Stratégies pour sécuriser les processeurs embarqués contre les attaques par canaux auxiliaires / Strategies for Securing Embedded Processors against Side-Channel Attacks

Barthe, Lyonel

10 July 2012

Les attaques par canaux auxiliaires telles que l'analyse différentielle de la consommation de courant (DPA) et l'analyse différentielle des émissions électromagnétiques (DEMA) constituent une menace sérieuse pour la sécurité des systèmes embarqués. L'objet de cette thèse est d'étudier les vulnérabilités des implantations logicielles des algorithmes cryptographiques face à ces attaques pour concevoir un processeur d'un nouveau type. Pour cela, nous commençons par identifier les différents éléments des processeurs embarqués qui peuvent être exploités pour obtenir des informations secrètes. Puis, nous introduisons des stratégies qui privilégient un équilibre entre performance et sécurité pour protéger de telles architectures au niveau transfert de registres (RTL). Nous présentons également la conception et l'implantation d'un processeur sécurisé, le SecretBlaze-SCR. Enfin, nous évaluons l'efficacité des solutions proposées contre les analyses électromagnétiques globales et locales à partir de résultats expérimentaux issus d'un prototype du SecretBlaze-SCR réalisé sur FPGA. A travers cette étude de cas, nous montrons qu'une combinaison appropriée de contre-mesures permet d'accroître significativement la résistance aux analyses par canaux auxiliaires des processeurs tout en préservant des performances satisfaisantes pour les systèmes embarqués. / Side-channel attacks such as differential power analysis (DPA) and differential electromagnetic analysis (DEMA) pose a serious threat to the security of embedded systems. The aim of this thesis is to study the side-channel vulnerabilities of software cryptographic implementations in order to create a new class of processor. For that purpose, we start by identifying the different elements of embedded processors that can be exploited to reveal the secret information. Then, we introduce several strategies that seek a balance between performance and security to protect such architectures at the register transfer level (RTL). We also present the design and implementation details of a secure processor, the SecretBlaze-SCR. Finally, we evaluate the effectiveness of the proposed solutions against global and local electromagnetic analyses from experimental results obtained with a FPGA-based SecretBlaze-SCR. Through this case study, we show that a suitable combination of countermeasures significantly increases the side-channel resistance of processors while maintaining satisfactory performance for embedded systems.

Attaques par Canaux Auxiliaires

Dpa/dema

Processeurs Embarqués

Contre-mesures

SecretBlaze

Side-Channel Attacks

Dpa/dema

Embedded Processors

Countermeasures

SecretBlaze

Analyse Sécuritaire des Émanations Électromagnétiques des Circuits Intégrés / Security Analysis of Integrated Circuit radiation

