Электромагнитная атака - Electromagnetic attack

В криптографии , электромагнитные атаки являются атаки бокового канала , выполненные путем измерения электромагнитного излучения , испускаемого из устройства и выполнения анализа сигналов на нем. Эти атаки представляют собой более конкретный тип того, что иногда называют фрикингом Ван Экка , с целью перехвата ключей шифрования . Электромагнитные атаки обычно бывают неинвазивными и пассивными, что означает, что эти атаки могут выполняться путем наблюдения за нормальным функционированием целевого устройства без причинения физического ущерба. Однако злоумышленник может получить лучший сигнал с меньшим шумом , разобрав чип и собрав сигнал ближе к источнику. Эти атаки успешны против криптографических реализаций, которые выполняют различные операции в зависимости от данных, обрабатываемых в данный момент, таких как реализация RSA с квадратом и умножением . Различные операции испускают разное количество излучения, и электромагнитный след шифрования может показать точные выполняемые операции, позволяя злоумышленнику получить полные или частичные закрытые ключи .

Как и многие другие атаки по побочным каналам, электромагнитные атаки зависят от конкретной реализации криптографического протокола, а не от самого алгоритма . Электромагнитные атаки часто выполняются вместе с другими атаками по побочным каналам, такими как атаки анализа мощности .

Задний план

Все электронные устройства излучают электромагнитное излучение. Поскольку каждый провод, по которому проходит ток, создает магнитное поле , электронные устройства создают небольшие магнитные поля при использовании. Эти магнитные поля могут непреднамеренно раскрыть информацию о работе устройства, если оно неправильно спроектировано. Поскольку все электронные устройства подвержены этому явлению, термин «устройство» может относиться к чему угодно, от настольного компьютера до мобильного телефона и смарт-карты.

Электромагнитное излучение

Электромагнитные волны - это тип волн, которые исходят от заряженных частиц , характеризуются различной длиной волны и подразделяются на категории по электромагнитному спектру . Любое устройство, использующее электричество, будет излучать электромагнитное излучение из-за магнитного поля, создаваемого заряженными частицами, движущимися по среде . Например, радиоволны излучаются электричеством, движущимся вдоль радиопередатчика , или даже со спутника .

В случае электромагнитных атак по побочным каналам злоумышленники часто смотрят на электромагнитное излучение, излучаемое вычислительными устройствами, которые состоят из цепей . Электронные схемы состоят из полупроводниковых материалов, на которых размещены миллиарды транзисторов . Когда компьютер выполняет вычисления, такие как шифрование, электричество, проходящее через транзисторы, создает магнитное поле, и излучаются электромагнитные волны.

Электромагнитные волны могут быть захвачены с помощью индукционной катушки, а аналого-цифровой преобразователь затем может дискретизировать волны с заданной тактовой частотой и преобразовать след в цифровой сигнал для дальнейшей обработки компьютером.

Индукционная катушка

Электронное устройство выполняет вычисления синхронизируется с часами, на котором работает на частотах порядка мега-герц (МГц) до Giga-герц (ГГц). Однако из-за аппаратной конвейерной обработки и сложности некоторых инструкций для выполнения некоторых операций требуется несколько тактов. Следовательно, не всегда необходимо производить выборку сигнала с такой высокой тактовой частотой. Часто можно получить информацию обо всех или большинства операций во время выборки порядка кило-герц (кГц). Разные устройства передают информацию с разной частотой. Например, процессор Intel Atom будет пропускать ключи во время шифрования RSA и AES на частотах от 50 до 85 МГц. Реализация библиотеки Bouncy Castle для Android версии 4.4 для ECDSA уязвима для атак по побочному каналу извлечения ключа в диапазоне 50 кГц.

Обработка сигналов

Спектрограмма, показывающая шифрование и дешифрование RSA. Две функции показаны на графике толстыми фиолетовыми линиями, поскольку они сосредоточены в небольшом частотном диапазоне с очень высокой амплитудой по сравнению с окружающим шумом.

