Amélioration d'attaques par canaux auxiliaires sur la cryptographie asymétrique / Improvement of side-channel attack on asymmetric cryptography

Dugardin, Margaux

11 July 2017

Depuis les années 90, les attaques par canaux auxiliaires ont remis en cause le niveau de sécurité des algorithmes cryptographiques sur des composants embarqués. En effet, tout composant électronique produit des émanations physiques, telles que le rayonnement électromagnétique, la consommation de courant ou encore le temps d’exécution du calcul. Or il se trouve que ces émanations portent de l’information sur l’évolution de l’état interne. On parle donc de canal auxiliaire, car celui-ci permet à un attaquant avisé de retrouver des secrets cachés dans le composant par l’analyse de la « fuite » involontaire. Cette thèse présente d’une part deux nouvelles attaques ciblant la multiplication modulaire permettant d’attaquer des algorithmes cryptographiques protégés et d’autre part une démonstration formelle du niveau de sécurité d’une contre-mesure. La première attaque vise la multiplication scalaire sur les courbes elliptiques implémentée de façon régulière avec un masquage du scalaire. Cette attaque utilise une unique acquisition sur le composant visé et quelques acquisitions sur un composant similaire pour retrouver le scalaire entier. Une fuite horizontale durant la multiplication de grands nombres a été découverte et permet la détection et la correction d’erreurs afin de retrouver tous les bits du scalaire. La seconde attaque exploite une fuite due à la soustraction conditionnelle finale dans la multiplication modulaire de Montgomery. Une étude statistique de ces soustractions permet de remonter à l’enchaînement des multiplications ce qui met en échec un algorithme régulier dont les données d’entrée sont inconnues et masquées. Pour finir, nous avons prouvé formellement le niveau de sécurité de la contre-mesure contre les attaques par fautes du premier ordre nommée extension modulaire appliquée aux courbes elliptiques. / : Since the 1990s, side channel attacks have challenged the security level of cryptographic algorithms on embedded devices. Indeed, each electronic component produces physical emanations, such as the electromagnetic radiation, the power consumption or the execution time. Besides, these emanations reveal some information on the internal state of the computation. A wise attacker can retrieve secret data in the embedded device using the analyzes of the involuntary “leakage”, that is side channel attacks. This thesis focuses on the security evaluation of asymmetric cryptographic algorithm such as RSA and ECC. In these algorithms, the main leakages are observed on the modular multiplication. This thesis presents two attacks targeting the modular multiplication in protected algorithms, and a formal demonstration of security level of a countermeasure named modular extension. A first attack is against scalar multiplication on elliptic curve implemented with a regular algorithm and scalar blinding. This attack uses a unique acquisition on the targeted device and few acquisitionson another similar device to retrieve the whole scalar. A horizontal leakage during the modular multiplication over large numbers allows to detect and correct easily an error bit in the scalar. A second attack exploits the final subtraction at the end of Montgomery modular multiplication. By studying the dependency of consecutive multiplications, we can exploit the information of presence or absence of final subtraction in order to defeat two protections : regular algorithm and blinding input values. Finally, we prove formally the security level of modular extension against first order fault attacks applied on elliptic curves cryptography.

Attaque par canaux auxiliaires

Cryptographie asymétrique

Cryptographie sur courbes elliptiques

RSA

Side channel attack

Asymmetric cryptography

Elliptic Curve Cryptography

RSA

Attaque par canaux auxillaires multivariées, multi-cibles et d'ordre élevé / Multivariate multitarget high order side-channel attacks

