Атака по побочному каналу

Попытка декодировать RSA ключевые биты с помощью анализа мощности . Левый пик представляет собой изменение мощности процессора на этапе работы алгоритма без умножения, правый (более широкий) пик — на этапе с умножением, позволяющим злоумышленнику прочитать биты 0, 1.

В компьютерной безопасности атака по побочному каналу — это любая атака, основанная на дополнительной информации, которая может быть собрана из-за фундаментального способа протокола или алгоритма компьютерного реализации , а не недостатков в конструкции самого протокола или алгоритма (например, недостатков, обнаруженных в криптоанализ алгоритма криптографического ) или незначительные, но потенциально разрушительные ошибки или упущения в реализации . (Криптоанализ также включает поиск атак по побочным каналам.) Информация о времени, энергопотреблении, электромагнитных утечках и звуке являются примерами дополнительной информации, которая может быть использована для облегчения атак по побочным каналам.

Некоторые атаки по побочным каналам требуют технических знаний о внутренней работе системы, хотя другие, такие как дифференциальный анализ мощности, эффективны как атаки «черного ящика» . Рост количества приложений Web 2.0 и программного обеспечения как услуги также значительно повысил возможность атак по побочным каналам в сети, даже если передача данных между веб-браузером и сервером зашифрована (например, с помощью HTTPS или WiFi шифрования ), согласно данным исследователям из Microsoft Research и Университета Индианы . ^[1]

Попытки взломать криптосистему путем обмана или принуждения людей, имеющих законный доступ, обычно не считаются атаками по побочным каналам: см. социальную инженерию и криптоанализ с помощью резинового шланга .

Общие классы атак по побочным каналам включают:

Атака кеша — атаки, основанные на способности злоумышленника отслеживать доступ к кешу, осуществляемый жертвой в общей физической системе, например, в виртуализированной среде или в виде облачной службы.
Атака по времени — атаки, основанные на измерении времени выполнения различных вычислений (например, сравнения заданного пароля злоумышленника с неизвестным паролем жертвы).
Атака с мониторингом мощности — атаки, в которых используется различное энергопотребление оборудования во время вычислений.
Электромагнитная атака — атаки, основанные на утечке электромагнитного излучения, которое может напрямую предоставлять открытый текст и другую информацию. Такие измерения могут использоваться для вывода криптографических ключей с использованием методов, эквивалентных методам анализа мощности, или могут использоваться в некриптографических атаках, например, атаках TEMPEST (также известных как фрикинг Ван Экка или радиационный мониторинг).
Акустический криптоанализ — атаки, использующие звук, создаваемый во время вычислений (аналогично анализу мощности).
Дифференциальный анализ ошибок — при котором секреты обнаруживаются путем внесения ошибок в вычисления.
Остаточность данных — при которой конфиденциальные данные считываются после предположительного удаления. (например, атака с холодной загрузкой )
Атаки по сбою, инициируемые программным обеспечением. В настоящее время это редкий класс побочных каналов. Row Hammer является примером, в котором запрещенная память может быть изменена путем слишком частого доступа к соседней памяти (что приводит к потере сохранения состояния).
Список разрешений — атаки, основанные на том, что устройства из белого списка будут вести себя по-разному при общении с устройствами из белого списка (отправка ответов) и с устройствами из белого списка (вообще не отвечающими на устройства). Побочный канал на основе белого списка может использоваться для отслеживания MAC-адресов Bluetooth.
Оптический — при котором секреты и конфиденциальные данные могут быть считаны путем визуальной записи с помощью камеры высокого разрешения или других устройств, обладающих такими возможностями (см. примеры ниже).

Во всех случаях основополагающий принцип заключается в том, что физические эффекты, вызванные работой криптосистемы ( на стороне ), могут предоставить полезную дополнительную информацию о секретах в системе, например, криптографический ключ , частичную информацию о состоянии, полные или частичные открытые тексты и и так далее. Термин криптофтора (секретная деградация) иногда используется для обозначения деградации материала секретного ключа в результате утечки по побочным каналам.

