Auswahl der wissenschaftlichen Literatur zum Thema „Attaques par canaux auxiliaires cachés“

Les cryptosystèmes sont présents dans de nombreux appareils utilisés dans la vie courante, tels que les cartes à puces, ordiphones, ou passeports. La sécurité de ces appareils est menacée par les attaques par canaux auxiliaires, où un attaquant observe leur comportement physique pour obtenir de l’information sur les secrets manipulés. L’évaluation de la résilience de ces produits contre de telles attaques est obligatoire afin de s’assurer la robustesse de la cryptographie embarquée. Dans cette thèse, nous exhibons une méthodologie pour évaluer efficacement le taux de succès d’attaques par canaux auxiliaires, sans avoirbesoin de les réaliser en pratique. En particulier, nous étendons les résultats obtenus par Rivain en 2009, et nous exhibons des formules permettant de calculer précisément le taux de succès d’attaques d’ordre supérieur. Cette approche permet une estimation rapide de la probabilité de succès de telles attaques. Puis, nous étudions pour la première fois depuis le papier séminal de Ishai, Sahai et Wagner en 2003 le problème de la quantité d’aléa nécessaire dans la réalisation sécurisée d’une multiplication de deux bits. Nous fournissons des constructions explicites pour des ordres pratiques de masquage, et prouvons leur sécurité et optimalité. Finalement, nous proposons un protocole permettant le calcul sécurisé d’un veto parmi un nombre de joueurs arbitrairement grand, tout en maintenant un nombre constant de bits aléatoires. Notre construction permet également la multiplication sécurisée de n’importe quel nombre d’éléments d’un corps fini
Cryptosystems are present in a lot of everyday life devices, such as smart cards, smartphones, set-topboxes or passports. The security of these devices is threatened by side-channel attacks, where an attacker observes their physical behavior to learn information about the manipulated secrets. The evaluation of the resilience of products against such attacks is mandatory to ensure the robustness of the embedded cryptography. In this thesis, we exhibit a methodology to efficiently evaluate the success rate of side-channel attacks, without the need to actually perform them. In particular, we build upon a paper written by Rivainin 2009, and exhibit explicit formulaes allowing to accurately compute the success rate of high-order side-channel attacks. We compare this theoretical approach against practical experiments. This approach allows for a quick assessment of the probability of success of any attack based on an additive distinguisher. We then tackle the issue of countermeasures against side- channel attacks. To the best of our knowledge, we study for the first time since the seminal paper of Ishai, Sahai and Wagner in 2003 the issue of the amount of randomness in those countermeasures. We improve the state of the art constructions and show several constructions and bounds on the number of random bits needed to securely perform the multiplication of two bits. We provide specific constructions for practical orders of masking, and prove their security and optimality. Finally, we propose a protocolallowing for the private computation of a secure veto among an arbitrary large number of players, while using a constant number of random bits. Our construction also allows for the secure multiplication of any number of elements of a finite field

Les attaques par canaux cachés telles que les attaques par analyse de la consommation sont une menace pour la sécurité des circuits intégrés. Elles exploitent les fuites physiques émises par les circuits lors des calculs cryptographiques pour récupérer les informations secrètes qu'ils contiennent. De nombreuses contremesures, notamment matérielles, ont donc été proposées par la communauté dans le but de protéger les crypto-systèmes contre ce type d'attaques. Malgré leur efficacité, leur inconvénient majeur est leur surcoût important en surface, vitesse et consommation. Cette thèse a pour objectif de proposer des contremesures avec un faible coût au niveau matériel visant à réduire ces fuites et offrant un bon compromis entre sécurité et surcoûts. Pour cela, nous identifions tout d'abord les principales sources de fuites d'un crypto-système intégrant une architecture matérielle itérative d'un algorithme symétrique. Puis nous proposons plusieurs contremesures, à faible coût matériel, qui visent à réduire ces fuites. Enfin, nous évaluerons la robustesse de nos solutions face aux attaques par canaux cachés