Bruneau, Nicolas

18 May 2017

Les analyses par canaux auxiliaires exploitent les fuites physiques des systèmes embarqués. Ces attaques représentent une réelle menace; c’est pourquoi différentes contre-mesures ont été développées. Cette thèse s’intéresse à la sécurité fournie par ces contre-mesures. Nous étudions leur sécurité dans le contexte où de multiples fuites sont présentes. Il arrive que plusieurs fuites de plusieurs variables puissent être exploitées lors d’analyses par canaux auxiliaires. Dans cette thèse nous présentons la méthode optimale pour exploiter les fuites d’une unique variable. Nous étudions ensuite comment de telles méthodes de réduction de dimensionnalité peuvent être appliquées dans le cas d’implémentations protégées. Nous montrons que ces méthodes voient leur efficacité augmentée avec le niveau de sécurité de l’implémentation. Nous montrons dans cette thèse comment exploiter les fuites de multiples variables pour améliorer les résultats d’analyses par canaux auxiliaires. Nous améliorons en particulier les attaques contre les schémas de masquage avec recalcul de table. Dans ce contexte nous présentons l’attaque optimale. Dans le cas où les schémas avec recalcul de table sont protégés nous montrons que le principal paramètre pour évaluer la sécurité des schémas de masquage, c’est-à-dire l’ordre n’est pas suffisant. Pour finir nous étudions de façon théorique la meilleure attaque possible en présence de masquage et de « shuffling » ce qui généralise le précédent cas d’étude. Dans ce cas nous montrons que l’attaque optimale n’est pas calculable. Pour y remédier, nous présentons une version tronquée de l’attaque optimale avec une meilleure efficacité calculatoire. / Side Channel Attacks are a classical threat against cryptographic algorithms in embedded systems. They aim at exploiting the physical leakages unintentionally emitted by the devices during the execution of their embedded programs to recover sensitive data. As such attacks represent a real threat against embedded systems different countermeasures have been developed. In thesis we investigate their security in presence of multiple leakages. Indeed there often are in the leakage measurements several variables which can be exploited to mount Side Channel Attacks. In particular we show in this thesis the optimal way to exploit multiple leakages of a unique variable. This dimensionality reduction comes with no loss on the overall exploitable information. Based on this result we investigate further how such dimensionality reduction methodscan be applied in the case of protected implementations. We show that the impact of such methods increases with the security “level” of the implementation. We also investigate how to exploit the leakages of multiplevariables in order to improve the results of Side Channel Analysis. We start by improving the attacks against masking schemes, with a precomputed table recomputation step. Some protections have been developed to protect such schemes. As a consequence we investigate the security provided by these protections. In this context we present results which show that the main parameter to evaluate the security of the masking schemes is not sufficient to estimate the global security of the implementation. Finally we show that in the context of masking scheme with shuffling the optimal attack is not computable. As a consequence we present a truncated version of this attack with a better effectiveness.

Attaque par canal auxiliaire

Schéma de masquage

Attaque multivariée

Attaque optimale

Side-channel attack

Masking scheme

Multivariate attack

Optimal attack

BDD Based Synthesis Flow for Design of DPA Resistant Cryptographic Circuits

Chakkaravarthy, Manoj

19 April 2012

No description available.

Computer Engineering

Hardware Security

Differential Power Analysis (BDD)

Side channel Attacks (SCA)

Cryptographic Circuits

BDD Based Synthesis Flow

DPA Countermeasures

Using Correlation Analysis to Locate Encryption Activity in Electromagnetic Side-Channels

Johansson, Tore, Weideskog, Simon

January 2021

Physical implementations of cryptographic algorithmscan leak sensitive information through different kindsof side-channels. This information can potentially be used forrecovering the secret key used in the algorithms. Recently, sidechannelattacks on CPU implementations of Advanced EncryptionStandard (AES) has been presented. Some of these attacksuse far-field electromagnetic radiation.In this thesis, we investigate if cross correlation can be used tolocate the part of the signal corresponding to the execution of theAES-encryption. We gather side-channel signal data containingencryption activity to create and test multiple templates forcorrelation. By evaluating the performance of the templates indifferent scenarios, we conclude that the method is useful andrelatively easy to implement compared to previous methods.Furthermore, our extraction method has a low execution timewhich gives it potential to be used in real-time attacks. / Fysiska implementationer av krypteringsalgoritmerkan läcka känslig information genom olika typer avsidokanaler. Informationen kan potentiellt användas för att återskapa algoritmernas hemliga krypteringsnycklar. Senastetiden har sidokanalsattacker mot CPU-implementationer av AdvancedEncryption Standard (AES) presenterats. Vissa av dessaattacker nyttjar utstrålande elektromagnetiska fjärrfält. I denna rapport undersöker vi om korskorrelation kananvändas för att hitta tidpunkten i signalen då AES-krypteringengenomfördes. Vi samlar in signaldata från sidokanalen sominnehåller krypteringsaktivitet, detta för att skapa och testa olikakorrelationsmallar. Genom att utvärdera mallarnas prestanda iolika scenarion kan vi sluta oss till att denna metod är användbarsamt lätt att implementera jämfört med tidigare metoder. Därtillvisar vår metods korta körtid att den har potential att användasi en realtidsattack. / Kandidatexjobb i elektroteknik 2021, KTH, Stockholm