Каждая операция, выполняемая компьютером, испускает электромагнитное излучение, а разные операции испускают излучение на разных частотах. При атаках по электромагнитным побочным каналам злоумышленник интересуется только несколькими частотами, на которых происходит шифрование. Обработка сигналов отвечает за изоляцию этих частот от огромного множества посторонних излучений и шумов. Чтобы изолировать определенные частоты, к электромагнитной трассе должен быть применен полосовой фильтр , который блокирует частоты за пределами заданного диапазона. Иногда злоумышленник не знает, на каких частотах выполняется шифрование. В этом случае трассу можно представить в виде спектрограммы , которая может помочь определить, какие частоты наиболее распространены в различных точках выполнения. В зависимости от атакуемого устройства и уровня шума может потребоваться применение нескольких фильтров.

Методы атаки

Электромагнитные атаки можно в общих чертах разделить на атаки простого электромагнитного анализа (SEMA) и атаки дифференциального электромагнитного анализа (DEMA).

Простой электромагнитный анализ

В атаках с простым электромагнитным анализом (SEMA) злоумышленник определяет ключ напрямую, наблюдая за следом. Это очень эффективно против реализаций асимметричной криптографии. Обычно требуется лишь несколько трассировок, хотя злоумышленник должен хорошо разбираться в криптографическом устройстве и реализации криптографического алгоритма . Реализация, уязвимая для атак SEMA, будет выполнять разные операции в зависимости от того, равен ли бит ключа 0 или 1, что будет использовать разное количество энергии и / или разные компоненты микросхемы. Этот метод распространен во многих различных типах атак по побочным каналам, в частности, в атаках с анализом мощности. Таким образом, злоумышленник может наблюдать за всем вычислением шифрования и может вывести ключ.

Например, обычная атака на асимметричный RSA основана на том факте, что шаги шифрования зависят от значения битов ключа. Каждый бит обрабатывается операцией возведения в квадрат, а затем операцией умножения тогда и только тогда, когда бит равен 1. Злоумышленник с чистой трассировкой может вывести ключ, просто наблюдая, где выполняются операции умножения.

Дифференциальный электромагнитный анализ

В некоторых случаях простой электромагнитный анализ невозможен или не дает достаточно информации. Атаки с помощью дифференциального электромагнитного анализа (DEMA) более сложны, но эффективны против реализации симметричной криптографии, против которой атаки SEMA не годятся. Кроме того, в отличие от SEMA, DEMA-атаки не требуют больших знаний об атакуемом устройстве.

Известные атаки

Хотя тот факт, что схемы, излучающие высокочастотные сигналы, могут пропускать секретную информацию, был известен АНБ с 1982 года, он был засекречен до 2000 года, что было как раз в то время, когда исследователи продемонстрировали первую электромагнитную атаку на шифрование. С тех пор было введено гораздо больше сложных атак.

Устройства

Смарт-карты

Основная статья: Смарт-карта § Безопасность
Распиновка смарт-карты

Смарт-карты , часто называемые «чип-карты», были разработаны для обеспечения более безопасных финансовых транзакций, чем традиционные кредитные карты. Они содержат простые встроенные интегральные схемы, предназначенные для выполнения криптографических функций. Они подключаются непосредственно к считывателю карт, который обеспечивает мощность, необходимая для выполнения зашифрованных финансовых транзакций . Было доказано, что многие атаки по побочным каналам эффективны против смарт-карт, поскольку они получают питание и часы непосредственно от устройства чтения карт. Подделка устройства чтения карт позволяет легко собирать следы и выполнять атаки по побочным каналам. Однако другие работы также показали, что смарт-карты уязвимы для электромагнитных атак.

