嵌入式系统密码算法的安全性分析

嵌入式系统中密码算法实现的安全性引用此版本：阿克塞尔·马蒂厄·马希亚斯嵌入式系统中密码算法实现的安全性。密码学与安全[CS.CR]。巴黎萨克雷大学，2021年。英语NNT：2021UPASG095。电话：03537322HAL Id：tel-03537322https://theses.hal.science/tel-035373222022年1月20日提交HAL是一个多学科的开放获取档案馆，用于存放和传播科学研究文件，无论它们是否已这些文件可能来自法国或国外的教学和研究机构，或来自公共或私人研究中心。L’archive ouverte pluridisciplinaire博士论文NNT：2021UPASG095禁运系统密码算法实施的安全化上下文中加密算法实现的安全化嵌入式系统巴黎萨克雷大学博士论文École doctoralen580，Sciences et Technologies deUNITé de recherche：Université Paris-Saclay，UVSQ，CNRS，Apricatoire de mathématiques de Versailles，78000，Versailles，France.Référent：Université de Versailles-Saint-Quentin-en-YvelinesThèse présentée et soutenue à Paris-Saclay，le 06/12/2021，par阿克塞尔·马蒂厄-马希亚斯陪审团组成Jean-Sébastien CORON卢森堡大学校长Guénaël RENANEL特别报告员国家信息系统安全局Damien VERGNAUD特别报告员Sonia BELAWARND安全专家，Direction de la ThèseLouis GOUBIN导演Versailles Université de Saint-Quentin-en- YvelinesMichaël QUISQUATERCo-encadrant巴黎凡尔赛大学教授伊夫林地区屈坦2缩略词ADC模数转换器。17AES高级加密标准。 25，45，113，114，131，177算术逻辑单元17ASIC专用集成电路。15、19、26CMOS互补金属氧化物半导体。31CPU中央处理器。十一、十六、十七、一百七十四DAC数模转换器。17DPA差分功率分析。30DSP数字信号处理器 十七十九EEPROM电可擦除可编程只读存储器。18可擦除可编程只读存储器。18FET场效应晶体管。十四，十五FFT快速傅立叶变换 153、154、168FPGA现场可编程门阵列。十五，二十六GCD最大公因子154IC集成电路 10、12、13、15IoT物联网。 十一，十六LAN局域网。19MOS金属氧化物半导体153缩略词不干涉。四十一、四十二、四十五可编程只读存储器。18RAM随机存取存储器17ROM只读存储器。十七，十八实时操作系统16SCA侧通道分析。30SE安全元件。23SNI强非干扰。33，37，41SPA简单功率分析。30SPN置换置换网络。十二、二十四WAN广域网。194内容页面缩略语列表表8算法列表一.一般性介绍. 101论文概述2嵌入式系统142.1集成电路的发明。........................................................................................152.2嵌入式系统的普遍性。................................................................................172.2.1微控制器基础................................................................................... 182.2.2带传感器和执行器的嵌入式系统。............................................... 192.2.3嵌入式系统的分类。....................................................................... 203保护信息安全的密码学3.1用于保密的加密3.1.1对称、非对称和混合加密。........................................................... 233.1.2保护密钥。....................................................................................... 253.2用于加密的对称分组密码4对嵌入式系统中分组密码实现的物理攻击284.1具有物理访问权限的对手4.2物理攻击314.2.1A分类。............................................................................................ 314.2.2能量分析攻击................................................................................... 325缩略词R5保护实现免受功耗分析和探测攻击345.1面具365.1.1编码和解码层365.1.2计算层（布尔掩码）385.2面具的声音5.2.1噪声泄漏模型415.2.2型号425.2.3探测模型中的安全定义6本论文的贡献II小型和大型掩蔽或刷新方案- ders491一.