Môi giới chuyên nghiệp
Đăng xuất
TCVN 14192-2:2024
ISO/IEC 20085-2:2020
IT Security techniques - Test tool requirements and test tool calibration methods for use in testing noninvasive attack mitigation techniques in cryptographic modules - Part 2: Test calibration methods and apparatus
Lời nói đầu
TCVN 14192-2:2024 (ISO/IEC 20085-2:2020) hoàn toàn tương đương với ISO/IEC 20085-2:2020.
TCVN 14192-2:2024 (ISO/IEC 20085-2:2020) do Ban Cơ yếu Chính phủ biên soạn, Bộ Quốc phòng đề nghị, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ Khoa học và Công nghệ công bố.
Bộ tiêu chuẩn TCVN 14192 (ISO/IEC 20085) Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã, bao gồm 2 phần:
...
...
...
- TCVN 14192-2:2024 (ISO/IEC 20085-2:2020): Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 2: Phương pháp và phương tiện hiệu chuẩn kiểm thử.
Giới thiệu
Các mô-đun mật mã cung cấp các dịch vụ mật mã và bảo vệ các tham số an toàn quan trọng. Các tham số an toàn quan trọng có thể được bảo vệ thông qua thiết kế logic, vật lý hoặc cả hai. Nếu mô-đun mật mã không được thiết kế để giảm thiểu sự rò rỉ thì những thông tin về các tham số an toàn quan trọng có thể bị rò rỉ ra khỏi mô-đun mật mã trong quá trình hoạt động. Nếu không có biện pháp giảm thiểu nào, kẻ tấn công có chủ đích có thể ghi lại sự rò rỉ kênh kề có sẵn. Sự rò rỉ này là một đại lượng vật lý liên quan đến các tham số an toàn quan trọng và có thể được phân tích theo cách thức trích xuất thông tin về các tham số đó. Phân tích như vậy là thụ động, trong đó nó chỉ đơn giản là thu thập các phép đo rò rỉ kênh kề có thể được thu thập tự do bằng một thiết bị. Lưu ý rằng công cụ đo cũng có thể được điều khiển một cách thích ứng. Loại phân tích và khai thác này được gọi là không xâm lấn. Các kỹ thuật cho phép trích xuất các thông số an toàn quan trọng ra khỏi sự rò rỉ không xâm lấn này được gọi là một cuộc tấn công vào mô-đun.
Kiểm thử tấn công không xâm lấn là một phương pháp để xác định xem sự rò rỉ của một mô-đun mật mã có thể được khai thác để trích xuất các tham số an toàn quan trọng hay không. Một công cụ kiểm thử tấn công không xâm lấn trả về trạng thái vượt qua nếu mô-đun mật mã bị rò rỉ được xác định là ở mức tối thiểu có thể ngăn cản việc tiết lộ các tham số an toàn quan trọng. Nếu không, nó trả về trạng thái không thành công.
Tiêu chuẩn này tập trung vào việc hiệu chuẩn công cụ đo kênh kề. Quy trình hiệu chuẩn này cho phép hai công cụ đo ghi lại các phép đo có thể sử dụng được như nhau về mặt phân tích kênh kề. Hiệu chuẩn được trình bày dưới dạng sự kết hợp của hai kỹ thuật:
a) Định nghĩa phương pháp để hiệu chuẩn;
b) Yêu cầu của mô-đun mật mã tham chiếu (được gọi là tạo tác) để xác định ngưỡng rõ ràng giữa các kết quả kiểm thử về mặt đạt được hoặc không đạt.
Cả hai khía cạnh đều được đề cập trong tiêu chuẩn này.
...
...
...
KỸ THUẬT AN TOÀN CÔNG NGHỆ THÔNG TIN - YÊU CẦU VỀ CÔNG CỤ KIỂM THỬ VÀ PHƯƠNG PHÁP HIỆU CHUẨN CÔNG CỤ KIỂM THỬ ĐỂ SỬ DỤNG TRONG KIỂM THỬ CÁC KỸ THUẬT GIẢM THIỂU TẤN CÔNG KHÔNG XÂM LẤN TRONG MÔ-ĐUN MẬT MÃ - PHẦN 2: PHƯƠNG PHÁP VÀ PHƯƠNG TIỆN HIỆU CHUẨN KIỂM THỬ
IT Security techniques - Test tool requirements and test tool calibration methods for use in testing noninvasive attack mitigation techniques in cryptographic modules - Part 2: Test calibration methods and apparatus
Tiêu chuẩn này quy định các phương pháp kiểm thử và hiệu chuẩn thiết bị được sử dụng khi hiệu chuẩn các công cụ kiểm thử mô-đun mật mã theo TCVN 11295:2016 (ISO/IEC 19790:2012) và TCVN 12211:2018 (ISO/IEC 24759:2017) dựa trên các chỉ số kiểm thử được xác định trong TCVN 12212:2018 (ISO/IEC 17825:2016) để giảm thiểu các lớp tấn công không xâm lấn.
Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
TCVN 12212:2018 (ISO/IEC 17825:2016), Công nghệ thông tin - Các kỹ thuật an toàn - Phương pháp kiểm thử giảm thiểu các lớp tấn công không xâm lấn chống lại các mô-đun mật mã.
TCVN 11295:2016 (ISO/IEC 19790:2012), Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho mô-đun mật mã.
TCVN 14192-1:2024 (ISO/IEC 20085-1:2019), Kỹ thuật an toàn công nghệ thông tin - Yêu cầu về công cụ kiểm thử và phương pháp hiệu chuẩn công cụ kiểm thử để sử dụng trong kiểm thử các kỹ thuật giảm thiểu tấn công không xâm lấn trong mô-đun mật mã - Phần 1: Công cụ và kỹ thuật kiểm thử.
...
...
...
Tiêu chuẩn này sử dụng các định nghĩa và thuật ngữ sau đây:
3.1 Tạo tác (artefact)
Nguồn tín hiệu đại diện cho một thiết bị rò rỉ dùng để khi tiến hành hiệu chuẩn (3.2).