Side channel attacks such as power analysis attacks are a threat to the security of integrated circuits.They exploit the physical leakage of circuits during the cryptographic computations to retrieve the secret informations they contain. Many countermeasures, including hardware, have been proposed by the community in order to protect cryptosystems against such attacks. Despite their effectiveness, their major drawback is their significant additional cost in area, speed and consumption. This thesis aims at proposing low cost countermeasures able to reduce the leaks and offering a good compromise between security and costs. First we identify the main sources of leakage of a cryptographic system that integrates an iterative hardware architecture of a symetric algorithm. Then we propose several low cost countermeasures, which aim at reducing this leakage. Finally, we evaluate the robustness of our solutions against side channel attacks

Cette thèse porte sur deux éléments actuellement incontournables de la cryptographie à clé publique, qui sont l’arithmétique modulaire avec de grands entiers et la multiplication scalaire sur les courbes elliptiques (ECSM). Pour le premier, nous nous intéressons au système de représentation modulaire adapté (AMNS), qui fut introduit par Bajard et al. en 2004. C’est un système de représentation de restes modulaires dans lequel les éléments sont des polynômes. Nous montrons d’une part que ce système permet d’effectuer l’arithmétique modulaire de façon efficace et d’autre part comment l’utiliser pour la randomisation de cette arithmétique afin de protéger l’implémentation des protocoles cryptographiques contre certaines attaques par canaux auxiliaires. Pour l’ECSM, nous abordons l’utilisation des chaînes d’additions euclidiennes (EAC) pour tirer parti de la formule d’addition de points efficace proposée par Méloni en 2007. L’objectif est d’une part de généraliser au cas d’un point de base quelconque l’utilisation des EAC pour effectuer la multiplication scalaire ; cela, grâce aux courbes munies d’un endomorphisme efficace. D’autre part, nous proposons un algorithme pour effectuer la multiplication scalaire avec les EAC, qui permet la détection de fautes qui seraient commises par un attaquant que nous détaillons
This thesis focuses on two currently unavoidable elements of public key cryptography, namely modular arithmetic over large integers and elliptic curve scalar multiplication (ECSM). For the first one, we are interested in the Adapted Modular Number System (AMNS), which was introduced by Bajard et al. in 2004. In this system of representation, the elements are polynomials. We show that this system allows to perform modular arithmetic efficiently. We also explain how AMNS can be used to randomize modular arithmetic, in order to protect cryptographic protocols implementations against some side channel attacks. For the ECSM, we discuss the use of Euclidean Addition Chains (EAC) in order to take advantage of the efficient point addition formula proposed by Meloni in 2007. The goal is to first generalize to any base point the use of EAC for ECSM; this is achieved through curves with one efficient endomorphism. Secondly, we propose an algorithm for scalar multiplication using EAC, which allows error detection that would be done by an attacker we detail