导言. 501.1相关作品。....................................................................................................511.2捐款. ..............................................................................................................522低复杂度的串行和并行高阶刷新方案。542.1一种改进复杂度的串行递归刷新方案。55 2.1.1...........................................附件。552.1.2原有的更新方案和我们的做法。.................................................... 572.2我们方案的理论分析和SNI性质。.............................................................. 612.2.1第62章2.2.2分析n752.2.3我们的刷新算法的SNI分析。.........................................................892.3转换为SNI迭代刷新。.................................................................................. 922.3.1初步评论。....................................................................................... 922.3.2基于欧几里德除法的完美二叉树................................................... 952.3.3树的有效评价。............................................................................... 992.3.4迭代算法。..................................................................................... 1022.4转换为并行有界矩算法。.......................................................................... 1032.4.1初步评论。..................................................................................... 1042.4.2线性层。......................................................................................... 1092.4.3并行算法......................................................................................... 1112.5结论112内容III基于多项式评估方法的小掩蔽阶数通用掩蔽方案1141引言1151.1相关作品. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1151.2捐款。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1172混合加法和乘法掩码用于安全波利诺-评估方法1182.1基本概念和定义1192.1.1面具的基础知识2.1.2有用的t-SNI小工具1192.2GPQ方案1212.2.1狄拉克1212.2.2转换...........................................................................................................1262.2.3幂函数处理1332.3多项式GPQ：交替分圆方法1362.3.1原始分圆方法1372.3.2我们的替代提案1382.4替代CRV方法1432.4.1原始CRV方法1432.4.2我们的替代提案1442.5执行结果1502.5.1分圆法1512.5.2CRV方法1512.6结论153IV特征为p154的有限域上的快速变换1导言. 1551.1相关作品1561.2捐款1562F p r上多项式在LCH基上的快速多点求值与插值1582.1第159章问题2.2前1602.3两个矩阵的分解2.4LCH基170中的快速多点求值和插值6内容72.4.1基于LCH基的快速多点求值算法Fpr...................................................................................................................................................................................................1702.4.2Fpr174上LCH基的快速插值算法.............................................................................................................2.5实验结果1762.6结论176V结论和展望1788≤≤≤≤表的列表2.1我们的建议和原始方法在基本运算方面的复杂性。..............................1402.2我们的建议和原始方法在基本运算方面的复杂性。..............................1462.3安全狄拉克的代价（Alg.11），AMtoMM（Alg. 