CHÚ THÍCH 1: Mục đích của nó là tạo thông tin từ dữ liệu nhạy cảm. Nó bắt chước sự rò rỉ từ một mô-đun mật mã khi hoạt động thực tế.
3.2 Hiệu chuẩn (calibration)
Quá trình thiết lập ngưỡng thành các giá trị thích hợp, sao cho mức giữa đạt và không đạt có thể được tái tạo giống hệt nhau giữa các công cụ kiểm thử không xâm lấn khác nhau.
3.3 Biện pháp đối phó (countermeasure)
Phương pháp thiết kế nhằm giảm lượng rò rỉ thông tin.
3.4 Mức an toàn (security strength)
...
...
...
A/D
Analog/Digital
Bộ chuyển đổi tín hiệu tương tự sang tín hiệu số
AES
Advanced Encryption Standard
Tiêu chuẩn mã hóa tiên tiến
EMA
Electromagnetic Analysis
...
...
...
IUT
Implementation Under Test
Triển khai kiểm thử
S/N
Signal-to-Noise
Tỉ số tín hiệu cực đại trên nhiễu
DPA
Differential Power Analysis
Phân tích vi sai năng lượng
...
...
...
Rivest-Shamir-Adleman
Tên của hệ mã do ba nhà toán học Rivest, Shamir và Adleman phát minh
SPA
Simple Power Analysis
Phân tích điện năng đơn giản
PA
Power Analysis
Phân tích năng lượng
TA
...
...
...
Phân tích tương quan thời gian
TCVN
Tiêu chuẩn quốc gia
5.1 Công cụ và phân tích
Một công cụ kiểm thử để giảm thiểu tấn công không xâm lấn trong các mô-đun mật mã bao gồm thu thập thông tin kênh kề theo phương pháp không xâm lấn và xử lý lại thông tin đó (ví dụ: lọc và căn chỉnh) và áp dụng các phương pháp phân tích tương ứng để xác định xem mô-đun làm mục tiêu kiểm thử có rò rỉ thông tin quan trọng hay không. Một công cụ kiểm thử, phù hợp với TCVN 14192-1:2024 (ISO/IEC 20085- 1:2019), bao gồm một công cụ đo dữ liệu và một công cụ phân tích. Một công cụ kiểm thử duy nhất có thể kiểm thử các dạng tấn công phân tích khác nhau bao gồm: Phân tích năng lượng (PA), Phân tích điện từ (EMA) và Phân tích tương quan thời gian (TA), đã được nêu trong TCVN 12212:2018 (ISO/IEC 17825:2016). Công cụ đo có chứa một đầu dò chuyển đổi một đại lượng vật lý cụ thể, chẳng hạn như dòng điện thành mức điện áp ở một tỷ lệ chuyển đổi nhất định (hoặc một mối quan hệ phức tạp hơn trong trường hợp mối quan hệ không tuyến tính), trong đó công cụ đo ghi lại mức điện áp bằng A/D và lưu giữ dữ liệu kỹ thuật số vào bộ nhớ trong với tốc độ thu thập được xác định trước. Cơ chế kích hoạt là cần thiết để xác định thời gian thu thập. Việc kích hoạt này có thể yêu cầu một đầu dò chuyên dụng được kết nối với một phần cụ thể trong triển khai kiểm thử để cung cấp thời gian thu thập chính xác. Công cụ phân tích là một máy tính điều khiển quá trình kiểm thử cũng như thực hiện các phép tính phân tích.
5.2 Xác định kết quả kiểm thử
Đặc điểm kỹ thuật và hoạt động của công cụ kiểm thử phải đáp ứng các yêu cầu được mô tả trong TCVN 14192-1:2024 (ISO/IEC 20085-1:2019). Mục đích của công cụ kiểm thử là để xác định xem lượng thông tin bị rò rỉ do kết quả của phân tích kênh kề có thấp hơn hoặc cao hơn ngưỡng M nhất định như quy định trong TCVN 12212:2018 (ISO/IEC 17825:2016) hay không.
...
...
...
Công cụ đo trong kiểm thử tấn công không xâm lấn có thể có một số thay đổi về đặc điểm vật lý của nó có thể ảnh hưởng đến kết quả kiểm thử. Nếu hai công cụ kiểm thử khác nhau sử dụng cùng một công cụ phân tích và cùng một phương pháp kiểm thử và sử dụng các thành phần khác nhau trong công cụ đo thì kết quả kiểm thử có thể khác nhau. Việc hiệu chuẩn được tiến hành để bù đắp cho sự chênh lệch này do các công cụ đo.
5.4 Công cụ phân tích
Công cụ phân tích trong kiểm thử tấn công không xâm lấn kiểm soát quá trình đo lường và tiến hành xử lý dữ liệu. Những điều này có thể được thực hiện một cách xác định, tức là không bị ảnh hưởng bởi bất kỳ thay đổi nào. Có thể có sự khác biệt trong các giới hạn số của tính toán hoặc các thuật toán phân tích được áp dụng. Do đó, hiệu chuẩn công cụ bao gồm toàn bộ công cụ kiểm thử (bao gồm công cụ đo và công cụ phân tích).
Điều khoản này thảo luận về các phương pháp hiệu chuẩn.
Tầm quan trọng của việc hiệu chuẩn là để tránh trường hợp triển khai kiểm thử (IUT) được coi là an toàn, nhưng trong hoạt động thực tế thì do chất lượng của các công cụ không đủ đo. Tình huống xảy ra sẽ gây bất lợi trong việc tin tưởng vào các phương pháp đánh giá và kiểm thử tấn công không xâm lấn. Hiệu chuẩn là một quá trình liên quan đến thuật toán mật mã được phân tích và IUT, các biện phập đối phó của nó (nếu có), thiết bị kiểm thử và do đó, cung cấp khả năng so sánh và truy xuất nguồn gốc lẫn nhau.