ПЛИС

Основная статья: FPGA § Вопросы безопасности

Программируемые пользователем вентильные матрицы ( FPGA ) обычно используются для реализации криптографических примитивов в аппаратном обеспечении для увеличения скорости. Эти аппаратные реализации так же уязвимы, как и другие программные примитивы. В 2005 году реализация шифрования с эллиптической кривой была показана уязвимой для атак SEMA и DEMA. ВСС блочный шифр является общим примитивным реализован с FPGAs , что было показано утечки ключей.

Персональные компьютеры

В отличие от смарт-карт, которые представляют собой простые устройства, выполняющие одну функцию, персональные компьютеры выполняют множество функций одновременно. Таким образом, выполнять против них электромагнитные атаки по побочным каналам гораздо сложнее из-за высокого уровня шума и высокой тактовой частоты . Несмотря на эти проблемы, исследователи в 2015 и 2016 годах продемонстрировали атаки на ноутбук с помощью магнитного зонда ближнего поля . Результирующий сигнал, наблюдаемый всего несколько секунд, был отфильтрован, усилен и оцифрован для извлечения ключа в автономном режиме. Для большинства атак требуется дорогостоящее лабораторное оборудование и требуется, чтобы злоумышленник находился как можно ближе к компьютеру жертвы. Однако некоторым исследователям удалось продемонстрировать атаки с использованием более дешевого оборудования и с расстояния до полуметра. Однако эти атаки требовали сбора большего количества следов, чем более дорогие атаки.

Смартфоны

Основная статья: смартфон

Смартфоны представляют особый интерес для атак по побочным электромагнитным каналам. С появлением платежных систем для мобильных телефонов, таких как Apple Pay , системы электронной коммерции становятся все более обычным явлением. Аналогичным образом, увеличилось количество исследований, посвященных атакам по побочным каналам безопасности мобильных телефонов. В настоящее время большинство атак являются подтверждением концепции с использованием дорогостоящего лабораторного оборудования для обработки сигналов. Одна из этих атак продемонстрировала, что коммерческий радиоприемник может обнаружить утечку мобильного телефона на расстоянии до трех метров.

Однако атаки с использованием недорогого потребительского оборудования также оказались успешными. Используя внешнюю звуковую карту USB и индукционную катушку, извлеченную из беспроводной зарядной площадки, исследователи смогли извлечь ключ подписи пользователя в реализациях ECDSA для Android OpenSSL и Apple CommonCrypto.

Примеры уязвимых схем шифрования

Широко используемые теоретические схемы шифрования являются математически безопасными , однако этот тип безопасности не учитывает их физические реализации и, следовательно, не обязательно защищает от атак по побочным каналам. Таким образом, уязвимость заключается в самом коде, а небезопасной оказывается именно конкретная реализация. К счастью, с тех пор многие из показанных уязвимостей были исправлены . Уязвимые реализации включают, помимо прочего, следующее:

  • Libgcrypt - криптографическая библиотека GnuPG , реализация алгоритма шифрования с открытым ключом ECDH (с момента исправления)
  • Реализация 4096-битного RSA в GnuPG (после исправления)
  • Реализация 3072-битного ElGamal в GnuPG (после исправления)
  • GMP- реализация 1024-битного RSA
  • Реализация 1024-битного RSA в OpenSSL

Осуществимость

Описанные до сих пор атаки в основном были сосредоточены на использовании индукции для обнаружения непреднамеренного излучения. Однако использование технологий связи в дальней зоне, таких как AM-радио, также может быть использовано для атак по побочным каналам, хотя не было продемонстрировано никаких ключевых методов извлечения для анализа сигналов в дальней зоне . Таким образом, приблизительная характеристика потенциальных противников, использующих эту атаку, варьируется от высокообразованных людей до картелей с низким и средним финансированием. Ниже показано несколько возможных сценариев:

Мобильные платежные системы

Основная статья: Торговая точка

Системы точек продаж, которые принимают платежи с мобильных телефонов или смарт-карт, уязвимы. Индукционные катушки могут быть скрыты в этих системах для записи финансовых транзакций со смарт-карт или платежей по мобильному телефону. Извлекая ключи, злоумышленник может подделать свою карту или произвести мошеннические платежи с помощью закрытого ключа. Belgarric et al. предложить сценарий, в котором мобильные платежи выполняются с транзакциями биткойнов . Поскольку реализация биткойн-клиента для Android использует ECDSA, ключ подписи может быть извлечен в точке продажи. Эти типы атак лишь немного сложнее, чем скиммеры с магнитной полосой, которые в настоящее время используются на традиционных картах с магнитной полосой.

