智能卡抗DPA攻擊的設(shè)計(jì)與實(shí)現(xiàn)
文章出處:http://botanicstilllife.com 作者:張劍峰 錢晶晶 談慧宇 高進(jìn)濤 人氣: 發(fā)表時(shí)間:2011年09月29日
0 引 言
隨著個(gè)人計(jì)算機(jī)的蓬勃發(fā)展、因特網(wǎng)的演進(jìn)與電子商務(wù)的沖擊,市場對(duì)安全與個(gè)人隱私保護(hù)有了強(qiáng)烈的需求。智能卡擁有輕便與安全的特性,在網(wǎng)絡(luò)上的安全付款、網(wǎng)絡(luò)連接的安全控管與電子簽章等應(yīng)用領(lǐng)域扮演重要角色。我國已有不少信息安全應(yīng)用系統(tǒng)借助智能卡來記憶系統(tǒng)運(yùn)作所需的秘密信息,并利用智能卡具有的計(jì)算能力提升系統(tǒng)安全,智能卡正逐步取代磁卡而廣泛應(yīng)用于金融及其他相關(guān)產(chǎn)業(yè)。
隨著對(duì)智能卡的攻擊方法的不斷發(fā)展,特別是隨著近年來許多新型的攻擊智能卡技術(shù)被公開發(fā)表,智能卡的安全面臨巨大挑戰(zhàn)。這些攻擊技術(shù)能容易地以低價(jià)設(shè)備取得的信息,如電力消耗、執(zhí)行時(shí)間、故障時(shí)的輸出與輸入行為、輻射、電力尖峰情形等信息攻擊智能卡。其中,差分功耗分析(Differential Power Analysis,DPA)就是一種很有效的能量攻擊方法,其主要是借助統(tǒng)計(jì)方法來提取與密鑰有關(guān)的信息,實(shí)現(xiàn)過程比較復(fù)雜,但對(duì)攻擊者的智能卡專業(yè)技術(shù)水平的要求并不是很高,DPA對(duì)智能卡中相關(guān)的內(nèi)嵌加密算法的成功攻擊已經(jīng)被廣泛報(bào)道。
智能卡是一種在發(fā)卡后可下載應(yīng)用程序的公開平臺(tái)架構(gòu),所以為了防止偽卡與保護(hù)持卡人,智能卡必須具有高安全性和高可靠性。VISA國際組織規(guī)定智能卡必須符合最高的安全技術(shù)層次要求,不但其內(nèi)嵌儲(chǔ)存體和總線上傳遞的數(shù)據(jù)都要求加密,而且智能卡至少要提供一個(gè)以上的對(duì)策防止簡單功耗分析(Simple Power Analysis,SPA)與DPA攻擊。
1 智能卡芯片架構(gòu)
智能卡芯片架構(gòu)如圖1所示,主要由如下模塊構(gòu)成:
(1)嵌入式微處理器:可控制硬件執(zhí)行相關(guān)的指令完成加解密操作。其一般內(nèi)置有存儲(chǔ)器加解密單元,可通過其存取存儲(chǔ)體數(shù)據(jù);并通過硬件防火墻管制應(yīng)用程序存儲(chǔ)體。
(2)內(nèi)置存儲(chǔ)體:智能卡的存儲(chǔ)體分為SRAM,E2PROM與ROM三塊區(qū)域,其中ROM存放智能卡操作系統(tǒng)、執(zhí)行環(huán)境等程序及數(shù)據(jù);E2PROM存放用戶定制代碼,給不同的用戶、不同的應(yīng)用提供靈活的選擇;SRAM為執(zhí)行系統(tǒng)操作提供臨時(shí)空間。
(3)復(fù)位電路:用于產(chǎn)生系統(tǒng)復(fù)位信號(hào),其輸入來自RESET引腳輸入的外部復(fù)位信號(hào)。
(4)隨機(jī)數(shù)產(chǎn)生器:隨機(jī)數(shù)在智能卡的安全性上扮演著重要角色,密鑰生成、數(shù)字簽名、認(rèn)證和鑒別及各種安全通信協(xié)議都離不開高質(zhì)量的隨機(jī)數(shù)。該模塊主要產(chǎn)生無法預(yù)測的高質(zhì)量加密用數(shù)據(jù)。
(5)ISO7816接口控制器:為智能卡與讀卡器數(shù)據(jù)交換的重要接口,主要是硬件支持由ISO7816制定的T=0及T=1兩種協(xié)議,T=0負(fù)責(zé)傳送字符(Charac-ter);T=1則負(fù)責(zé)傳送區(qū)塊(Block)。
(6)中斷控制器:用來接收定時(shí)單元、加密引擎、接口控制器的中斷要求,并傳送“中斷”信號(hào)給微處理器,通知微處理器外圍模塊已完成指定工作或有事情發(fā)生。
(7)內(nèi)置定時(shí)單元:主要當(dāng)作看門狗定時(shí)器用,用以監(jiān)督系統(tǒng)的運(yùn)作,監(jiān)控內(nèi)部應(yīng)用程序是否正確執(zhí)行。若發(fā)現(xiàn)程序運(yùn)行錯(cuò)誤,就會(huì)給中斷控制器一個(gè)中斷信號(hào),使智能卡進(jìn)入暫停狀態(tài),一直要等到重置信號(hào)出現(xiàn)才恢復(fù)正常運(yùn)行。
(8)電源控制器:內(nèi)置的電壓傳感器和控制電路為其他模塊提供穩(wěn)定、安全的電源供應(yīng)。
(9)功耗管理模塊:智能卡對(duì)功耗的要求很高,該模塊是為達(dá)到節(jié)省電源的目的設(shè)計(jì)的省電裝置,其帶有停止和省電兩種工作模式。其中,停電模式支持ISO7816-3的頻率停止模式,以降低整個(gè)系統(tǒng)的電源消耗;省電模式則根據(jù)系統(tǒng)不同模塊工作特點(diǎn)規(guī)劃了各模塊的工作順序及狀態(tài),使工作時(shí)間互斥的模塊中的一部分工作時(shí),另一部分工作在睡眠狀態(tài),從而達(dá)到降低系統(tǒng)整體功耗的目的。
(10)頻率產(chǎn)生電路:智能卡作為一個(gè)復(fù)雜的SoC芯片,其系統(tǒng)工作頻率和加密操作頻率是不同的,為此一般的智能卡內(nèi)部都有PLL頻率產(chǎn)生電路。其頻率來自CLK腳輸入的外部頻率,產(chǎn)生供微處理器與加密引擎中各種加密協(xié)處理器使用要求的頻率。
(11)加密引擎:智能卡的加密引擎中嵌入了能實(shí)現(xiàn)多種加密算法的協(xié)處理器核,使其可以支持一般的加密算法包括:RSA,DES,AES。該模塊主要包括:
加密仲裁 根據(jù)系統(tǒng)不同用途下的不同加密操作要求,通過相關(guān)的控制指令管理不同的協(xié)處理器工作。DES協(xié)處理器 支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)(Data E-ncryption Standard,DES)。以56 b密鑰為基礎(chǔ)的密碼塊加密技術(shù),DES使用56 b密鑰對(duì)64 b的數(shù)據(jù)塊進(jìn)行加密,并對(duì)64 b的數(shù)據(jù)塊進(jìn)行16輪編碼,結(jié)果為64 b的密文。
AES協(xié)處理器 支持高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)(Ad-Vanced Encryption Standard,AES)。使用的是一個(gè)迭代型分組密碼,對(duì)加密來說,輸入是一個(gè)明文分組和一個(gè)密鑰,輸出是一個(gè)密文分組;分組長度和密碼長度都可變,可以獨(dú)立指定為128 b,192 b或256 b。
RSA協(xié)處理器 支持公開金鑰加解密系統(tǒng)。RSA主要是指數(shù)的運(yùn)算,是基于大質(zhì)數(shù)的因數(shù)分解的公匙體系,簡單來講就是兩個(gè)很大的質(zhì)數(shù),一個(gè)作為公鑰,另一個(gè)作為私鑰,如用其中一個(gè)加密,則用另一個(gè)解密。密鑰長度從40~2048 b可變,密鑰越長,加密效果越好,但加密、解密的開銷也就越大。
智能卡的ASIC設(shè)計(jì),主要模塊如加密引擎中所涉及的加解密協(xié)處理器、嵌入式微處理器等在市場上都由相關(guān)的IP核提供,這些IP的設(shè)計(jì)都采用了相關(guān)算法實(shí)現(xiàn)了抗DPA攻擊,具有很好的安全性。但是將上述IP整合及其他模塊的設(shè)計(jì)上必須注意采取抗DPA攻擊措施,才能保證智能卡的高安全性。
2 DPA攻擊原理
在一個(gè)沒有任何抗DPA攻擊的加密芯片上指令的執(zhí)行順序和相關(guān)數(shù)據(jù)處理操作會(huì)影響功率消耗,盡管這種影響會(huì)被噪聲消耗,但是靠統(tǒng)計(jì)的方式還是可以看出端倪。DPA攻擊技術(shù)以功率消耗圖為基礎(chǔ),再以統(tǒng)計(jì)方式推演主密鑰的攻擊技術(shù),其原理是智能卡在執(zhí)行加密過程中會(huì)消耗能量,產(chǎn)生電磁輻射,通過使用特殊的電子測量儀和數(shù)學(xué)統(tǒng)計(jì)技術(shù),就可以檢測和分析這些變化,從而得到芯片中的特定關(guān)鍵信息。智能卡執(zhí)行一條指令消耗的能量與指令的操作數(shù)相關(guān),某一指令I(lǐng)的執(zhí)行所消耗的平均功耗P如下式所示:
式中:PI表示指令I(lǐng)執(zhí)行過程中平均消耗的能量;op1,op2,…,opn表示I的操作數(shù);PI(0)和PI(1)分別表示op1取0和1時(shí)執(zhí)行指令I(lǐng)消耗的平均功耗。可見,PI與op1相關(guān)(△PI≠0)。
另外,考慮到智能卡采用的是CMOS工藝,其功耗主要是動(dòng)態(tài)功耗Pd,而Pd大小如下面公式所示:
式中:f是工作頻率;CL是輸出節(jié)點(diǎn)的集總負(fù)載電容;VDD是電源電壓;α是電路開關(guān)活動(dòng)因子(電路翻轉(zhuǎn)率)??梢奀MOS邏輯門功耗大小與α密切相關(guān),所以,電路中的數(shù)據(jù)的0與1狀態(tài)與電路的功率信號(hào)必然具有一定的相關(guān)性。
綜上所述,加密用密鑰與電路功耗存在相關(guān)性,DPA攻擊就是從這種相關(guān)性人手,最終實(shí)現(xiàn)對(duì)密鑰的破解。下面以AES算法為例,介紹DPA攻擊的過程:
(1)隨機(jī)生成大量明文;
(2)加密這些明文,并記錄下加密操作時(shí)的能耗曲線,求得這些曲線的平均;
(3)關(guān)注第一輪S2盒的輸出,設(shè)輸出的第一比特為b,對(duì)第一輪子密鑰的第一個(gè)字節(jié)進(jìn)行猜測,并用其與相應(yīng)的明文計(jì)算出S2盒的輸出;
(4)根據(jù)b的值,將能耗曲線按照b=0和b=1分為兩類;
(5)計(jì)算出這兩類的平均能耗曲線,并將二者相減,求得差分能耗曲線;
(6)觀察步驟(2)和(5)生成的能量曲線。若密鑰猜測正確,那么步驟(4)的分組就是正確的,步驟(5)生成的差分能耗曲線將和步驟(2)生成的平均能耗曲線呈現(xiàn)較大的差別,差分能耗曲線中將出現(xiàn)峰值。因此,攻擊者通過觀察峰值來判斷密鑰的猜測是否正確;
(7)重復(fù)步驟(3)~(6),得到其他輪的子密鑰。DPA攻擊易于實(shí)現(xiàn),一個(gè)完全不懂得智能卡技術(shù)的編程人員完全可以利用專用程序?qū)]有DPA防范的智能卡實(shí)現(xiàn)攻擊。高安全性的智能卡必須采取相應(yīng)的防范措施以實(shí)現(xiàn)抗DPA攻擊。
3 抗DPA攻擊的設(shè)計(jì)
目前各種密碼系統(tǒng)的算術(shù)邏輯運(yùn)算單元的VLSI設(shè)計(jì)已得到較為廣泛的研究,如何在其他方面實(shí)現(xiàn)抗DPA攻擊是值得進(jìn)一步深入研究的問題。下面從隨機(jī)數(shù)產(chǎn)生器、組合和時(shí)序邏輯防DPA設(shè)計(jì)介紹智能卡抗DPA攻擊的電路實(shí)現(xiàn)。
3.1 隨機(jī)數(shù)產(chǎn)生器設(shè)計(jì)
對(duì)于智能卡的DPA攻擊,主要是利用在卡上嵌入式微處理器運(yùn)作時(shí),某個(gè)特定指令的執(zhí)行或數(shù)據(jù)存取所消耗功率,在供應(yīng)電壓源上所表現(xiàn)特定的電流頻譜提供的有用信息。故可以通過外加額外的電路造成額外的電流消耗,從而改變電流頻譜以達(dá)到抗DPA攻擊。同時(shí)額外的電流消耗電路必須通過采用隨機(jī)數(shù)隨機(jī)的方式,產(chǎn)生隨機(jī)數(shù)消耗電流,以達(dá)到芯片消耗電力無法預(yù)測性,使其不能被分析與統(tǒng)計(jì)。