Dehbaoui, Amine

18 January 2011

Le développement de la société de l'information et de la monnaie virtuelle, a soulevé de nouveaux problèmes aux communautés de la sécurité et du circuit intégré, faisant devenir la cryptologie un outil incontournable permettant de répondre aux exigences sécuritaires telles que l'identification, l'authentification ou la confidentialité. L'intégration des primitives cryptographiques dans différents dispositifs électroniques est largement répandue aujourd'hui dans le domaine des communications, des services financiers, des services gouvernementaux ou de la PayTV. Au premier rang de ces dispositifs, figure la carte à puce. D'après un rapport publié en août 2010, IMS Research prévoit que le marché de la carte à puce atteindra les 5.8 milliards d'unités vendues en fin d'année. La grande majorité est utilisée dans les télécommunications (carte SIM) et les services bancaires. La carte à puce incorpore un circuit intégré qui peut être, soit un processeur dédié aux calculs cryptographiques, soit seulement de la mémoire non-volatile ou les deux. Ces circuits intégrés manipulent et contiennent donc des secrets comme les clefs secrètes ou privées utilisées par les algorithmes de cryptographie symétriques ou asymétriques. Ces clefs doivent donc, rester absolument confidentielles et intègres afin de garantir la chaîne de sécurité. Par conséquent la robustesse des cartes à puces aux attaques cryptographiques est cruciale. En effet, les attaques sur les circuits intégrés sont aujourd'hui très performantes. Elles peuvent être classées selon trois grandes familles : invasives, semi-invasives et non-invasives. 1- Les attaques invasives sont des attaques menées en général par des experts et requièrent du matériel spécifique. 2- Les attaques semi-invasives, famille d'attaques récemment introduite par l'équipe de Ross Anderson, dont le principe est de décapsuler le package contenant le circuit, afin de se positionner le plus proche possible de la surface, sans pour autant en détériorer les fonctionnalités. 3- Les attaques non-invasives ne nécessitent aucune préparation préalable du dispositif soumis aux attaques. Elles consistent à espionner les phénomènes physiques engendrés par la manipulation des données et notamment les clefs secrètes. Les attaques non-invasives peuvent être considérées comme les plus dangereuses, dans la mesure où ce type d'attaque peut être réalisé sans contact avec le circuit. En effet, pendant l'utilisation d'appareils électroniques, les circuits qui les composent sont soumis à des variations de courant et de tension. Ces variations génèrent des ondes électromagnétiques qui se propagent dans le voisinage du circuit. Ces émanations présentent une corrélation avec des informations censées être stockées dans la puce de façon sécurisée (exemple: la clef secrète d'une carte bancaire utilisée pour l'authentification). Plusieurs attaques dites par canaux auxiliaires, et basées sur ces fuites électromagnétiques ont été publiées par la communauté scientifique ces dernières années. Cette thèse a pour objectifs: (a) comprendre les différentes sources des émanations électromagnétiques des circuits intégrés, et de proposer un flot d'attaque électromagnétique localisée et en champ proche afin de tester la robustesse d'un circuit cryptographique contre les attaques et analyses utilisant le canal électromagnétique, et (b) proposer des contre-mesures afin de contrecarrer ces attaques par analyse de champ électromagnétique. Afin d'atteindre ces objectifs, nous présentons, dans un premier temps, une technique efficace nommée WGMSI (Weighted Global Magnitude Squared Incoherence) pour localiser les positions, au-dessus du circuit cryptographique, qui génèrent les émanations électromagnétiques les plus dépendantes des données secrètes. Dans un deuxième temps la WGMSI est utilisée aussi pour améliorer la stabilité et la convergence des différentes attaques électromagnétiques proposées dans la littérature. La suite de la thèse décrit les différentes contre-mesures aux attaques par canaux auxiliaires. En effet, face à ces techniques d'attaques évoluées, il est primordial, de rendre les fonctions cryptographiques implantées dans les circuits intégrés pour la sécurité (confidentialité, authentification, intégrité ... ), inattaquables en un temps raisonnable et ceci même en manipulant des sous-clefs dans des chiffrements par blocs. Pour cela, on se focalisera principalement aux contre-mesures basées sur des logiques différentielles et dynamiques. Ces contre-mesures sont dites par conception, puisqu'elles se situent au niveau des portes logiques qui sont considérées comme les éléments de base pour la conception d'un circuit intégré. Ceci permet une certaine indépendance des algorithmes cryptographiques vis à vis de l'architecture ou de la technologie considérées. Parmi les différentes logiques différentielles et dynamiques, on s'intéressera plus spécifiquement à la logique STTL (Secure Triple Track logic) qui peut être considérée comme une amélioration de la logique double rail, dans la mesure où un troisième rail est ajouté afin de contrecarrer la faiblesse principale de la logique double rail, à savoir l'évaluation anticipée. Enfin, nous présenterons un flot d'implémentation sur FPGA de la logique STTL prouvée robuste aux attaques par analyse de courant, et nous implémenterons un prototype de DES STTL afin de tester sa robustesse aux attaques électromagnétiques localisées en champ proche. / The integration of cryptographic primitives in different electronic devices is widely used today incommunications, financial services, government services or PayTV.Foremost among these devices include the smart card. According to a report published in August 2010, IMS Research forecasts that the smart card market will reach 5.8 billion units sold in this year. The vast majority is used in telecommunications (SIM) and banking.The smart card incorporates an integrated circuit which can be a dedicated processor for cryptographic calculations. Therefore, these integrated circuits contain secrets such as secret or private keys used by the symmetric or asymmetric cryptographic algorithms. These keys must remain absolutely confidential to ensure the safety chain.Therefore the robustness of smart cards against attacks is crucial. These attacks can be classifiedinto three main categories: invasive, semi-invasive and non-invasive.Non-invasive attacks can be considered the most dangerous, since this kind of attack can be achieved without any contact with the circuit.Indeed, while using electronic circuits that compose them are subjected to variations in current and voltage. These variations generate an electromagnetic radiation propagating in the vicinity of the circuit.These radiations are correlated with secret information (eg a secret key used for authentication). Several attacks based on these leakages were published by the scientific community.This thesis aims to: (a) understand the different sources of electromagnetic emanations of integrated circuits, and propose a localized near field attack to test the robustness of a cryptographic circuit and (b) propose counter-measures to these attacks.

Analyse Différentielle

Dema

Champ proche

Circuits cryptographiques

Sécurité

Attaques par canaux auxiliaires

Differential Analysis

Dema

Near Field Scan

Cryptographic hardware

Security

Side channel Attacks

Fluxo de ataque DPA/DEMA baseado na energia dos traços para neutralizar contramedidas por desalinhamento temporal em criptosistemas

