打破xilinx virtex II FPGA比特流加密

这是一个权力分析攻击,这使得防御变得更加困难。因为攻击模型是一个工程师试图对芯片进行反向工程,这是一次有效的攻击。

文摘:在过去的二十年中,fpga已经成为许多先进数字系统的核心部件,例如,视频信号处理,网络路由器,数据采集和军事系统。为了保护知识产权和防止欺诈,例如,通过克隆FPGA或操纵其内容,许多当前的FPGA都采用了比特流加密功能。我们开发了一个成功的攻击位流加密引擎集成在广泛的Virtex-II Pro FPGAs从Xilinx,使用侧通道分析。在测量了装置单次加电的耗电量和少量的O线计算后,我们能够恢复它的triple DES模块使用的所有三个不同密钥。我们的方法允许从任何实际设备中提取密钥,其中,Virtex-II Pro的比特流加密功能是启用的。因此,目标产品可以由攻击者任意克隆和操作。同时,更高级的攻击,如反向工程或引入硬件木马成为潜在的威胁。作为侧通道攻击的一部分,我们能够推断出硬件加密引擎的某些内部结构。据我们所知,这是公开文献中首次报道的针对商业FPGA的比特流加密攻击。

发布于8月1日,2011年12点29分•21日评188滚球网站论

188滚球网站评论

基站控制系统·8月1日2011年一37点

制造出能够抵抗这种情况的集成电路将会成为一个有趣的研究领域。

詹姆斯·萨瑟兰·8月1日下午2011点57分

@bcs:据我所知,这已经在智能卡等更注重安全的芯片上实现了——Xilinx只是没有花那么大力气来隐藏FPGA加密密钥,可能是认为在那一点上不值得付出努力。假设未来的Xilinx设备将使用3DES的恒功率实现,以防万一——但是有多少实际的使用真正困扰于加密,或者用它“因为它在那里”,而不是将真正敏感的数据隐藏在比特流中?

是的,思科拥有自己的路由器专用代码——但这真的与微软在普通cpu上运行的代码有那么大的不同吗?哪个国家一开始就没有这种加密呢?我可以比克隆思科交换机或路由器更容易地制作Windows7的非法复制品,是否使用FPGA代码。

DG·8月1日2011年下午5:09

这是我在将两篇论文的参考文献转发给Xilinx (IACR 2011 papers 390 and 391)后,通过分销商从Xilinx得到的间接回复:

-对半导体器件的DPA攻击至少已有13年的历史。
- DPA攻击几乎可以针对所有处理器,微控制器,支付卡(“智能卡”)以及FPGA。
——到目前为止,没有现场DPA攻击Xilinx FPGA的报告。

也许值得注意的是,我们注意到一家试图向半导体厂商销售安全专利的公司一直在向编辑分发这些研究论文……

虽然技术上可行,这些技术执行起来并不简单,需要对受攻击的物理系统进行大量未被检测到的访问,以及专业知识和设备。

Xilinx非常严肃地对待所有安全漏洞报告;他们不断地添加新功能来保护我们设备的安全。

关注其设计安全性的客户应实施全面的安全策略,以保护其架构和设计文件,使用物理设备,以及他们认为合适的任何其他措施。

我寄回了一些关于击败DPA的技术的论文

密码硬件的可逆逻辑:一种新的范式
Himanshu Thapliyal和Mark Zwolinski

一种新颖、高效、健壮的AES实现
逆差功率分析
马苏德Masoumi
KN。图斯理工大学,德黑兰伊朗

这个领域还有很多其他的工作。

该响应相当于声明安全性是Xilinx客户的责任,安全是你所看到的或自己创造的。

不幸的是,像思科这样的公司,与军事应用不同,未经筛选的客户通常拥有包含“安全”配置的fpga的硬件。

考虑到大多数“盗版”都发生在供应链中,这可能不是对“IP”获取的最大威胁。在思科的案例中,新的攻击集中在经济方面,“盗版”“知识产权”的售价与退货数量之比。简单的步骤,如在安全配置加载到连接到设备序列号的EEPROM期间的受控访问,将不再是一种保证。

把它看作是一场在降低生产成本和减少“盗版”之间升级的战争。这里不平衡的是“IP”复制的生产成本,当依赖于加密(这并不是真正的工作)与复制的风险。

Xilinx可能会改进他们的故事,增加更好的保护,或者停止销售该功能。这让人想起DRM方案,它很容易受到“一次复制多次就被破坏”的攻击。

例如,在过去我们看到的网络产品中,每个空闲的FPGA pin都被转到相邻的设备上,从而允许通过不同的编程配置所代表的设计更改来重新制造产品。我想,仔细检查也会发现产品差异化是以同样的方式进行的,更便宜的产品易受配置升级的影响。

高成交量或高利润意味着高风险。现在,这会促使供应商回到ASIC,还是仅仅用假冒产品稀释市场,以获得体积较小、几乎没有物理差异的产品?