AES

Cross correlation

Side-channel

SCA

Encryption

EM

Far-field

Elektroteknik och elektronik

Board and Chip Diversity in Deep Learning Side-Channel Attacks : On ATtiny85 Implementations Featuring Encryption and Communication / Mångfald av kretskort och chip i sidokanalsattacker med djupinlärning : På ATtiny85-implementationer med kryptering och kommunikation

Björklund, Filip, Landin, Niklas

January 2021

Hardware security is an increasingly relevant topic because more and more systems and products are equipped with embedded microcontrollers. One type of threat against hardware security is attacks against encryption implementations in embedded hardware. The purpose of such attacks might be to extract the secret encryption key used to encrypt secret information that is being processed in the hardware. One type of such an attack that has gained more attention lately is side-channel attacks using deep learning algorithms. These attacks exploit the information that leaks from a chip in the form of the power the chip is consuming during encryption. In order to execute a side-channel attack assisted by deep learning, large amounts of data are needed for the neural network to train on. The data typically consists of several hundreds of thousands of power traces that have been captured from the profiling device. When the network has finished training, only a few power traces are required from a similar device to extract the key byte that has been used during encryption. In this project, the 8-bit microcontroller ATtiny85 was used as the victim device. AES-ECB 128 was used as the encryption algorithm. The goal of the project was to test how differences between boards and ATtiny85 chips affect the performance of side-channel attacks with deep learning. In the experiments, six different boards were used, where three of them had identical designs, and three of the boards had different designs. The data gathering was performed by measuring power consumption with an oscilloscope connected to a PC. The results showed that the similarity between the boards that were used for profiling and the boards that were attacked was the most important aspect for the attack to succeed with as few power traces as possible. If the board that was attacked was represented as a part of the training dataset, improved attack performance could be observed. If the training used data from several identical boards, no obvious improvement in attack performance could be seen. The results also showed that there are noticeable differences between identical ATtiny85 chips. These differences were obvious because the best attacks were the ones where the attacked chip was part of the training data set. There are several directions for future work, including how feasible these attacks are in real life scenarios and how to create efficient countermeasures. / Hårdvarusäkerhet blir mer aktuellt allt eftersom fler och fler system och produkter utrustas med mikrokontrollers. En typ av hot mot hårdvarusäkerhet är attacker mot krypteringsimplementationer i inbyggd hårdvara. Sådana attacker kan ha som syfte att försöka ta fram den krypteringsnyckel som används för att kryptera hemlig information som hanteras i hårdvaran. En sådan typ av attack, som undersökts mycket under senare år, är sidokanalsattacker där djupinlärningsalgoritmer används. Dessa attacker utnyttjar den information som läcker från ett chip genom den ström som chippet förbrukar. För att kunna utföra en sidokanalsattack med hjälp av djupinlärning krävs stora mängder data för att träna det neurala nätverket som utgör djupinlärningen. Datan består vanligtvis av flera hundra tusen strömförbrukningsspår tagna från chippet som är tänkt att attackeras. Denna data märks upp med vilken nyckel och text som använts vid krypteringen, eftersom metoden som används är övervakad inlärning. När nätverket är färdigtränat krävs bara ett fåtal strömförbrukningsspår från ett liknande chip för att ta reda på vilken nyckel som används i krypteringen. I detta projekt användes ATtiny85, en 8-bitars mikrokontroller, som det utsatta chippet för attacken. 128 bitars AES-ECB användes som krypteringsalgoritm. Målet med projektet var att testa hur olikheter mellan olika kretskort och olika identiska ATtiny85-chip påverkar resultaten av sidokanalsattacker med djupinlärning. I testerna användes sex olika kretskort, där tre stycken var likadana varandra, och tre stycken var olika varandra. Datainsamlingen skedde genom att mäta strömförbrukningen med ett oscilloskop kopplat till en dator. Resultaten visade att likheten mellan de kretskort som användes för att samla in data och kretskortet som attackeras är den viktigaste faktorn för att attacken ska lyckas med hjälp av så få insamlade strömförbrukningsspår som möjligt. Om det kretskort som attackeras är representerat som en del av träningsdatamängden ses också förbättrade effekter i attackresultaten. Om träningen sker på flera identiska kretskort kunde ingen tydlig förbättring av attackerna observeras. Resultaten visade också att det finns skillnader mellan olika identiska ATtiny85-chip. Dessa skillnader visar sig i att en attack lyckas bäst om det attackerade chippet ingick i träningsdatamängden. Framtida studier kan bland annat undersöka hur effektiva dessa attacker är i en realistisk miljö samt om det är möjligt att skapa effektiva motåtgärder.