為此,可以在隨機(jī)數(shù)產(chǎn)生電路中設(shè)計(jì)如圖2所示的隨機(jī)數(shù)消耗電路,電路由比較器、移位寄存器、譯碼器組成;當(dāng)電阻噪聲產(chǎn)生的噪聲電壓經(jīng)過放大器、比較器后,產(chǎn)生“1”或“0”數(shù)字信號(hào),存入移位寄存器,這樣寄存器內(nèi)的值已經(jīng)類似混沌式RNG所產(chǎn)生的隨機(jī)數(shù),此隨機(jī)數(shù)經(jīng)譯碼器編碼后,控制三態(tài)充放電緩沖器的充放電個(gè)數(shù),最終達(dá)到以隨機(jī)數(shù)控制電流消耗的目的。
3.2 組合邏輯防DPA攻擊設(shè)計(jì)
防DPA攻擊的主要目的是使電路特性在運(yùn)算時(shí)保持相同,而保持電特性相同很重要的一點(diǎn)是使翻轉(zhuǎn)的晶體管數(shù)量在任何運(yùn)算步驟中都是一個(gè)常數(shù)。為實(shí)現(xiàn)這個(gè)目的可在電路運(yùn)算步驟之間增加一個(gè)中間步驟,這樣能防止有用信息從功耗分析中泄漏出去。最簡單的中間步驟設(shè)置是在輸入?yún)?shù)和電路運(yùn)算完成之后設(shè)置系統(tǒng)中間值。
為此,參考異步邏輯電路的雙軌編碼方式中對(duì)信息的每一位用兩根信號(hào)線進(jìn)行編碼的方式。采用兩位信號(hào)線的組合值“01”和“10”來表示數(shù)字邏輯的“真”和“假”,而組合值“00”和“01”則為中間值。這樣的編碼方式下,設(shè)計(jì)的基本邏輯單元電路如圖3所示。
如圖3(a)電路對(duì)于輸入A(A1A2)和B(B1B2),輸出只有O1O2和R1R2有效,當(dāng)輸入A1A2B1B2為0000或1111時(shí),輸出O1O2和R1R2的值是11或00,這樣實(shí)現(xiàn)了編碼中間態(tài)的傳遞。而當(dāng)輸入A1A2B1B2為有效數(shù)據(jù)0101,0110,1001和1010時(shí),輸出O1O2和R1的值就得到相關(guān)的NAND,AND,NOR和OR四個(gè)邏輯功能;其中,輸出O1O2→NAND,O2O1→AND,R1R2→NoR,R2R1→OR。至于NOT的實(shí)現(xiàn)如圖3(b)的電路所示。所以,上述基本的邏輯電路足以實(shí)現(xiàn)復(fù)雜的數(shù)字組合邏輯運(yùn)算功能。
3.3 時(shí)序邏輯防DPA攻擊設(shè)計(jì)
針對(duì)差分功耗分析,除了利用增加電路噪聲以降低差分功耗分析的信噪比的防御方案外。通過減小差分功率信號(hào)的值,同樣可以降低差分功耗分析的信噪比;若電路不同狀態(tài)下的功率差異趨于零,則差分功耗分析將失效。于是基于上述思路,在時(shí)序邏輯電路設(shè)計(jì)上可采用如圖4所示的互補(bǔ)結(jié)構(gòu)寄存器電路。
設(shè)寄存器初始狀態(tài)相同,輸出負(fù)載相同,時(shí)鐘沿賦值,如圖4不論輸入為O或1,兩個(gè)互補(bǔ)寄存器必是一個(gè)翻轉(zhuǎn),另一個(gè)不翻轉(zhuǎn),因此總的功耗在兩種情況下沒有差別。
另外,對(duì)于采用前面所述的雙線信號(hào)編碼方式,在時(shí)序邏輯電路的設(shè)計(jì)上,可采用在輸入任何有效的數(shù)據(jù)01和10之前,都先把寄存器設(shè)置為00或11中間態(tài)的協(xié)議。這樣,無論進(jìn)行何種操作,則時(shí)序邏輯中相關(guān)的寄存器都只有一個(gè)寄存器翻轉(zhuǎn),有效地防止了寄存器在數(shù)據(jù)傳輸過程中的信息泄漏。
4 結(jié) 語
智能卡是一種高安全性、高可靠性和復(fù)雜的片上系統(tǒng),具有抗功率分析攻擊、時(shí)間分析攻擊和故障分析攻擊的能力,但在一些新型的智能卡攻擊技術(shù)下其安全受到巨大的挑戰(zhàn),例如DPA攻擊。本文針對(duì)DPA攻擊智能卡的特點(diǎn),在智能卡的硬件電路上進(jìn)行了抗DPA攻擊的設(shè)計(jì),采用此設(shè)計(jì),再結(jié)合一些軟件上的抗DPA攻擊措施,就能構(gòu)成一個(gè)完善的智能卡安全體系結(jié)構(gòu),能十分有效地保證智能卡免受DPA攻擊。