A first-order chosen-plaintext DPA attack on the third round of DES

DPA attacks usually exhibit a divide-and-conquer property: the adversary needs to enumerate only a small space of the key (a key sub-space) when performing the DPA attack. This is achieved trivially in the outer rounds of a cryptographic implementation since intermediates depend on only few key bits. In the inner rounds, however, intermediates depend on too many key bits to make DPA practical or even to pose an advantage over cryptanalysis. For this reason, DPA countermeasures may be deployed only to outer rounds if performance or efficiency are critical. This paper shows a DPA attack exploiting leakage from the third round of a Feistel cipher, such as DES. We require the ability of fixing inputs, but we do not place any special restriction on the leakage model. The complexity of the attack is that of two to three DPA attacks on the first round of DES plus some minimal differential cryptanalysis

On the susceptibility of Texas Instruments SimpleLink platform microcontrollers to non-invasive physical attacks

We investigate the susceptibility of the Texas Instruments SimpleLink platform microcontrollers to non-invasive physical attacks. We extracted the ROM bootloader of these microcontrollers and then analysed it using static analysis augmented with information obtained through emulation. We demonstrate a voltage fault injection attack targeting the ROM bootloader that allows to enable debug access on a previously locked microcontroller within seconds. Information provided by Texas Instruments reveals that one of our voltage fault injection attacks abuses functionality that is left over from the integrated circuit manufacturing process. The demonstrated physical attack allows an adversary to extract the firmware (i.e. intellectual property) and to bypass secure boot. Additionally, we mount side-channel attacks and differential fault analysis attacks on the hardware AES co-processor. To demonstrate the practical applicability of these attacks we extract the firmware from a Tesla Model 3 key fob. This paper describes a case study covering Texas Instruments SimpleLink microcontrollers. Similar attack techniques can be, and have been, applied to microcontrollers from other manufacturers. The goal of our work is to document our analysis methodology and to ensure that system designers are aware of these vulnerabilities. They will then be able to take these into account during the product design phase. All identified vulnerabilities were responsibly disclosed

DPA, Bitslicing and Masking at 1 GHz

We present DPA attacks on an ARM Cortex-A8 processor running at 1 GHz. This high-end processor is typically found in portable devices such as phones and tablets. In our case, the processor sits in a single board computer and runs a full-fledged Linux operating system. The targeted AES implementation is bitsliced and runs in constant time and constant flow. We show that, despite the complex hardware and software, high clock frequencies and practical measurement issues, the implementation can be broken with DPA starting from a few thousand measurements of the electromagnetic emanation of a decoupling capacitor near the processor. To harden the bitsliced implementation against DPA attacks, we mask it using principles of hardware gate-level masking. We evaluate the security of our masked implementation against first-order and second-order attacks. Our experiments show that successful attacks require roughly two orders of magnitude more measurements

Consolidating masking schemes

In this paper we investigate relations between several masking schemes. We show that the Ishai--Sahai--Wagner private circuits construction is closely related to Threshold Implementations and the Trichina gate. The implications of this observation are manifold. We point out a higher-order weakness in higher-order Threshold Implementations, suggest a mitigation and provide new sharings that use a lower number of input shares

Provable Secure Software Masking in the Real-World

We evaluate eight implementations of provable secure side-channel masking schemes that were published in top-tier academic venues such as Eurocrypt, Asiacrypt, CHES and SAC. Specifically, we evaluate the side-channel attack resistance of eight open-source and first-order side-channel protected AES-128 software implementations on the Cortex-M4 platform. Using a T-test based leakage assessment we demonstrate that all implementations produce first-order leakage with as little as 10,000 traces. Additionally, we demonstrate that all except for two Inner Product Masking based implementations are vulnerable to a straightforward correlation power analysis attack. We provide an assembly level analysis showing potential sources of leakage for two implementations. Some of the studied implementations were provided for benchmarking purposes. We demonstrate several flaws in the benchmarking procedures and question the usefulness of the reported performance numbers in the face of the implementations’ poor side-channel resistance. This work serves as a reminder that practical evaluations cannot be omitted in the context of side-channel analysis

Analysis Of Variance and CPA in SCA

This paper introduces Side-Channel Analysis results obtained on an unprotected circuit characterized by a surprisingly non-linear leakage. While in such a case, Correlation Power Analysis is not adapted, we show that a more generic attack, based on the Analysis Of Variance (AOV) outperfoms CPA. It has the advantage of detecting non-linear leakage, unlike Correlation Power Analysis, and of providing similar or much better results in all cases, with a similar computation time

From Improved Leakage Detection to the Detection of Points of Interests in Leakage Traces

Leakage detection usually refers to the task of identifying data-dependent information in side-channel measurements, independent of whether this information can be exploited. Detecting Points-Of-Interest (POIs) in leakage traces is a complementary task that is a necessary first step in most side-channel attacks, where the adversary wants to turn this information into (e.g.) a key recovery. In this paper, we discuss the differences between these tasks, by investigating a popular solution to leakage detection based on a t-test, and an alternative method exploiting Pearson\u27s correlation coefficient. We first show that the simpler t-test has better sampling complexity, and that its gain over the correlation-based test can be predicted by looking at the Signal-to-Noise Ratio (SNR) of the leakage partitions used in these tests. This implies that the sampling complexity of both tests relates more to their implicit leakage assumptions than to the actual statistics exploited. We also put forward that this gain comes at the cost of some intuition loss regarding the localization of the exploitable leakage samples in the traces, and their informativeness. Next, and more importantly, we highlight that our reasoning based on the SNR allows defining an improved t-test with significantly faster detection speed (with approximately 5 times less measurements in our experiments), which is therefore highly relevant for evaluation laboratories. We finally conclude that whereas t-tests are the method of choice for leakage detection only, correlation-based tests exploiting larger partitions are preferable for detecting POIs. We confirm this intuition by improving automated tools for the detection of POIs in the leakage measurements of a masked implementation, in a black box manner and without key knowledge, thanks to a correlation-based leakage detection test

