При оценке безопасности ассиметричных криптографических протоколов, обычно предполагается, что противник имеет полное описание протокола и алгоритмов в него входящих, владеет публичными ключами, а секретным является только закрытый ключ. Кроме того, противник может перехватить некоторые данные, которыми обмениваются легитимные участники, и может даже осуществлять некоторый контроль над природой этих данных (например, путем выбора сообщений для подписи, если целью является компрометация секретного ключа, используемого при создании цифровой подписи) [19]. Как правило, криптографические протоколы остаются полностью устойчивыми с математической точки зрения, даже с учетом всех указанных допущений.
В последнее время для осуществления атак на криптографические протоколы и алгоритмы все чаще используются так называемые побочные каналы (side-channel attacks). Утечка информации через такие каналы чаще всего не предусматривается в классической модели безопасности протокола.
Существует возможность проведения атаки на аппаратное устройство, реализующее алгоритм ECDSA - стандарт создания электронной цифровой подписи базирующийся на арифметике эллиптических кривых. Как правило, для создания аппаратной реализации устройств шифрования и выработки ЭЦП используются логические элементы на базе КМОП (CMOS) технологии. Основываясь на физических принципах работы КМОП микросхем и получив доступ к ненадежному источнику питания, используемому аппаратным устройством для осуществления генерации ЭЦП, можно провести анализ потребляемой им мощности.
В алгоритмах, базирующихся на эллиптических кривых (в том числе и в рассматриваемом ECDSA алгоритме) используются два типа операций - сложение чисел на эллиптической кривой и удвоение числа. Допуская, что устройство, выполняющее вычислительные операции при создании электронной цифровой подписи по стандарту ECDSA, подключено к незащищенному источнику питания, к которому имеет доступ злоумышленник, недоброжелатель может получить осциллограмму потребления мощности данным устройством.
Рисунок 4.1 – Потребление мощности устройством при проведении операции сложения (A) и удвоения (D) на эллиптической кривой над простым полем.
На графике потребления мощности аппаратным устройством (рисунок 4.1) можно четко выделить проведение данных операций в пределах одного вычислительного такта. На приведенной осциллограмме участки D (double) соответствуют операции удваивания числа на эллиптической кривой, а участки A (addition) - операции сложения двух чисел на эллиптической кривой.
Допуская, что модуль эллиптической кривой известен, известно подписываемое сообщение, и в пределах одного сообщения используется один и тот же секретный ключ, основываясь на полученных с осциллограммы данных и используя известный алгоритм [20], можно восстановить используемый закрытый ключ.
Существует несколько методов противодействия такого рода атакам, но, как правило, контрмеры включают в себя предумышленные изменения в алгоритмах – внедрение дополнительных «пустых» операций.
Эффективность контрмер в значительной степени зависит от характеристик аппаратной платформы, операционной среды, возможностей противника и должна оцениваться на основе каждого конкретного случая.
В качестве примера на рисунке 4.2 показан, результат маскировки последовательности операций сложения и удваивания на эллиптической кривой над простым полем. Операции-«пустышки» были включены в алгоритмы для сложения и удвоения таким образом, что последовательность элементарных операций выполняемых при удваивании, ровно два раза используются в операции сложения, тем самым маскируя операцию сложения.
Рисунок 4.2 – Маскировка операции сложения на эллиптической кривой путем введения «пустых» операций.
Таким образом, при построении криптосистем на базе эллиптических кривых не стоит забывать о возможности утечки информации по побочным (нетрадиционным) каналам. Предлагаемый способ борьбы с такого-рода уязвимостями, основанный на внедрении дополнительных операций в цикл алгоритмов вполне может избавить систему от подобных уязвимостей.
Артамонов В.А
Белорусский национальный технический университет
Минск, Республика Беларусь
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: