Academic literature on the topic 'Attaque par injection de faute'

La cryptographie est le plus souvent contenue dans des cartes à puces ou des composants sécurisés, tels des coffres-forts. Ces cryptosystèmes embarqués sont démontrés sûrs de manière théorique. Par contre, ils interfèrent avec leur environnement proche et lointain. Ainsi les perturbations actives, appelées analyses en fautes, et les écoutes passives, dénommées analyses en canaux auxiliaires, se révèlent être de réelles menaces sur les implémentations logicielles et matérielles. Cette thèse considère l'injection de fautes et de logiciels sur les protocoles cryptographiques. Les analyses en fautes et en canaux auxiliaires fournissent des informations supplémentaires sur les implémentations matérielles et logicielles. Les états intermédiaires des calculs cryptographiques, les clefs secrètes ou privées ou les algorithmes propriétaires sont des cibles potentielles de ces analyses. Dans cette thèse, une analyse statistique issue de l'analyse en fautes sur la retenue d'une opération des schémas de Schnorr donne accès à la clef privée de signature ou de chiffrement asymétrique. Puis, une injection de code pour surveiller le cache mémoire d'un ordinateur lors d'un chiffrement par flot RC4 permet de retrouver la table de permutation secrète grâce à une analyse en temps sur les lignes de caches. Puis, deux analyses différentielles sur les tours internes de l'AES permettent d'obtenir la clef secrète pour les trois variantes de l'AES. Enfin, une nouvelle conséquence du modèle de faute qui passe outre une instruction permet de prendre le contrôle d'un hôte embarqué. Ces analyses ont démontré l'importance de protéger les implémentations cryptographiques par des contre-mesures adaptées face aux analyses en fautes et en canaux auxiliaires
The cryptography is very widespread inside smartcards or secure devices. These embedded cryptoSystems are proved theoretically secure. Nevertheless, they infère in far or near environment. So active perturbations, named fault analysis, or passive eavesdropping, called side-channel analysis, constitute real threats against hardware and software implementations. This thesis dealts with fault and software injections on cryptographie protocols. The fault analysis and side-channnel analysis give some more information on hardware and software implementations. The internai state of cryptographic computations, secret or private keys or private algorithms are all potential targets of this kind of analysis. In this thesis, a statistical analysis based on fault attack on the carry of Schnorr scheme operations gives access to private key in asymmetric signature or ciphering. Then, code injection in order to monitor memory cache of computer allows one to retrieve secret permutation table for stream cipher RC4, due to timing analysis on cache lines. Then, two differential analysis on internai rounds of AES enable to obtain secret key for the three different AES variants. Finally, a new consequence of fault model, which bypasses one instruction, allows one to take over a host. It is proved that it is important to protect cryptographic implémentations with proper countermeasures against fault analysis and side-channel analysis

Cette thèse est dédiée à l’étude des attaques par injection de faute électromagnétique dans les circuits intégrés sécurisés. De premiers travaux de modélisation électrique ont permis de simuler le couplage entre une sonde d’injection électromagnétique et les grilles d’alimentation et de masse du circuit afin de mieux comprendre les effets de l’impulsion EM. Cette modélisation a ensuite été appliquée à une simulation de circuit logique comprenant une bascule D et ses composants. Les résultats de ces simulations ont permis de déterminer les différentes fautes pouvant être induites par ce type d’attaque et d’en expliquer leur formation. Des mesures sur un circuit de test ont mis en évidence l’apparition de fautes de timing et de fautes d’échantillonnage, ainsi que de valider le modèle expérimentalement. Enfin, des contre-mesures issues du modèle développé sont proposées, afin d’augmenter la robustesse d’un circuit face à une attaque par injection de faute électromagnétique
This thesis is devoted to the study of electromagnetic fault injection attack on se-cure integrated circuits. Electrical modeling permits to simulate the coupling between an EM probe injection and the circuit supply and ground grids in order to understand the effect of the EM pulse. This modeling is then applied on a logic circuit simulation with a D flip-flop and its components. The simulation results were used to determine the various faults that could be induced by this attack and to explain their formation. Measurements on a test circuit revealed the appearance of timing and sampling faults and validated ex-perimentally the proposed model. Finally, some countermeasures based on the model are proposed in order to increase the robustness of a circuit against electromagnetic fault in-jection

