книги хакеры / журнал хакер / 191_Optimized

ВМЕСТОВВЕДЕНИЯ

треть тут: goo.gl/73n5OC). Код шифра был взят из Сети

Человек постоянно пользуется эффектами, которые про-

(goo.gl/yO2Ouj) и выполнялся на 8-битовом микрокон-

являются при взаимодействии объектов, чтобы судить

троллере STM8 Discovery (goo.gl/zBypZv). В рассматри-

о свойствах самих объектов. С помощью такого подхода,

ваемой реализации AES нет уязвимостей, о которых го-

например, было открыто строение атома. В начале XX

ворилось в предыдущей статье, поэтому будем полагать,

века не было возможности увидеть сам атом, поэтому его

что ты пока не нашел, как взламывать этот шифр.

строение представлялось в виде «булочки с изюмом», где

Как мы уже говорили, исполнение алгоритма изменяет

в качестве изюма выступали электроны. Эта модель ис-

свойства вычислительного устройства. Если ты до сих пор

пользовалась как основная до тех пор, пока Резерфорд

этому не веришь, то посмотри на рис. 1 и скажи, видишь

и Гейгер не провели эксперимент по рассеиванию аль-

ли ты AES. На нем изображено измерение входного напря-

фа-частиц в тонких пластинах. Эксперимент не позволил

жения всего микроконтроллера, которое обычно обо-

увидеть строение атома, но по второстепенному эффекту

значается как Vdd. Это напряжение используется для ра-

ученые смогли догадаться, что модель «булочки с изю-

боты всех блоков STM8, включая ЦПУ, память, устройства

мом» не работает. Другим очевидным примером служит

ввода-вывода и другие подсистемы. Измерение было

вычисление объема тела произвольной формы. Самое

сделано с помощью цифрового осциллоскопа Picoscope

простое, что можно сделать, — это опустить такое тело

3207A, пропускная способность которого 250 МГц. В дан-

в воду и рассчитать объем по новому уровню воды. Похо-

ном случае интервал между двумя точками равен 352 нс,

жие методы можно применить и для взлома криптографи-

а на графике всего 19 886 точек. Так как частота микро-

ческих алгоритмов.

контроллера 16 МГц (период 62,5 нс), то в среднем на-

В криптографии существует целый класс атак, назы-

пряжение измерялось для каждого 5-го такта, тем не ме-

ваемых атаками по второстепенным каналам, которые

нее раунды и даже операции каждого раунда могут быть

используют физические параметры вычислительного

явно различены (таблица замещения Sbox, перестановка

устройства для определения ключей шифров. Основы

MixColumn, сложение с ключом). Данный осциллоскоп по-

атак были рассмотрены в предыдущей статье («Крипто-

зволяет уменьшить интервал вплоть до 100 пс (правда,

графия под прицелом», #189), где секретный ключ алго-

в этом случае одно измерение будет содержать около 70

ритма DES определялся по времени работы всего шиф-

миллионов точек).

ра. Если ты ее не читал, то настоятельно рекомендую это

Несмотря на то что алгоритм AES симметричный,

сделать, ибо в ней объясняется математическая состав-

он имеет различное число базовых операций: 11 сложе-

ляющая атаки, а именно закон больших чисел Чебышева

ний с ключом, по 10 операций таблицы замены (Sbox),

и коэффициент корреляции. В этой статье возвращаться

и лишь 9 операций над колонками MixColumn. На рис. 2

к основам не будем, а больше сосредоточимся на микро-

красным цветом выделены 11 сложений с ключом, зеле-

электронике и статистике.

ным цветом — 10 операций замены и черным цветом —

СКАЖИМНЕ,КАКТЫЕШЬ,ИЯСКАЖУ...

9 операций MixColumn. В начале и конце алгоритма могут

происходить копирование или инициализация, поэтому

ЧТОТЫЕЛ

Для расширения кругозора в этот раз мы будем использо-

вать алгоритм AES-128 (описание которого можно посмо-

Рис. 1. Потребление энергии при выполнении AES

1

Предположим, мы хотим сло-

жить значение регистров R1 (ис-

ходный текст) и R2 (ключ) и ре-

зультат записать в регистр R1.