Mối quan hệ giữa phương pháp hiệu chuẩn và công cụ kiểm thử không xâm lấn được mô tả trong Hình 1. Hằng số M là ngưỡng về số lượng phép đo để trích xuất các tham số an toàn quan trọng (ví dụ: khóa bí mật), theo TCVN 12212:2018 (ISO/IEC 17825:2016) và m là số lượng dấu vết cần thiết để trích xuất các tham số an toàn quan trọng trong IUT.
...
...
...
6.2 Giới thiệu về quy trình hiệu chuẩn
6.2.1 Kiến thức chung về quy trình hiệu chuẩn
Phương pháp hiệu chuẩn công cụ kiểm thử tấn công không xâm lấn được quy định trong điều khoản này là sao cho các công cụ kiểm thử không xâm lấn khác nhau được mua từ các nhà cung cấp khác nhau có chất lượng kiểm thử đồng nhất về kết quả và do đó, kết quả kiểm thử sẽ giống nhau. Phương pháp hiệu chuẩn phải được thực hiện bằng cách sử dụng hai yếu tố: công cụ kiểm thử mục tiêu được hiệu chuẩn và mục tiêu IUT, còn được gọi là công cụ kiểm thử mục tiêu hoặc tạo tác.
CHÚ THÍCH: Tiêu chuẩn này không loại trừ việc sử dụng nhiều tạo tác. Một mô-đun (thiết bị đang kiểm thử) đạt hoặc không đạt khi được kiểm thử bằng công cụ kiểm thử được hiệu chuẩn theo một tạo tác. Nếu nhiều tạo tác được sử dụng, chúng sẽ hoạt động giống nhau.
Một tạo tác như vậy được thiết kế để thực hiện giảm thiểu một mức nhất định chống lại các cuộc tấn công không xâm lấn cụ thể. Các nhà phát triển công cụ có thể phát triển các công cụ của riêng họ với chất lượng đồng nhất đạt được bằng cách hiệu chỉnh các công cụ của họ với một tạo tác được điều chỉnh đồng nhất.
6.2.2 Độ chính xác của các công cụ kiểm thử
Mỗi bộ phận cấu thành nên công cụ kiểm thử phải cung cấp độ chính xác thích hợp đáp ứng các yêu cầu quy định trong tiêu chuẩn này. Những độ chính xác này có một số kết nối được cài đặt sẵn; ví dụ: những thay đổi trong tần suất lấy mẫu hoặc lượng không ổn định trong bộ kích hoạt ảnh hưởng đến Tỉ số tín hiệu cực đại trên nhiễu (S/N) giống như việc đo lường tạp âm được thêm vào trong mạch điện. Đồng hồ lấy mẫu được đồng bộ với đồng hồ IUT có thể dẫn đến S/N tốt hơn đáng kể so với đồng hồ lấy mẫu không đồng bộ [1]. Đồng hồ lấy mẫu không đồng bộ cần phải xem xét cẩn thận, đặc biệt nếu tạo tác hiệu chuẩn cung cấp đồng hồ để thiết bị lấy mẫu đồng bộ hóa, nhưng IUT thì không.
Mức độ chính xác bị ảnh hưởng bởi:
- Mức lượng tử hóa (số bít mà A/D xuất ra);
...
...
...
- Dải tần số.
Mức độ chính xác bị ảnh hưởng bởi:
- Sai số về mức điện áp (bao gồm cả hình được quy đổi từ dòng điện);
- Sai số về thời gian;
- Giá trị của S/N (ước tính theo mục 5.1 của Tài liệu tham khảo [16]).
6.2.3 Công cụ đo
Công cụ đo là một thiết bị hoạt động, chuyển đổi một số đại lượng vật lý (thời gian, năng lượng, bức xạ điện từ, ...) thành đại lượng điện (ví dụ: điện áp). Nó được đặc trưng bởi ảnh hưởng của nó đối với tín hiệu: lý tưởng là nó có ít biến dạng, băng thông cao và hệ số tạp âm (tức là nó làm giảm S/N theo một tỷ lệ nhỏ).
6.2.4 Nguyên tắc hiệu chuẩn
Việc hiệu chuẩn một công cụ kiểm thử tấn công không xâm lấn được thực hiện để kiểm thử xem công cụ này có xác định kết quả kiểm thử trong IUT một cách chính xác ở mức an toàn nhất định như được quy định trong TCVN 12212:2018 (ISO/IEC 17825:2016) hay không. Có thể cần điều chỉnh các thông số bên trong của công cụ để công cụ xác định chính xác kết quả kiểm thử.
...
...
...
Mục tiêu 1: Kiểm thử để xác định xem:
a) Triển khai kiểm thử nếu đạt yêu cầu, sẽ thông qua;
b) Triển khai kiểm thử nếu không đạt, sẽ không thông qua.
Mục tiêu 2: Khởi động các kiểm thử, so sánh với các công cụ kiểm thử khác nhau:
Quy trình hiệu chuẩn phải sử dụng một tạo tác mục tiêu đã biết có hành vi và mức độ giảm thiểu đối với các phương pháp tấn công của đối tượng được xác định trước. Công cụ kiểm thử được hiệu chuẩn phải được vận hành và điều chỉnh theo quy trình hiệu chuẩn để nó hiển thị kết quả kiểm thử trong phạm vi xác định trước về mức độ giảm thiểu đối với tạo tác mục tiêu. Do đó, một quy trình hiệu chuẩn duy nhất đê cập đến hai mức độ giảm thiểu khác nhau có thể được cung cấp cho một tạo tác duy nhất có khả năng giảm thiểu thay đổi hoặc hai tạo tác khác nhau với các mức độ giảm nhẹ khác nhau xác định phạm vi chấp nhận được.