12），MMtoAM（Alg.13)和SecMult（Alg. 9）。........................................................................1512.4评估大小为4的S盒的成本n8与割圆方法和我们的替代建议。.1522.5CRV方法的参数k和l的新设置。................................................................1522.6用CRV方法计算大小为4n8的S盒的代价还有我们的另一个提议...............................................................................1539RRR算法列表1 RefreshMasks [1]（alg.（七）五十八2N603清新614Linear_layer..................................................................................................1035ite_n（32位架构）1045平行_线性_层.................................................................................................... 1117平行_n1125有界矩安全并行刷新方案1129[56]第56话10基于乘法的掩码刷新算法12011安全-狄拉克................................................................................................ 12212AMtoMM..................................................................................................... 12713MMtoAM..................................................................................................... 13214安全幂函数评估13415交替分圆13916LCH中表示的多项式的快速多点求值-Fpr..........................................................................................................................................................................................................................172上的基17环上LCH-基多项式的快速插值Fpr..........................................................................................................................................................................................................................17510第一部分一般性介绍11第1本论文在我们这个相互关联的现代世界中，保护信息至关重要。随着我们越来越依赖信息和通信技术，信息安全涵盖了我们生活中许多方面的安全。与通过这些技术创建、存储和共享信息的方式相关的安全问题可以通过使用密码学来缓解，密码学是一门专门用于确保信息安全的科学。然而，密码学的正确部署是挑战性的。当涉及到保护存储和处理敏感信息的物理设备时，必须特别注意在下文中，我们将简要回顾所有信息和通信技术的电子根源，即晶体管和集成电路（IC）的发明然后，我们专注于嵌入式系统，现代电子景观的主要组成部分。我们给出了它们的应用程序的例子，并解释了为什么它们的安全性是非常必要的。我们介绍了加密技术作为一种可能的手段，以确保嵌入式系统，并表现出主要的物理安全问题背后的加密部署在这样的系统。最后，我们给出了这篇论文的主要焦点，即所谓的密码设备的安全性，其中加密部署，对破坏性的攻击利用物理访问。自从晶体管发明以来，由于微电子学的进步，我们今天对信息和通信技术的广泛使用成为可能。电子元件的小型化起着核心作用，因为它们越小，它们就越能组合在一起。基本上，集成电路是集成了大量晶体管的电子芯片集成电路的例子有微处理器、存储器、通信接口和各种电子外围设备此外，各种不同IC的组合使各种信息和通信技术第1章论文全景我们今天使用的，比如嵌入式系统。嵌入式系统是系统内的小规模计算系统（具有CPU、存储器、通信接口和各种外围设备），并且被设计为执行一些特定任务（例如，控制器、监视器、执行器）。嵌入式系统通常比普通的个人计算机小得多，也便宜得多，这有利于它们在许多应用中的物理部署今天，我们的大多数工业、企业和安全关键部门都依赖于嵌入式系统。我们发现嵌入式系统应用于汽车、电信、医疗保健、银行、军事、航空航天、消费电子等领域。