Les circuits cryptographiques peuvent etre victimes d'attaques en fautes visant leur implementation materielle. elles consistent a creer des fautes intentionnelles lors des calculs cryptographiques afin d'en deduire des informations confidentielles. dans le contexte de la caracterisation securitaire des circuits, nous avons ete amenes a nous interroger sur la faisabilite experimentale de certains modeles theoriques d'attaques. nous avons utilise un banc laser comme moyen d'injection de fautes.dans un premier temps, nous avons effectue des attaques en fautes dfa par laser sur un microcontroleur implementant un algorithme de cryptographie aes. nous avons reussi a exclure l'effet logique des fautes ne correspondants pas aux modeles d'attaque par un jeu precis sur l'instant et le lieu d'injection. en outre, nous avons identifie de nouvelles attaques dfa plus elargies.ensuite, nous avons etendu nos recherches a la decouverte et la mise en place de nouveaux modeles d'attaques en fautes. grace a la precision obtenue lors de nos premiers travaux, nous avons developpe ces nouvelles attaques de modification de rondes.en conclusion, les travaux precedents constituent un avertissement sur la faisabilite averee des attaques par laser decrites dans la litterature scientifique. nos essais ont temoigne de la faisabilite toujours actuelle de la mise en place des attaques mono-octets ou mono-bits avec un faisceau de laser qui rencontre plusieurs octets ; et egalement reveler de nouvelles possibilites d'attaque. cela nous a amenes a etudier des contre-mesures adaptees.

Les attaques par injection de faute représentent une menace considérable pour les systèmes cyber-physiques. Dès lors, la protection contre ces attaques est une nécessité pour assurer un haut niveau de sécurité dans les applications sensibles comme l'internet des objets, les téléphones mobiles ou encore les voitures connectées. Élaborer des protections demande au préalable de bien comprendre les mécanismes d'attaque afin de proposer des contre-mesures efficaces. En matière de méthodes d'injection de faute, celle par interférence électromagnétique s'est vu être une source de perturbation efficace, en étant moins intrusive et avec une configuration à faible coût. Outre l'ajustement des paramètres d'injection, l’efficacité de cette méthode réside dans le choix de la sonde qui génère le rayonnement électromagnétique. L'état de l'art propose déjà des travaux par rapport à la conception et la caractérisation de ce type d'injecteur. Cependant, les résultats correspondant rapportent une différence entre ceux issus de la simulation et ceux à partir des tests expérimentaux.La première partie de la thèse aborde la question de l'efficacité des sondes magnétiques, en mettant l'accent sur l'implication de leurs propriétés. Afin de comparer les sondes, nous proposons d'observer l'impact des impulsions électromagnétiques au niveau logique, sur des cibles particulières de type FPGA.La caractérisation est aussi établie suivant la variation des paramètres d'injection comme l'amplitude et la polarité de l'impulsion, le nombre d'impulsions ou encore l'instant de l'injection. Ces résultats ont permis de converger sur les paramètres optimaux qui maximisent l'effet des sondes magnétiques. La caractérisation est par la suite étendue au niveau architecture sur des cibles de type microcontrôleur. L'objet de la seconde contribution consiste à présenter une démarche d'analyse, basée sur trois méthodes génériques, qui servent à déterminer les vulnérabilités des microcontrôleurs sur les instructions ou les données. Ces méthodes portent sur l'identification des éléments vulnérables au niveau architecture, l'analyse des modèles de faute au niveau bit, et enfin la définition de l'état des fautes, à savoir transitoire ou semi-persistent.Le travail de dresser les modèles de faute, ainsi que le nombre d'instructions ou données impactées, est un jalon important pour la conception de contre-mesures plus robustes. Concernant ce dernier point, des contre-mesures au niveau instruction ont été proposées contre les modèles de faute logiciels. Actuellement, le mécanisme le plus répandu se résume à appliquer une redondance dans l'exécution du programme à protéger. Toutefois, ce type de contre-mesure est formulé sur l'hypothèse qu'une injection de faute équivaut un seul saut d'instruction. Vis-à-vis de nos observations, ces contre-mesures basées sur de la duplication au niveau instructions présentent des vulnérabilités, que nous identifions, puis corrigeons