Примеры

А Атака по побочному каналу кэша работает путем мониторинга критических для безопасности операций, таких как AES. запись в T-таблице ^[2]^[3]^[4] или модульное возведение в степень, или умножение, или доступ к памяти. ^[5] Затем злоумышленник может восстановить секретный ключ в зависимости от доступа, сделанного (или не сделанного) жертвой, определяя ключ шифрования. Кроме того, в отличие от некоторых других атак по побочным каналам, этот метод не создает сбоев в текущей криптографической операции и невидим для жертвы.

В 2017 году были обнаружены две ЦП уязвимости (получившие название Meltdown и Spectre ), которые могут использовать побочный канал на основе кэша, чтобы позволить злоумышленнику утечь содержимое памяти других процессов и самой операционной системы.

Атака по времени отслеживает перемещение данных в процессор или память и из них на оборудовании, на котором работает криптосистема или алгоритм. Просто наблюдая за изменениями в продолжительности выполнения криптографических операций, можно было бы определить весь секретный ключ. Такие атаки включают статистический анализ измерений времени и были продемонстрированы в различных сетях. ^[6]

Атака с анализом мощности может предоставить еще более подробную информацию, наблюдая за энергопотреблением аппаратного устройства, такого как процессор или криптографическая схема. Эти атаки грубо делятся на простой анализ мощности (SPA) и дифференциальный анализ мощности (DPA). Одним из примеров является Collide+Power, который затрагивает почти все процессоры. ^[7]^[8]^[9] В других примерах используются подходы машинного обучения . ^[10]

Колебания тока также генерируют радиоволны , что позволяет проводить атаки, анализирующие измерения электромагнитных (ЭМ) излучений. Эти атаки обычно используют те же статистические методы, что и атаки с анализом мощности.

Атака по побочному каналу на основе глубокого обучения , ^[11]^[12]^[13] Было продемонстрировано, что использование информации о питании и электромагнитной совместимости на нескольких устройствах может привести к взлому секретного ключа другого, но идентичного устройства всего за одну трассировку.

Известны исторические аналоги современных атак по побочным каналам. Недавно рассекреченный документ АНБ показывает, что еще в 1943 году инженер с телефоном Bell наблюдал на осциллографе поддающиеся расшифровке выбросы, связанные с расшифрованными выходными данными определенного шифрующего телетайпа. ^[14] По словам бывшего МИ5 офицера Питера Райта , британская служба безопасности проанализировала выбросы французского шифровального оборудования в 1960-х годах. ^[15] В 1980-х годах советских шпионов подозревали в установке жучков внутри пишущих машинок IBM Selectric для отслеживания электрического шума, возникающего при вращении и наклоне печатного шарика, ударяющего о бумагу; характеристики этих сигналов могли определить, какая клавиша была нажата. ^[16]

Потребляемая мощность устройств вызывает нагрев, который компенсируется эффектом охлаждения. Изменения температуры создают термически вызванное механическое напряжение. Это напряжение может привести к низкому уровню акустического излучения от работающих процессоров (в некоторых случаях около 10 кГц). Недавнее исследование Шамира и др. предположил, что таким же способом можно получить информацию о работе криптосистем и алгоритмов. Это атака акустического криптоанализа .

Если можно наблюдать поверхность чипа ЦП или, в некоторых случаях, корпуса ЦП, инфракрасные изображения также могут предоставить информацию о коде, исполняемом на ЦП, что известно как атака с использованием тепловизионного изображения . ^{[ нужна ссылка ]}

Примеры атак по оптическому побочному каналу включают сбор информации из индикатора активности жесткого диска. ^[17] считыванию небольшого количества фотонов, испускаемых транзисторами при изменении их состояния. ^[18]

Также существуют побочные каналы, основанные на распределении, и они относятся к информации, которая просачивается в результате выделения (а не использования) ресурса, такого как пропускная способность сети, клиентам, которые одновременно запрашивают конкурирующий ресурс. ^[19]

Контрмеры

Поскольку атаки по побочным каналам основаны на взаимосвязи между информацией, передаваемой (утечкой) через побочный канал, и секретными данными, контрмеры делятся на две основные категории: (1) устранить или сократить выпуск такой информации и (2) устранить связь между утечка информации и секретные данные, то есть сделать утечку информации несвязанной или, скорее, некоррелированной с секретными данными, обычно посредством некоторой формы рандомизации зашифрованного текста, которая преобразует данные таким образом, что их можно отменить после криптографической операции. (например, дешифрование) завершено.

