摘 要: 針對AES的差分故障攻擊(DFA)過程,,總結(jié)出對AES的DFA攻擊算法與攻擊模型的特點,,在此基礎(chǔ)上為AES密碼芯片設(shè)計了一種基于TRC校驗的防護電路,并對其抗差分故障攻擊的可行性進行了仿真驗證,。結(jié)果表明,,該防護電路能夠快速準(zhǔn)確地檢測出導(dǎo)入錯誤,增強了AES芯片抗DFA攻擊的能力,。
關(guān)鍵詞: 差分故障攻擊,; AES,; 攻擊模型; TRC,; 防護電路
故障攻擊是旁道攻擊的一種,,是一種通過旁道信息的密碼攻擊方法,利用隨機硬件錯誤對RSA公鑰密碼體制進行攻擊(最早由Boneh等人提出[1]),。1997年,,Biham和Shamir等將此種攻擊方法應(yīng)用到對稱密碼體制的旁道攻擊中,并首次提出了“差分故障攻擊”DFA(Differential Fault Attack)的概念[2],。他們設(shè)計了差分故障攻擊的模型,,成功破解了DES密碼芯片的密鑰。由此,,差分故障攻擊方法被應(yīng)用到幾乎所有公開文獻中提出的密碼系統(tǒng)中,。但是,對基于代換置換網(wǎng)絡(luò)SPN(Substitution-Permutation Network)架構(gòu)的AES密碼芯片來說,,差分故障攻擊方法并不能直接對其進行攻擊,,因為AES不是Feistel架構(gòu)的。
目前,,高級數(shù)據(jù)加密標(biāo)準(zhǔn)AES已經(jīng)取代數(shù)據(jù)加密標(biāo)準(zhǔn)DES,,廣泛應(yīng)用于IPsec協(xié)議、SSL,、無線局域網(wǎng)及ATM等多個領(lǐng)域,。與此同時,,針對AES硬件實現(xiàn)密碼芯片的攻擊方法也在不斷更新,,旁道攻擊中的故障攻擊已經(jīng)成為其嚴重威脅。本文描述了針對AES-128的差分故障攻擊過程,,并給出對AES的差分故障攻擊的攻擊算法,,在此基礎(chǔ)上總結(jié)了多種攻擊模型的特點。針對差分故障攻擊的弱點,,在AES硬件實現(xiàn)中增加了抵抗DFA攻擊的防護電路,,并對其防護能力進行了仿真與驗證。
1 差分故障攻擊
差分故障攻擊(DFA)的基本原理是將密碼芯片置于強磁場中,,或者改變芯片的電源電壓,、工作頻率、溫度等,,使密碼芯片中的寄存器,、存儲器在加解密過程中產(chǎn)生隨機錯誤,某些輸出bit從原來的0變成1或1變成0,。通過對正確密文輸出和錯誤密文輸出的差分比較,,經(jīng)過理論分析,就可得到芯片內(nèi)部的秘密數(shù)據(jù)信息。
故障攻擊是一套方法的集合,,參考文獻[2]對DES的差分故障攻擊進行了詳細的分析,。通過故障長度、故障位置和故障導(dǎo)入時間3個待定參數(shù)對差分故障攻擊進行分類,。故障長度是指在芯片內(nèi)部導(dǎo)入錯誤時,,影響數(shù)據(jù)位數(shù),主要分為2種:單位錯誤和多位錯誤,。單位錯誤導(dǎo)入是指僅僅能導(dǎo)入到密碼系統(tǒng)中1位錯誤,,多位錯誤導(dǎo)入是指能導(dǎo)入到密碼系統(tǒng)中多位錯誤。故障位置是把錯誤導(dǎo)入到目標(biāo)密碼設(shè)備中的具體位置,,方便進行差錯分析,。故障導(dǎo)入時間是指導(dǎo)入錯誤使其有效的時間,同時表明攻擊者能控制設(shè)備的能力,,主要分為瞬時故障和永久故障2種模式,。瞬時故障是指在設(shè)備中導(dǎo)入錯誤,在不穩(wěn)定的同時很容易在錯誤態(tài)和正常態(tài)之間跳轉(zhuǎn),。在需要導(dǎo)入單位錯誤時,,可以考慮這種故障模式。永久故障是指錯誤導(dǎo)入能使攻擊者在他需要的時間內(nèi)一直保持故障狀態(tài),。比如,,希望設(shè)備的某一位置一直為1或0,本文所述的模擬攻擊過程就是使用單bit錯誤瞬時故障模式,。