6.3.1 Yêu cầu chung
Các quy trình hiệu chuẩn phải được thực hiện bằng cách sử dụng các loại tạo tác đã biết, đã xác định. Việc hiệu chuẩn phải tuân theo các phương pháp kiểm thử được quy định trong TCVN 12212:2018 (ISO/IEC 17825:2016) và TCVN 14192-1:2024 (ISO/IEC 20085-1:2019) bằng cách kiểm thử tạo tác đã cho dưới dạng triển khai kiểm thử. Người phụ trách hiệu chuẩn có thẻ điều chỉnh các thông số của công cụ kiểm thử bằng các quy trình được chỉ định nếu cần thiết, để công cụ chỉ ra kết quả kiểm thử chính xác liên quan đến mức giảm thiểu đã xác định của tạo tác.
Quy trình hiệu chuẩn phải lặp lại quá trình kiểm thử hai lần như quy định trong TCVN 14192-1:2024 (ISO/IEC 20085-1:2019) đối với mức an toàn của đối tượng bằng cách thay đổi một chút các thông số kiểm thử. Quá trình kiểm thử lần đầu tiên phải lặp lại các thao tác mật mã khi cần thiết và công cụ kiểm thử phải thu thập thông tin cần thiết, phân tích dữ liệu và phải xác định xem tạo tác mục tiêu kiểm thử đang hướng đến đạt hay không đạt. Kiểm thử lần thứ hai phải được thực hiện với thông số kiểm thử cao hơn hoặc thấp hơn và cho biết kết quả kiểm thử tương tự.
...
...
...
Quá trình được đưa ra trong Thuật toán 1 bên dưới.
Gọi M là số ngưỡng theo dõi mà một cuộc tấn công được gọi là thành công theo TCVN 12212:2018 (ISO/IEC 17825:2016), đó là M = 10.000 (Mức an toàn 3) hoặc M = 100.000 (Mức an toàn 4).
Thuật toán 1: Quá trình hiệu chuẩn.
Giá trị “Accept” trả về cho biết rằng công cụ kiểm thử không xâm lấn đã được hiệu chuẩn, ngược lại, trong khi giá trị “Reject” trả về cho biết rằng công cụ kiểm thử không xâm lấn không được hiệu chuẩn.
Việc hiệu chuẩn được minh họa theo luồng trong Thuật toán 1 có thể được sử dụng nhiều lần cho đến khi công cụ kiểm thử không xâm lấn được hiệu chuẩn.
6.3.2 Điểm đo lường
Nếu sử dụng các đầu dò, dù là tiếp điểm điện hay đầu dò điện từ, chúng phải được đặt vào các điểm xác định trong triển khai kiểm thử như được mô tả trong TCVN 12212:2018 (ISO/IEC 17825:2016) và TCVN 14192-1:2024 (ISO/IEC 20085-1:2019).
6.3.3 Điều chỉnh thông số
...
...
...
6.3.4 Chỉ số hiệu chuẩn
Các chỉ số hiệu chuẩn cho các thuật toán mật mã cụ thể được quy định trong Phụ lục A. Các chỉ số này liên quan đến các cuộc tấn công bậc nhất (trái ngược với các cuộc tấn công mức cao mà không có phương thức hoạt động đồng thuận). Tham số quan trọng trong phép đo là S/N của tạo tác và môi trường hoạt động của nó.
7.1 Yêu cầu chung
Tạo tác mục tiêu của kiểm thử không xâm lấn là một mô-đun mật mã đã biết. Một số mức độ giảm thiểu tấn công không xâm lấn khác nhau được mong muốn. Do nguyên tắc hiệu chuẩn được mô tả trong mục 6.2.4, tạo tác mục tiêu trong kiểm thử không xâm lấn phải được sử dụng cho mục đích hiệu chuẩn.
7.2 Phân tích kênh kề
Tạo tác mục tiêu phải thực hiện các thao tác mật mã lặp đi lặp lại khi cần thiết. Tất cả các thông tin cần thiết như bản mã sẽ được cung cấp cho phương pháp tấn công kênh kề không xâm lấn có liên quan. Tương tự như vậy, tất cả các đại lượng vật lý cần thiết phải được đo.
7.3 Mục tiêu mở
7.3.1 Yêu cầu chung
...
...
...
7.3.2 Đặc điểm kỹ thuật chung
Một tạo tác mục tiêu mở phải có các đặc tính sau:
- Đặc tính S/N tại các tiếp điểm điện;
- Tính chất S/N của từ trường tại các vị trí xác định.
Hướng dẫn có thể được tìm thấy trong Tài liệu tham khảo [5] hoặc [6],
7.3.3 Đặc điểm kỹ thuật mẫu
Phụ lục B, C và D trình bày các thông số kỹ thuật ví dụ đáp ứng thông số kỹ thuật chung được mô tả trong điều khoản 7.3.1.
7.4 Mục tiêu đóng
Tạo tác mục tiêu đóng có thể được sử dụng để hiệu chuẩn như mô tả trong điều khoản 6. Các mô-đun mật mã với các mức an toàn đã biết trước các phương pháp tấn công cụ thể có thể được sử dụng làm tạo tác hiệu chuẩn. Tuy nhiên, các biện pháp đối phó và thông tin triển khai khác có thể không có sẵn. Trong trường hợp này, chúng được gọi là tạo tác mục tiêu đóng.
...
...
...
Thuật toán mật mã và số liệu hiệu chuẩn
A.1 Tổng quan
Phụ lục này xác định các số liệu hiệu chuẩn cho các thuật toán mật mã cụ thể, mức an toàn và phương pháp tấn công.
A.2 Các chỉ số hiệu chuẩn cho các thuật toán mật mã đã chọn
A.2.1 Thuật toán mã khối (AES)
A.2.1.1 Yêu cầu chung
AES là một mã khối có thể được thực thi trong thời gian không đổi. Do đó, nó đặc biệt dễ bị tấn công kênh kề. Các điều khoản A.2.1.2 và A.2.1.3 đề cập đến cách thức đo lường sự an toàn của việc triển khai một cách khách quan
...
...
...