Подушки для беспроводной зарядки

Многие общественные заведения, такие как Starbucks , уже предлагают бесплатные общедоступные беспроводные зарядные устройства . Ранее было показано, что те же катушки, которые используются в беспроводной зарядке, можно использовать для обнаружения непреднамеренного излучения. Следовательно, эти зарядные площадки представляют потенциальную опасность. Вредоносные зарядные устройства могут пытаться извлекать ключи в дополнение к зарядке телефона пользователя. В сочетании с возможностями перехвата пакетов в общедоступных сетях Wi-Fi извлеченные ключи можно использовать для проведения атак типа «злоумышленник в середине» на пользователей. Если атаки дальнего поля обнаружены, злоумышленнику нужно только направить свою антенну на жертву, чтобы выполнить эти атаки; жертве не нужно активно заряжать свой телефон от одной из этих общедоступных планшетов.

Контрмеры

Было предложено несколько мер противодействия электромагнитным атакам, но идеального решения не существует. Многие из следующих контрмер сделают электромагнитные атаки более сложными, а не невозможными.

Физические меры противодействия

Один из наиболее эффективных способов предотвращения электромагнитных атак - затруднить злоумышленнику сбор электромагнитного сигнала на физическом уровне. В общем, разработчик аппаратного обеспечения может спроектировать аппаратное обеспечение шифрования для уменьшения мощности сигнала или для защиты микросхемы. Экранирование цепей и проводов, такое как клетка Фарадея , эффективно снижает сигнал, а также фильтрует сигнал или вносит посторонний шум для маскировки сигнала. Кроме того, для большинства электромагнитных атак требуется, чтобы атакующее оборудование находилось очень близко к цели, поэтому расстояние является эффективным средством противодействия. Разработчики схем также могут использовать определенные клеи или конструктивные элементы, чтобы затруднить или сделать невозможным разупаковку микросхемы без ее разрушения.

В последнее время моделирование методом белого ящика использовалось для разработки общей схемы противодействия с низким уровнем накладных расходов как против электромагнитных атак, так и против атак по побочным каналам питания. Чтобы свести к минимуму влияние металлических слоев более высокого уровня в ИС, действующих как более эффективные антенны, идея состоит в том, чтобы встроить криптоядро со схемой подавления сигнатуры, проложенной локально внутри металлических слоев нижнего уровня, ведущей как к источнику питания, так и к электромагнитному излучению. невосприимчивость к атакам по побочным каналам.

Контрмеры реализации

Поскольку многие электромагнитные атаки, особенно атаки SEMA, основаны на асимметричных реализациях криптографических алгоритмов, эффективная контрмера состоит в том, чтобы гарантировать, что данная операция, выполняемая на данном шаге алгоритма, не дает информации о значении этого бита. Рандомизация порядка битового шифрования, прерывания процесса и рандомизация тактового цикла - все это эффективные способы усложнить атаки.

Использование в правительстве

Секретная Агентство национальной безопасности программа TEMPEST фокусируется как на шпионаже в системах путем наблюдения электромагнитного излучения и обеспечения оборудования для защиты от таких атак.

Федеральная комиссия по связи излагаются правила , регулирующие непреднамеренные выбросы электронных устройств в части 15 Кодекса федеральных правил 47. FCC не обеспечивает подтверждение того, что устройства не производят избыточные выбросы, но вместо этого полагается на процедуру самопроверки .

Рекомендации