2 針對AES的DFA
2.1高級數(shù)據(jù)加密標(biāo)準(zhǔn)AES
AES是一種分組密碼算法,,其分組長度為128 bit,密鑰長度為128 bit,,192 bit或256 bit,。本文以AES-128為例進行分析,其輸入分組和解密算法的輸出分組均為128 bit,并且分組是用以字節(jié)為單位的正方形矩陣描述,。其結(jié)構(gòu)的一個顯著特征是每一輪都使用代換和混淆,、并行處理整個數(shù)據(jù)分組的SPN架構(gòu),而不是Feistel結(jié)構(gòu),。AES架構(gòu)由輪函數(shù)通過10輪迭代實現(xiàn),,每一輪由4個不同的部分組成,包括一個混淆和3個代換,,其中字節(jié)代換是用S盒完成分組中的按字節(jié)的代換,;行移位是一個簡單的置換;列混淆是利用在域GF(28)上的算術(shù)特性的代換,,在最后一輪中沒有列混淆,;輪密鑰加是利用當(dāng)前分組和擴展密鑰的一部分進行按位XOR,,每一輪加解密需要1個輪密鑰,輪密鑰是由初始密鑰通過固定的密鑰調(diào)度算法產(chǎn)生的[3],。圖1給出了AES最后二輪的加密流程,。
其中,SB(Substitute Byte)是按字節(jié)的替換,,SR(Shift Row)是按不同的位移量進行行移位,,MC(Mix Columns)是每列并行應(yīng)用線性變換GF(28)到GF(28)的列混淆,ADK(And Key)是“異或”密鑰Key,,Mi是中間加密數(shù)據(jù)寄存器,,C是輸出密文。
2.2 DFA攻擊過程
針對AES-128的差分故障攻擊已經(jīng)有很多文獻進行了研究[4-6],,本文對其進行DFA攻擊過程的分析,。AES-128的明文與密鑰都是4×4的矩陣,其最后一輪的3個變換都是字節(jié)到字節(jié)的變換,,即最后一輪的輸入中改變1個字節(jié),,相應(yīng)的輸出密文只有1個字節(jié)的變化,變換過程如圖2所示,。
由圖2可知,,G是輸入的某一字節(jié),經(jīng)過字節(jié)代換后就被S[G]代換,,行移位變換把S[G]循環(huán)右移到另外一個位置,,接著通過密鑰“異或”運算得到了密文C。由DFA原理可知,,完成對AES的攻擊,,需要進行2次加密運算過程,一是在正常工作狀態(tài)下的加密流程,,這樣可以得到正確的密文C,。另一個是通過改變系統(tǒng)工作的外部環(huán)境,,在最后一輪的當(dāng)前輸入(如圖2所示)中導(dǎo)入故障,,而后進行加密得到故障密文C′。對正確密文C與故障密文C′進行差分分析,,計算它們之間的差值(記為D),,其關(guān)系式如下:
3 抗DFA的防護電路設(shè)計
3.1 DFA攻擊模型分析
參考文獻[5-6]都對AES密碼芯片進行了攻擊實驗,對AES的差分故障攻擊模型的特點分析如下:
(1)控制AES密碼系統(tǒng)設(shè)備,,可以完成對已知信息的加解密,。
(2) 通過外部環(huán)境的改變控制密碼系統(tǒng)的工作,能在系統(tǒng)工作過程中導(dǎo)入隨機故障,。
(3) 密碼系統(tǒng)在發(fā)生故障時,,在同一時間只能發(fā)生1種故障,,由1變成0或由0變成1,此故障稱為單向故障,。
通過分析故障攻擊模型,,可以發(fā)現(xiàn),攻擊者主要是通過外部環(huán)境的改變,,導(dǎo)致芯片內(nèi)部產(chǎn)生隨機的故障,,而且故障的類型主要是bit錯誤。這樣在模擬攻擊防護時,,設(shè)定導(dǎo)入bit錯誤,,以此來檢驗本文設(shè)計的防護電路的可行性。
3.2 防護電路設(shè)計
