Evaluación de la seguridad de sistemas embebidos ante ataques EMA

Los sistemas embebidos de bajo consumo y alto rendimiento, cuya principal aplicación son los dispositivos portátiles tales como: teléfonos móviles, tabletas, consolas de juego, reproductores de música, lectores de libros etc. han experimentado un tremendo auge en los últimos años. Estos dispositivos, además de contener información confidencial (contraseñas, fotos, números de teléfono…) permiten, en su gran mayoría, realizar operaciones bajo redes inalámbricas poco seguras: como transacciones, envío de datos, acceso a cuentas personales etc. Por tanto, se hace imprescindible el análisis del nivel de seguridad alcanzado por estos dispositivos. Sin embargo, a la espera de futuros desarrollos de la estadística, todavía no existe un marco de evaluación de la seguridad totalmente satisfactorio e internacionalmente reconocido. Así por primera vez en este trabajo se evalúa la seguridad relativa de varios microprocesadores representativos del mercado de aplicaciones embebidas de bajo consumo, comparando su respuesta ante un ataque por canal lateral electromagnético. Los dispositivos seleccionados para su evaluación son: 8051 con arquitectura de 8 bits evolucionada (C8051F303 de Silicon Labs). ARM7TDMI-S de 32 bits (LPC2124 de NXP). Dos ARMCortexM3 de 32 bits nunca antes analizados ante ataques por canal lateral: con diseño de alto rendimiento (LPC1769 de NXP) y bajo consumo (STM32L152 de STMicroelectronics). Para la realización de los experimentos se desarrolla un setup propio de medida, altamente automatizado, robusto ante vibraciones y con una capacidad de muestreo superior a lo publicado hasta ahora en la bibliografía. También se propone una nueva métrica para comparar la respuesta de los dispositivos ante ataques por canal lateral, y que se apoya en la correlación estadística. Uno de los elementos cruciales en un ataque por canal lateral electromagnético es el dispositivo o sonda de medida. Las publicaciones de autores que sugieren la utilización de algún tipo de sonda, no aportan datos concluyentes. Este trabajo compara de forma novedosa la respuesta de tres tipos de sondas: dos fabricadas y comercializadas por Electrometrics EM6995 y Langer MFA-R y una tercera fabricada ad-hoc, y manualmente. Como resultado se concluye que cualquier tipo de sonda es factible de ser usada en un ataque electromagnético, aunque son mejores aquellas de alta precisión como la MFA-R de cabeza milimétrica y preamplificador integrado, que sin embargo requieren una preparación y un setup más elaborado. Como resultado final del estudio, se concluye que los dispositivos actuales ARM Cortex M3, ofrecen una seguridad inherente muy superior a la de otros microprocesadores de diseño menos elaborado, y en consecuencia es recomendable usarlos para aquellas aplicaciones cuyos requisitos de seguridad sean elevados. -------------The low power and high performance embedded systems used in mobile devices like mobile phones, tablet computers, music readers, handheld game consoles, book readers… have achieved a great success in the last years. These devices contain confidence information (keys, photographs, telephone numbers…) and usually let us doing operations over unsafe wireless networks: banking transactions, sending data, accessing to personal accounts etc. In consequence, the analysis of the security level reached by these devices is indispensable. However, there isn’t a satisfactory and internationally recognized methodology to assess security. For first time, this work assesses the relative security of several representative low power embedded microprocessors, comparing their response against Electromagnetic Side Channel Attack. The selected devices for this evaluation are: 8051 with new 8 bits architecture (Silicon Labs C8051F303). ARM7TDMI-S of 32 bits (NXP LPC2124). Two 32 bits ARMCortexM3 never before analysed against Side Channel Attacks: with high performance (NXP LPC1769) and low power specifications (STMicroelectronics STM32L152). A measurement setup has been developed to carry out this study. It’s highly automatized, robustly against vibrations and with a higher sampling rate than rest of setups showed in bibliography. Also, a new metric is proposed. It allows to compare device response against correlation side channel attack using statistical correlation. One of the essential elements of an electromagnetic side channel attack is the near field probe. The authors, whose studies suggest the use of some type of probe, do not include conclusion results. This work compares the response of three probes in a new way: Electrometrics EM6995, Langer MFA-R and ones handmade. It concludes that any type of probe is useful in an electromagnetic attack, although the use of high precision probes is recommended. For example, the MFA-R with tiny head and integrated preamplifier. Nevertheless, it requires more training and a precise setup. This study finds out that the updated devices ARM Cortex M3, have a very high security, higher than traditional ones. Therefore, the use of this type of devices in sensitive applications is advisable

Generación de falsas claves criptográficas como medida de protección frente a ataques por canal lateral