Fault injection attacks represent a considerable threat to cyber-physical systems.Therefore, protection against these attacks is required to ensure a high level of security in sensitive applications such as the Internet of Things, smart devices or connected cars.Developing protection requires a good understanding of the attack mechanisms in order to propose effective countermeasures.In terms of fault injection methods, electromagnetic interference has proven to be an effective source of disruption, being less intrusive and with a low cost setup.Besides the adjustment of the injection parameters, the effectiveness of this attack mean lies in the choice of the probe that generates the electromagnetic radiation.The state of the art already proposes many works related to the design and characterization of this type of injector.However, the corresponding results point out to some difference between those from simulation and those from experimental tests.The first part of the thesis addresses the question of the efficiency of magnetic probes, with a focus on their properties.In order to compare the probes, we propose to observe the impact of electromagnetic pulses at the logic level, on particular targets such as FPGA.The characterization is also established according to the variation of the injection parameters such as the amplitude and the polarity of the pulse, the number of pulses or the injection time.These results allowed to converge on the optimal parameters that maximize the effect of the magnetic probes.The characterization is then extended to the architecture level on microcontroller targets.The purpose of the second contribution is to present an analysis approach, based on three generic methods, which are used to determine the vulnerabilities of microcontrollers with respect to instructions or data.These methods concern the identification of vulnerable elements at the architecture level, the analysis of fault models at the bit level, and finally the definition of the temporal fault status, i.e. transient or semi-persistent.Establishing the fault patterns, as well as the number of the impacted instructions or data, is an important milestone for the design of more robust countermeasures.Regarding the latter, instruction-level countermeasures have been proposed against software fault models.Currently, the most common mechanism is to apply a redundant execution of the program to be protected.However, this type of countermeasure is based on the assumption that a fault injection imply a single instruction jump.With respect to our observations, these countermeasures based on instruction-level duplication present vulnerabilities, which we identify and then correct

Cette thèse se situe dans la cryptanalyse physique des algorithmes de chiffrement par blocs. Un algorithme cryptographique est conçu pour être mathématiquement robuste. Cependant, une fois implémenté dans un circuit, il est possible d'attaquer les failles de ce dernier. Par opposition à la cryptanalyse classique, on parle alors d'attaques physiques. Celles-ci ne permettent pas d'attaquer l'algorithme en soi, mais son implémentation matérielle. Il existe deux grandes familles d'attaques physiques différentes : les attaques par observation du circuit durant le chiffrement, et les attaques par injections de fautes, qui analysent l'effet d'une perturbation intentionnelle sur le fonctionnement du circuit. Les attaques physiques ont deux types d'objectifs : rechercher la clé ou faire de la rétro-conception (retrouver une partie d'un algorithme de chiffrement privé, ex : s-boxes modifiées). Bien que leurs principes semblent distincts, cette thèse présente un formalisme qui permet d'unifier toutes ces attaques. L'idée est de décrire les attaques physiques de façon similaire, afin de pouvoir les comparer. De plus, ce formalisme a permis de mettre en évidence de nouvelles attaques. Des travaux novateurs ayant pour objet de retrouver la clé de chiffrement d'un AES, uniquement avec la consommation de courant ont été menés. Une nouvelle attaque de type FIRE (Fault Injection for Reverse Engineering) pour retrouver les s-boxes d'un pseudo DES est également présentée dans la thèse. Ce travail a abouti sur une réflexion plus générale, sur les attaques par injections de fautes dans les schémas de Feistel classiques et généralisés
The main subject of this work is the physical cryptanalysis of blocks ciphers. Even if cryptographic algorithms are properly designed mathematically, they may be vulnerable to physical attacks. Physical attacks are mainly divided in two families: the side channel attacks which are based on the observation of the circuit behaviour during the computation, and the fault injection attacks which consist in disturbing the computation in order to alter the correct progress of the algorithm. These attacks are used to target the cipher key or to reverse engineer the algorithm. A formalism is proposed in order to describe the two families in a unified way. Unifying the different attacks under a same formalism allows to deal with them with common mathematical tools. Additionally, it allows a comparison between different attacks. Using this framework, a generic method to assess the vulnerabilities of generalized Feistel networks to differential fault analysis is presented. This work is furthermore extended to improve a FIRE attack on DES-like cryptosystems with customized s-boxes