side-channel attack

deep learning

poweranalysis

ATtiny85

diversity

sidokanalsattack

djupinlärning

effektanalys

ATtiny85

mångfald

Engineering and Technology

Teknik och teknologier

Secure and Efficient Implementations of Cryptographic Primitives

Guo, Xu

30 May 2012

Nowadays pervasive computing opens up many new challenges. Personal and sensitive data and computations are distributed over a wide range of computing devices. This presents great challenges in cryptographic system designs: how to protect privacy, authentication, and integrity in this distributed and connected computing world, and how to satisfy the requirements of different platforms, ranging from resource constrained embedded devices to high-end servers. Moreover, once mathematically strong cryptographic algorithms are implemented in either software or hardware, they are known to be vulnerable to various implementation attacks. Although many countermeasures have been proposed, selecting and integrating a set of countermeasures thwarting multiple attacks into a single design is far from trivial. Security, performance and cost need to be considered together. The research presented in this dissertation deals with the secure and efficient implementation of cryptographic primitives. We focus on how to integrate cryptographic coprocessors in an efficient and secure way. The outcome of this research leads to four contributions to hardware security research. First, we propose a programmable and parallel Elliptic Curve Cryptography (ECC) coprocessor architecture. We use a systematic way of analyzing the impact of System-on-Chip (SoC) integration to the cryptographic coprocessor performance and optimize the hardware/software codesign of cryptographic coprocessors. Second, we provide a hardware evaluation methodology to the NIST SHA-3 standardization process. Our research efforts cover both of the SHA-3 fourteen Second Round candidates and five Third Round finalists. We design the first SHA-3 benchmark chip and discuss the technology impact to the SHA-3 hardware evaluation process. Third, we discuss two technology dependent issues in the fair comparison of cryptographic hardware. We provide a systematic approach to do a cross-platform comparison between SHA-3 FPGA and ASIC benchmarking results and propose a methodology for lightweight hash designs. Finally, we provide guidelines to select implementation attack countermeasures in ECC cryptosystem designs. We discuss how to integrate a set of countermeasures to resist a collection of side-channel analysis (SCA) attacks and fault attacks. The first part of the dissertation discusses how system integration can affect the efficiency of the cryptographic primitives. We focus on the SoC integration of cryptographic coprocessors and analyze the system profile in a co-simulation environment and then on an actual FPGA-based SoC platform. We use this system-level design flow to analyze the SoC integration issues of two block ciphers: the existing Advanced Encryption Standard (AES) and a newly proposed lightweight cipher PRESENT. Next, we use hardware/software codesign techniques to design a programmable ECC coprocessor architecture which is highly flexible and scalable for system integration into a SoC architecture. The second part of the dissertation describes our efforts in designing a hardware evaluation methodology applied to the NIST SHA-3 standardization process. Our Application Specific Integrated Circuit (ASIC) implementation results of five SHA-3 finalists are the first ASIC real measurement results reported in the literature. As a contribution to the NIST SHA-3 competition, we provide timely ASIC implementation cost and performance results of the five SHA-3 finalists in the SHA-3 standard final round evaluation process. We define a consistent and comprehensive hardware evaluation methodology to the NIST SHA-3 standardization process from Field Programmable Gate Array (FPGA) prototyping to ASIC implementation. The third part of the dissertation extends the discussion on hardware benchmarking of NIST SHA-3 candidates by analyzing the impact of technology to the fair comparison of cryptographic hardware. First, a cross-platform comparison between the FPGA and ASIC results of SHA-3 designs demonstrates the gap between two sets of benchmarking results. We describe a systematic approach to analyze a SHA-3 hardware benchmark process for both FPGAs and ASICs. Next, by observing the interaction of hash algorithm design, architecture design, and technology mapping, we propose a methodology for lightweight hash implementation and apply it to CubeHash optimizations. Our ultra-lightweight design of the CubeHash algorithm represents the smallest ASIC implementation of this algorithm reported in the literature. Then, we introduced a cost model for analyzing the hardware cost of lightweight hash implementations. The fourth part of the dissertation discusses SCA attacks and fault attacks resistant cryptosystem designs. We complete a comprehensive survey of state-of-the-art of secure ECC implementations and propose a methodology on selecting countermeasures to thwart multiple side-channel attacks and fault attacks. We focus on a systematic way of organizing and understanding known attacks and countermeasures. / Ph. D.