DPA-Resistance Without Routing Constraints?

status: publishe

Statistical and Information-Theoretic Methods for Power Analysis on Embedded Cryptography (Statistische en informatietheoretische methoden voor vermogensanalyse op ingebedde cryptografie)

De fysische beveiliging van ingebedde cryptografische toestellen heeft het laatste decennium enorm aan belang gewonnen. Fysische aanvallen hebben de aandacht van de wetenschappelijke wereld getrokken in het midden van de jaren 1990, en vormen een belangrijke bedreiging voor de veiligheid van onbeschermde cryptografische implementaties.De evaluatie van de beveiliging van ingebedde cryptografische algoritmen vergt inzicht in de beste fysische aanvallen die bekend zijn. Een essentieel element van dit onderzoek is de studie van aanvalsmethodologieën.Nevenkanaalaanvallen zijn passieve en niet-invasieve aanvallen die fysische karakteristieken van een implementatie uitbuiten. Ze spelen een centrale rol omdat ze vaak goedkoop zijn en moeilijk te detecteren. Dit proefschrift behandelt vermogenaanvallen die steunen op het vermogenverbruik van een cryptografisch toestel. Deze aanvallen zijn eenvoudig maar toch zeer krachtig en dus van groot belang in de praktijk, wat blijkt uit hun prominente rol in de wetenschappelijke literatuur.Deze doctoraatsthesis handelt over modellen en onderscheidingstechnieken voor differentiële vermogenanalyseaanvallen. Zij vormen twee kernelementen van elke differentiële vermogenanalyseaanval en zijn van cruciaal belang voor het slagen of falen van zo een aanval. In een eerste onderzoek vergelijken, analyseren en verbeteren we twee van de meest krachtige aanvalstechnieken die op dit moment beschikbaar zijn. Deze aanvallen omvatten een profileringsfase die(parameters van) een statistisch model van het doelsysteem extraheert uit opgemeten data. Inzicht in deze aanvallen is van essentieel belang om een hoge graad van beveiliging te verzekeren.Het overblijvende gedeelte van deze thesis handelt over onze bijdragen tot differentiële vermogenanalyseaanvallen zonder profileringsfase. Deze aanvallen worden als meer praktisch beschouwd dan aanvallen met profileringsfase aangezien ze geen referentietoestel nodig hebben. Desondanks worden ze ook als minder krachtig beschouwd omdat ze steunen op een volledig hypothetisch model endaardoor meer vatbaar zijn voor fouten.We stellen niet-geparametriseerde statistische methoden voor als onderscheidingstechniek voor differentiële vermogenanalyseaanvallen. Niet-geparametriseerde statistische tests vereisen minderbeperkende modelleringsveronderstellingen en zijn daardoor minder vatbaar voor falen door modelleringsfouten. Aan de andere kant zijn ze minder efficiënt dan parametrische methoden als een goed model wel voorhanden is. We breiden het idee verder uit om algemeenheid boven efficiëntie te plaatsen en stellen Mutuele Informatieanalyse voor. Deze techniek gebruikt als onderscheidingstechniek wederzijdse informatie, een van de meest algemene maatstaven voor statistische afhankelijkheid. In normale omstandigheden is deze techniek, door zijn algemeenheid, minder efficiënt dan geparametriseerde en zelfs niet-geparametriseerdemethoden. Maar, wat belangrijker is, zijn algemeenheid maakt deze aanval een zeer krachtig middel voor moeilijke situaties waar standaardveronderstellingen voor modellen niet geldig zijn, bijvoorbeeld bijsystemen die beschermd zijn door maatregelen tegen vermogenanalyseaanvallen.Als verdere uitbreiding stellen we Multivariate Mutuele Informatieanalyse voor. Deze aanval erft alle eigenschappen over van de Mutuele Informatieanalyse, maar is verder ook multivariaat. Deze combinatieis uitermate geschikt voor de analyse van systemen die beschermd worden door een specifieke klasse van beschermingsmechanismen, genaamd maskering.Ons onderzoek leidt tot nieuwe inzichten in vermogenanalyseaanvallen, maar roept ook een aantal nieuwe open vragen op.status: publishe

DPA-Resistance Without Routing Constraints? – A cautionary note about MDPL security –

Abstract. MDPL is a logic style claiming to provide resistance against Differential Side Channel Analysis on power consumption measurements. In this paper we show that the power consumption of a non-linear MDPL gate can be reliably exploited to determine signal values and hence secret data, if the random masks have a slight bias. We present an attack methodology and a case study on how to infer secret key bits of an MDPL secured AES-ASIC in practice by attacking a single MDPL AND gate in a VLSI circuit. Our attack is not based on frequently made assumptions on circuit “anomalies”, but on the per definition unbalanced routing, realistic PRNG biases, and knowledge of the circuit layout