Cette thèse s'intéresse à la sécurité des programmes embarqués face aux attaques par injection de fautes. La prolifération des composants embarqués et la simplicité de mise en œuvre des attaques rendent impérieuse l'élaboration de contre-mesures.Un modèle de fautes par l'expérimentation basé sur des attaques par impulsion électromagnétique a été élaboré. Les résultats expérimentaux ont montré que les fautes réalisées étaient dues à la corruption des transferts sur les bus entre la mémoire Flash et le pipeline du processeur. Ces fautes permettent de réaliser des remplacements ou des saut d'instructions ainsi que des modifications de données chargées depuis la mémoire Flash. Le remplacement d'une instruction par une autre bien spécifique est très difficile à contrôler ; par contre, le saut d'une instruction ciblée a été observé fréquemment, est plus facilement réalisable, et permet de nombreuses attaques simples. Une contre-mesure empêchant ces attaques par saut d'instruction, en remplaçant chaque instruction par une séquence d'instructions, a été construite et vérifiée formellement à l'aide d'outils de model-checking. Cette contre-mesure ne protège cependant pas les chargements de données depuis la mémoire Flash. Elle peut néanmoins être combinée avec une autre contre-mesure au niveau assembleur qui réalise une détection de fautes. Plusieurs expérimentations de ces contre-mesures ont été réalisées, sur des instructions isolées et sur des codes complexes issus d'une implémentation de FreeRTOS. La contre-mesure proposée se révèle être un très bon complément pour cette contre-mesure de détection et permet d'en corriger certains défauts
This thesis focuses on the security of embedded programs against fault injection attacks. Due to the spreadings of embedded systems in our common life, development of countermeasures is important.First, a fault model based on practical experiments with a pulsed electromagnetic fault injection technique has been built. The experimental results show that the injected faults were due to the corruption of the bus transfers between the Flash memory and the processor’s pipeline. Such faults enable to perform instruction replacements, instruction skips or to corrupt some data transfers from the Flash memory.Although replacing an instruction with another very specific one is very difficult to control, skipping an instruction seems much easier to perform in practice and has been observed very frequently. Furthermore many simple attacks can carried out with an instruction skip. A countermeasure that prevents such instruction skip attacks has been designed and formally verified with model-checking tool. The countermeasure replaces each instruction by a sequence of instructions. However, this countermeasure does not protect the data loads from the Flash memory. To do this, it can be combined with another assembly-level countermeasure that performs a fault detection. A first experimental test of these two countermeasures has been achieved, both on isolated instructions and complex codes from a FreeRTOS implementation. The proposed countermeasure appears to be a good complement for this detection countermeasure and allows to correct some of its flaws

Le domaine de la cryptanalyse a été marqué ces dernières années par la découverte de nouvelles classes d’attaques, dont font partie les attaques par injection de fautes. Le travail de thèse vise à développer des outils et des techniques destinés à rendre les circuits robustes face aux attaques par injection de fautes (Differential Fault Analysis : DFA). On s’intéresse en particulier à étudier la modélisation et la conception de circuits asynchrones résistants à ces attaques. Le travail porte dans un premier temps sur l'analyse de la sensibilité aux fautes de ces circuits, puis sur le développement de contre-mesures visant à améliorer leur résistance et leur tolérance. Les résultats sont évalués en pratique sur des circuits cryptographiques asynchrones par une méthode d'injection de fautes par laser. Ces résultats valident les analyses théoriques et les contre-mesures proposées, et confirment l'intérêt des circuits asynchrones pour la conception de systèmes sécurisés
New hardware cryptanalysis methods such as fault-based attacks have shown their efficiency to break cryptosystems. This work is focused on the development of new techniques and tools that enable the design of robust circuits against fault injection attacks (Differential Fault Analysis: DFA). The study and the design of resistant asynchronous circuits against these attacks are particularly addressed. We first specify a faults sensitivity evaluation of asynchronous circuits. Then, hardening techniques are proposed in order to improve circuits resistance and tolerance. Practical results are evaluated on asynchronous cryptographic circuits using a laser beam fault injection system. These results validate both the theoretical analysis and the hardening techniques, and confirm that asynchronous technology is an efficient solution to design secure systems

