امنیت و اعتماد سخت افزاری

Slides:

Advertisements

Similar presentations

Boneh-Franklin Identity-based Encryption. 2 Symmetric bilinear groups G = ágñ, g p = 1 e: G G G t Bilinear i.e. e(u a, v b ) = e(u, v) ab Non-degenerate:

Advertisements

Information Security – Theory vs. Reality , Winter 2011 Guest Lecturer: Yossi Oren 1.

GSM Security Threats and Countermeasures Saravanan Bala Tanvir Ahmed Samuel Solomon Travis Atkison.

C1 - Unrestricted Version 1.0 Group R&D 1CMS / EPSRC – Steve Babbage25 th March 2009 Some maths from the telecommunications industry Presented by Dr Steve.

1 CIS 5371 Cryptography 5b. Pseudorandom Objects in Practice Block Ciphers.

Wide Collisions in Practice Xin Ye, Thomas Eisenbarth Florida Atlantic University, USA 10 th ACNS Singapore.

Wired Equivalent Privacy (WEP)

Point-to-Point Privacy Protect the privacy of a point-to-point communication between Alice and Bob assuming that an eavesdropper (Eve) has access to the.

RFID Devices and Cryptography Analysis of the DST40

Network Security Chapter

Chapter 3 – Block Ciphers and the Data Encryption Standard

Kevin Orr JT Schratz AES ENCRYPTION. OVERVIEW History Algorithm Uses Brute Force Attack.

SENSOR NETWORK SECURITY Group Members Pardeep Kumar Md. Iftekhar Salam Ahmed Galib Reza 1 Presented by: Iftekhar Salam 1.

Advance Encryption Standard. Topics  Origin of AES  Basic AES  Inside Algorithm  Final Notes.

Security in Wireless Sensor Networks using Cryptographic Techniques By, Delson T R, Assistant Professor, DEC, RSET 123rd August 2014Department seminar.

1 A secure model for controlling the hubs in P2P wireless network based on trust value Authors: Y. Liu, N. Xiong, K. Xu, J. H. Park, and C. Lin Source:

Chapter 20 Symmetric Encryption and Message Confidentiality.

Privacy-Preserving Optimal Meeting Location Determination on Mobile Devices Igor Bilogrevic, Member, IEEE, Murtuza Jadliwala, Member, IEEE, Vishal Joneja,

1 Lect. 7 : Data Encryption Standard. 2 Data Encryption Standard (DES)  DES - History 1976 – adopted as a federal standard 1977 – official publication.

Sandrine AGAGLIATE, FTFC Power Consumption Analysis and Cryptography S. Agagliate Canal+Technologies P. Guillot Canal+Technologies O. Orcières Thalès.

TinySec : Link Layer Security Architecture for Wireless Sensor Networks Chris Karlof :: Naveen Sastry :: David Wagner Presented by Anil Karamchandani 10/01/2007.

Kouichi Itoh, Tetsuya Izu and Masahiko Takenaka Workshop on Cryptographic Hardware and Embedded Systems (CHES 2002) August, 2002 Address-bit Differential.

A paper by: Paul Kocher, Joshua Jaffe, and Benjamin Jun Presentation by: Michelle Dickson.

© Information Security Group, ICU1 Block Cipher- introduction  DES Description: Feistel, S-box Exhaustive Search, DC and LC Modes of Operation  AES Description:

Block Cipher- introduction

New Methods for Cost-Effective Side- Channel Attacks on Cryptographic RFIDs Chair for Embedded Security Ruhr University Bochum David Oswald Timo Kasper.

Certicom Corporation Open House June 3, Certicom Corp. Founded in 1985 by Dr. Scott Vanstone Innovators in security technology –Leading supplier.

1 Information Security – Theory vs. Reality , Winter Lecture 3: Power analysis, correlation power analysis Lecturer: Eran Tromer.

In The Name of Allah Fault attacks on ECC

Click to edit Present’s Name Three Attacks, Many Process Variations and One Expansive Countermeasure International Workshop on Cybersecurity Darshana Jayasinghe,

Future Internet: Sensor Networks Security Yongkoo Han.

Symmetric-Key Cryptography CS 161: Computer Security Prof. Raluca Ada Popa Sept 13, 2016.

Yossi Oren, yos strudel bgu.ac.il, yossioren System Security Engineering course, Dec

Overview on Hardware Security

INTRODUCTION Enhanced Simplified Symmetric Key Encryption Algorithm by Mahendra kumar shrivas.

