertas características específicas inherentes a esta implementación en particular.

El criptoanálisis "clásico" considera las primitivas criptográficas desde el primer punto de vista. El segundo enfoque se utiliza en el criptoanálisis de canal lateral. Entre los parámetros propios de una determinada implementación, se suelen utilizar el tiempo de funcionamiento, el consumo de energía , la radiación electromagnética , los sonidos que emite el dispositivo, entre otros. Los ataques de canal lateral tienen menos generalidad que los ataques tradicionales basados ​​en el análisis matemático de un algoritmo criptográfico , pero al mismo tiempo son significativamente más efectivos. Por el momento, la mayoría de los ataques exitosos llevados a cabo en la práctica aprovechan las debilidades en la implementación y despliegue de mecanismos de algoritmos criptográficos. [3]

Clasificación de los ataques

Los ataques de canal lateral en la literatura generalmente se clasifican de acuerdo con los siguientes criterios independientes [4] :

Control sobre el proceso de computación

Dependiendo del grado de impacto en el proceso computacional, los ataques se pueden dividir en:

Como acceder al sistema

Dependiendo del nivel de acceso [5] al módulo de hardware, se pueden distinguir tres clases de ataques [6] :

Cabe señalar que los dispositivos suelen estar equipados con mecanismos de protección que protegen contra la penetración (ataques agresivos) [8] . Los ataques no agresivos son casi imposibles de notar y prevenir. Los ataques no agresivos también son económicamente más ventajosos: los ataques a gran escala casi no requieren un aumento en el costo del hardware. [7]

Método de análisis aplicado

Dependiendo de los métodos utilizados para analizar la información recibida, los ataques de canal lateral se pueden dividir en [4] :

Tipos de ataques conocidos

Ataque de sondeo

Un  ataque de sondeo es un ataque simple pasivo agresivo. Para obtener información, se abre el dispositivo, se examina la placa de circuito impreso con un microscopio óptico y se instalan sondas en los conductores por donde van las señales, o se examina el estado de las celdas de memoria [11] [12] con un microscopio . [10 ] El proceso se simplifica cuando se utiliza una configuración de sondeo, que incluye microscopios y micromanipuladores para instalar sondas en la superficie del chip. Tales configuraciones se utilizan en la industria de semiconductores para probar muestras de productos; el precio en el mercado secundario es[ ¿cuándo? ] unos 10 mil dólares [11] . Para que sea más fácil de observar, el criptoanalista suele ralentizar la velocidad del reloj del dispositivo [13] .

Ataques de tiempo

El ataque de sincronización es el  primero de los conocidos ataques de canal lateral, propuesto por Paul Kocher en 1996 [14] y puesto en práctica contra el algoritmo RSA en 1998 [15] . El ataque se basa en la suposición de que se realizan diferentes operaciones en el dispositivo en diferentes momentos, según los datos de entrada proporcionados. Así, midiendo el tiempo de cálculo y realizando un análisis estadístico de los datos, se puede obtener información completa sobre la clave secreta .

Asignar el grado de susceptibilidad de los algoritmos a este tipo de ataque [16] :

Una de las variedades de ataques de tiempo son también los ataques basados ​​en caché . Este tipo de ataque se basa en mediciones del tiempo y la frecuencia de las fallas de caché del procesador y está dirigido a implementaciones de software de cifrado [17] .  

Los ataques de tiempo también se pueden usar de forma remota. Por ejemplo, se conocen ataques de red a servidores que utilizan OpenSSL [18] .

De los algoritmos comunes, DES , AES [19] , IDEA , RC5 [14] están sujetos al ataque de tiempo .

Ataques de error de cálculo

El ataque de error de cálculo (ataque de inducción de fallas en inglés  ) es un ataque activo. La idea principal es la implementación de varias influencias en el codificador para distorsionar la información en algunas etapas del cifrado. Al controlar estas distorsiones y comparar los resultados en diferentes etapas del dispositivo, el criptoanalista puede recuperar la clave secreta. El estudio de los ataques basados ​​en errores computacionales se suele dividir en dos ramas: una estudia las posibilidades teóricas de implementación de varios errores en la ejecución del algoritmo , la otra explora los métodos de influencia para implementar estos errores en dispositivos específicos.