Cette thèse s'intéresse à la sécurité des programmes embarqués face aux attaques par injection de fautes. La prolifération des composants embarqués et la simplicité de mise en œuvre des attaques rendent impérieuse l'élaboration de contre-mesures.Un modèle de fautes par l'expérimentation basé sur des attaques par impulsion électromagnétique a été élaboré. Les résultats expérimentaux ont montré que les fautes réalisées étaient dues à la corruption des transferts sur les bus entre la mémoire Flash et le pipeline du processeur. Ces fautes permettent de réaliser des remplacements ou des saut d'instructions ainsi que des modifications de données chargées depuis la mémoire Flash. Le remplacement d'une instruction par une autre bien spécifique est très difficile à contrôler ; par contre, le saut d'une instruction ciblée a été observé fréquemment, est plus facilement réalisable, et permet de nombreuses attaques simples. Une contre-mesure empêchant ces attaques par saut d'instruction, en remplaçant chaque instruction par une séquence d'instructions, a été construite et vérifiée formellement à l'aide d'outils de model-checking. Cette contre-mesure ne protège cependant pas les chargements de données depuis la mémoire Flash. Elle peut néanmoins être combinée avec une autre contre-mesure au niveau assembleur qui réalise une détection de fautes. Plusieurs expérimentations de ces contre-mesures ont été réalisées, sur des instructions isolées et sur des codes complexes issus d'une implémentation de FreeRTOS. La contre-mesure proposée se révèle être un très bon complément pour cette contre-mesure de détection et permet d'en corriger certains défauts
This thesis focuses on the security of embedded programs against fault injection attacks. Due to the spreadings of embedded systems in our common life, development of countermeasures is important.First, a fault model based on practical experiments with a pulsed electromagnetic fault injection technique has been built. The experimental results show that the injected faults were due to the corruption of the bus transfers between the Flash memory and the processor’s pipeline. Such faults enable to perform instruction replacements, instruction skips or to corrupt some data transfers from the Flash memory.Although replacing an instruction with another very specific one is very difficult to control, skipping an instruction seems much easier to perform in practice and has been observed very frequently. Furthermore many simple attacks can carried out with an instruction skip. A countermeasure that prevents such instruction skip attacks has been designed and formally verified with model-checking tool. The countermeasure replaces each instruction by a sequence of instructions. However, this countermeasure does not protect the data loads from the Flash memory. To do this, it can be combined with another assembly-level countermeasure that performs a fault detection. A first experimental test of these two countermeasures has been achieved, both on isolated instructions and complex codes from a FreeRTOS implementation. The proposed countermeasure appears to be a good complement for this detection countermeasure and allows to correct some of its flaws

Les systèmes embarqués numériques sont omniprésents dans notre environnement quotidien. Ces systèmes embarqués, par leur caractère nomade, sont particulièrement sensibles aux attaques dites par injection de fautes. Par exemple, un attaquant peut injecter une perturbation physique dans un circuit électronique pour compromettre les fonctionnalités de sécurité du système. Originellement utilisées pour compromettre des systèmes cryptographiques, ces attaques permettent aujourd'hui de cibler n'importe quel type de système. Ces attaques permettent notamment de compromettre l'exécution d'un programme. Dans ce manuscrit, nous introduisons une nouvelle propriété de sécurité pour protéger l'exécution des instructions dans la microarchitecture: l'intégrité d'exécution. À partir de cette propriété, nous décrivons le concept de SCI-FI, une contre-mesure qui assure la protection de l'intégralité du chemin d'instructions en assurant l'intégrité du code, du flot de contrôle et d'exécution. Pour cela, nous construisons un vecteur de bits que nous appelons pipeline state à partir de signaux de contrôle dans la microarchitecture. À partir du pipeline state, deux modules s'articulent pour assurer les propriétés de sécurité. Le premier module calcule une signature à partir du pipeline state assurant ainsi l'intégrité du code, du flot de contrôle et une partie de l'intégrité d'exécution. Le second module complète l'intégrité d'exécution