In the late 90s, Paul C. Kocher introduced the concept of differential attack focused on the power consumption of a cryptographic device. In this type of analysis the plain text sent to the device is known, and all possible hypotheses of a subset of the key, related to a specific point of the cryptographic algorithm, are tested. If the key value at that point depends only on 1 byte, it is possible to predict the input current based on a theoretical model of power consumption. Thus, using statistic procedures, it is easy to compare the consumption measured during the processing of each plain text and the intermediate values related to all the hypothesis of the key.The one with the highest level of similarity will correspond to the actual key. So far the countermeasures proposed to prevent the success of the attack can be classified into two groups: Masking and Hiding. Masking tries to decouple the processed data and the power consumption by adding a random mask which is unknown by the attacker. Therefore, it is impossible to make a hypothesis that allows the theoretical and the real power consumption of the device to be related. Although is a valid method, the key could be revealed by performing a second-order attack that analyzes several points of the current trace. Hiding aims at making constant the consumption of a device in each clock cycle and independent of the processed data. In order to achieve this objective, the data is processed in double line, in such a way that the datum and its complementary are processed together, so that the same number of transitions always occur on every clock cycle. The weakness of such a method lies on the impossibility of building identical CMOS cells, which causes a minimum difference of consumption between the two lines that can be used successfully to discover the key. This thesis proposes a countermeasure based on a differentiated protection strategy with respect to the proposals made in other specific studies. It is intended to modify the algorithm in order to force a very high correlation with a different hypothesis to the one of the true key (Faking). Thus, the actual key is hidden behind the strong correlation, which is impossible to differentiate from the rest of false assumptions and remains protected. To verify its performance a trial bank has been designed to launch consumption analysis attacks. We have implemented the algorithm AES due to its simplicity and strength. Two types of attacks have been carried out. In the first one, the analysis was performed using both the correlation and the mean difference analysis without including any countermeasure. In the second attack, the proposed countermeasure has been added and the attack was repeated to check its effectiveness. We have evaluated three different situations. First of all, the algorithm and the countermeasure are solved by software on a 32-bit processor. Secondly, the algorithm is executed in software and the implementation of the countermeasure has been performed with a specific hardware coprocessor. Finally, a full hardware implementation including both the algorithm and the countermeasure has been chosen.All of them have been implemented on a Virtex 5 FPGA Xilinx. Several conclusions are obtained from the comparison between each of the AES implementations without countermeasures and their respective solution with the added countermeasure. The obtained results are also compared to other which use "masking" and "hiding" techniques. The results demonstrate that the proposal is valid. In all three cases, the protected system behaves like the unprotected system but returning the false key after the attacks. It should be noted that the amount of resources needed to carry out the "Faking" is less than the "Masking" or "Hiding" and the time needed to process the plain text is not particularly affected.A finales de los 90 Paul C.Kocher introdujo por primera vez el concepto de ataque diferencial sobre el consumo de corriente de un dispositivo criptográfico. En este tipo de análisis, se conoce el texto plano que se envía al dispositivo y se plantean todas las posibles hipótesis de la clave para un punto concreto del algoritmo. Si el valor en ese punto del algoritmo depende únicamente de 1 byte de la clave, es posible calcular todos los valores que se producirán. Llegado a este punto, se compara, por métodos estadísticos, el consumo medido durante el procesado de cada texto plano y los valores intermedios relacionados con todas las hipótesis de la clave. Aquella que mayor nivel de similitud tenga corresponderá con la clave real. Las contramedidas propuestas hasta la fecha, para evitar el éxito del ata-que, pueden separarse en dos grupos: enmascaramiento (Masking) y ocultación (Hiding). El enmascaramiento trata de desvincular el dato procesado del consumo eléctrico mediante la adición de una máscara aleatoria y desconocida por el atacante. En consecuencia, resulta imposible realizar una hipótesis que permita relacionar los consumos teórico y real del dispositivo. Si bien este es un método inicialmente válido, puede descubrirse la clave realizando un ataque de segundo orden que analiza varios puntos del consumo. La ocultación persigue que el consumo de un dispositivo sea el mismo en cada ciclo de reloj e independiente del dato procesado. Para ello, se procesa el dato en doble línea, por un lado el dato propiamente dicho y por el otro su complementario, de forma que siempre se produzcan la misma cantidad de transiciones en cada ciclo de reloj. La debilidad de este método radica en la práctica imposibilidad de construir celdas CMOS idénticas, esto provoca que siempre exista una diferencia de consumo entre las dos líneas y pueda usarse con éxito para descubrir la clave. En esta tesis se propone una contramedida basada en una estrategia de protección claramente diferenciada con respecto a las propuestas realizadas en la bibliografía específica. Se pretende modificar el algoritmo con el objetivo de forzar una correlación muy alta en una hipótesis diferente a la de la clave (Faking). De este modo, la clave real se oculta tras la fuerte correlación aparecida, resulta imposible diferenciarla del resto de hipótesis falsas y queda protegida. Para verificar su funcionamiento se ha montado un banco de pruebas para realizar ataques por análisis de consumo. Se ha implementado el algoritmo AES debido a su simplicidad y robustez. Se han realizado dos tipos de ataques: en el primero se han practicado análisis de correlación y diferencia de medias sin contramedida alguna; en el segundo, se ha añadido la contramedida y se han repetido los ataques para comprobar su eficacia. Se han evaluado 3 escenarios diferentes, primeramente el algoritmo y la contramedida se resuelven mediante software en un procesador de 32 bits. En segundo lugar, el algoritmo se resuelve mediante software y la implementación de la contramedida se ha realizado en un coprocesador hardware específico. Fi-nalmente, se ha elegido una implementación totalmente hardware para resolver tanto el algoritmo como la contramedida. Todos ellos se han implementado sobre una FPGA Virtex5 de Xilinx. Las conclusiones se obtienen de la comparación entre cada una de las im-plementaciones del AES sin contramedidas y su respectiva solución con la con-tramedida añadida. También se comparan los resultados obtenidos con otros que utilizan las técnicas "Masking" y "Hiding" Los resultados demuestran que la propuesta es válida. En los tres casos, el sistema protegido se comporta igual que el sistema sin proteger, pero retornando la clave falsa ante los ataques realizados. Se ha de destacar que, la cantidad de recursos necesarios para llevar a cabo el "Faking" es menor que con el "Masking" o el "Hiding" y el tiempo necesario para procesar el texto plano no se ve particularmente afectado por su inclusión