В первой категории TEMPEST теперь коммерчески доступны дисплеи со специальной защитой для уменьшения электромагнитного излучения и снижения восприимчивости к атакам . Кондиционирование и фильтрация линий электропередачи могут помочь предотвратить атаки по мониторингу электропитания, хотя такие меры следует использовать осторожно, поскольку даже очень небольшие корреляции могут остаться и поставить под угрозу безопасность. Физические корпуса могут снизить риск тайной установки микрофонов (для противодействия акустическим атакам) и других устройств микромониторинга (против атак, связанных с потреблением энергии процессором или тепловизионными атаками).

Еще одна мера противодействия (все еще относящаяся к первой категории) — заглушить излучаемый канал шумом. Например, для предотвращения атак по времени можно добавить случайную задержку, хотя злоумышленники могут компенсировать эти задержки путем усреднения нескольких измерений (или, в более общем смысле, использования большего количества измерений в анализе). Когда количество шума в побочном канале увеличивается, злоумышленнику необходимо собрать больше измерений.

Еще одной контрмерой из первой категории является использование программного обеспечения для анализа безопасности для выявления определенных классов атак по побочным каналам, которые можно обнаружить на этапах проектирования самого базового оборудования. Атаки по времени и атаки с помощью кэша можно идентифицировать с помощью определенных коммерчески доступных программных платформ для анализа безопасности, которые позволяют при тестировании идентифицировать саму уязвимость атаки, а также эффективность архитектурных изменений для обхода уязвимости. Наиболее комплексным методом применения этой контрмеры является создание безопасного жизненного цикла разработки оборудования, который включает в себя использование всех доступных платформ анализа безопасности на соответствующих этапах жизненного цикла разработки оборудования. ^[20]

В случае атак по времени против целей, время вычислений которых квантовано в дискретные количества тактовых циклов, эффективной контрмерой является разработка изохронного программного обеспечения, то есть запускаемого в течение точно постоянного периода времени, независимо от секретных значений. Это делает невозможными атаки по времени. ^[21] Такие контрмеры может быть трудно реализовать на практике, поскольку на некоторых процессорах даже отдельные инструкции могут иметь переменное время.

Одной из частичных мер противодействия простым энергетическим атакам, но не атакам с дифференциальным анализом мощности, является разработка программного обеспечения так, чтобы оно было «безопасным для ПК» в «модели безопасности программного противодействия». В программе, защищенной ПК, путь выполнения не зависит от секретных значений. Другими словами, все условные ветвления зависят только от публичной информации. (Это более строгое условие, чем изохронный код, но менее строгое, чем код без ветвей.) Несмотря на то, что операции умножения потребляют больше энергии, чем NOP, практически на всех процессорах, использование постоянного пути выполнения предотвращает такие зависящие от операции различия в мощности ( различия во власти из-за выбора одной ветви над другой) от утечки любой секретной информации. ^[21] В архитектурах, где время выполнения инструкций не зависит от данных, программа, защищенная ПК, также невосприимчива к атакам по времени. ^[22]^[23]

Другой способ, которым код может быть неизохронным, заключается в том, что современные процессоры имеют кэш памяти: доступ к редко используемой информации влечет за собой большие потери времени, раскрывая некоторую информацию о частоте использования блоков памяти. Криптографический код, разработанный для защиты от атак кэша, пытается использовать память только предсказуемым образом (например, получать доступ только к входным, выходным данным и данным программы и делать это в соответствии с фиксированным шаблоном). Например, следует избегать поиска в таблицах, зависящих от данных , поскольку кэш может выявить, к какой части таблицы поиска осуществлялся доступ.

Другие частичные контрмеры направлены на уменьшение количества информации, утекающей из-за разницы в мощности, зависящей от данных. Некоторые операции используют мощность, которая коррелирует с количеством битов 1 в секретном значении. Использование кода с постоянным весом (например, использование вентилей Фредкина или двухканального кодирования) может уменьшить утечку информации о весе Хэмминга секретного значения, хотя корреляции, которые можно использовать, вероятно, останутся, если балансировка не будет идеальной. Эту «сбалансированную схему» можно аппроксимировать в программном обеспечении, совместно манипулируя данными и их дополнением. ^[21]

Несколько «безопасных ЦП» были построены как асинхронные ЦП ; у них нет глобальной привязки времени. Хотя эти процессоры были предназначены для того, чтобы затруднить тайминговые и силовые атаки, ^[21] последующие исследования показали, что изменения времени в асинхронных схемах устранить труднее. ^[24]

Типичным примером второй категории (декорреляции) является метод, известный как ослепление . В случае расшифровки RSA с секретным показателем $d$ и соответствующий показатель шифрования $e$ и модуль $m$ , методика применяется следующим образом (для простоты в формулах опущено модульное сокращение на m ): перед расшифровкой, т. е. перед вычислением результата $y^{d}$ для данного зашифрованного текста $y$ , система выбирает случайное число $r$ и шифрует его с помощью публичного показателя $e$ чтобы получить $r^{e}$ . Затем происходит расшифровка $y\cdot r^{e}$ к получать ${(y\cdot r^{e})}^{d}=y^{d}\cdot r^{e\cdot d}=y^{d}\cdot r$ . Поскольку система дешифрования выбрала $r$ , он может вычислить его обратный по модулю $m$ чтобы исключить фактор $r$ в результате и получить $y^{d}$ , фактический результат расшифровки. Для атак, требующих сбора информации по побочным каналам в результате операций с данными , контролируемыми злоумышленником , ослепление является эффективной контрмерой, поскольку фактическая операция выполняется над рандомизированной версией данных, над которой злоумышленник не имеет контроля или даже знаний.

Более общей мерой противодействия (поскольку она эффективна против всех атак по побочным каналам) является мера маскировочного противодействия. Принцип маскировки заключается в том, чтобы избежать манипулирования любыми конфиденциальными значениями. $y$ напрямую, а скорее манипулировать его разделением: набором переменных (называемых «долями») $y_{1},...,y_{d}$ такой, что $y=y_{1}\oplus ...\oplus y_{d}$ (где $\oplus$ это операция XOR ). Злоумышленнику необходимо восстановить все значения общих ресурсов, чтобы получить какую-либо значимую информацию. ^[25]

Недавно моделирование «белого ящика» было использовано для разработки общих мер противодействия на уровне схемы с низкими издержками. ^[26] как против ЭМ, так и против атак по побочным каналам мощности. Чтобы минимизировать влияние металлических слоев более высокого уровня в ИС, действующих как более эффективные антенны, ^[27] идея состоит в том, чтобы внедрить в криптоядро схему подавления подписи, ^[28]^[29] прокладываются локально внутри металлических слоев нижнего уровня, что обеспечивает устойчивость как к силовым, так и к электромагнитным атакам по боковым каналам.