Block Cipher

Side-Channel Attacks

SHA-3

Hash Function

System-on-Chip

Cryptographic Coprocessor

Elliptic Curve Cryptography

Fault Attacks

A Deep Learning Approach to Side-Channel Analysis of Cryptographic Hardware

Ramezanpour, Keyvan

08 September 2020

With increased growth of the Internet of Things (IoT) and physical exposure of devices to adversaries, a class of physical attacks called side-channel analysis (SCA) has emerged which compromises the security of systems. While security claims of cryptographic algorithms are based on the complexity of classical cryptanalysis attacks, they exclude information leakage by implementations on hardware platforms. Recent standardization processes require assessment of hardware security against SCA. In this dissertation, we study SCA based on deep learning techniques (DL-SCA) as a universal analysis toolbox for assessing the leakage of secret information by hardware implementations. We demonstrate that DL-SCA techniques provide a trade-off between the amount of prior knowledge of a hardware implementation and the amount of measurements required to identify the secret key. A DL-SCA based on supervised learning requires a training set, including information about the details of the hardware implementation, for a successful attack. Supervised learning has been widely used in power analysis (PA) to recover the secret key with a limited size of measurements. We demonstrate a similar trend in fault injection analysis (FIA) by introducing fault intensity map analysis with a neural network key distinguisher (FIMA-NN). We use dynamic timing simulations on an ASIC implementation of AES to develop a statistical model for biased fault injection. We employ the model to train a convolutional neural network (CNN) key distinguisher that achieves a superior efficiency, nearly $10times$, compared to classical FIA techniques. When a priori knowledge of the details of hardware implementations is limited, we propose DL-SCA techniques based on unsupervised learning, called SCAUL, to extract the secret information from measurements without requiring a training set. We further demonstrate the application of reinforcement learning by introducing the SCARL attack, to estimate a proper model for the leakage of secret data in a self-supervised approach. We demonstrate the success of SCAUL and SCARL attacks using power measurements from FPGA implementations of the AES and Ascon authenticated ciphers, respectively, to recover entire 128-bit secret keys without using any prior knowledge or training data. / Doctor of Philosophy / With the growth of the Internet of Things (IoT) and mobile devices, cryptographic algorithms have become essential components of end-to-end cybersecurity. A cryptographic algorithm is a highly nonlinear mathematical function which often requires a secret key. Only the user who knows the secret key is able to interpret the output of the algorithm to find the encoded information. Standardized algorithms are usually secure against attacks in which in attacker attempts to find the secret key given a set of input data and the corresponding outputs of the algorithm. The security of algorithms is defined based on the complexity of known cryptanalysis attacks to recover the secret key. However, a device executing a cryptographic algorithm leaks information about the secret key. Several studies have shown that the behavior of a device, such as power consumption, electromagnetic radiation and the response to external stimulation provide additional information to an attacker that can be exploited to find the secret key with much less effort than cryptanalysis attacks. Hence, exposure of devices to adversaries has enabled the class of physical attacks called side-channel analysis (SCA). In SCA, an attacker attempts to find the secret key by observing the behavior of the device executing the algorithm. Recent government and industry standardization processes, which choose future cryptographic algorithms, require assessing the security of hardware implementations against SCA in addition to the algorithmic level security of the cryptographic systems. The difficulty of an SCA attack depends on the details of a hardware implementation and the form of information leakage on a particular device. The diversity of possible hardware implementations and platforms, including application specific integrated circuits (ASIC), field programmable gate arrays (FPGA) and microprocessors, has hindered the development of a unified measure of complexity in SCA attacks. In this research, we study SCA with deep learning techniques (DL-SCA) as a universal methodology to evaluate the leakage of secret information by hardware platforms. We demonstrate that DL-SCA based on supervised learning can be considered as a generalization of classical SCA techniques, and is able to find the secret information with a limited size of measurements. However, supervised learning techniques require a training set of data that includes information about the details of hardware implementation. We propose unsupervised learning techniques that are able to find the secret key even without knowledge of the details of the hardware. We further demonstrate the ability of reinforcement learning in estimating a proper model for data leakage in a self-supervised approach. We demonstrate that DL-SCA techniques are able to find the secret information even if the timing of data leakage in measurements are random. Hence, traditional countermeasures are unable to protect a hardware implementation against DL-SCA attacks. We propose a unified countermeasure to protect the hardware implementations against a wide range of SCA attacks.