Métodos de influencia

Los métodos más comunes de exposición [20] :

Tipos de errores

Los ataques de error computacional se pueden clasificar según el tipo de error recibido [20] :

  • Errores fijos o variables. Los errores permanentes afectan todo el tiempo de ejecución del algoritmo, como fijar un valor en la memoria o cambiar la ruta de la señal . Los errores variables se reflejan solo en ciertas etapas del trabajo.
  • Dónde ocurrió el error: un error local, como un cambio en una ubicación de memoria, o un error en una ubicación arbitraria en el dispositivo, como un ataque de campo electromagnético.
  • Tiempo de impacto: algunos ataques requieren que el impacto se aplique en un tiempo estrictamente definido, como cambios de reloj, mientras que otros permiten que el ataque se lleve a cabo en un rango más amplio de tiempo de operación.
  • Tipo de error: cambiar el valor de un bit , establecer un valor fijo, cambiar el valor de un grupo de bits en su conjunto, cambiar el flujo de ejecución del comando, y otros.
Ejemplos de ataques a errores computacionales

Los ataques basados ​​en errores computacionales han sido estudiados desde 1996 [23] y desde entonces se ha demostrado que casi todos los algoritmos son hackeables usando este tipo de ataque. Los algoritmos conocidos incluyen:

Ataques al consumo de energía (consumo de energía)

El ataque de consumo de energía o ataque de análisis de energía es un  ataque pasivo propuesto por Paul Kocher en 1999 [27] . La esencia de este ataque es que durante la operación del codificador, el criptoanalista mide el consumo de energía del dispositivo con alta precisión y así obtiene información sobre las operaciones realizadas en el dispositivo y sus parámetros. Dado que el dispositivo suele estar alimentado por fuentes externas , tal ataque es muy fácil de implementar: basta con poner una resistencia en serie en el circuito de alimentación y medir con precisión la corriente que pasa a través de él. Otra forma es medir los cambios de voltaje en las salidas del dispositivo durante el proceso de cifrado [28] .

Los ataques de consumo de energía son muy eficientes en términos de costos de criptoanálisis. Por ejemplo, un ataque de consumo de energía simple (  análisis de energía simple ) en una tarjeta inteligente es factible en unos pocos segundos, y algunas variantes de ataques de consumo de energía diferencial (  análisis de energía diferencial ) le permiten obtener una clave secreta en solo 15 mediciones [27]. ] .

Ataques de radiación electromagnética

Un ataque de análisis electromagnético es un ataque pasivo .  Los dispositivos de cifrado electrónico emiten radiación electromagnética durante su funcionamiento. Al asociar ciertos componentes espectrales de esta radiación con las operaciones realizadas en el dispositivo, es posible obtener información suficiente para determinar la clave secreta o la información que se está procesando.

Un ejemplo de este tipo de ataque es la intercepción de van Eyck de 1986 . Posteriormente, se aplicaron ataques de radiación electromagnética a varios cifrados, como:

Ataques acústicos

Ataque acústico ( ing.  ataque acústico ) - ataque pasivo destinado a obtener información de los sonidos producidos por el dispositivo. Históricamente, este tipo de ataque se ha asociado con escuchas telefónicas de impresoras y teclados , [34] pero en los últimos años se han encontrado vulnerabilidades que permiten el uso de ataques acústicos dirigidos a los componentes internos de codificadores electrónicos [35] .

Ataques de radiación visible

El ataque de luz visible es un  ataque pasivo propuesto por Markus Kuhn en 2002 [36] . En su trabajo, demostró que usando un sensor de intensidad de luz de alta precisión , es posible medir cambios en la intensidad de la luz dispersada por el monitor , y así restaurar la imagen en la pantalla [37] . Este tipo de ataque también se puede aplicar a codificadores que utilizan indicadores LED , mediante el análisis de los datos de los que se puede obtener información sobre las operaciones en el dispositivo [38] .