智能卡或生物特征护照中的嵌入式系统也可用于存储和处理敏感或私人信息。此外，嵌入式系统越来越多地成为物联网（IoT）的一部分，物联网是下一代互联网。它们被嵌入到连接到互联网的各种“事物”中，只会我们现在正在建设智能家居和智能城市，这只能通过包含嵌入式系统的物联网设备收集的所有信息来实现，然后分析到云中以提供许多新功能。人们对嵌入式系统的依赖日益增加，同时也带来了许多新的安全挑战。嵌入式系统处理的信息可以存储、使用或传输。无论如何，它必须得到保护。保证由物理上可访问的设备处理的信息的安全性更具挑战性。密码学可以帮助保护嵌入式信息，这些信息的安全性面临很大风险。密码学解决信息安全问题。它提供了称为加密原语的安全构建块，可以通过其嵌入式系统在软件或硬件中实现到物理设备中这种原语的一个众所周知的例子是分组密码，它可以用来使信息对未经授权的实体不可理解，从而保护其公开。然而，块密码本身的安全性依赖于被称为密码密钥的密码资产的保护，密码资产在执行期间使用在这种情况下，攻击者的目的是获得信息以确定加密密钥。通过对设备的物理访问，攻击者可以通过利用目标设备的物理属性的测量中的密钥相关信息来猜测这些密钥物理属性的常见示例通常是设备在执行以下操作的实现时的瞬时功耗：12第1章论文全景13分组密码 问题是物理属性根据正在处理的数据而变化，因此也根据正在使用的加密密钥而变化。然后可以通过首先记录功率测量，然后通过执行测量的统计分析来完成检索这样的密钥。如果攻击成功，则攻击者破坏块密码的安全性，并且因此也破坏已经在物理设备中部署的密码安全措施利用对设备的物理访问的攻击称为物理攻击。他们不仅可以利用电力消耗，还可以利用电磁辐射或运行时间。其他一些物理攻击会试图使目标物理设备发生故障，并利用不稳定的行为来检索密码密钥。物理攻击的范围很大，很难减轻。在文献中广泛部署的一种对抗措施被称为掩蔽。这一对策是本文的重点。简而言之，可以部署掩码来随机化设备在执行块密码期间处理的所有数据屏蔽的目的是使运行设备的物理属性尽可能独立于正在处理的数据。这将使测量结果更难用统计工具进行分析，因此也可以保护密钥不被物理攻击提取在本介绍的其余部分，我们回顾了上述景观的主要方面我们也逐步建立了本论文的重点。第二章追溯到晶体管和集成电路的发明。本文还详细介绍了集成电路的一个主要应用领域，即嵌入式系统及其可能的分类。在第三章中，我们讨论了分组密码的信息安全原理，并详细介绍了用于分组密码设计的最常见的结构之一，替换-置换网络（SPN）。第四章描述了针对嵌入式系统中分组密码实现的物理攻击的典型例子它还缩小了本论文的重点对物理攻击的具体子类第五章可能是最重要的一章，因为它汇集了所有必要的材料，以充分理解这篇论文的重点。它描述了掩蔽对策，以及如何部署它来保护物理设备中的任何分组密码实现，以抵御第4章中描述的一些最后，第六章针对我们的研究重点，给出了本文的贡献。第二章嵌入式系统嵌入式系统是典型的小型计算系统，在功率方面要求很低，并且成本低这些特性使它们非常适合广泛的应用。也就是说，它们可以作为许多领域中的大型系统的一部分嵌入，用于实现一些特定的任务，这些任务通常对计算资源的要求很低要建造我们今天使用的各种小规模计算系统，嵌入式系统的历史与晶体管和集成电路的发明有着内在的联系，因为晶体管是任何集成电路的一部分，任何嵌入式系统都是建立在某些特定的集成电路上的。在本章中，我们将回到嵌入式系统的根源。我们首先简要介绍导致IC发明的晶体管的历史。我们还简要地讨论了集成几个晶体管和其他电子元件来构建IC的问题，IC是一种在通常是硅的一小片半导体上的电路然后，我们详细介绍了典型的集成电路，如微处理器，数字信号处理器，存储器，特别是微控制器，通常用于构建嵌入式系统。最后，我们给这样的系统的分类，根据其硬件性能或其功能要求。内容2.1集成电路的发明。...................................................................... 152.2嵌入式系统的普遍性。......................................................................172.2.1微控制器基础..............................................................................182.2.2带传感器和执行器的嵌入式系统。..........................................1914第2章.嵌入式系统152.2.3嵌入式系统的分类。..................................................................202.1集成电路的发明。集成电路将诸如电阻器、电容器、晶体管的许多单独的电子部件电连接在一起，以在通常为硅的半导体材料的一个小的所谓芯片上形成电子电路建造集成电路的想法最早是由G.W. A. 笨蛋他的想法是这样的：“随着晶体管的出现和半导体的普遍工作，现在似乎有可能设想一个没有连接线的固体块中的该块可以由绝缘、导电、整流和放大材料层组成，电功能通过切除各层的区域而直接连接。“晶体管是集成电路中最重要的元件之一，是集成电路的放大材料W. A. 阿呆说道。然而，第一代晶体管并不一定高度可靠，而且它们的制造工艺过于复杂，无法大规模生产。下面我们简要介绍一下晶体管的历史。我们描述的历史始于1926年，Julius Edgar Lilienfeld的一项名为“控制电流的方法和设备”的专利在该专利中描述了我们今天所称的场效应晶体管（FET）。然而，没有证据表明Lilienfeld实际上建造了一个功能设备。 20年后，有人尝试用半导体制造场效应晶体管，以取代当时用于放大信号的大而不可靠的真空管，但没有成功。