弧光·8月1日2011下午6点21分

我愿意让Xilinx在“安全是客户的责任”这一立场上更加宽松一些。

不像微软,苹果谷歌,等,Xilinx销售的芯片旨在被客户集成到产品中。那些提供完整系统的厂商可以从容地决定,更好的安全性(对于他们的IP)是否比安全性更经济。更高的成本是合理的。

我认为Xilinx的说法是正确的,DPA攻击已经众所周知很多年了,他们也不认为他们的产品是“不可破解的”。

现在那些购买Xilinx FPGAs的客户可能也会决定依赖比特流加密特性来保护其他可能受到伤害的第三方的内容,并确定他们在经济上不明智的做法是增加额外的安全功能,因为成本是一种外部性。

我们又回到了经济学。

弧光

Narr·8月1日2011下午6点51分

这些技术执行起来并不简单,需要对受攻击的物理系统进行大量未被检测到的访问
以及>的专业知识和设备。

“发现”谁?谁的公司买了零件进行逆向工程的工程师?我敢打赌,如果他看到有人在附近徘徊,他会告诉主人的,哈哈!

RobertT·8月1日2011年28点

@ DG“高交易量或高利润意味着高风险”

你说得对。

困难在于Xilinx向Cisco出售了一个通用设备,攻击者可以很容易地从中提取配置序列。谈论DPA提取是一个笑话,因为配置信息价值数十万美元,如果没有更多的。

在这种情况下,攻击者肯定会封掉设备,decap之后,他们将找到“纯文本”输出点并fib a探针点,通常,他们会将这个探测点绑定到一个未使用的I/O,然后访问解密的流。所有这些工作将花费他们不到5000美元在任何一个好的故障分析公司,没有问题!


大卫·8月2日2011年4:03我

@RobertT
“配置信息价值几十万美元,如果不是更多。”

你能解释一下吗?
会如何配置路由器/防火墙/任何通信产品都应该如此愤怒。

的场景是什么?
如果我从思科购买设备(路由器/防火墙),那么我可能是一个大组织——我让我的设备远离坏人。
在什么情况下,直接从供应商(思科或通讯公司)购买的未使用/清洁设备的配置值那么多钱?

qwertz式·8月2日2011年15点

也许这对于开发“C-like”固件编译器的人来说是个好消息,即。使用“类似C语言”来编写固件,而不是Verilog/VHDL。
之前由于加密,他们无法将“编译”的结果下载到某些FPGA中……

克莱夫鲁滨孙·8月2日2011年17点

@戴维,

“你能解释一下吗?”

这就相当于知道定制芯片的内容是什么,不是路由器中的路由规则。

正在讨论的攻击是窃取内部电子设备的设计,然后用它来制造你自己的“山寨”产品,而不需要投资非常非常昂贵的研发,这可能占第一次生产运行成本的25-50%。

您正在考虑的攻击是如何通过配置不良的路由器从另一端的其他计算设备窃取信息。

穆斯特电子制造商所知道的是,这是一场保持领先的竞赛,在很多情况下,这种竞赛是完全不诚实的。问题是他们的偷窃水平如何,你的想法,你的算法,你的设计,或者你的好名字……

我知道一家英国公司为广播行业生产低成本的设备,他们有很多创新的想法。然而,在生产一种新产品的几周内,一家以色列公司窃取了这种设计,并在非洲等国家低价出售。

其他人甚至“重新标记”仿冒品并在Ebay上出售,而且不可避免的是,当重新打上标签的假冒产品失败时,终端客户试图从该公司获得保修,该公司的名称已被印在设备上……

这是自20世纪60年代以来一直在进行的一种“台湾假”的工业过程。它在中国、以色列和其他国家进行。

克莱夫鲁滨孙·8月2日2011年第3点

正如布鲁斯所指出的,

“这是一次权力分析攻击,这使得防御更加困难”

我们知道,在密码学中经常使用的非线性行为在转换成硬件时具有一些非常明确的功率谱一致性。

我们还从过去的证据中知道,由此产生的权力签字即使不是不可能也很难隐藏。我们所能期待的最好结果是,以各种形式的“隐蔽安全”,以“有计划的过时”为后盾,尽快关闭任何新的攻击渠道。