A.2.1.2.1 Yêu cầu chung
Có thể đo S/N cho các cuộc tấn công DPA. Từ giá trị này, người ta có thể suy ra thiết bị có an toàn hay không. Theo công thức (1) trong B.2, số phép đo cần thiết để phá vỡ AES nhận được từ một thuật toán và hằng số S/N đã cho.
A.2.1.2.2 Mức an toàn 3
Mức an toàn 3 phải được kiểm thử bằng cách áp dụng Công thức (B.3) với M = 10.000.
A.2.1.2.3 Mức an toàn 4
Mức an toàn 4 phải được kiểm thử bằng cách áp dụng Công thức (B.3) với M = 100.000.
A.2.1.3 Phân tích điện năng đơn giản (SPA)
A.2.1.3.1 Yêu cầu chung
Đối với các triển khai phần mềm của AES (thường thực thi với hiệu suất thấp hơn so triển khai trên phần cứng), SPA là một cuộc tấn công khả thi. S/N được đánh giá bên trong của một số dấu vết, sau nhiều lệnh gọi đến S-Box (SubBytes).
...
...
...
Tham khảo tiêu chí của A.2.1.2.2.
A.2.1.3.3 Mức an toàn 4
Tham khảo tiêu chí của A.2.1.2.3.
A.2.2 Thuật toán RSA
A.2.2.1 Yêu cầu chung
RSA và các thuật toán mật mã phi đối xứng nói chung, hoạt động với số rất lớn. Do đó, rất tốn thời gian và hiệu suất.
A.2.2.2 Phân tích vi sai năng lượng (DPA)
A.2.2.2.1 Yêu cầu chung
DPA có thể được thực hiện trên RSA nếu đầu vào không bị che dấu.
...
...
...
Tham khảo tiêu chí của A.2.1.2.2.
A.2.2.2.3 Mức an toàn 4
Tham khảo tiêu chí của A.2.1.2.3.
A.2.2.3 Phân tích điện năng đơn giản (SPA)
A.2.2.3.1 Yêu cầu chung
RSA đặc biệt dễ bị tấn công SPA vì khóa được hiển thị tuần tự. Lưu ý rằng việc giải thích S/N được trình bày chi tiết trong tài liệu tham khảo [7],
A.2.2.3.2 Mức an toàn 3
Tham khảo tiêu chí của A.2.1.2.2.
A.2.2.3.3 Mức an toàn 4
...
...
...
Các biện pháp đối phó để điều chỉnh mức an toàn
B.1 Tổng quan
Các biện pháp đối phó tấn công kênh kề được thực hiện trong một mô-đun mật mã được thiết kế để giảm thiểu các cuộc tấn công nhằm cố gắng lấy thông tin của các tham số an toàn quan trọng thông qua phân tích kênh kề. Có sự đánh đổi giữa giảm chi phí thực hiện và hiệu suất. Sự đánh đổi có thể được xác định bởi môi trường hoạt động của mô-đun mật mã.
Các biện pháp đối phó được coi là một phương tiện để xác định mức “tạp âm” và tác động đến kết quả kiểm thử đạt hoặc không đạt. Thông tin về các biện pháp đối phó có thể được cung cấp từ nhà cung cấp tạo tác theo quy định trong TCVN 12212:2018 (ISO/IEC 17825:2016), 8.3.3.
Được biết, số phép đo để trích xuất một tham số an toàn quan trọng (như: khóa,...) gần như bằng nghịch đảo của S/N [2], Do đó, tác động của một biện pháp đối phó lên số lượng phép đo có thể thu được bằng quy tắc ngón tay cái:
- Một biện pháp đối phó bằng cách xáo trộn n giá trị hoặc thay đổi ngẫu nhiên thời gian của một hoạt động theo n hằng số thời gian làm giảm S/N một hệ số bằng n. Do đó, kẻ tấn công cần gấp n lần các phép đo để thành công một cuộc tấn công với cùng một xác suất;
...
...
...
B.2 Liên kết giữa S/N và số lượng dấu vết để trích xuất khóa
Chúng ta hãy gọi PS là xác suất thành công trong việc trích xuất khóa. Và được giải thích trong tài liệu tham khảo [2] rằng, khả năng PS để trích xuất khóa chính xác đang hội tụ theo cấp số nhân về một, theo Công thức (B.1):
Chúng ta hãy gọi PS là xác suất thành công trong việc trích xuất khóa. Và được giải thích trong tài liệu tham khảo [2] rằng, khả năng PS để trích xuất khóa chính xác đang hội tụ theo cấp số nhân về một, theo Công thức (B.1):
1 - PS = e-mE
(B.1)
Trong đó:
m là số lượng dấu vết cần thiết để trích xuất khóa;
E là một số được gọi là số mũ bậc một và lớn hơn 0, và được cho bởi công thức (B.2):
...
...
...
Trong đó:
- R là tỉ số tín hiệu cực đại trên nhiễu, S/N;
- k* là một khóa mật mã bí mật;
- k là một khóa giả định;
- K(k*, k) là một hệ số xáo trộn [3] chỉ phụ thuộc vào thuật toán bị tấn công.
Vì vậy, để rút ra khóa với xác suất Ps = 99%, số phép đo m tỷ lệ nghịch với S/N [Công thức (B.3)]:
(B.3)
Ví dụ: ứng dụng số trên FPGA.
...
...
...
Do đó, số dấu vết để khôi phục khóa với PS = 99% là khoảng m = 2.600.
- Với sự xáo trộn trên 16 vị trí, S/N chia cho 16. Do đó, m tăng lên 15.800.
- Với mặt nạ bậc một, S/N là bình phương. Do đó, số dấu vết tăng lên m = 376.000.