Autoencoder

Deep learning (Machine learning)

Fault Injection Analysis

Power Analysis

Reinforcement Learning

Side-Channel Analysis

Unsupervised Learning

Identificação das teclas digitadas a partir da vibração mecânica. / Identification of pressed keys from mechanical vibrations.

Faria, Gerson de Souza

28 November 2012

Este trabalho descreve um ataque que detecta as teclas pressionadas em teclados mecânicos pela análise das vibrações geradas quando as mesmas são pressionadas. Dois equipamentos foram experimentados no ataque: um teclado genérico de automação comercial e um terminal de ponto de venda (POS / PIN-pad). Acelerômetros são utilizados como sensores de vibração. Propositalmente, o equipamento necessário para a execução do ataque é de baixíssimo custo, de modo a ressaltar o risco das vulnerabilidades encontradas. Obtivemos taxas de sucesso médio de 69% no reconhecimento das teclas pressionadas para o terminal PIN-pad em repouso e 75% para o mesmo sendo segurado na mão. No caso de teclado de automação comercial, as taxas médias de acerto ficaram em torno de 99%. / This work describes an attack that identifies the sequence of keystrokes analyzing mechanical vibrations generated by the act of pressing keys. We use accelerometers as vibration sensors. The apparatus necessary for this attack is inexpensive and can be unobtrusively embedded within the target equipment. We tested the proposed attack on an ATM keypad and a PIN-pad. We achieved the key recognition rates of 99% in ATM keypad, 69% in PIN-pad resting on a hard surface and 75% in PIN-pad hold in hand.

Accelerometers

Acelerômetros

Arduino

Arduino

Ataque a canais secundários

ATM

ATM

Information security

Keyboards

PIN-pad

PIN-pad

Processamento de sinais

Segurança da informação

Side channel attack

Signal processing

Teclados

Tempest

Tempest

Analyse Sécuritaire des Émanations Électromagnétiques des Circuits Intégrés / Security Analysis of Integrated Circuit radiation