dans la microarchitecture en utilisant un mécanisme de redondance. Nous proposons également le support et la sécurisation des branchements indirects et des interruptions, nécessaires pour la conception de systèmes embarqués. Nous réalisons deux imPlémentations de SCI-FI, l'une construite sur une primitive cryptographique assurant un niveau de sécurité maximal et l'autre plus légère construite sur une fonction CRC privilégiant les performances. Pour cela, nous intégrons SCI-FI dans un processeur RISC-V 32 bits et modifions la chaîne de compilation LLVM. Nous réalisons une analyse de sécurité des différents éléments qui composent SCI-FI dans chaque implémentation. Nous montrons ainsi que SCI-FI, même avec l'implémentation privilégiant les performances, est robuste face à un attaquant disposant de moyens d'injection de fautes à l'état de l'art. Enfin, nous évaluons les performances de nos implémentations par une synthèse dans un flot de conception ASIC et par l'exécution en simulation de la suite de test Embench-IOT. Nous montrons ainsi que SCI-FI a des performances équivalentes aux contre-mesures de l'état de l'art tout en assurant une propriété de sécurité supplémentaire, l'intégrité d'exécution
Embedded systems are ubiquitous in our everyday life. Those embedded systems, by their nomadic nature, are particularly sensitive to the so-called fault injection attacks. For example, an attacker might inject a physical perturbation in an integrated circuit to compromise the security features of the system. Originally used to compromise cryptographic systems, those attacks can now target any kind of system. Notably, those attacks enable to compromise the execution of a program. In this manuscript, we introduce a new security property to protect the execution of instructions in the microarchitecture: execution integrity. From this property, we describe the concept of SCI-FI, a counter-measure that ensures the protection of the whole instruction path thanks to code, control-flow and execution integrity properties. We build SCI-FI around a bit vector that we call pipeline state and that is composed of microarchitecture control signals. Two modules interact around the pipeline state to ensure the security properties. The first module computes a signature from the pipeline state to ensure code and control-flow integrity and partially execution integrity. The second module completes the execution integrity support in the microarchitecture thanks to a redundancy mechanism. We also propose a solution for indirect branches and interrupts that are required to design embedded systems. We implement two versions of SCI-FI, one built around a cryptographic primitive which provides the best security level and another lighter one built around a CRC to maximize the performances. We integrate SCI-FI into a 32 bits RISC-V processor, and we modify the LLVM compiler. We analyze the security provided by our two implementations and we show that SCI-FI, even with the lightweight implementation, is robust against state-of-the-art attacker. Finally, we evaluate the performances of our implementations through an ASIC synthesis and through the execution of the benchmark suite Embench-IoT. We show that SCI-FI has comparable performances to state-of-the-art counter-measures while ensuring a new security property: execution integrity

Les circuits microélectroniques sécuritaires sont de plus en plus présents dans notre quotidien (carte à puce, carte SIM) et ils renferment des informations sensibles qu'il faut protéger (numéro de compte, clé de chiffrement, données personnelles).
Récemment, des attaques sur les algorithmes de cryptographie basées sur l'utilisation de fautes ont fait leur apparition. L'ajout d'une faute lors d'un calcul du circuit permet d'obtenir un résultat faux. À partir d'un certain nombre de résultats corrects et de résultats faux correspondants, il est possible d'obtenir des informations secrètes et dans certains cas des clés cryptographiques complètes.
Cependant, les perturbations physiques utilisées en pratique (impulsion laser, radiations, changement rapide de la tension d'alimentation) correspondent rarement aux types de fautes nécessaires pour réaliser ces attaques théoriques.
Dans ce travail, nous proposons une méthodologie pour tester les circuits face aux attaques par faute en utilisant de la simulation. L'utilisation de la simulation permet de tester le circuit avant la réalisation physique mais nécessite beaucoup de
temps. C'est pour cela que notre méthodologie aide l'utilisateur à choisir les fautes les plus importantes pour réduire significativement le temps de simulation.
L'outil et la méthodologie associée ont été testés sur un circuit cryptographique (AES) en utilisant un modèle de faute utilisant des délais. Nous avons notamment montré que l'utilisation de délais pour réaliser des fautes permet de générer des fautes correspondantes à des attaques connues.