Contramedidas

Los métodos para contrarrestar los ataques de canal lateral dependen de la implementación específica del algoritmo y del grado requerido de seguridad del dispositivo. Existen estándares oficiales para la seguridad de los dispositivos criptográficos, como TEMPEST y FIPS . En la literatura sobre ataques de canal lateral, se identifican las siguientes contramedidas generales [39] :

Blindaje

Un blindaje físico suficientemente fuerte del dispositivo permite eliminar casi todos los canales laterales de fuga de información. La desventaja del blindaje es un aumento significativo en el costo y el tamaño del dispositivo.

Añadir ruido

La adición de ruido complica significativamente la tarea del criptoanalista. El ruido reduce el porcentaje de información útil en el canal lateral, haciéndolo poco práctico en términos de costo o incluso imposible. El ruido se puede agregar tanto en el software (introduciendo cálculos aleatorios) como en el hardware (instalando varios generadores de ruido ).

Igualar el tiempo de ejecución de las operaciones

Para evitar que un criptoanalista realice un ataque en tiempo de ejecución, todos los pasos de cifrado en el dispositivo deben completarse al mismo tiempo. Esto se puede lograr de las siguientes maneras:

  • Agregar un retraso fijo. Si se conoce la plataforma de hardware final , entonces es posible calcular el tiempo de ejecución de cada operación e igualarlos agregando retrasos fijos.
  • Realización de múltiples operaciones al mismo tiempo. Si en algún momento de la ejecución del algoritmo se debe realizar la multiplicación o el cuadrado , se deben realizar ambas operaciones y se descarta el resultado innecesario.

La desventaja obvia de tales soluciones es la ralentización del dispositivo. Además, tales medidas no ayudan contra los retrasos dinámicos, como las fallas de caché .

Equilibrio energético

Siempre que sea posible, todas las partes de hardware del dispositivo (por ejemplo , registros o puertas ) deben participar en las operaciones , se deben realizar cálculos falsos en las partes no utilizadas. De esta manera, puede lograr un consumo de energía constante del dispositivo y protegerse contra ataques de consumo de energía.

Eliminar saltos condicionales

Puede protegerse de muchos ataques de canal lateral eliminando las operaciones de salto condicional en el algoritmo que dependen de los datos de entrada o de una clave secreta . Idealmente, el algoritmo no debería contener operadores de rama en absoluto , según los datos de entrada o la clave, y todos los cálculos deberían realizarse utilizando operaciones bit a bit elementales .

Independencia del cálculo de los datos

Si los cálculos no dependen explícitamente de los datos de entrada o de la clave secreta, el criptoanalista tampoco podrá obtenerlos de la información del canal lateral. Esto se puede lograr de varias maneras:

  • El enmascaramiento es un  método en el que se aplica una determinada máscara a los datos de entrada, se realizan cálculos y la máscara se corrige inversamente . Así, al atacar a través de canales de terceros, el criptoanalista recibirá algún valor intermedio que no revela los datos de entrada.
  • La computación ciega es un  enfoque de la criptografía en el que un dispositivo proporciona una función de cifrado sin conocer los datos reales de entrada y salida. Por primera vez, este enfoque se aplicó al algoritmo RSA y se basa en la propiedad de homomorfismo de la función de cifrado [40] .

