Уязвимости криптоалгоритмов |
17-03-2024 |
Операция модульной коррекции также часто выполняется в криптосистемах. Для ее эффективного выполнения применяется алгоритм Монтгомери, который сглаживает временные характеристики. Однако в отмечается, что некоторые изменения во времени все же прослеживаются. Подобная уязвимость касается также оптимизации RSA свойствами китайской теоремы излишков (КТЛ).
Отмечается возможность атак по времени выполнения и для алгоритмов цифровой подписи. В частности уязвимым выглядит американский стандарт DSS. Серия атак по времени выполнения на ряд блочных шифров рассматривается в работе.
Таким образом, можно прийти к выводу, что ПКВИ по времени выполнения довольно опасный фактор, который необходимо учитывать при реализации системы как аппаратно так и программно. В качестве маскировки таких ПКВИ предлагаются и применяются следующие методики:
выполнения критических операций в фиксированное время независимо от данных;
внедрение случайных задержек;
обходу условных переходов и ветвлений в алгоритмах;
использование техники «слепых вычислений» (blinding).
Однако стоит отметить, что меры по выравниванию времени работы не всегда легко осуществить. Платформонезависимое программные реализации, не могут предсказать время выполнения через оптимизации компилятора, использование кешпамьяти, характеристики целевого процессора и другие факторы, влияние которых заранее неизвестны. Кроме того, предусмотрены методы позволяют основном лишь усложнить задачу анализа через ПКВИ, чем полностью ему противодействовать.
Атаки вызова ошибок (fault attacks)
В случае некорректной работы устройства система в первую очередь пытается сообщить об этом. Такое верное на первый взгляд решение может стать критическим для криптографической системы.
Рассматривают два основных типа ПКВИ через вызов ошибок. Первый тип каналов вызван вычислительными ошибками в криптографических операциях устройства, атакуемый. Эти ошибки могут вызываться как случайно так и намеренно, например под действием изменения тактовой частоты или напряжения питания. Второй тип каналов вызван подачей на вход системы некорректных данных. Для системы это вполне нестандартная ситуация, которая обрабатывается определенным образом. Обычно она выдает сообщение об ошибке для информирования пользователя (или злоумышленника) о причине остановки вычислений.
В научной литературе первая атака вызова ошибок была представлена для схемы цифровой подписи RSA и нескольких протоколов идентификации. Особенностью атаки является то, что она требует лишь одного ложного вычисления цифровой подписи. На основании полученного
ложного значения можно определить факторы p и q.