Xin Fang, Pei Luo, Yunsi Fei, and Miriam Leeser

Hacker Detection in Wireless sensor network

Differential Power Analysis as a digital forensic tool

Ali Galip Bayrak EPFL, Switzerland June 7th, 2011

Basic Network Encryption

Lecture 2.2: Private Key Cryptography II

The Advanced Encryption Standard: Rijndael

ANALYSIS OF WIRED EQUIVALENT PRIVACY

ADVANCED ENCRYPTION STANDARD

Real-world Security of Public Key Crypto

Chapter 16 - Towards Secure and Privacy-enhanced RFID Systems

Some of this slide set is from Section 2,

Protect Your Hardware from Hacking and Theft

Majid Alshammari and Khaled Elleithy

Security Of Wireless Sensor Networks

Dynamic High-Performance Multi-Mode Architectures for AES Encryption

Speaker:Chen-Yu Tseng Advisor : Dr. Ho-Ting, Wu

Advanced Encryption Standard

Problem and Motivation

Kyoungwoo Lee, Nikil Dutt, and Nalini Venkatasubramanian

Presentation Outline Introduction to Side Channel Attacks

Advanced Encryption Standard

Basic Network Encryption

Cryptography and Network Security Chapter 5 Fifth Edition by William Stallings Lecture slides by Lawrie Brown.

USN Introduction Computer Engineering Sejin Oh.

SOHAIL SHAHUL HAMEED Dr. BHARGAVI GOSWAMI

Biometrics-based RSA Cryptosystem for Securing Real-Time Communication

Advanced Encryption Standard

Privacy Protection for E-Health Systems by

Advanced Encryption Standard (AES)

Everyone Wants to Zoom!.

Review of Cryptography: Symmetric and Asymmetric Crypto Advanced Network Security Peter Reiher August, 2014.

Presentation transcript:

امنیت و اعتماد سخت افزاری حملات توانی تفاضلی بر روی AES مدرس: آقای دکتر بیات سرمدی دانشکده مهندسی کامپیوتر دانشگاه صنعتی شریف ارائه کنندگان : گلسانا قائمی – 92202132 ستاره بهروزی - 92205257

رئوس مطالب ویژگی های قابل استفاده AES برای ترتیب دادن یک DPA حالت کلی حمله DPA روی AES بررسی دو نمونه موردی مراجع Hardware Security and Trust, CE, SUT

Differential Power Analysis on AES Xor شدن Plaintext با کلید اولیه در دور اول در دور آخر، خروجی نهایی محصول Xor کلید نهایی دور آخر و یک مقدار میانی است. Elliptic curve is cryptographically strong Hardware Security and Trust, CE, SUT

به دست آمدن خروجی مرحله SubByte از یکسری عملیات مستقل ایستا حالت کلی DPA روی AES حمله به بیت میانی برای آنالیز در مکان بایت هدف با فرض معلوم بودن ciphertext جمع آوری توان مصرفی مربوط به هر بار اجرای رمزنگاری به ازای هر ciphertext حدس بایت انتخابی از کلید Hardware Security and Trust, CE, SUT

محاسبه بیت میانی انتخاب شده از طریق رابطه زیر: تقسیم بندی دنباله های توانی به دست آمده بر اساس مقدار “D” ؛ میانگین گیری از هر دسته و در نهایت محاسبه تفاضل میانگین این دو دسته شکل 1 – حدس موفق کلید [Merit] Hardware Security and Trust, CE, SUT

شکل 2 – حدس نا موفق کلید [Merit] Hardware Security and Trust, CE, SUT

شکل3 – گام های رمزنگاری در AES[Kamoun] بررسی نمونه موردی اول اهمیت امنیت در سیستم های ارتباطی نهفته Power Analysis Attack ها برروی این سیستم ها مختصری از AES تکنیک های پردازش داده برای حمله DPA شکل3 – گام های رمزنگاری در AES[Kamoun] Hardware Security and Trust, CE, SUT

شکل4 –پارامترهای پردازشی در حمله DPA[Kamoun] روش Mean to Distance روش Correlation Analysis روش Maximum Likelihood شکل4 –پارامترهای پردازشی در حمله DPA[Kamoun] Hardware Security and Trust, CE, SUT

[Kamoun] روش Distance of Mean Test انجام عملیات رمزنگاری برایN ورودی تصادفی، اندازه گیری توان مصرفی 𝑉 𝑚 (i,j) نظیر هر خروجی تقسم دنباله های توانی( 𝑉 𝑚 (I,j))، براساس یک تابع تقسیم (Pf) محاسبه میانگین جانبی تفریق دو میانگین برای به دست آوردن سیگنال بایاس کانال جانبی 𝐴𝑆𝐶 𝑙 𝑗 = 1 𝑆𝑒𝑡 𝑙 𝑀 𝑙 (𝑗)∈ 𝑆𝑒𝑡 𝑙 𝑉 𝑀 𝑙 (𝑗) 𝐷𝑆𝐶 𝑗 =𝐴𝑆 𝐶 0 𝑗 −𝐴𝑆 𝐶 1 [𝑗] Hardware Security and Trust, CE, SUT

[Kamoun] روش Correlation Analysis در نظر گرفتن پرارزش ترین بایت از کلید( 𝐾 𝑀𝑆 ) پیش بینی توان مصرفی به ازای N ورودی تصادفی بر اساس مدل وزنی همینگ در خروجی S-Box و تشکیل ماتریس N*256 ( 𝑀 𝑃 ) اندازه گیری توان مصرفی در حین عملیات رمزنگاری، به ازای یک کلید ثابت برای N ورودی یکسان و تشکیل بردار N*1 ( 𝑉 𝑀 ) محاسبه correlation بین بردار 𝑉 𝑀 و ستون های ماتریس 𝑀 𝑃 𝐶 𝑉 𝑀 , 𝑀 𝑃 𝐶 𝑖 = 𝐸 𝑉 𝑀 , 𝑀 𝑃 𝐶 𝑖 −𝐸 𝑉 𝑀 )𝐸( 𝑀 𝑃 𝐶 𝑖 𝑣𝑎𝑟 𝑉 𝑀 𝑣𝑎𝑟( 𝑀 𝑃 𝐶 𝑖 ) در صورت موفقیت آمیز بودن حمله،فقط در نقطه حدس صحیح کلید مقدار عددی بزرگ برای correlation خواهیم داشت. Hardware Security and Trust, CE, SUT

شکل5 –فلوچارت داده ماژول S-box [Kamoun] پیاده سازی : استفاده از دوگام برای پیاده سازی: سیستم اصلی و سیستم شبیه سازی شده به ازای هر حدس کلید،مقدار N ورودی را به سیستم شبیه داده شبیه سازی شده داده و ماتریس 𝑀 𝑃 را بر اساس مدل همینگ پیش بینی می کند. یک مقدار ورودی را، N مرتبه به سیستم اصلی که دارای یک کلید مشخص است، می دهد و ماتریس 𝑉 𝑀 را به دست می آورد. به دست آوردن correlation ماتریس 𝑀 𝑃 و بردار 𝑉 𝑀 و تشخیص صحت کلید حدس زده شده. شکل5 –فلوچارت داده ماژول S-box [Kamoun] Hardware Security and Trust, CE, SUT

شکل6 –setup آزمایشی برای پیاده سازی DPA[Kamoun] Hardware Security and Trust, CE, SUT

[Kamoun] حمله موفقیت آمیز برروی دور اول از AES برای مقدارصحیح کلید 𝐾 𝑀𝑆 =43، با 1000 بار اندازه گیری شکل7 – حمله موفق بر دور اول AES برای مقدار صحیح کلید 43 با 1000 بار اندازه گیری[Kamoun] Hardware Security and Trust, CE, SUT

Improved DPA [Han] پیاده سازی برای WSN (Wireless Sensor Network) بررسی نمونه موردی دوم پیاده سازی برای WSN (Wireless Sensor Network) ایده اصلی : روش ارئه شده از فاصله همینگ داده های میانی به عنوان مدل توانی استفاده می کند و با تنظیم کردن ورودی ها اختلاف دنباله توانی را حداکثر می کند. Hardware Security and Trust, CE, SUT

Improved DPA مدل توانی : 𝑃 𝑡 =𝑎 𝐻 𝐼 𝑥,𝑡,𝑘 +𝑏 𝑃 𝑡 =𝑎 𝐻 𝐼 𝑥,𝑡,𝑘 +𝑏 𝐼 𝑥,𝑡,𝑘 : نتیجه ی میانی در زمان t با ورودی x و کلید k که یک کلمه ی n بیتی است. که در اینجا داده ی میانی بعد از عملیات SubBytes در نظر گرفته شده است به این ترتیب : 𝐼=𝑆𝑢𝑏𝐵𝑦𝑡𝑒𝑠( 𝐾 𝑠 ⊕𝑥) 𝑃 𝑡 : توان مصرفی لحظه ای 𝑎 : ضریب تقویت وزن همینگ 𝐻 و توان مصرفی 𝑃 𝑡 𝑏 : ثابت وابسته به سخت افزار Hardware Security and Trust, CE, SUT

Improved DPA 𝑃 1 𝑡 =𝑎 𝐻 𝐼 1 𝑥 1 ,𝑡,𝑘 +𝑏 𝑃 2 𝑡 =𝑎 𝐻 𝐼 2 𝑥 2 ,𝑡,𝑘 +𝑏 ∆𝑃 𝑡 =| 𝑃 1 𝑡 − 𝑃 2 𝑡 | =𝑎 |𝐻 𝐼 1 𝑥 1 ,𝑡,𝑘 −𝐻 𝐼 2 𝑥 2 ,𝑡,𝑘 =𝑎×𝑛 If n=128  توان ماکزیمم Hardware Security and Trust, CE, SUT

Improved DPA مدل توانی : 𝑃=𝑎𝐻 𝐼 1 −𝑎𝐻( 𝐼 1 ) 𝑃=𝑎𝐻 𝐼 1 −𝑎𝐻( 𝐼 1 ) برای آنکه به توان ماکزیمم نزدیک شویم دو حالت زیر را در نظر می گیریم : سپس بایت 𝑥 1 و 𝑥 2 که منجر به تولید این داده های میانی می شوند را بدست می آوریم. 𝐼 1 =0𝑥00 𝐼 2 =0𝑥𝑓𝑓 Hardware Security and Trust, CE, SUT

Improved DPA برای هر کلید حدس زده شده دو مجموعه از ورودی ها که هر کدام شامل m ورودی است را به ترتیب زیر آماده می کنیم : 𝑆 1 𝐾 𝑆 = 𝑆 1 𝐾 𝑆 ,i : 𝑥 1 ,𝑃 𝑇 𝑖 119:0 1≤𝑖≤𝑚} 𝑆 2 𝐾 𝑆 = 𝑆 2 𝐾 𝑆 ,i : 𝑥 2 ,𝑃 𝑇 𝑖 119:0 1≤𝑖≤𝑚} تعداد کل ورودی ها : 2×𝑚×256=512𝑚 تعداد حدس ها برای Ks Hardware Security and Trust, CE, SUT

∆𝐸 𝐾 𝑆 ,𝑡 = 𝑖=1 𝑚 𝐸( 𝑆 1 [ 𝐾 𝑆 ,𝑖],𝑡)− 𝑖=1 𝑚 𝐸( 𝑆 2 [ 𝐾 𝑆 ,𝑖],𝑡) Improved DPA E( 𝑆 1 𝐾 𝑆 ,𝑖 ,𝑡) E( 𝑆 2 𝐾 𝑆 ,𝑖 ,𝑡) ∆𝐸 𝐾 𝑆 ,𝑡 = 𝑖=1 𝑚 𝐸( 𝑆 1 [ 𝐾 𝑆 ,𝑖],𝑡)− 𝑖=1 𝑚 𝐸( 𝑆 2 [ 𝐾 𝑆 ,𝑖],𝑡) Hardware Security and Trust, CE, SUT

Improved DPA تعداد نقاط اندازه گیری توان: 800 برای کم کردن پیچیدگی محاسباتی یک الگوریتم برای کاهش 350 نقطه اندازه گیری آخر هر کلاک در نظر گرفته شده است. در نتیجه تعداد نقاط اندازه به 100 تا کاهش می یابد. شکل 8 - نمودار دنباله توانی برای دو کلاک اول الگوریتم رمزنگاری AES [Han] Hardware Security and Trust, CE, SUT

مقایسه : Single Bit DPA - 6000 نقطه اندازه گیری – SubByte Multi Bit DPA - 6000 نقطه اندازه گیری – SubByte CPA – 4000 نقطه اندازه گیری – SubByte CPA – 4000 نقطه اندازه گیری – AddRoundKey Hardware Security and Trust, CE, SUT

CPA شکل 9 - ضریب همبستگی برای 256 کلید حدس زده شده در طول دو کلاک سایکل AES [Han] Hardware Security and Trust, CE, SUT

Improved DPA شکل10- Improved DPA trace برای 256 کلید حدس زده شده در طول دو کلاک سایکل AES [Han] Hardware Security and Trust, CE, SUT

Improved DPA برتری این روش نسبت به روش های دیگر : اندازه گیری ها محاسبات نرخ موفقیت Hardware Security and Trust, CE, SUT

مراجع : [Merit] Meritt, Kevin. "Differential Power Analysis attacks on AES." (2012). [Kamoun] Kamoun, N.; Bossuet, L.; Ghazel, A., "Experimental implementation of DPA attacks on AES design with Flash-based FPGA technology," Systems, Signals and Devices, 2009. SSD '09. 6th International Multi-Conference on , vol., no., pp.1,4, 23-26 March 2009 [Han] Yu Han; Xuecheng Zou; Zhenglin Liu; Yicheng Chen, "Improved Differential Power Analysis Attacks on AES Hardware Implementations," Wireless Communications, Networking and Mobile Computing, 2007. WiCom 2007. International Conference on , vol., no., pp.2230,2233, 21-25 Sept. 2007 [FIPS] FIPS. Advanced Encryption Standard (AES). FIPS PUB-197,November 26 2001. Hardware Security and Trust, CE, SUT

پرسش و پاسخ Hardware Security and Trust, CE, SUT

از توجه شما متشکریم Hardware Security and Trust, CE, SUT