Регистры специального назначе-

ния уже загружены, и они активи-

ровали нужные части микрокон-

троллера. На первом такте оба

значения R1 и R2 отправляются

в облако, где с помощью логиче-

ских элементов складываются. Так

как выполняется новая операция,

то с распространением сигнала

от R1 и R2 обновляется состояние

логических элементов, и это вызы-

вает потребление энергии. Затем,

когда все логические элементы

обновились и результат сложения

отправился на вход R1, система

замирает, и питание не потребля-

ется до тех пор, пока на регистр

R1 не пришел синхросигнал. В этот

момент регистр обновился, и сра-

зу же новое значение отправилось

в облако логических элементов,

тем самым вызвав новый всплеск

в потребленной энергии. Если вы-

полняется другая инструкция, то,

3

возможно, ты увидишь всплеск

другой формы (посмотри на пат-

терны на рис. 2, выделенные раз-

Рис. 3. Схема аппаратной реализации

ным цветом), так как будут задействованы другие логи-

ческие элементы.

Момент обновления регистров общего назначения

ния. Таким образом, логические элементы — это один

очень важен. Во-первых, в этот момент происходит наи-

из потребителей энергии.

большее потребление энергии, так как обновленное зна-

В микросхеме, помимо логических элементов, есть

чение регистра вызывает дальнейшее переключение ло-

еще регистры, хранящие промежуточные значения вы-

гических элементов. Во-вторых, из-за стабильной частоты

числений. В отличие от логических элементов, для работы

осциллятора все операции совершаются в один и тот же

регистров требуется синхросигнал, который будет син-

момент времени, поэтому измеренное напряжение будет

хронизировать операции в микросхеме. Синхросигнал

синхронизировано. Я хочу сказать, что для двух различ-

обычно имеет прямоугольную форму фиксированной ча-

ных выполнений одного и того же кода система в момент

стоты, например, STM8 Discovery использует 16 МГц, а со-

времени t будет находиться в одинаковом состоянии,

временные процессоры от Intel и AMD способны работать

то есть сигнал будет обрабатываться одними и теми же

выше 3,5 ГГц. Переключение регистра происходит следу-

логическими элементами. Возможно, это сложно понять,

ющим образом: на первый вход регистра подается сигнал

но в дальнейшем ты увидишь, почему это важно.

от логических элементов, этот сигнал должен быть полу-

В данном объяснении тебе важно запомнить, что наи-

чен заранее и уже более не должен обновляться в данный

большее потребление энергии происходит в момент пе-

такт. На второй вход регистра подается синхросигнал,

реключения регистра и все кривые напряжения синхрони-

в момент, когда синхросигнал переключается с низкого

зированы по времени.

на высокое значение, происходит перезапись регистра

Теперь мы посмотрим, как использовать эти знания

и, соответственно, потребление энергии. Поэтому вторым

для вычисления ключа. Мы разберем лишь один, самый

и основным источником потребления энергии являются

первый способ атаки, а некоторые важные улучшения это-

регистры памяти.

го метода рассмотрим в следующей статье.

МОПСЫИИХПОВЕДЕНИЕ

ДИФФЕРЕНЦИАЛЬНЫЙАНАЛИЗ

На рис. 3 схематично изображена система любой инструк-

ПИТАНИЯ.ТЕОРИЯ

ции или любого аппаратного дизайна. Есть регистры об-

Первая атака через потребленную энергию была опубли-

щего назначения R1 и R2, которые хранят промежуточные

кована Полом Кохером в 1996 году, хотя, строго говоря,

значения вычислений. Есть «облако» логических элемен-

его нельзя назвать автором этого метода — на тот момент

тов, которое позволяет выполнять те или иные операции

технологии атаки активно обсуждались в фидонете. Со-

(сложение, умножение, операции сдвига и так далее). Об-

гласно неофициальным данным, уже в конце 80-х годов

лако логических элементов, равно как и регистры обще-

прошлого века наши спецслужбы профилировали выпол-

го назначения, контролируется регистрами специального

нение каждой отдельной инструкции микроконтроллеров,

назначения. Именно они определяют, какая операция бу-

то есть они могли сказать, какая инструкция соответствует

дет выполняться и в какой момент.

данной кривой напряжения (а первые зарубежные опу-

бликованные работы на эту тему появились лишь в сере-

Рис. 6. Максимальное значение разностей средних для ключей

дине 2000-х — посмотри Template Attacks), хотя, еще раз

при первом целевом бите

повторюсь, информация неофициальная.

Дифференциальный анализ питания основан на том,

что энергия переключения из 0 в 1 отличается от энергии

вую группу (группа 1) входят те кривые, для которых этот

переключения из 1 в 0. Это очень незначительное пред-

бит установлен в 1, во вторую группу (группа 0) входят те

положение, и я смело заявляю, что оно верно для 100%

кривые, для которых этот бит равен 0. Затем вычисляется

полупроводниковых устройств, то есть для всех гаджетов,

среднее арифметическое каждой группы и рассматрива-

которые ты используешь каждый день. По крайней мере

ется их разность, собственно, поэтому анализ и называет-

существует строгое доказательство того, что для КМОП-

ся дифференциальным. Если модель и ключ были верны,

технологии это действительно так (вот книга, объясняю-

то на разности средних арифметических в тот момент,

щая это свойство КМОП-систем еще до появления анали-

когда использовался результат моделируемого регистра,

за питания: goo.gl/wxVP8l).