Dehbaoui, Amine

18 January 2011

Le développement de la société de l'information et de la monnaie virtuelle, a soulevé de nouveaux problèmes aux communautés de la sécurité et du circuit intégré, faisant devenir la cryptologie un outil incontournable permettant de répondre aux exigences sécuritaires telles que l'identification, l'authentification ou la confidentialité. L'intégration des primitives cryptographiques dans différents dispositifs électroniques est largement répandue aujourd'hui dans le domaine des communications, des services financiers, des services gouvernementaux ou de la PayTV. Au premier rang de ces dispositifs, figure la carte à puce. D'après un rapport publié en août 2010, IMS Research prévoit que le marché de la carte à puce atteindra les 5.8 milliards d'unités vendues en fin d'année. La grande majorité est utilisée dans les télécommunications (carte SIM) et les services bancaires. La carte à puce incorpore un circuit intégré qui peut être, soit un processeur dédié aux calculs cryptographiques, soit seulement de la mémoire non-volatile ou les deux. Ces circuits intégrés manipulent et contiennent donc des secrets comme les clefs secrètes ou privées utilisées par les algorithmes de cryptographie symétriques ou asymétriques. Ces clefs doivent donc, rester absolument confidentielles et intègres afin de garantir la chaîne de sécurité. Par conséquent la robustesse des cartes à puces aux attaques cryptographiques est cruciale. En effet, les attaques sur les circuits intégrés sont aujourd'hui très performantes. Elles peuvent être classées selon trois grandes familles : invasives, semi-invasives et non-invasives. 1- Les attaques invasives sont des attaques menées en général par des experts et requièrent du matériel spécifique. 2- Les attaques semi-invasives, famille d'attaques récemment introduite par l'équipe de Ross Anderson, dont le principe est de décapsuler le package contenant le circuit, afin de se positionner le plus proche possible de la surface, sans pour autant en détériorer les fonctionnalités. 3- Les attaques non-invasives ne nécessitent aucune préparation préalable du dispositif soumis aux attaques. Elles consistent à espionner les phénomènes physiques engendrés par la manipulation des données et notamment les clefs secrètes. Les attaques non-invasives peuvent être considérées comme les plus dangereuses, dans la mesure où ce type d'attaque peut être réalisé sans contact avec le circuit. En effet, pendant l'utilisation d'appareils électroniques, les circuits qui les composent sont soumis à des variations de courant et de tension. Ces variations génèrent des ondes électromagnétiques qui se propagent dans le voisinage du circuit. Ces émanations présentent une corrélation avec des informations censées être stockées dans la puce de façon sécurisée (exemple: la clef secrète d'une carte bancaire utilisée pour l'authentification). Plusieurs attaques dites par canaux auxiliaires, et basées sur ces fuites électromagnétiques ont été publiées par la communauté scientifique ces dernières années. Cette thèse a pour objectifs: (a) comprendre les différentes sources des émanations électromagnétiques des circuits intégrés, et de proposer un flot d'attaque électromagnétique localisée et en champ proche afin de tester la robustesse d'un circuit cryptographique contre les attaques et analyses utilisant le canal électromagnétique, et (b) proposer des contre-mesures afin de contrecarrer ces attaques par analyse de champ électromagnétique. Afin d'atteindre ces objectifs, nous présentons, dans un premier temps, une technique efficace nommée WGMSI (Weighted Global Magnitude Squared Incoherence) pour localiser les positions, au-dessus du circuit cryptographique, qui génèrent les émanations électromagnétiques les plus dépendantes des données secrètes. Dans un deuxième temps la WGMSI est utilisée aussi pour améliorer la stabilité et la convergence des différentes attaques électromagnétiques proposées dans la littérature. La suite de la thèse décrit les différentes contre-mesures aux attaques par canaux auxiliaires. En effet, face à ces techniques d'attaques évoluées, il est primordial, de rendre les fonctions cryptographiques implantées dans les circuits intégrés pour la sécurité (confidentialité, authentification, intégrité ... ), inattaquables en un temps raisonnable et ceci même en manipulant des sous-clefs dans des chiffrements par blocs. Pour cela, on se focalisera principalement aux contre-mesures basées sur des logiques différentielles et dynamiques. Ces contre-mesures sont dites par conception, puisqu'elles se situent au niveau des portes logiques qui sont considérées comme les éléments de base pour la conception d'un circuit intégré. Ceci permet une certaine indépendance des algorithmes cryptographiques vis à vis de l'architecture ou de la technologie considérées. Parmi les différentes logiques différentielles et dynamiques, on s'intéressera plus spécifiquement à la logique STTL (Secure Triple Track logic) qui peut être considérée comme une amélioration de la logique double rail, dans la mesure où un troisième rail est ajouté afin de contrecarrer la faiblesse principale de la logique double rail, à savoir l'évaluation anticipée. Enfin, nous présenterons un flot d'implémentation sur FPGA de la logique STTL prouvée robuste aux attaques par analyse de courant, et nous implémenterons un prototype de DES STTL afin de tester sa robustesse aux attaques électromagnétiques localisées en champ proche. / The integration of cryptographic primitives in different electronic devices is widely used today incommunications, financial services, government services or PayTV.Foremost among these devices include the smart card. According to a report published in August 2010, IMS Research forecasts that the smart card market will reach 5.8 billion units sold in this year. The vast majority is used in telecommunications (SIM) and banking.The smart card incorporates an integrated circuit which can be a dedicated processor for cryptographic calculations. Therefore, these integrated circuits contain secrets such as secret or private keys used by the symmetric or asymmetric cryptographic algorithms. These keys must remain absolutely confidential to ensure the safety chain.Therefore the robustness of smart cards against attacks is crucial. These attacks can be classifiedinto three main categories: invasive, semi-invasive and non-invasive.Non-invasive attacks can be considered the most dangerous, since this kind of attack can be achieved without any contact with the circuit.Indeed, while using electronic circuits that compose them are subjected to variations in current and voltage. These variations generate an electromagnetic radiation propagating in the vicinity of the circuit.These radiations are correlated with secret information (eg a secret key used for authentication). Several attacks based on these leakages were published by the scientific community.This thesis aims to: (a) understand the different sources of electromagnetic emanations of integrated circuits, and propose a localized near field attack to test the robustness of a cryptographic circuit and (b) propose counter-measures to these attacks.

