硬件架构中的随机性保护物联网环境中的AES密码

在硬件架构中引入随机性，吉塔·哈尔查引用此版本：吉塔·哈尔查。在硬件架构中引入随机性，电子学。南布列塔尼大学，2021年。法语。NNT：2021LORIS603 电话：03535736HAL ID：电话：03535736https://theses.hal.science/tel-03535736提交日期：2022年HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire博士学位的论文L’UNIVERSITE BRETAGNEECOLE DOCTORALE：MATH STIC编号601数学与信息与通信科学与技术专业：电子学-通过吉塔·哈尔查在硬件架构中引入随机性，论文于2021年7月13日在洛里昂发表并答辩研究单位：Lab-STICC（UMR6285）论文编号：603答辩前的报告员：Cécile Belleudy讲师- HDR，蓝色海岸大学Roselyne Chotin讲师评审团组成：主席：Lilian Bossuet让·莫内大学教授考官：Emmanuel Casseau雷恩第一大学Christophe Jego波尔多INPDir.论文：Philippe Coussy南布列塔尼大学大学教授共同导师：Vianney Lapôtre南布列塔尼大学副教授Cyrille Chavet南布列塔尼大学高级讲师2在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021在硬件架构中引入随机性，以帮助保护物联网环境中的AES加密器关键词：嵌入式系统，隐藏通道攻击，AES摘要：我们生活在一个信息和数据交换已成为我们经济的关键组成部分的世界。除此之外，我们还必须加上所谓的物联网（IoT）在我们社会的各个层面以及我们的职业和个人生活中的爆炸式增长和快速传播。这些都是通信嵌入式系统，在尺寸和能量方面非常有限，并且已经被广泛部署。但是，它们存在许多漏洞，因此是恶意攻击的首选目标之一。这就是为什么这些设备越来越多地伴随着加密系统。不幸的是，它们的实现本身可能容易出现缺陷。在这篇论文中，我们感兴趣的是保护"观察功率消耗"。随着物联网领域L’approche proposée consiste à adjoindre à uncomposant在此上下文中，几个体系结构解决方案是：排列的数量和被排列的信息的类型。评估了不同体系结构对不同最新技术攻击的鲁棒性。对酿造组分引起的额外成本进行了量化，并研究了合成方案的影响。结果表明，使用我们最安全的（因此也是最复杂和最昂贵的）架构模型，在FPGA上测量100万个样本后，没有一个加密密钥字节被泄露。与文献中的解决方案相比，这种安全性的贡献比利时人2022-01-19 09：24：36- -------------------------------------------总结3在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021硬件架构中的洗牌：对物联网环境关键词：嵌入式系统、侧通道攻击、AES摘要：如今，信息和数据交换是我们经济的关键要素。除此之外，我们还必须加上所谓的物联网（IoT）在我们生活的每一个方面的爆炸式增长和快速传播，无论是职业还是个人。这些都是已经广泛部署的区域和能量受限的嵌入式通信系统。然而，物联网节点存在许多漏洞，因此是恶意攻击的目标之一。因此，这些设备越来越依赖于加密系统。不幸的是，它们的实现本身可能容易出现故障。在这篇博士论文中，我们感兴趣的是保护AES加密架构免受侧通道攻击，特别是功率分析攻击。随着物联网领域的发展，低成本AES架构也将成为目标，目标是最大限度地减少面积、吞吐量、延迟和能源开销。所提出的方法包括向AES组件添加洗牌模块。在这种情况下，已经研究了几种体系结构解决方案：排列的数量和排列信息的类型。评估了不同体系结构针对不同最先进攻击的鲁棒性。对洗牌模块产生的额外成本进行了量化，并研究了综合期权的影响。结果表明，在FPGA上测量了100万个功率迹线后，在我们最安全（因此也是最复杂和最昂贵）的架构模型上没有揭示加密密钥的这种安全性贡献不是免费的，它包含在最先进的解决方案中：关于吞吐量，开销系数为2.3;最大频率开销约为11%;与我们的参考设计相比，硬件成本约为3.9倍。4在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 20215在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021谢谢你首先，我要感谢我的论文导师Philippe Coussy和我的两位导师Vianney Lapotre和CyrilleChavet，他们在整个我还要感谢Arnaud TISSERAND在安全领域提供的宝贵建议，以及我的个人论文监督委员会的两名成员Emmanuel CASSEAU和Jean-LouisLANET。最后，我要感谢我的父母、姐姐和家人，以及我的朋友和所有我在这篇论文中遇到的人，我和他们度过了美好的时光。6在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 20217在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021第一章目录第一章引言18I.现代密码学20II.对称算法211.按流加密212.块加密22III.物理攻击261.侵入性和半侵入性攻击272.被动攻击283.AES 33的攻击模型IV.针对隐藏通道攻击的保护341.第34章第一次2.变暗方法...................................................................................................................................V.结论40第2章AES 42加密I.AES 44的硬件体系结构................................................................................................................1.AES-128，数据路径为128位452.AES-128，具有32位463.AES-128，具有8位484.部分平衡52II.通过增加危险53进行保护1.对于处理器53a.在执行顺序中添加随机性b.在计算语义中添加...................................................................................................................c.在信息存储中增加风险2.对于非可编程硬件加速器60III.结论67第3章建议的架构模型I.我们的贡献说明721.伪随机数发生器（PRNG）738在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 20212.排列生成（混合模块）753.管理...........................................................................................................................................4.密钥扩展模块架构...................................................................................................................II.架构变体821.具有有限风险的AES体系结构822.具有完全随机性的架构92III.AES-ECB 99体系结构的实施结果IV.结论102第4章提出的体系结构模型的鲁棒性研究I.我们的实验框架107II.未受保护的体系结构（NP）108III.研究我们的111模型1.2xBen-4_SRL 111架构2.建筑本-16/Omeg-16 1133.具有集成的CPA攻击123IV.综合备选方案的影响研究.......................................................................................................1.优化速度1302.曲面优化1333.攻击结果的平衡.......................................................................................................................V.表面性能和安全性结果的比较138VI.结论140第5章AES多块体系结构142I.我们的体系结构模型...................................................................................................................II.由混合模块1461.排列的有限生成1462.排列的完整生成1493.动态多块体系结构151III.AES-CTR 152体系结构的实施结果IV.安全性评估154V.结论157第六章结论与展望1609在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021图表图1：流............................................................................................................................................... 22图2：...................................................................................................................................................图3：AESECB...................................................................................................................................25模式图4：AESCBC...................................................................................................................................25模式图5：AESCTR...................................................................................................................................26模式图6：物理攻击图7：逆变器29情况下的充电/放电图..............................................................................................图8：DES算法第2轮和第3轮的消耗轨迹......................................................................................图9：完整DES加密的消耗跟踪[19]................................................................................................ 30图10：[38] 36中图11：反作用.....................................................................................................................................37图12：WDDL..................................................................................................................................... 38体系结构图13：SABL逻辑：（a）通用n门，（b）AND-NAND...............................................................门39图14：[22] 46中图15：数据的处理47图16：具有32位数据路径的AES-128架构[23]..............................................................................48图17：8位数据路径的AES-128架构[24] 49图18：[26] 50中图19：[27] 51中图20：[28].......................................................................................................................................... 52中的数据路径图21：[49] 55提出的图22：[49] 55中图23：[63].......................................................................................................................................... 59中提出的注册管理机构重命名原则图24：[46].......................................................................................................................................... 60中提出的登记册重新分配表图25：变量.........................................................................................................................................60图26：添加假圆.................................................................................................................................结构61图27：带有改进的假圆的体系结构[70].......................................................................................... 6210在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021图28：[75].......................................................................................................................................... 64中提出的AES架构图29：[28].......................................................................................................................................... 64中的混合列和交换模图30：[77] 66中图31：[70] 67中11在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021图32：我们的架构模型.....................................................................................................................图33：Trivium....................................................................................................................................74架构图34：开关（a）非交换输入，（b）交换输入图35：4x4网络（a）6交换机Benes（b）4交换机Omega 77图36：78交换机的架构....................................................................................................................图37：负责从初始密钥K0 81计算循环密钥字节的密钥扩展算法架构���������................................图38：2xBen-4_SRL架构的混合模块架构。................................................................................84图39：2xBen-4_SRL 86体系结构的AES操作调度......................................................................图40：2xBen-4_SRL........................................................................................................................87体系结构的数据路径图41：2xBen-4_SRL 88架构的MixStonns模块架构....................................................................图42：按周期.....................................................................................................................................的顺序89图43：2xBen-4_SRL 91体系结构图44：单块.........................................................................................................................................93图45：Ben-16和Omeg-16 93的图46：Ben-16和Omeg-16............................................................................................................... 95图47：Ben-16和Omeg-16............................................................................................................... 95图48：Ben-16和Omeg-16............................................................................................................... 96图49：Ben-16和Omeg- 16架构的密钥调度扩展模块.................................................................. 98图50：ChipWhisperer.................................................................................................................... 108测试台图51：NP架构上加密的功耗轨迹.......................................................................................................................................... 109图52：NP 110架构的CPA攻击曲线.............................................................................................图53：对NP架构的CPA攻击结果.................................................................................................图54：2xBen- 4_SRL架构上加密的功耗轨迹。............................................................................112图55：2xBen-4_SRL 112架构的CPA曲线..................................................................................图56：CPA对2xBen-4_SRL 113架构的攻击结果......................................................................图57：Ben-16_SRL和Omeg-16_SRL.........................................................................................图58：Ben-16_Mem和Omeg-16_Mem.......................................................................................11512在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021图59：Ben-16_MemBrass和Omeg-16_MemBrass.................................................................. 