我们有必要回顾一下天空卫星电视机顶盒和订阅卡所发生的事情,看看你能参与什么样的军备竞赛。

如果你有一个独立的系统,(这些FPGA系统是什么)攻击者可以获得它们甚至可以破坏最安全的系统,这只是时间问题。

在使用非独立系统时,您更有可能在更长的时间内保持安全,因为攻击可以(通常)被检测到并因此停止。

就像那架坠毁的美国飞机被怀疑是中国控制的一样,即使不是所有的秘密都可以而且将会从最好的设计中恢复,以防止丢失。

物理学的基本原则之一是,信息可以被创造,但不能被摧毁,这就是因果关系一直存在的原因(参见史蒂芬·霍金提出的黑洞蒸发和信息丢失的问题,这就产生了一个概念,即所有关于进入黑洞的物体的信息都被捕获在视界上)。

RobertT·8月2日2011年6:37我

@David,
“你能解释一下怎么回事吗?
路由器/防火墙/anyciscorproduct的配置会是怎样的呢?”

存储在FPGA(或负载/配置文件)中的是思科的路由器研发,如果这可以复制的话,那么生产一份他们产品的副本是微不足道的,因为PCB和外壳很容易复制。如果我能复制FPGA的话,思科现有的所有软件都能正常工作。

某家不知名的中国公司以盗用思科路由器而闻名,这些拷贝非常好,思科只能通过它们的无效ID代码来区分这些拷贝。

如果你在Ebay上买过思科路由器,很可能是假的。

事实上,假芯片也成为一个大问题,因为你不仅能得到假固件,就像复制思科产品的负载一样,但你也可以得到假的FPGA,甚至是像opamps这样的模拟半导体。随着世界上几乎所有的生产都转移到中国,对于那些复制Xilinx产品并将其插入现有供应链的有创业精神的个人来说,将获得巨大的回报。

就连思科(Cisco)也认为自己购买的是正品,但后来发现是假货。有时你只能找到假货,因为它在某些情况下会失效,当你试图与制造商合作,找出问题时,他们告诉你这不是他们的职责。

所有的薯条看起来都像长着银色腿的黑色小东西。你可以在上面盖上你想要的邮票,然后通过可疑的香港渠道出售。

这就是我说真正的信息安全只有在供应链安全的情况下才有可能的部分原因。否则你真的不知道你背后发生了什么。

大卫·8月2日2011点7分47分

@Clive Robinson -谢谢,我没有完全意识到这些“配置”是什么。现在我明白了。

有趣的是,当我还是希伯来大学的CS学生时(我是以色列人),我还学习了工商管理硕士学位,专门为来自CS的人开设课程(不要问)。

以色列一家大公司的前首席执行官。公司,他告诉我们:
每一年,他总是去这个大公司。展览在西班牙。
随着时间的推移,他总是看到他自己的产品被一家中国公司仿制。
多年来,徐aue展台总是与他们的展台直接相连。也参加过这个展览的Xuaue的CEO总是来找他说:“我佩服你。”我很欣赏你的陪伴。我很欣赏你们的产品。如何创新,多么不可思议的”。
多年来,情况变得如此荒谬,那个Xuaue会给那里的山寨产品编号,和他们的型号一模一样。

后果是,这家伙的公司实际上从东南亚推出了许多车型,在那里,Xuaua基本上已经和模仿者接管了销售。
他确实表示,这些模仿者在欧洲和美国几乎没有市场。
所以,是的,这是个大问题。

[我没有提到公司名字的唯一原因——是因为这次谈话是在一个轻松开放的“与CEO见面”式的会议上进行的,对象是一小群人。我不确定他们是否会从他们的前任CEO所说的任何坏话中受益。

德克普拉特·8月2日2011年52点

“答复相当于声明安全是Xilinx客户的责任,安全是你所看到的,或者是你自己创造的。”

用户安全是一种可选的选择,这与世界范围内的趋势基本一致。公司律师限制供应商/服务提供商责任和责任的巧妙举措。

Bruce 188滚球网站Schneier·8月2日2011年23点

“实际上,功率分析和类似类型的分析是如何工作的?您需要多少硬件知识?什么能阻止它工作?”

基本上,您需要物理访问加密设备,这样您就可以附加测试设备:电源分析仪,时间分析,辐射探测器,无论什么。你需要能够让它工作。

在网络上有一些定时攻击,但这些都是例外。基本上,这是一种适合于当设备内部的秘密不受拥有设备的人控制时的攻击。想想智能卡,电视机顶盒,等等。

DG·8月2日下午1:50 2011

“实际上,功率分析和类似类型的分析是如何工作的?您需要多少硬件知识?什么能阻止它工作?”