Một ví dụ về triển khai tạo tác - Một mô-đun an toàn phần cứng được mô phỏng bằng FPGA
C.1 Tổng quan
Phụ lục này cung cấp một ví dụ về triển khai tạo tác bao gồm bảng mạch in được trang bị mảng phần tử logic có thể tái lập trình (Field Programmable Gate Array - FPGA), các thành phần điện tử khác và biểu diễn mạch (dòng bít) cho FPGA. FPGA có thể chứa một hoặc nhiều thuật toán mật mã với các kỹ thuật giảm thiểu đã biết và hoạt động như thành phần trung tâm của mô-đun mật mã và do đó, có thể được coi là một tạo tác đã biết.
...
...
...
C.2 Ví dụ về tấn công kênh kề vi sai trên FPGA
Một ví dụ là triển khai AES-128 được sử dụng trong cuộc thi DPA v2 [8]. Việc triển khai này đã được nghiên cứu chi tiết bởi hơn 40 nhóm nghiên cứu trên toàn thế giới. Tóm tắt về hiệu suất của các cuộc tấn công đã được trình bày và có sẵn trong Tài liệu tham khảo [8], Một phân tích, bình luận về các cuộc tấn công có thể được đưa ra trong Tài liệu tham khảo [9].
Tùy thuộc vào mức độ tinh vi của các cuộc tấn công, nghiên cứu cho thấy rằng khóa được khôi phục với tỷ lệ thành công chung là lớn hơn 80% trong khoảng từ 700 đến 15.000 dấu vết. Tuy nhiên, tất cả các cuộc tấn công không khai thác cùng một số lượng rò rỉ trong dấu vết của chúng. Các cuộc tấn công theo mẫu cải thiện tỷ lệ thành công đáng kể. Các cuộc tấn công phi cấu hình (non-profiled), chẳng hạn như CPA, hầu như có thể gần như khôi phục khóa trong M = 10.000 dấu vết.
Do đó, việc triển khai AES như vậy là phù hợp với trường hợp "ranh giới", nghĩa là công cụ kiểm thử tấn công không xâm nhập khôi phục lại khóa ở mức an toàn 3.
Mức an toàn 4 yêu cầu dấu vết gấp 10 lần. Vì mục đích này, việc triển khai AES-128 với độ trễ bắt đầu ngẫu nhiên bao gồm trong các xung nhịp đồng hồ {0, 1, .... 9} được phân phối đồng đều là phù hợp, vì nó làm giảm S/N theo hệ số 10.
Cuối cùng, một cuộc tấn công vào AES có mặt nạ bậc một trong FPGA đòi hỏi hơn 1 triệu dấu vết (S/N có thứ tự 0,001 và đối với cuộc tấn công bậc hai, nó được bình phương và lấy giá trị 1e-6).
Bản thân thiết kế FPGA yêu cầu phải chạy một phần cứng đồng nhất, điều này thúc đẩy việc đưa vào một nền tảng mở có thể được sử dụng như một tạo tác hiệu chuẩn.
C.3 Thiết kế mục tiêu FPGA
Mục tiêu FPGA được giới thiệu ở đây được thiết kế để cung cấp nhiều tính năng linh hoạt để cho phép hiệu chuẩn các công cụ để kiểm thử ở các mức an toàn khác nhau. Đặc biệt, nó cung cấp:
...
...
...
2) Giao diện USB tốc độ cao để tải xuống dòng bít và truyền dữ liệu;
3) Tùy chọn xung nhịp có thể điều chỉnh độc lập với dòng bit FPGA;
4) Tích hợp một mạch song song và bộ khuếch đại dòng điện tích hợp để cung cấp phương pháp giám sát nguồn tiêu thụ với tính nhất quán cao;
5) Các điểm hiệu chuẩn để giúp định vị các đầu dò EM.
Phụ lục này mô tả các cân nhắc chung về thiết kế hữu ích cho việc thực hiện các tạo tác tương tự. Hình C.1 mô tả sơ đồ khối của một tạo tác khả thi với FPGA. Việc triển khai một tạo tác như vậy là một phần của ChipWhisperer®[1] dự án[10] với bo mạch CW305 là FPGA.
Các chi tiết bổ sung về việc xây dựng và sử dụng có sẵn như một phần của dự án đó.
Trong đó:
R
...
...
...
L
: Cuộn cảm
J1
: Chân nối
J2
: Điểm đo (kênh cao)
J3
: Điểm đo (kênh thấp)
C1, C2
...
...
...
Hình C.1 - Kiến trúc triển khai FPGA
Các tính năng quan trọng của tạo tác bao gồm nhiều giao diện đo lường khác nhau nhằm hỗ trợ việc hiệu chuẩn các loại thiết bị đo lường khác nhau. Ví dụ: Điều này có thể bao gồm: một điểm đầu đo và một điểm đo vi sai trên điện trở mắc song trong trong nguồn điện, cùng với khả năng chèn chân nối để sử dụng với đầu dò loại biến dòng. Khi sử dụng điện trở mắc song song hoặc tương tự, các tụ điện tách rời không xuất hiện ở phía thấp của điện trở mắc song song. Việc loại bỏ điện trở mắc song song làm tăng cường độ của tín hiệu đo qua điện trở mắc song song. Một điện trở mắc song song và các điểm đo chỉ được cung cấp trên nguồn điện cho logic kỹ thuật số của FPGA được hiển thị dưới dạng VCC-INT trong Hình C.1, chứ không phải cho các trình điều khiển I/O được hiển thị là VCC-IO.
Giao diện máy tính cung cấp một Address/Data bus đơn giản để trao đổi dữ liệu với nhân mật mã. Ngoài ra, một hệ thống điều khiển tần số khép kín (Phase-Locked Loop) bên ngoài cho phép sửa đổi tần số xung nhịp nhân mật mã. PLL bên ngoài này cho phép thay đổi tần số xung nhịp mà không yêu cầu sửa đổi thiết kế FPGA. Tính năng này hữu ích cho việc hiệu chuẩn bằng cách hiệu chỉnh công cụ kiểm thử ở các tần số xung nhịp khác nhau tùy theo tạo tác.