L'objectif principal de la thèse est de proposer des solutions permettant d'améliorer l'efficacité des attaques par observation de signaux électromagnétiques pour découvrir la clé de chiffrement d'une carte à puce. Nous analysons deux méthodes: la DifferentiaI Power Analysis (DP A) et la Correlation Power Analysis (CP A). Les attaques DP A et CP A sont basées sur un modèle de consommation. Cependant, à cause de la complexité du circuit, le fait d'avoir un modèle rigoureux n'est pas réaliste. Nous avons proposé une nouvelle méthode, la Partitioning Power Analysis (PP A), qui permet d'améliorer la performance d'une attaque sans avoir un modèle de consommation précis. Les attaques par observation des signaux électromagnétiques, comme leur nom l'indique, dépendent étroitement des signaux acquis. La performance des attaques peut être nettement réduite si le bruit est trop fort ou si les signaux ne sont pas bien alignés. Nous avons proposé des solutions basées sur des techniques avancées de traitement du signal pour réduire le bruit et les effets engendrés par le désalignement des signaux. Les solutions que nous avons !développées améliorent l'efficacité des attaques
Analyze two methods: DifferentiaI Power Analysis (DP A) and the Correlation Power Analysis (CP A). The attacks DPA and CPA are based on a power consumption mode!. However, because of the complexity of the circuit, the fact of having a rigorous model is not realistic. We proposed a new method, Partitioning Power Analysis (PP A), which makes it possible to improve the performance of an attack without a precis consumption mode!. Side channel attacks depend closely on the quality of measured signaIs. The performance of an attack can be definitely reduced if the noise level is too high or if the signaIs are not weIl aligned. We proposed solutions based on signal processing techniques to reduce the noise and the effects generated by the signal misalignment. These solutions make it possible to improve the attack effectiveness

L’objectif de cette thèse est de proposer de nouvelles pistes de recherche dans l’état de l’art afin de sécuriser les algorithmes cryptographiques au sein d’un circuit électronique. Notre axe d’étude principal s’articule autour de la contre-mesure des implémentations à seuil, résistante contre les attaques par observations en présence de glitches. Ces derniers phénomènes apparaissent dans un circuit électronique de manière aléatoire et sont à l’origine de nombreuses attaques en cryptanalyse. Nous étudions l’application des implémentations à seuil sur la cryptographie symétrique. Dans un premier temps, nous contribuons à la littérature cryptographique par la conception de nouvelles implémentations à seuil applicables sur un grand nombre d’algorithmes symétriques. Les travaux réalisés sont appuyés par des preuves mathématiques formelles et permettent de contrer les attaques physiques par observations en présence de glitches. Par ailleurs, nos recherches ont également débouché à la proposition de deux brevets au sein de l’entreprise STMicroelectronics, participant ainsi au processus d’innovation industriel. Dans un second temps, nous nous intéressons à l’étude de l’algorithme symétrique SM4 et sa résistance face à la cryptanalyse actuelle. Les travaux obtenus permettent de centraliser les différentes implémentations du SM4 sécurisées contre les attaques par observations proposées dans l’état de l’art et d’offrir une visibilité sur les performances de ces constructions. Nous contribuons également à la recherche académique par la première proposition d’une implémentation à seuil du SM4, mathématiquement résistante contre les attaques par observations en présence de glitches
The goal of this thesis is to contribute to the state-of-the-art by proposing new areas of research in order to secure cryptographic algorithms within an embedded device.Our main focal axis is organized around the countermeasure called threshold implementations which is known to be resistant against side-channel analysis attacks in the presence of glitches.These latter phenomenon occur randomly within an electronic circuit and lead to numerous attacks in cryptanalysis. We study the application of threshold implementations on symmetric-key cryptography.In a first phase, we participate to the cryptographic litterature by designing new threshold implementations easily applicable on a large variety of symmetric-key algorithms. Our countermeasures are provable mathematically secured