虽然当时没有人成功地制造出场效应晶体管，但其他方向导致了1947年第一个（锗）晶体管的发明：点接触晶体管。它是由约翰·巴拉特和沃尔特·布拉顿发明的，他们的设备将输入电流放大了100倍。晶体管这一术语是由电气工程师约翰·皮尔斯提出的值得一提的是，在1948年，也就是在Barclay和Brattain之后 6个月，点接触晶体管由两位在巴黎工作的德国物理学家Herbert Mataré和Heinrich Welker独立发明然而，这两个独立的点接触晶体管的发明在同一年被威廉·肖克利这种新型的晶体管比噪声大的前辈更可靠。第2章.嵌入式系统16当时，制造晶体管的工艺还不够发达。在贝尔实验室的科学家和工程师提出解决方案之前，还需要两年的时间制造工艺改进后，晶体管的第一个应用是晶体管收音机。音乐和信息突然变得便携。然而，每个晶体管的尺寸是有限制的，因为在制造出来之后，它必须连接到电线和其他电子设备上。晶体管已经达到了手工制作的极限因此，制作整个电路的想法（即，一个IC）立刻变得流行起来。只需一个步骤就可以制造出更小的所有部件。1958年，Jack Kilby在德州仪器公司发明了第一个集成锗芯片他设法用半导体材料制造出简单的晶体管、电容器和电阻器元件。然而，这些元件仍然是用细金“飞线”手工连接的，从芯片中伸出。当时没有其他实用的生产技术。罗伯特·诺伊斯在1959年遵循的另一种方法导致了硅IC的发展，而没有“飞线”。他通过光刻沉积铝金属线来互连电子元件。因此，人们可以很容易地在单个硅芯片上配置完整的电子电路同 年 ， FET 的 突 破 来 自 Mohamed Atalla 和 Dawon Kahng 的 工 作 ， 他 们 在Lilienfeld的先驱工作30多年后建造了第一个工作FET制造场效应晶体管的主要问题是表面效应阻碍了电场穿透半导体材料。研究热生长的二氧化硅层，他们发现这些状态可以在硅和其氧化物之间的界面处显着减少，该界面包括金属层（M -栅极），氧化物层（O -绝缘层）和硅层（S-半导体）-因此命名为MOSFET，通常称为MOS。IC很快都基于MOS。后来，数以百万计的MOS晶体管被组合在一起，在单个芯片上，遵循由Chih-Tang Sah和Frank Wanlass发明的所谓互补MOS生产技术这种技术的优点是，逻辑电路结合MOS晶体管在一个复杂的对称配置提请接近零功率在待机模式。在20世纪70年代，MOS芯片被广泛采用，使复杂的半导体和电信技术得以发展，例如微处理器。晶体管和集成电路彻底改变了电子学。如今却冒出了第2章.嵌入式系统17我们每天使用的每一台计算设备的一部分。在1960年至2018年期间，估计总共制造了13个六次方MOS晶体管，占所有晶体管的至少99.9%。微处理器、微控制器、现场可编程门阵列（FPGA）和专用集成电路（ASIC）是集成了大量晶体管的IC的2.2嵌入式系统的普遍性。术语嵌入式系统是指封闭或嵌入在较大系统中的（子）系统。嵌入式系统结合了硬件和软件以及其他组件。换句话说，它是一个可以嵌入任何产品的电子或机电嵌入式系统被设计为仅完成一些特定的任务（与计算机系统相反它与周围环境相互作用，通常通过监测和控制某些过程。与由通用操作系统组成的计算机系统相反，嵌入式系统通常是实时操作系统（RTOS）。嵌入式系统的历史始于太空。随着集成电路的发明，硅芯片在20世纪60数字阿波罗制导（嵌入式）计算机也是第一台使用硅集成电路芯片的计算机它是由麻省理工学院的查尔斯·斯塔克·德雷珀设计的。当时，美国宇航局自第一个嵌入式系统设计以来，晶体管的集成度大大提高了。今天，我们发现嵌入式系统无处不在。它们几乎涵盖了我们现代世界的所有领域：汽车工业（安全气囊控制系统、防抱死制动系统）、电信（电话交换机、智能手机）、家用（洗衣机、冰箱）、家庭自动化和安全系统（空调、火警）、医疗保健（MRI扫描、心脏起搏器）、银行业（ATM）、军事（监控系统、国防和航空航天）、消费电子（数码相机、智能手机）。他们也有望在未来找到越来越多的应用，特别是随着物联网的发展。图片来源：Computer History Museum第2章.嵌入式系统18微处理器是中央处理单元（CPU）部分在单个芯片上的集成实现 它们通常被设计用于通用系统，如个人电脑. 然而，为了实现一个完整的（嵌入式）计算机系统，输入/输出子系统和外部存储器系统仍然必须包括在内。因为微处理器的计算能力通常比微控制器高，所以它们往往也消耗更多的功率，因此也需要外部冷却系统。有一些嵌入式系统是建立在微处理器上的，但是现代嵌入式系统主要是基于微控制器的。微控制器将CPU、一些存储器、输入/输出（I/0）端口、定时器集合到单个IC中。它们被设计用于针对某些特定的控制应用执行一些特定的因此，典型微控制器具有相对低的计算和存储容量，消耗很少的功率，因此不一定需要冷却系统，这使其与微处理器相比成本较低。值得一提的是，越来越多的嵌入式系统是建立在数字信号处理器（DSP），特别是感兴趣的高数据速率计算。它们通常与模数和数模转换器（ADC和DAC）结合使用。DSP还在硬件中实现算法，并在重复和数字密集型任务（特别是信号处理应用）中提供高性能。然而，它们是昂贵的。2.2.1微控制器基础CPU. CPU是执行所有计算的地方。它由四个主要组件处理：寄存器，算术逻辑单元（ALU），控制单元和内部CPU总线。寄存器为ALU提供操作数，它们是一种快速存储器。ALU对整数、二进制数执行算术和按位操作控制单元管理整个提取（指令，从寄存器的操作数）和执行周期。内部CPU总线连接ALU、寄存器和控制单元。记忆微控制器将RAM（随机存取存储器）和ROM（只读存储器）集成在与CPU相同的芯片上。数据可以通过写入RAM来存储，存储的数据可以通过读取RAM来访问。大多数RAM都是易失性的-当电源关闭时，内容会丢失ROM用于