Một ví dụ về triển khai tạo tác - Một bộ vi điều khiển
D.1 Tổng quan
Một mô tả phần cứng trong việc triển khai tạo tác ví dụ có thể được xác định bởi một bộ vi điều khiển có sẵn. Các bộ vi điều khiển[2] như vậy có sẵn bởi nhiều nhà sản xuất và việc hiệu chuẩn trên nhiều loại thiết bị là hữu ích để đảm bảo xem xét nhiều triển khai phần cứng khác nhau. Các thiết bị này, có sẵn trên thị trường mở, có các chức năng mật mã tăng tốc phần cứng và đại diện cho nhiều loại thiết bị lõi và nhà sản xuất vi điều khiển.
...
...
...
Phụ lục này bao gồm một mục tiêu ví dụ để thực hiện các phép đo nhằm giảm sự phụ thuộc của kết quả kiểm thử vào những thay đổi đối với thiết kế tạo tác. Phụ lục này cũng bao gồm mô tả về một tạo tác phù hợp. Tạo tác này đề cập đến một dự án mã nguồn mở bao gồm các thông tin thiết kế khác nhau và các mục tiêu mẫu bao gồm phần sụn để kích hoạt và sử dụng các bộ gia tốc mật mã khác nhau là một phần của các ví dụ được cung cấp. Các mục tiêu mở này bao gồm một số mức kháng kênh kề[3]. Các bộ phận sau đó được tung ra thị trường cho phép sử dụng như một tạo tác mục tiêu mở được kỳ vọng sẽ cải thiện khả năng chống chịu và có thể trở nên phù hợp hơn một tạo tác.
Mô tả thiết kế chức năng ví dụ được trình bày trong phụ lục này. Mục tiêu được trình bày là một phần của dự án ChipWhisperer® và các chi tiết bổ sung về việc xây dựng và sử dụng có sẵn như một phần của dự án này. Các chi tiết này có thể được tìm thấy trong Tài liệu tham khảo [10].
D.2 Thiết kế của vi điều khiển tạo tác
Ví dụ về vi điều khiển tạo tác trong phụ lục này bao gồm hai phần. Phần đầu tiên là bo mạch chủ, cung cấp nguồn điện được điều chỉnh và lọc cho điện áp lõi của vi điều khiển, giao diện máy tính, bộ tạo xung nhịp và các điểm đo. Phần thứ hai là IUT bo mạch con mục tiêu có bộ vi điều khiển thực tế và phù hợp với bo mạch chủ. cấu hình này cho phép thay đổi các vi điều khiển mục tiêu mà không đòi hỏi nỗ lực đáng kể trong việc thay đổi chính bảng vi điều khiển, và do đó cũng cho phép so sánh đơn giản các mục tiêu IUT khác nhau trong khi vẫn duy trì các thông số kỹ thuật tương tự của mạch hỗ trợ như tạp âm của nguồn điện và tần số xung nhịp.
Triển khai ví dụ của các bảng này được tìm thấy trong dự án ChipWhisperer®[4]. Sơ đồ khối chung của tạo tác này được thể hiện trong Hình D.1.
Trong đó:
R Điện trở mắc song song
L : Bộ lọc
...
...
...
C : Tụ rời
Hình D.1 - Kiến trúc triển khai vi điều khiển
D.3 Sử dụng bo mạch phát triển của nhà cung cấp
Việc sử dụng bo mạch phát triển của nhà cung cấp được thúc đẩy do sự phát hành trong tương lai của các thiết bị có các biện pháp đối phó kênh kề. Bo mạch phát triển của nhà cung cấp có thể thích hợp để sử dụng như một tạo tác hiệu chuẩn nếu chúng cung cấp kết nối để đo năng lượng.
Bọ mạch phát triển, được sử dụng như một tạo tác hiệu chuẩn, phải cung cấp tài liệu cụ thể về điểm kết nối và bất kỳ sửa đổi cần thiết nào, chẳng hạn như loại bỏ các tụ điện tách khỏi đường cấp nguồn bên trong và cài đặt các chân nối trên bo mạch để cho phép kết nối đo lường.
Một ví dụ về triển khai tạo tác - Bộ tạo tín hiệu
...
...
...
Các phép đo cơ bản của các mức S/N có thể được thực hiện bằng bộ tạo tín hiệu tạp âm. Bộ tạo tín hiệu này có thể được sử dụng để tạo ra một dạng sóng cơ bản, chẳng hạn như sóng hình Sin, ở một tần số và biên độ cụ thể và tiếng ồn trắng Gaussian có thể được thêm vào tín hiệu này.
E.2 Thông số kỹ thuật nguồn tạp âm
Việc sử dụng tạo tác hiệu chuẩn tạp âm giả định rằng một nguồn tạp âm thích hợp có thể được chỉ định để tái tạo bởi nhiều phòng thử nghiệm. Trong khi sử dụng bộ tạo tín hiệu có thể trực tiếp tạo ra dạng sóng này, thông tin bắt buộc tối thiểu để tạo lại dạng sóng bao gồm:
- Tần số cơ bản;
- Công suất cơ bản;
- Phân phối tạp âm;
- Dải tạp âm;
- Nguồn tạp âm.
Ngoài ra, nguồn tín hiệu này có thể phát sinh từ hai bộ tạo tín hiệu được bổ sung về mặt vật lý với nhau. Các thông số kỹ thuật tương tự như trên sẽ được yêu cầu để đảm bảo mô tả đồ vật hiệu chuẩn lặp lại.
...
...
...
Thư mục tài liệu tham khảo
[1] TCVN 11295:2016 (ISO/IEC 19790:2012), Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu an toàn cho mô-đun mật mã.
[2] TCVN 12211:2018 (ISO/IEC 24759:2017), Công nghệ thông tin - Các kỹ thuật an toàn - Yêu cầu kiểm thử cho mô-đun mật mã.