against side-channel analysis attacks in the presence of glitches. In comparison with the recent publications of the state-of-the-art, we adress new issues and we assure similar or better performances. Therefore, our research has resulted in two patents within STMicroelectronics, thereby contributing to the industrial innovation process.In a second phase, we are interested in the study of the symmetric-key algorithm SM4 and its resistance against side-channel analysis attacks. The works obtained allow to centralize the proposed SM4 countermeasures against side-channel analysis attacks of the state-of-the-art and offer a visibility on the software performances of these constructions. We finally introduce the first threshold implementation of the SM4 algorithm. Our construction is provably mathematically resistant against side-channel analysis attacks in the presence of glitches

Au début des années 90, l'apparition de nouvelles méthodes de cryptanalyse a bouleversé la sécurité des dispositifs cryptographiques. Ces attaques se basent sur l'analyse de consommation en courant lorsque le microprocesseur d'une carte est en train de dérouler l'algorithme cryptographique. Dans cette thèse nous explorons, principalement, les attaques template, et y apportons quelques améliorations pratiques notamment par l'utilisation de différentes techniques de traitement du signal. Nous commençons par étudier l'efficacité de ces attaques sur des mises en oeuvre matérielles non protégées, et explorons au fur et à mesure quelque modèles de fuite d'information. Après cela, nous examinons la pertinence du cadre théorique sur les attaques par profilage présenté par F.-X. Standaert et al. à Eurocrypt 2009. Ces analyses consistent en des études de cas basées sur des mesures de courant acquises expérimentalement à partir d'un accélérateur cryptographique. À l'égard de précédentes analyses formelles effectuées sur des mesures par " simulations ", les investigations que nous décrivons sont plus complexes, en raison des différentes architectures et de la grande quantité de bruit algorithmique. Dans ce contexte, nous explorons la pertinence des différents choix pour les variables sensibles, et montrons qu'un attaquant conscient des transferts survenus pendant les opérations cryptographiques peut sélectionner les distingueurs les plus adéquats, et augmenter ainsi son taux de succès. Pour réduire la quantité de données, et représenter les modèles en deux dimensions, nous utilisons l'analyse en composantes principales (ACP) et donnons une interprétation physique des valeurs propres et vecteurs propres. Nous introduisons une méthode basée sur le seuillage de la fuite de données pour accélérer le profilage ainsi que l'attaque. Cette méthode permet de renforcer un attaquant qui peut avec un minimum de traces, améliorer 5 fois sa vitesse dans la phase en ligne de l'attaque. Aussi, il a été souligné que les différents modèles utilisés, ainsi que les échantillons recueillis durant la même acquisition peuvent transporter des informations complémentaires. Dans ce contexte, nous avons eu l'occasion d'étudier comment combiner au mieux différentes attaques en se basant sur différentes fuites. Cela nous a permis d'apporter des réponses concrètes au problème de la combinaison des attaques. Nous nous sommes concentrés également sur l'identification des problèmes qui surgissent quand il y a une divergence entre les templates et les traces attaquées. En effet, nous montrons que deux phénomènes peuvent entraver la réussite des attaques lorsque les templates sont obsolètes, à savoir, la désynchronisation des traces, et le redimensionnement des traces en amplitudes. Nous suggérons deux remèdes pour contourner ce type de problèmes : le réajustement des signaux et la normalisation des campagnes d'acquisitions. Finalement, nous proposons quelques méthodes du traitement du signal dans le contexte des attaques physiques. Nous montrons que lorsque les analyses sont effectuées en multi-résolution, il y a un gain considérable en nombre de traces nécessaires pour récupérer la clé secrète, par rapport à une attaque ordinaire.