Notas

  1. Kocher, Paul. Ataques de sincronización en implementaciones de Diffie-Hellman, RSA, DSS y otros sistemas  //  Avances en criptología: CRYPTO'96: revista. - 1996. - vol. 1109 . - pág. 104-113 . -doi : 10.1007/ 3-540-68697-5_9 .
  2. ¿Qué es una primitiva criptográfica? . Criptografía: Preguntas generales (7 de octubre de 2010). - "La fuente de las primitivas son problemas matemáticos difíciles de resolver (por ejemplo, el problema del logaritmo discreto puede servir como base de una función unidireccional) y construcciones especialmente creadas (cifrados de bloque, funciones hash)". Consultado el 27 de noviembre de 2011. Archivado desde el original el 13 de mayo de 2012.
  3. YongBin Zhou, DengGuo Feng, 2006 , pág. 3.
  4. 1 2 YongBin Zhou, DengGuo Feng, 2006 , págs. 8-9.
  5. Estos son el nivel físico, eléctrico o lógico de las interfaces disponibles para el criptoanalista.
  6. Anderson R., Bond M., Clulow J., Skorobogatov, S. Procesadores criptográficos: una encuesta  (inglés)  // Actas del IEEE: revista. - 2006. - vol. 94 , edición. 2 . - P. 357-369 . — ISSN 0018-9219 . -doi : 10.1109/ JPROC.2005.862423 . Archivado desde el original el 4 de marzo de 2016.
  7. 1 2 3 S. Skorobogatov, R. Anderson. Ataques de inducción de fallas ópticas  (ing.)  // CHES: revista. - Reino Unido, 2003. - P. 2-12 . — ISBN 3-540-00409-2 . -doi : 10.1109/ JPROC.2005.862423 .
  8. Laboratorio de Tecnologías de la Información. Requisitos de seguridad para módulos criptográficos  (ing.) (pdf). Publicación de Normas Federales de Procesamiento de la Información . Instituto Nacional de Normas y Tecnología (25 de mayo de 2001). Consultado el 18 de noviembre de 2011. Archivado desde el original el 20 de mayo de 2012.
  9. Le, TH; Clédiere, J.; Serviere, C.; Lacomé, JL;. Reducción de ruido en ataques de canal lateral utilizando cumulante de cuarto orden  // Análisis  forense y seguridad de la información, IEEE Trans on: colección. - 2007. - vol. 2 , edición. 4 . - Pág. 710-720 . — ISSN 1556-6013 . -doi : 10.1109/ TIFS.2007.910252 .
  10. Se utilizan microscopios electrónicos e iónicos
  11. 1 2 O. Kömmerling, MG Kuhn. Principios de diseño para procesadores de tarjetas inteligentes a prueba de manipulaciones  //  Actas del taller USENIX sobre tecnología de tarjetas inteligentes: una colección. - 1999. - P. 9-20 .
  12. Dr. Serguéi Skorobogatov. Ataques de canal lateral: nuevas direcciones y  horizontes . Diseño y Seguridad de Algoritmos y Dispositivos Criptográficos (ECRYPT II) (3 de junio de 2011). Consultado el 18 de noviembre de 2011. Archivado desde el original el 20 de mayo de 2012.
  13. Ross Anderson. Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables . - Nueva York: John Wiley & Sons, 2001. - S. 291-297. — 591 pág. — ISBN 0470068523 .
  14. 1 2 Paul C. Kocher. Ataques temporales a implementaciones de Diffie-Hellmann, RSA, DSS y otros sistemas  //  Avances en criptología - CRYPTO '96: colección. - Springer, 1996. - vol. 1109 . - pág. 104-113 .
  15. J.-F. Dhem, F. Koeune, P.-A. Leroux, P. Mestre, J.-J. Quisquater, J.-L. Willems. Una implementación práctica del ataque de sincronización  (inglés)  // Actas de la Conferencia internacional sobre investigación y aplicaciones de tarjetas inteligentes: colección. - Londres, Reino Unido: Springer-Verlag, 1998. - P. 167-182 . — ISBN 3-540-67923-5 .
  16. James Nechvatal, Elaine Barker Lawrence Bassham, Morris Dworkin, James Foti y Edward Roback. Informe sobre el desarrollo del estándar de cifrado avanzado (AES)  //  Revista de investigación del Instituto Nacional de Estándares y Tecnología: revista. - 2001. - Edicion. 106 , núm. 3 . -doi : 10.1.1.106.2169 . _
  17. Yukiyasu Tsunoo, Teruo Saito, Tomoyasu Suzaki, Maki Shigeri. Criptoanálisis de DES implementado en equipos con caché   // Proc . de CHES 2003, Springer LNCS: compilación. - Springer-Verlag, 2003. - P. 62-76 . -doi : 10.1.1.135.1221 . _
  18. David Brumley y Dan Boneh. Los ataques de temporización remota son prácticos  //  Actas de la 12.ª conferencia sobre el Simposio de seguridad de USENIX: compilación. - 2003. - vol. 12 _
  19. Werner Schindler, François Koeune, Jean-Jacques Quisquater. Mejora de los ataques divide y vencerás contra los criptosistemas mediante mejores estrategias de detección/corrección de errores   // Proc . de la 8ª Conferencia Internacional IMA sobre Criptografía y Codificación: colección. - 2001. - P. 245-267 . -doi : 10.1.1.13.5175 . _ Archivado desde el original el 18 de enero de 2006.
  20. 1 2 Jean-Jacques Quisquater, François Koeune. Ataques de canal lateral. Estado del arte  (inglés) págs. 12-13 (octubre de 2010). Consultado el 24 de noviembre de 2011. Archivado desde el original el 9 de mayo de 2012.
  21. Barenghi, A.; Bertoni, G.; Parrinello, E.; Pelosi, G. Ataques de fallas de bajo voltaje en el criptosistema RSA  //  Taller sobre diagnóstico de fallas y tolerancia en criptografía: una colección. - 2009. - Págs. 23-31 . — ISBN 978-1-4244-4972-9 . -doi : 10.1109/ FDTC.2009.30 .
  22. 1 2 Johannes Blömer, Jean-Pierre Seifert. Criptoanálisis basado en fallas del estándar de cifrado avanzado (AES)  (inglés)  // Criptografía financiera: revista. - 2003. - vol. 2742 . - pág. 162-181 . -doi : 10.1007 / 978-3-540-45126-6_12 . Archivado desde el original el 17 de julio de 2014.
  23. 1 2 D. Boneh, R. A. DeMillo y R. J. Lipton. Sobre la importancia de verificar los protocolos criptográficos en busca de fallas  //  Avances en criptología - EUROCRYPT '97: colección. - Springer, 1997. - vol. 1233 . - P. 37-51 . -doi : 10.1.1.48.9764 . _
  24. Marc Joye, Arjen K. Lenstra y Jean-Jacques Quisquater. Criptosistemas basados ​​en restos chinos en presencia de fallas  (inglés)  // Journal of Cryptology: journal. - 1999. - No. 4 . - P. 241-245 . -doi : 10.1.1.55.5491 . _ Archivado desde el original el 10 de septiembre de 2003.
  25. Eli Biham y Adi Shamir. Análisis diferencial de fallas de criptosistemas de clave secreta (inglés)  // Actas de la 17.ª Conferencia anual internacional de criptología sobre avances en criptología (CRYPTO '97): colección. - Springer-Verlag, 1997. - vol. 1294 . - pág. 513-525 . -doi : 10.1.1.140.2571 . _ Archivado desde el original el 10 de agosto de 2014.  
  26. I. Biehl, B. Meyer y V. Muller. Ataques de fallas diferenciales en criptosistemas de curva elíptica  (inglés)  // Avances en criptología - CRYPTO 2000: colección. - Springer-Verlag, 2000. - vol. 1880 . - pág. 131-146 . -doi : 10.1.1.107.3920 . _
  27. 1 2 Paul Kocher, Joshua Jaffe, Benjamin Jun. Análisis de potencia diferencial  (inglés)  // Proc. de Avances en Criptología (CRYPTO '99), LNCS: compendio. - 1999. - vol. 1666 . - pág. 388-397 . -doi : 10.1.1.40.1788 . _
  28. Adi Shamir. Una vista superior de los ataques de canal lateral  (ing.) (pdf) pp. 24-27 (2011). — Presentación que contiene un ejemplo de un ataque de variación de voltaje del puerto USB . Consultado el 23 de noviembre de 2011. Archivado desde el original el 20 de mayo de 2012.