[3] O’Flynn C., Chen z. Synchronous sampling and clock recovery of internal oscillators for side channel analysis and fault injection. Journal of Cryptographic Engineering [online]. Springer. 2015, 5:53-69. Available at: http://dx.doi.org/10.1007/s13389-014-0087-5
[4] Guilley S., Heuser A., Rioul O. A Key to Success - Success Exponents for Side-Channel Distinguishers. 16th International Conference on Cryptology in India (INDOCRYPT 2015) [online]. Springer. 2015, 270-290. Available at http://dx.doi.org/10.1007/978-3-319-26617-6_15
[5] Fei Y., Luo Q., Adam Ding A. A Statistical Model for DPA with Novel Algorithmic Confusion Analysis. Workshop on Cryptographic Hardware and Embedded Systems (CHES 2012) [online]. Springer. 2012, 233-250. Available at: http://dx.doi.org/10.1007/978-3-642-33027-8_14
[6] Carlet C., Danger J.-L., Guilley S., Maghrebi H., Prouff E. Achieving side-channel highorder correlation immunity with leakage squeezing. Journal of Cryptographic Engineering [online]. Springer. 2014, 4:107-121. Available at: http://dx.doi.org/10.1007/s13389-013-0067-1
[7] lokibe K., Amano T., Okamoto K., Toyota Y. Equivalent circuit modeling of cryptographic integrated circuit for information security design. IEEE Transactions on Electromagnetic Compatibility [online], IEEE. 2013, 55(3), 581-588. Available at http://doi.org/10.11 Q9/TEMC.2013.2250505
[8] lokibe K., Maeshima K., Kagotani H., Nogami Y., Toyota Y., Watanabe T. Analysis on Equivalent Current Source of AES-128 Circuit for HD Power Model Verification. 2014 International Symposium on Electromagnetic Compatibility (EMC’14/Tokyo). IEICE. 2014, 302-305.
...
...
...
[10] Telecom ParisTech VLSI research group. DPA Contest v2 [online], 2010-2011. Available at: http://www.dpacontest.org/v2/
[11] Clavier C. et al. Practical improvements of side-channel attacks on AES: feedback from the 2nd DPA contest. Journal of Cryptographic Engineering [online]. Springer. 2014, 4:259-274. Available at: http://dx.doi.org/10.1007/S13389-014-0075-9.
[12] NewAE Technology Inc. ChipWhisperer project [online]. Available at: http://www.ChipWhisperer.com
[13] Télécom ParisTech DES research group. DPA Contest v4 [online], 2013-2017. Available at: http://www.dpacontest.org/v4/
[14] Dworkin Morris J. et al. , Advanced Encryption standard (AES). No. Federal Information Processing Standards (NIST FIPS)-197. 2001.
[15] Rivest Ronald L., Shamir Adi, Adleman Leonard, A method for obtaining digital signatures and public-key cryptosystems." Communications of the ACM 21.2 (1978): 120-126.
[16] de Chérisey Eloi, Guilley Sylvain, Rioul Olivier, Piantanida Pablo2019)., Best Information is Most Successful. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2019(2), 49-79. https://doi.org/10.13154/tches.v2019.i2.49-79
Mục lục
...
...
...
Giới thiệu
1 Phạm vi áp dụng
2 Tài liệu viện dẫn
3 Thuật ngữ và định nghĩa
4 Thuật ngữ viết tắt
5 Các công cụ kiểm thử
5.1 Công cụ và phân tích
5.2 Xác định kết quả kiểm thử
5.3 Công cụ đo
...
...
...
6 Các phương pháp hiệu chuẩn
6.1 Các khía cạnh
6.2 Giới thiệu về quy trình hiệu chuẩn
6.2.1 Kiến thức chung về quy trình hiệu chuẩn
6.2.2 Độ chính xác của các công cụ kiểm thử
6.2.3 Công cụ đo
6.2.4 Nguyên tắc hiệu chuẩn
6.3 Quy trình hiệu chuẩn
6.3.1 Yêu cầu chung
...
...
...
6.3.3 Điều chỉnh thông số
6.3.4 Chỉ số hiệu chuẩn
7 Tạo tác
7.1 Yêu cầu chung
7.2 Phân tích kênh kề
7.3 Mục tiêu mở
7.3.1 Yêu cầu chung
7.3.2 Đặc điểm kỹ thuật chung
7.3.3 Đặc điểm kỹ thuật mẫu
...
...
...
Phụ lục A (tham khảo) Thuật toán mật mã và số liệu hiệu chuẩn
Phụ lục B (tham khảo) Các biện pháp đối phó để điều chỉnh mức an toàn
Phụ lục C (tham khảo) Một ví dụ về triển khai tạo tác - Một mô-đun an toàn phần cứng được mô phỏng bằng FPGA
Phụ lục D (tham khảo) Một ví dụ về triển khai tạo tác - Một bộ vi điều khiển
Phụ lục E (tham khảo) Một ví dụ về triển khai tạo tác - Bộ tạo tín hiệu
Tài liệu tham khảo
[1] ChipWhisperei® là nhãn hiệu của NewAE Technology Inc. và là ví dụ về sản phảm phù hợp có sẵn trên thị trường. Thông tin này được đưa ra trong cá Phụ lục C và Phụ lục D để thuận tiện cho người sử dụng tiêu chuẩn này và không cấu thành sự chứng thực của ISO hoặc IEC đối với sản phẩm này.
[2] Ví dụ của các thiết bị như vậy bao gồm STM32F415, ATSAM4LC2AA, CEC1702, MPC5748G và MK82FN256VLL15. Thông tin này được cung cấp đề tạo sự thuận tiện cho người sử dụng tiêu chuẩn này và không cấu thành sự chứng thực của ISO hoặc IEC đối với các sản phẩm này.
[3] Ví dụ: ATSAM4LC2AA và MK82FN256VLL15 đều tham chiếu điện trở kênh bên trong biểu dữ liệu do nhà sản xuất cung cấp. Thông tin này được cung cấp để tạo sự thuận tiện cho người sử dụng tiêu chuẩn này và không cấu thành sự chứng thực của ISO hoặc IEC đối với các sản phẩm này.
...
...
...