Au début des années 90, l’apparition de nouvelles méthodes de cryptanalyse a bouleversé la sécurité des dispositifs cryptographiques. Ces attaques se basent sur l’analyse de consommation en courant lorsque le microprocesseur d’une carte est en train de dérouler l’algorithme cryptographique. Dans cette thèse nous explorons, principalement, les attaques templates, et y apportons quelques améliorations pratiques. Ces analyses consistent en des études de cas basées sur des mesures de courant acquises expérimentalement à partir d’un accélérateur cryptographique. Pour réduire la quantité de données nous utilisons l’analyse en composantes principales et donnons une interprétation physique des valeurs propres et vecteurs propres. Nous introduisons une méthode basée sur le seuillage de la fuite de données pour accélérer le profilage et l’attaque. Nous apportons aussi des réponses concrètes au problème de la combinaison d’attaques, dans le cas où les modèles et échantillons recueillis sont porteurs d’informations complémentaires. Nous traitons également sur l’identification des problèmes qui surgissent quand il y a une divergence entre les template et les traces attaquées. Nous montrons que deux phénomènes peuvent entraver la réussite des attaques lorsque les template sont obsolètes, à savoir, la désynchronisation des traces et le redimensionnement des traces en amplitudes. Nous suggérons deux remèdes pour contourner ce type de problèmes. Finalement, nous proposons quelques méthodes du traitement du signal dans le contexte des attaques physiques : les analyses en multi-résolution permettent d’avoir un gain considérable en nombre de traces nécessaires pour récupérer la clé secrète
In the 90's, the emergence of new cryptanalysis methods revolutionized the security of cryptographic devices. These attacks are based on power consumption analysis, when the microprocessor is running the cryptographic algorithm. Especially, we analyse in this thesis some properties of the \emph{template attack}, and we provide some practical improvements. The analyse consists in a case-study based on side-channel measurements acquired experimentally from a hardwired cryptographic accelerator. The principal component analysis (PCA) is used to represent the \emph{templates} in some dimensions, and we give a physical interpretation of the \emph{templates} eigenvalues and eigenvectors. We introduce a method based on the thresholding of leakage data to accelerate the profiling or the matching stages. In this context, there is an opportunity to study how to best combine many attacks with many leakages from different sources or using different samples from a single source. That brings some concrete answers to the attack combination problem. Also we focus on identifying the problems that arise when there is a discrepancy between the \emph{templates} and the traces to match : the traces can be desynchronized and the amplitudes can be scaled differently. Then we suggest two remedies to cure the \emph{template} mismatches. We show that SCAs when performed with a multi-resolution analysis are much better than considering only the time or the frequency resolution. Actually, the gain in number of traces needed to recover the secret key is relatively considerable with repect to an ordinary attack

Les ordiphones et les objets connectés utilisent des radio pour communiquer avec d’autres appareils électroniques. Ces radio sont placées à côté du processeur et des autres composants numériques. Par exemple, dans les ordiphones un processeur, une mémoire et plusieurs émetteurs-récepteurs radio se trouvent sur la même plateforme. Les systèmes embarquées, plus simples, utilisent souvent des puces à signaux mixtes contenant à la fois un microcontrôleur et un émetteur-récepteur. La proximité physique entre les blocs numériques, qui produisent un bruit électromagnétique très fort, et les émetteurs-récepteurs radio, qui sont sensibles à ce bruit, peut causer des problèmes de fonctionnement et de performance. En effet, il existe de nombreux chemins de couplage entre les composants sur le même système. Dans cette thèse, nous explorons les problèmes de sécurité qui naissent de l’interaction entre composants numériques et systèmes radio, et nous proposons deux nouvelles attaques. Avec Screaming Channels, nous démontrons que les émetteurs radio sur des puces à signaux mixtes peuvent diffuser des informations sur l'activité numérique de l'appareil. Cela permet de mener des attaques par canaux auxiliaires à grande distance. Avec Noise-SDR, nous montrons qu'il est possible de générer des signaux radio arbitraires à partir du bruit électromagnétique déclenché par un logiciel sans privilèges, pour interagir avec des récepteurs radio, éventuellement sur la même plateforme