Analyse Différentielle

Dema

Champ proche

Circuits cryptographiques

Sécurité

Attaques par canaux auxiliaires

Differential Analysis

Dema

Near Field Scan

Cryptographic hardware

Security

Side channel Attacks

Étude des techniques d'analyse de défaillance et de leur utilisation dans le cadre de l’évaluation de la sécurité des composants de traitement de l’information / Considering ways of failure analysis and their use in the security evaluation of the information processing circuits

Di Battista, Jérôme

11 April 2011

Les travaux présentés concernent l'exploration des techniques de localisation utilisées en analyse de défaillance dans le but de les appliquer au domaine de la sécurité numérique des circuits et systèmes intégrés. Ces travaux contribuent, d'une part à étendre le champ d'application des techniques d'analyses de vulnérabilités, et d'autre part à apporter des éléments de réponses sur la faiblesse des implémentations cryptographiques sur circuits de type FPGA. Cette thèse s'inscrit donc dans une démarche à la fois de prévention mais aussi de veille technologique en matière d'attaque en apportant un complément d'information sur la faiblesse des implémentations matérielles de systèmes sécurisés. Dans le cadre de l'évaluation des composants de traitement de l'information par les laboratoires agréés (CESTI), l'analyse de vulnérabilité, et plus spécifiquement la cryptanalyse matérielle, a pour but d'éprouver la sécurité des systèmes d'information (composants cryptographiques, carte bancaire, systèmes de cryptage, etc..) dans le but de tester leur résistance face aux attaques connues. En parallèle, dans le cadre de l'analyse de défaillance des circuits utilisés dans le domaine spatial, la localisation de défauts consiste à collecter et analyser les données d'un circuit défaillant afin d'identifier la source du défaut à l'aide de puissants outils. La combinaison de ces deux activités nous a permis dans un premier temps, d'exploiter la lumière émise par un circuit comme un signal de fuite de type « side-channel » par le biais d'une méthode d'attaque semi-invasive par canal auxiliaire, Differential Light Emission Analysis (DLEA). Cette attaque, basée sur un traitement statistique des courbes d'émission de lumière, a permis d'extraire les sous-clés utilisées par un algorithme DES implanté sur circuit FPGA. Dans un second temps, nous avons proposé une seconde technique basée sur la stimulation laser consistant à exploiter l'effet photoélectrique afin d'améliorer les attaques par canaux auxiliaires « classiques ». Pour cela, une attaque DPA améliorée par stimulation laser a été mise en place. Ainsi nous avons démontré que le balayage du faisceau laser sur certains éléments du cryptosystème (algorithme DES implanté sur FPGA) augmente sa signature DPA permettant ainsi de diminuer sensiblement le nombre de courbes de consommation nécessaires pour extraire les sous-clés utilisées par l'algorithme. / The purpose of failure analysis is to locate the source of a defect in order to characterize it, using different techniques (laser stimulation, light emission, electromagnetic emission...). Moreover, the aim of vulnerability analysis, and particularly side-channel analysis, is to observe and collect various leakages information of an integrated circuit (power consumption, electromagnetic emission ...) in order to extract sensitive data. Although these two activities appear to be distincted, they have in common the observation and extraction of information about a circuit behavior. The purpose of this thesis is to explain how and why these activities should be combined. Firstly it is shown that the leakage due to the light emitted during normal operation of a CMOS circuit can be used to set up an attack based on the DPA/DEMA technique. Then a second method based on laser stimulation is presented, improving the “traditional” attacks by injecting a photocurrent, which results in a punctual increase of the power consumption of a circuit. These techniques are demonstrated on an FPGA device.

Attaque par canaux auxiliaires

Analyse de défaillance

Emission de lumière

Stimulation Laser

Dpa

Side-Channel Attacks

Failure Analysis

Light Emission

Laser Stimulation

Dpa