马苏德Masoumi的论文一种新颖高效的抗差分功率分析的AES实现第3节给出了功率分析的概要,重点介绍了差分功率分析(DPA)。它基于一个假设的算法模型的使用和防御技术,旨在从理论模型中断开电源信号。

本文介绍了一种方法,这篇论文密码硬件的可逆逻辑:一种新的范式描述另一种使用可逆逻辑的方法。

这篇论文轻量级密码学与DPA对策研究(PDF)概述了一些击败DPA的技术。在军事环境中,人们可能期望EMI容器封装,电源过滤器和分割密钥访问密码功能,以防止未经授权的访问运行中的设备。你也可以想象可能会采取其他对策,以及需要为未公开类型I加密算法假设理论模型。

分割机密也适用于商业环境。大多数假冒产品是由参与产品供应链的成员制造的。您可以将加载的FPGA配置代码与供应链中需要两个操作符相互协作的其他部分分离开来。最终的结果是需要实际的密码分析技术,如DPA,这些服务的价值将会增加。

我建议谷歌一下AES DPA,在本例中,重点是从高级加密标准实现中恢复密钥。注意侧栏广告的DPA耐AES核心。

尼克P·8月2日2011年3:28点

@ DG

我很欣赏这些文件!

“你也可以想象可能会采取其他对策,以及需要为未公开的I型密码算法假设理论模型。

我对此表示怀疑。我认为我们可以非常肯定的是,大多数在主要国防承包商处设计1型密码系统的人都已经为1型算法扫清了障碍。至少,在董事会层面处理DPA和TEMPEST问题的人。我可以想象,不过,他们可能不会国安局可以给他们一个抽象的模型足以进行DPA分析。

“最终的结果将是需要实际的密码分析技术,如DPA,这些服务的价值将会增加。”

或者只是攻击供应链上的两个点。这取决于信息的价值和保护水平。像Anonymous和LulzSec这样的组织最近表明,简单的攻击策略甚至对国防承包商和一些包含机密信息的系统也有效。这个电脑黑客,贿赂这个家伙,强迫另一个人,等。对于有组织的犯罪分子或间谍来说,这是一种非常实用的方法,他们可以通过商业安全手段获取由两个实体保护的高价值资产。只是说……

RobertT·8月2日2011下午8点25分

“实际上,功率分析和类似类型的分析是如何工作的?您需要多少硬件知识?什么能阻止它工作?”

电源分析是故障分析技术IDDQ的一个分支。一般的设置是
1)取下尽可能多的PCB级电源去耦合盖。
2)将VDD / GND电源接入恒流源,调整电流和时钟速率,直到电源电压保持在工艺上/下限值(如1V min 1.6V max)(也建议设置钳位电平(如0.9V和1.7V以防万一)
3)运行算法,使用高精度高速示波器或类似的高精度ADC方法记录VDD电源变化。
4)重复使用已知的不同密钥,观察电源签名的差异
5)了解power signature变体如何与关键位相关联(大量统计数据和大量重复运行)

顺便说一下,您不太可能完全提取密钥,所以你要做的是减少可能的键空间。(对64位密钥空间使用蛮力要比对256位密钥空间使用蛮力容易得多)

最好的抗DPA技术是增加一个内部电压分路调节器,并从一个内部关闭的恒定电流源(如3V电源)为整个加密ALU部分供电。这可以防止外部恒流源的典型DPA配置产生任何影响。此外,应设计电压分路调节器,以便在Reg电压低于使分路Reg工作的最小值时,电路被禁用。

击败这个并联稳压器电路是非常困难的,因为禁用并联稳压器将导致过电压应力,这将很快杀死芯片,我通常添加锁定多熔断器触发如果电压超过过程Vmax。欠压将使电路复位。

还有其他的数字技术试图使电路获得恒定的功率,有人提出完全微分逻辑,或者简单地向crypto ALU电源中添加一个伪随机电流绘制。就我个人而言,我不太喜欢这些技术,因为它们通常通过增加时钟速率,直到ALU发生故障,从而使系统容易受到计时攻击。

留下评论188滚球网站

允许的HTML: · · · ·

Bruce Schneier的188滚球网站照片由Per Ervland提供。

188滚球网站Schneier on Security是一个个人网站。表达的意见不一定是……的意见IBM有弹性