можно увидеть значительный всплеск. Теперь рассмо-

Дифференциальный анализ питания проходит в не-

трим все более детально.

сколько этапов. Вначале определяется целевой регистр,

ДИФФЕРЕНЦИАЛЬНЫЙАНАЛИЗПИТАНИЯ.

то есть инструкция, результат работы которой ты будешь

атаковать. Внимательно прочти еще раз, ты будешь атако-

ВСЕОБAES

вать не саму инструкцию, а ее результат, то есть значение,

Если нам доступны шифротексты, то мы можем моде-

записываемое в регистр. Целевой регистр может исполь-

лировать результат Sbox последнего раунда. Мы знаем,

зоваться несколько раз, и, как ты увидишь, это повлияет

что первый байт шифротекста вычислялся следующим

на атаку. Результат работы инструкции должен зависеть

образом: С(1) = Sbox[S9(1)]

xor K10(1), где S9(1) —

от известных тебе данных (исходных текстов или шифро-

это первый байт результата

работы девяти раундов,

текстов) и от неизвестного значения ключа. Для AES-128

а K10(1) — это первый байт ключа последнего раунда. Со-

обычно используют операции, связанные с одной табли-

гласно алгоритму AES, значение S9(1) должно быть полу-

цей замещения Sbox, так как в этом случае ключ можно

чено, чтобы рассчитать конечное значение шифротекста,

искать побайтово, плюс Sbox — нелинейная операция,

пропустить вычисление S9(1) невозможно, просто потому,

и она позволяет быстрее отбросить неправильные значе-

что так задан алгоритм. Мы работаем с 8-битным микро-

ния ключей. Во время каждого шифрования измеряется

контроллером и незащищенной реализацией алгоритма

кривая напряжения, затем с помощью известных данных

AES, поэтому, скорее всего, значение S9(1) было получе-

и неизвестного ключа вычисляется значение целевого ре-

но и сохранено вначале в регистре (значение нужно полу-

гистра (как это делается — объясняется ниже). Из этого

чить, а все результаты вначале записываются в регистры

значения выбирается один бит (например, первый), и все

общего назначения), а затем в стеке, чтобы использовать-

кривые напряжения разделяются на две группы. В пер-

ся в следующем раунде. Таким образом, мы определились

с целевой инстр

айный» результат

укцией, которая зависит как от ключа, так

регистра хранило промежуточный «случ

и от шифротекста

). Когда наш

, плюс это нелинейная операция, что по-

шифра (результат другой Sbox, к при

могает в атаках

о второстепенным каналам

в половине

случаев, предыду-

моделируемый бит равен

1

Давай выбе

четверти случаев

рем первый

бит значения

S9(1) =

щее значение регистра было 0 (то есть в

InvSbox[С(1)

реключение будет

or K10(1)]

, с помощью которого мы бу-

от N), и примерно в четверти случаев пе

дем

происхо

, а в четверти

цировать

кривые

ряжения.

нет. То же самое с нулем:

Оставшиеся биты можно

Мы можем смоделировать

в средн

переключение

использовать

ля улуч

из

в

будет у N/4 шиф-

1

0

шения/ускорения

, и в оставшей-

вычис-

результат, который дол-

рований

ления ключа, но

мы пока

переключений

ся част

будем

работать

(0 перезапишет

лишь

жен быть записан в регистр,

не буде

с одним первым

чается,

что среди

битом.

0

). Полу

Помнишь,

но мы не знаем предыдущее

ований будет N/4

ы

гово-

N шифр

рили, что энерг

ия пере

из 0 в

1

переклю

ключения из 1 в

и из

значение регистра, поэтому

и прим

столько

же

0

0

в 1 отличается.

из 1 в 0.

Мы мо-

переклю

жем смоделиро

вать ре

не можем определить, было ли

предыдущее

Если

зультат,

который

регистра было

должен

значени

быть записан в

переключение или нет

постоян

,

например

регистр,

но мы не знаем

предыду

в нем з

аписывался счет-

щее значение

регистра,

чик цик

, то он всегда

поэтому

точно

не

мо

равен либо 1,

либо

0.

жем определить

лучае еще проще,

, было

В этом с

ли переключение

так как одна из двух групп, созданных п

моделируемому

или нет. На самом деле это и не нужно.

Мы просто полагаем, что предыдущее значение регистра

биту, будет всегда переключаться, а другая никогда.