  29. Jean-Jacques Quisquater y David Samyde. Análisis electromagnético (EMA): Medidas y contramedidas para tarjetas inteligentes  (inglés)  // E-SMART '01 Actas de la Conferencia internacional sobre investigación en tarjetas inteligentes: Programación y seguridad de tarjetas inteligentes: una colección. - Springer-Verlag, 2001. - vol. 2140 . - pág. 200-210 . -doi : 10.1007/ 3-540-45418-7_17 .  (enlace no disponible)
  30. Karine Gandolfi, D. Naccache, C. Paar, Karine G., Christophe Mourtel, Francis Olivier. Análisis electromagnético: resultados concretos  (inglés)  // Actas del tercer taller internacional sobre hardware criptográfico y sistemas integrados: una colección. - Springer-Verlag, 2001. - P. 251-261 . — ISBN 3-540-42521-7 .
  31. Vincent Carlier, Hervé Chabanne, Emmanuelle Dottax, Hervé Pelletier, Sagem Sa. Canales laterales electromagnéticos de una implementación FPGA de AES  (inglés)  // Computer as a Tool, 2005. EUROCON 2005: colección. — 2005.
  32. E. De Mulder, P. Buysschaert, S. B. Örs, P. Delmotte, B. Preneel, I. Verbauwhede. Ataque de análisis electromagnético en una FPGA Implementación de un criptosistema de curva elíptica  (inglés)  // EUROCON: Actas de la Conferencia internacional sobre “La computadora como herramienta: colección. - 2005. - Pág. 1879-1882 . -doi : 10.1109/ EURCON.2005.1630348 . Archivado desde el original el 4 de marzo de 2016.
  33. Pierre-alain Fouque, Gaëtan Leurent, Denis Real, Frédéric Valette. Ataque práctico de plantilla electromagnética en HMAC (ing.)  // Hardware criptográfico y sistemas integrados - CHES 2009: colección. - 2009. - Págs. 66-80 . -doi : 10.1.1.156.4969 . _ Archivado desde el original el 12 de junio de 2011.  
  34. Li Zhuang, Feng Zhou y JD Tygar. Revisión de las emanaciones acústicas del teclado  (ing.)  // Actas de la 12.ª conferencia ACM sobre seguridad informática y de las comunicaciones: colección. - 2005. - Págs. 373-382 . -doi : 10.1145/ 1102120.1102169 .
  35. Adi Shamir, Eran Tromer. Criptoanálisis acústico: sobre personas entrometidas y máquinas ruidosas  (inglés) (2011). — Descripción preliminar del concepto. Consultado el 25 de noviembre de 2011. Archivado desde el original el 20 de mayo de 2012.
  36. Kuhn, MG Riesgos de espionaje en el dominio del tiempo óptico de las pantallas CRT  //  Seguridad y privacidad, 2002. Procedimientos. Simposio IEEE 2002 sobre: ​​Compendio. - 2002. - Pág. 3-18 . -doi : 10.1109/ SECPRI.2002.1004358 .
  37. Markus Kuhn. Seguridad de las emisiones ópticas: preguntas frecuentes  (inglés) (2002). Consultado el 23 de noviembre de 2011. Archivado desde el original el 20 de mayo de 2012.
  38. Joe Loughry y David A. Umphress. Fuga de información de emanaciones ópticas  (inglés)  // ACM Transactions on Information and System Security: diario. - 2002. - vol. 5 , edición. 3 . - pág. 262-289 . -doi : 10.1145/ 545186.545189 .
  39. YongBin Zhou, DengGuo Feng, 2006 , págs. 22-24.
  40. Goldwasser S. y Bellare M. Lecture Notes on Cryptography  . Curso de verano de criptografía, MIT (1996-2001). Consultado el 27 de noviembre de 2011. Archivado desde el original el 20 de mayo de 2012.

Literatura

Enlaces

  • Base de datos  de ataques de canal lateral . — una base de datos de publicaciones dedicadas a ataques a través de canales de terceros. Consultado el 27 de noviembre de 2011. Archivado desde el original el 9 de mayo de 2012.
  • Publicaciones  de Normas Federales de Procesamiento de la Información . — Información sobre normas FIPS. Consultado el 27 de noviembre de 2011. Archivado desde el original el 9 de mayo de 2012.