根據(jù)對DFA研究可知,,差分故障攻擊成功的基礎(chǔ)是在芯片內(nèi)部引入錯誤,,使其在故障模式下能夠繼續(xù)工作,通過分析芯片在故障模式與正確模式下產(chǎn)生的數(shù)據(jù),,獲取內(nèi)部密鑰等重要信息,。為此,本文在設(shè)計抵抗差分故障攻擊電路時,,可以從兩個層面進行防護:一種是檢測錯誤誘導(dǎo)的條件,,例如檢測外部工作環(huán)境,防止錯誤導(dǎo)入,。另一種是在芯片運算過程中,,設(shè)計能夠檢測到錯誤產(chǎn)生的故障檢測電路,在運算層面進行防護。由于在進行DFA攻擊過程中,需要對芯片導(dǎo)入錯誤,,所以本文沒有考慮檢測誘導(dǎo)條件的措施,。故在設(shè)計模擬引入故障情況下,從密碼芯片運算檢測的角度對差分故障攻擊進行防護,。
針對DFA攻擊的特點及抵抗其攻擊的基礎(chǔ),,只要使密碼芯片在產(chǎn)生故障情況下停止工作,攻擊者就無法得到錯誤的輸出數(shù)據(jù),,從而使DFA失效,。按照防護位置與檢測技術(shù)的要求,在AES架構(gòu)容易受到攻擊的位置,,設(shè)計基于TRC校驗器抵抗DFA的防護電路,。
TRC校驗器是鑒別差分信號的電路結(jié)構(gòu)[8],,如圖3所示,,具有4輸入2輸出,如果輸入信號a0,、a1和b0,、b1剛好是差分的,,則輸出z0、z1也是差分的,,所以這種TRC電路很容易擴展成多bit的TRC校驗器,。對于加密過程的中間數(shù)據(jù)寄存器,沒有直接采用TRC檢測模塊,,這是因為需要檢測的數(shù)據(jù)是128 bit,,無法忍受直接使用TRC校驗器帶來的傳輸延時,故在檢驗前加入了計數(shù)器模塊。
根據(jù)AES密碼算法的特點及前文對差分故障攻擊過程的分析可知,,要抵抗DFA攻擊,,需在其中間數(shù)據(jù)寄存器上安裝檢測電路。如果錯誤導(dǎo)入,,則輸出錯誤產(chǎn)生反饋信號,,這樣才能防止攻擊成功。因為AES的明文與密鑰都是128 bit的,,中間數(shù)據(jù)寄存器也是128 bit的,,故在錯誤檢驗前給檢測電路加上1個0計數(shù)器模塊,這樣就可以只通過8 bit的TRC差分校驗器來實現(xiàn)檢測功能,。
如圖4所示,,設(shè)計的抗差分故障攻擊電路模塊EDN主要由3個模塊組成,128 bit的計數(shù)器模塊0_CT,、8 bit反相器模塊以及8 bit TRC校驗器模塊TRC,。每一輪運算的初始階段,128 bit中間加密信息位C傳輸?shù)?計數(shù)器模塊0_CT,,產(chǎn)生8 bit檢驗位,,并通過反相器傳輸?shù)絋RC校驗器模塊。同時128_reg寄存器輸出數(shù)據(jù),,通過錯誤檢測網(wǎng)絡(luò)(EDN)的0計數(shù)器0_CT產(chǎn)生8 bit檢驗位,,兩組校驗位進行TRC差分比較,輸出結(jié)果Z0,、Z1,。
4 防護電路仿真與驗證
為了檢測設(shè)計的防護電路的可行性與性能,采用Verilog硬件語言,,選用Altera 的EP2C35F672C8器件,,使用QuartusII軟件對設(shè)計電路進行了綜合與仿真驗證,。在不加錯誤檢測電路與加入錯誤檢測電路的情況下,,對AES進行綜合分析,結(jié)果如表1所示,。
其中EDN是指錯誤檢測電路模塊,。從表中可以看出,,防護電路占用資源比較少,只有709個邏輯單元,,整個AES密碼芯片的功耗只增加了18.22 mW,,資源冗余增加不到整體資源的10 %,在設(shè)計抗故障攻擊的電路時可以接受這樣的防護電路,。