115图60：Ben-16_SRL 116架构的CPA曲线....................................................................................图61：Ben-16_Mem 116架构的CPA曲线...................................................................................图62：Ben-16_MemBrass 117架构的CPA曲线........................................................................图63：三种Ben-16变体体系结构的CPA攻击结果......................................................................图64：Ben-16_SRL 120架构的CPA曲线....................................................................................图65：Ben-16_Mem 120架构的CPA曲线...................................................................................图66：Ben-16_MemBrass 121架构的CPA曲线........................................................................图67：三种Omeg-16变体的CPA攻击结果..................................................................................图68：Ben-16_MemBrass 124架构的[1300：1400]间隔之间的功耗轨迹.............................图69：整合.......................................................................................................................................124图70：对Ben-16_SRL....................................................................................................................125变体的CPA和嵌入式CPA攻击结果图71对Ben-16_Mem和Ben-16_MemBrass................................................................................ 126图72：Ben-16_SRL........................................................................................................................127变体上的CPA和集成CPA攻击结果图73：Omeg-16..............................................................................................................................变体128图74：Opt-Vit-Plat和Opt-Vit-Hier 131合成选项集的Ben-16_MemBrass架构的轨迹...........图75：Opt-Vit-Plat和Opt-Vit-Hier 131合成选项集的Omeg-16_MemBrass架构的轨迹.......图76：使用Opt-Vit-Hier和Opt-Vit-Plat 132合成选项集合成的Ben-16架构上的CPA和嵌入式CPA攻击的结果...............................................................................................................................图77：使用Opt-Vit合成选项合成的Omeg-16架构上的CPA和集成CPA攻击的结果，.......................................................................................................................................... 133图78：Opt-Surf-Plat和Opt-Surf-Hier 134合成选项集的Ben-16_MemBrass架构的轨迹......图79：Opt-Surf-Plat和Opt-Surf-Hier 134合成选项集的Omeg-16_MemBrass架构的轨迹..13在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021图80：使用Opt-Surf-Hier和Opt-Surf-Flat 135合成选项集合成的Ben-16_MemBrass架构上的CPA和嵌入式CPA攻击结果...........................................................................................................图81：使用Opt-Surf-Hier和Opt-Surf- Plat 136合成选项集合成的Omeg- 16_MemBrass架构上的CPA和嵌入式CPA攻击结果...................................................................................................图82：有效性评估...........................................................................................................................图83：原理图（召回）...................................................................................................................145图84：排列.......................................................................................................................................147图85：Benes16x16........................................................................................................................ 150的组成图86：具有完整随机数添加的体系结构中的混合模块数据路径...............................................图87：添加完整随机数的体系结构数据路径...............................................................................图88：2B_Ben-16_Mem................................................................................................................155架构的消耗轨迹图89：2B_Ben-32_Mem................................................................................................................155架构的消耗轨迹图90：2B_Ben-16_Mem................................................................................................................156架构的CPA曲线图91：2B_Ben-32_Mem................................................................................................................156架构的CPA曲线图92：不同架构14在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021前言近年来，物联网（IoT）中的连接对象或节点数量呈指数级增长。在2010年代中期，专家估计到2020年全球物联网的数量将达到200亿[1]。现在的分析估计，到2023年，这一数字将达到430亿[2]。当我们谈论物联网节点时，我们谈论的是小型、廉价、几乎"一次性"的设备然而，事实仍然是，这些连接的对象，无论多么基本，都是恶意个人的最近的例子表明，这类产品给所有连接到互联网的系统带来了风险2016年，一个名为MIRAI的恶意软件（参见[3])它利用了一系列连接的组件，这些组件的默认密码没有更改。这种类型的组件通常可以在小型连接的摄像头或小型家庭路由器中找到。 因此，在2016年9月，这样的攻击使网站服务器过载（例如，Krebs on Security）或OVH），速率可达每秒TB几周后，Dyn公司的DNS服务又成为这个简单的例子说明了从系统设计开始就集成安全机制的重要性。然而，对于低成本产品，公司看不到投资于保护其系统的经济利益（短期）。尽管如此，必须确保客户的隐私及其个人信息的保密性。要做到这一点，有足够强大的加密和/或签名解决方案（如果正确实施和操作），制造商的成本是可控的。然而，在设计系统时考虑到"安全"方面并不能绝对保证不受攻击。事实上，这些机制的实现可能是不完美的，或者它们可能无意中泄露信息。15在硬件架构中引入随机性，以帮助保护物联网环境中的AES密码Ghita Harcha 2021秘密。就像在说谎的扑克游戏中一样，机器必须对他们的王牌保密，但有时他们可能会泄露例如，这种攻击最近被用于[4]伪造电子烟电池。固件受到攻击，通过测量嵌入式微控制器的电磁辐射，通过隐藏通道攻击，从真正的电池中窃取加密另一个实验表明，在实践中，使用相邻房间中的天线和放大器，通过用金属柱加固的15厘米厚的墙，可以在2015年，特拉维夫的一个研究团队设计了一个紧凑的"小工具"。后者能够找到在数据加密期间由CPU操纵的加密密钥[6]。同样，同一所大学的研究人员已经证明[7] 麦克风在解码信息时收集计算机的声音（通风、电源......），如果为了定义系统（无论其安全级别