Lellis, Rodrigo Nuevo

23 February 2017

Submitted by Aline Batista (alinehb.ufpel@gmail.com) on 2018-04-19T14:01:22Z No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertacao_Rodrigo_Nuevo_Lellis.pdf: 1982046 bytes, checksum: 64712cc3d5117bfeff36f5d57b2f6054 (MD5) / Approved for entry into archive by Aline Batista (alinehb.ufpel@gmail.com) on 2018-04-19T14:41:57Z (GMT) No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertacao_Rodrigo_Nuevo_Lellis.pdf: 1982046 bytes, checksum: 64712cc3d5117bfeff36f5d57b2f6054 (MD5) / Made available in DSpace on 2018-04-19T14:45:19Z (GMT). No. of bitstreams: 2 license_rdf: 0 bytes, checksum: d41d8cd98f00b204e9800998ecf8427e (MD5) Dissertacao_Rodrigo_Nuevo_Lellis.pdf: 1982046 bytes, checksum: 64712cc3d5117bfeff36f5d57b2f6054 (MD5) Previous issue date: 2017-02-23 / Sem bolsa / Nas últimas décadas uma das grandes preocupações de projetistas de hardware dedicado a aplicações que exigem segurança e sigilo de informações tais como smart cards são os ataques a canais laterais (em inglês Side Channel Attacks – SCAs). Estes ataques permitem relacionar os dados processados em dispositivos eletrônicos com grandezas físicas tais como a potência, a emissão de radiação eletromagnética ou o tempo de processamento. Isto se torna crítico quando, por exemplo, algoritmos criptográficos são executados e a chave criptográfica pode ser revelada pelo ataque. Dentre estes ataques, os baseados nos traços de potência, conhecidos como ataque por Análise Diferencial de Potência (em inglês Differential Power Analysis – DPA) e na emissão de radiação eletromagnética, denominados de Análise Diferencial Eletromagnética (em inglês Differential Electromagnetic Analysis - DEMA) são os mais populares, e por não serem invasivos, serem eficientes e não deixarem rastros no dispositivo atacado. Por outro lado, estes ataques exigem que a aquisição dos traços de potência ou radiação eletromagnética, sejam alinhados no tempo a fim de comparar e avaliar estatisticamente as amostras relativas a execução de operações com diferentes dados. Na literatura, existem diversas contramedidas visando evitar a ação destes ataques através da inserção de aleatoriedade de execução de operações, seja através da adição de atrasos aleatórios até a execução com diferentes frequências de relógio. Da mesma forma, existem propostas de estratégias baseadas em processamento de sinais aplicadas aos traços a fim de extrair informações vazadas pela arquitetura, métodos como correlação de fase (em inglês, Phase Only Correlation - POC), deformação dinâmica de tempo (do inglês, Dynamic Time Warping - DTW) e filtros digitais são usados em fluxos de ataques para estabelecer o realinhamento de traços antes da realização de ataques. Apesar disso, estes métodos são restritos a traços processados com sinal de relógio de mesma frequência ou com pequenas variações, o que por consequência exigem um grande número de traços e seus agrupamentos por frequência de operação. Este trabalho propõe um fluxo de ataque baseado no cálculo da energia dos traços a fim de permitir o realinhamento dos traços independentemente da frequência de operação e assim potencializar a ação dos ataques DPA em arquiteturas protegidas por contramedidas com inserção de aleatoriedade no processamento. Os resultados obtidos destacam que os ataques DPA são mais efetivos quando o cálculo da energia ocorre com segmentos de tamanho aproximado a metade do ciclo médio das frequências de operação dos traços atacados. Em comparação com trabalhos anteriores, o fluxo permite uma redução, no melhor caso, de aproximadamente 93% traços para um ataque bem-sucedido, motivando o uso do fluxo proposto. / In recent decades one of the major concerns of hardware designers dedicated to applications requiring security and secrecy of information such as smart cards are Side Channel Attacks (SCAs). These attacks allow you to relate processed data to electronic devices with physical quantities such as power consumption, electromagnetic radiation emission or processing time. This becomes critical when, for example, cryptographic algorithms are executed and the cryptographic key can be revealed by the attack. Among these attacks, by power consumption and emission of electromagnetic radiation are the most popular, known as Differential Power Analysis (DPA) and Differential Electromagnetic Analysis (DEMA). Since they are not invasive, efficient and leave no traces on the attacked device. These attacks require that the acquisition of traces of power consumption or electromagnetic radiation relating to the execution of cryptographic algorithms be time aligned in order to statistically compare and evaluate consumption or radiation samples for the execution of operations with different data. In the literature there are several countermeasures of these attacks through the randomization of execution operations either by adding random delays to the by changing clock frequencies. Similarly, there are proposals for strategies based on signal processing applied to the traces in order to extract information leaked by the architecture. Methods such as phase correlation (POC), dynamic time warping (DTW) and digital filters are used to realign traces before attacks. Nevertheless, these methods are restricted to traces processed with clock signal of the same frequency or with small variations, and require a large number of traces or their clustering frequency. This work proposes an attack flow based on the calculation of the trace energy in order to allow the realignment independently of the frequency of operation and thus enable the action of the DPA attacks in architectures with countermeasures based on processing randomization. Results show that DPA attacks are more effective when the energy is calculated in segments of approximately half the average cycle of the frequencies of operation of the traces attacked. Compared to previous works, the flow allows a reduction, in the best case, of approximately 93% traces for a successful attack, motivating the use of the proposed flow.

Ataques a canais laterais

Potência

DPA

DEMA

Criptografia

Side channel attacks

Power consumption

Cryptography