Modern connected devices need both computing and communication capabilities. For example, smartphones carry a multi-core processor, memory, and several radio transceivers on the same platform. Simpler embedded systems often use a mixed-signal chip that contains both a microcontroller and a transceiver. The physical proximity between digital blocks, which are strong sources of electromagnetic noise, and radio transceivers, which are sensitive to such noise, can cause functional and performance problems. Indeed, there exist many noise coupling paths between components on the same platform or silicon die. In this thesis we explore the security issues that arise from the interaction between digital and radio blocks, and we propose two novel attacks. With Screaming Channels, we demonstrate that radio transmitters on mixed-signal chips might broadcast some information about the digital activity of the device, making side channel attacks possible from a large distance. With Noise-SDR, we show that attackers can shape arbitrary radio signals from the electromagnetic noise triggered by software execution, to interact with radio receivers, possibly on the same platform

Les attaques par canaux auxiliaires sont apparues dans la deuxième moitié des années 1990. Ces attaques exploitent différentes informations qu’il est possible de collecter lors de l’exécution d’un algorithme sur un appareil cryptographique. Il est ainsi possible, entre autres, de mesurer la consommation d’énergie d’un appareil cryptographique, ou encore d’observer le temps d’exécution d’un certain algorithme sur un appareil. C’est à ces deux sources d’in- formation que nous nous intéressons dans ce travail. Après une présentation des concepts utiles à la lecture du travail et de l’état de l’art des attaques et des contre-mesures du domaine, nous abordons les résultats de nos recherches effectuées lors de ce travail de thèse. Nous présentons d’abord nos contributions aux attaques par mesure de consommation d’énergie :(1) une approche com- binant apprentissage semi-supervisé et attaques par templates pour retrouver le poids de Hamming des différents bytes d’une clé de chiffrement et (2) une approche utilisant des techniques d’apprentissage automatique pour attaquer une implantation protégée d’AES. Ensuite, nous abordons les contre-mesures investiguées durant nos recherches qui se résument (1) en la possibilité de rendre l’ordre des instructions d’AES le plus aléatoire possible en jouant sur la relation de dépendance entre celles-ci ainsi qu’en (2) l’étude de l’application partielle (sur un sous-ensemble de données) de certaines contre-mesures, afin de protéger les données sensibles d’un algorithme. Enfin, nous terminons ce travail par l’emploi de la programmation orientée aspects comme manière d’implanter des contre-mesures pour les attaques temporelles (sur RSA) et pour les attaques par mesures de consommation d’énergie (sur AES).
Doctorat en Sciences
info:eu-repo/semantics/nonPublished

L'évolution des besoins en sécurité des applications grand public a entraîné la multiplication du nombre de systèmes sur puces doués de capacités de chiffrement. En parallèle, l'évolution des techniques de cryptanalyse permet d'attaquer les implantations des méthodes de chiffrement utilisées dans ces applications. Cette thèse porte sur le développement d'une méthodologie permettant l'évaluation de la robustesse apportée par des protections intégrées dans le circuit. Cette évaluation est basée d'une part sur l'utilisation de plates-formes laser pour étudier les types de fautes induits dans un prototype de circuit sécurisé ; et d'autre part, sur l'utilisation d'une méthode basée sur des simulations pendant la phase de conception pour comparer l'influence sur les canaux cachés de protections contre les fautes. Cette méthodologie a été utilisée dans un premier temps sur le cas simple d'un registre protégé par redondance d'information, puis sur des primitives cryptographiques telles qu'une S-Box AES et des co-processeurs AES et RSA. Ces deux études ont montré que l'ajout de capacités de détection ou de correction améliore la robustesse du circuit face aux différentes attaques
L'évolution des besoins en sécurité des applications grand public a entraîné la multiplication du nombre de systèmes sur puces doués de capacités de chiffrement. En parallèle, l'évolution des techniques de cryptanalyse permet d'attaquer les implantations des méthodes de chiffrement utilisées dans ces applications. Cette thèse porte sur le développement d'une méthodologie permettant l'évaluation de la robustesse apportée par des protections intégrées dans le circuit. Cette évaluation est basée d'une part sur l'utilisation de plates-formes laser pour étudier les types de fautes induits dans un prototype de circuit sécurisé ; et d'autre part, sur l'utilisation d'une méthode basée sur des simulations pendant la phase de conception pour comparer l'influence sur les canaux cachés de protections contre les fautes. Cette méthodologie a été utilisée dans un premier temps sur le cas simple d'un registre protégé par redondance d'information, puis sur des primitives cryptographiques telles qu'une S-Box AES et des co-processeurs AES et RSA. Ces deux études ont montré que l'ajout de capacités de détection ou de correction améliore la robustesse du circuit face aux différentes attaques