仿真驗證的過程中,為了更好地模擬故障攻擊過程,,對AES的中間存儲頂層模塊進行修改,引進了2個新的信號:change_en和ERROR,。change_en代表對寄存器進行某些位的修改,,當(dāng)其為高電平時有效,即寄存器的某些位發(fā)生翻轉(zhuǎn),。ERROR信號代表錯誤的產(chǎn)生,,ERROR=~,當(dāng)其為高電平時,,表明寄存器產(chǎn)生了錯誤,,低電平時表明寄存器正常工作。
從電路仿真結(jié)果圖5中可以看到,,輸入正常的情況下(80 ns~150 ns)產(chǎn)生差分的Z0,、Z1,ERROR信號為0,代表芯片正常工作,在模擬引入隨機錯誤(155 ns時,change_en=1)之后,,輸入數(shù)據(jù)的最高位發(fā)生了變化,,系統(tǒng)輸出了差錯信息,Z0,、Z1不再是差分的,,ERROR信號也變?yōu)楦唠娖???梢?此電路能正確檢測出中間數(shù)據(jù)寄存器是否有錯誤產(chǎn)生,,能夠快速準(zhǔn)確地檢測出差分故障攻擊導(dǎo)入的錯誤,提高了系統(tǒng)的安全性,。仿真結(jié)果顯示達到了設(shè)計的要求,。
差分故障攻擊已經(jīng)成為密碼芯片的嚴重威脅,本文分析了DFA攻擊原理,,對攻擊過程和攻擊算法進行了描述,。針對DFA對AES密碼芯片的攻擊特點,設(shè)計了抗DFA的防護電路,。在AES架構(gòu)的中間數(shù)據(jù)寄存器處,,增加了基于TRC校驗器的抵抗差分故障攻擊的模塊。仿真結(jié)果表明,,該防護電路能夠達到防御DFA攻擊的目的,,增強了AES芯片抗故障攻擊的能力,。此外,這種基于TRC校驗器的防護電路的設(shè)計思想也可以運用到其他需要防護DFA攻擊的密碼芯片中,。
參考文獻
[1] BONEH MILLO D, LIPTON. On the importance of checking cry-ptographic protocols for faults[C]. In proceedings of EUROCRYPT′97,,LNCS,1997:37-51.
[2] BIHAM E, SHAMIR A. Differential fault analysis of secret key cryptosystems[C]. In:Proceedings of Crypto′97,,1997,,1294:513-52.
[3] STALLINGS W. 密碼編碼學(xué)與網(wǎng)絡(luò)安全[M].北京:北京電子工業(yè)出版社,2006.
[4] CIET M, JOYE M. Elliptic curve cryptosystems in the presence of permanent and transient faults[J]. In designs,,Codes and Cryptography,,2004.
[5] PEACHAM D, THOMAS B. A DFA attack against the AES key schedule[J]. Siventure,October 2006.
[6] DUSART P,,LETOURNEUX G, VILOLO O, et al. Fault analysis on AES[C]. Lecture Notes in Computer Science,,2003,2846:293-306.
[7] MORADI A,, MOHAMMAD T,, SHALMA M,et al. A generalized method of differential fault attack against AES cryptosystem[C]. CHES 2006,,2006: 91-100.
[8] 范益波,,曾曉洋. 安全芯片中防御差分故障分析模塊的VLSI設(shè)計[C].第十九屆電路與系統(tǒng)學(xué)術(shù)年會.安徽合肥中國科學(xué)技術(shù)大學(xué),2005.