См. также

Ссылки

^ Шуо Чен; Руй Ван; СяоФэн Ван и Кехуань Чжан (май 2010 г.). «Утечки по боковым каналам в веб-приложениях: реальность сегодня, проблема завтра» (PDF) . Исследования Майкрософт . Симпозиум IEEE по безопасности и конфиденциальности 2010. Архивировано (PDF) из оригинала 17 июня 2016 г. Проверено 16 декабря 2011 г.
^ Ашоккумар К.; Рави Пракаш Гири; Бернар Менезеш (2016). «Высокоэффективные алгоритмы получения ключей AES при атаках на доступ к кешу». Европейский симпозиум IEEE по безопасности и конфиденциальности (EuroS&P) , 2016 г. стр. 261–275. дои : 10.1109/ЕвроСП.2016.29 . ISBN 978-1-5090-1751-5 . S2CID 11251391 .
^ Горка Ирасоки; Мехмет Синан Инчи; Томас Эйзенбарт; Берк Сунар, погоди! Быстрая межвиртуальная атака на AES (PDF) , заархивировано (PDF) из оригинала 11 августа 2017 г. , получено 7 января 2018 г.
^ Юваль Яром; Катрина Фолкнер, Flush + Reload: атака по боковым каналам кэша L3 с высоким разрешением, низким уровнем шума (PDF) , заархивировано (PDF) из оригинала 05 июля 2017 г. , получено 7 января 2018 г.
^ Мехмет С. Инчи; Берк Гюльмезоглу; Горка Ирасоки; Томас Эйзенбарт; Берк Сунар, Атаки на кэш позволяют массовое восстановление ключей в облаке (PDF) , заархивировано (PDF) из оригинала 17 июля 2016 г. , получено 7 января 2018 г.
^ Дэвид Брамли; Дэн Бонех (2003). «Удаленные атаки по времени практичны» (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 г. Проверено 5 ноября 2010 г.
^ Ковач, Эдуард (01 августа 2023 г.). «Почти все современные процессоры сливают данные в результате новой атаки по боковым каналам Collide+Power» . Неделя Безопасности . Архивировано из оригинала 11 июля 2024 г. Проверено 2 августа 2023 г.
^ Клэберн, Томас. «Обнаружена еще одна утечка данных процессора. К счастью, это непрактично» . www.theregister.com . Проверено 2 августа 2023 г.
^ Collide+Power , Институт прикладной обработки информации и коммуникаций (IAIK), 01 августа 2023 г., заархивировано из оригинала 1 августа 2023 г. , получено 2 августа 2023 г.
^ Лерман, Лиран; Бонтемпи, Джанлука; Маркович, Оливье (1 января 2014 г.). «Атака с анализом мощности: подход, основанный на машинном обучении» . Международный журнал прикладной криптографии . 3 (2): 97–115. дои : 10.1504/IJACT.2014.062722 . ISSN 1753-0563 . Архивировано из оригинала 25 января 2021 года . Проверено 25 сентября 2020 г.
^ Тимон, Бенджамин (28 февраля 2019 г.). «Непрофилированные атаки по побочным каналам на основе глубокого обучения с анализом чувствительности» . Транзакции IACR на криптографическом оборудовании и встроенных системах : 107–131. дои : 10.13154/tches.v2019.i2.107-131 . ISSN 2569-2925 . S2CID 4052139 . Архивировано из оригинала 12 ноября 2021 г. Проверено 19 ноября 2021 г.
^ «X-DeepSCA: Атака по боковому каналу глубокого обучения между устройствами». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, А. Голдером, Дж. Даниалом, С. Гошем, А. Рэйчоудхури и С. Сеном, на 56-й конференции ACM/IEEE Design Automation (DAC) 2019.
^ «Практические подходы к атаке по боковым каналам с использованием нескольких устройств на основе глубокого обучения». Архивировано 11 июля 2024 г. в Wayback Machine А. Голдером, Д. Дасом, Дж. Даниалом, С. Гошем, А. Рэйчоудхури и С. Сен, в «Транзакциях IEEE в системах очень большой интеграции (VLSI)», Vol. 27, выпуск 12, 2019.
^ «Рассекреченный документ АНБ раскрывает тайную историю TEMPEST» . Проводной . Wired.com. 29 апреля 2008 года. Архивировано из оригинала 1 мая 2008 года . Проверено 2 мая 2008 г.
^ «Введение в TEMPEST | Институт SANS» . Архивировано из оригинала 5 сентября 2017 г. Проверено 06 октября 2015 г.
^ Черч, Джордж (20 апреля 1987 г.). «Искусство высокотехнологичного слежения» . Время . Архивировано из оригинала 4 июня 2011 года . Проверено 21 января 2010 г.
^ Эдуард Ковач (23 февраля 2017 г.), «Индикатор жесткого диска позволяет кражу данных с компьютеров с воздушным зазором» , Security Week , заархивировано из оригинала 07 октября 2017 г. , получено 18 марта 2018 г.
^ Дж. Ферриньо; М. Главач (сентябрь 2008 г.), «Когда мигает AES: введение оптического побочного канала» , IET Information Security , 2 (3): 94–98, doi : 10.1049/iet-ifs:20080038 , заархивировано из оригинала 01.2018 г. -11 , получено 16 марта 2017 г.
^ С. Ангел; С. Каннан; З. Рэтлифф, «Частные распределители ресурсов и их приложения» (PDF) , Труды симпозиума IEEE по безопасности и конфиденциальности (S&P), 2020 г. , заархивировано (PDF) из оригинала 24 июня 2020 г. , получено 6 июня 2020 г. -23
^ Логика Тортуги (2018). «Выявление проблем изоляции в современных микропроцессорных архитектурах» . Архивировано из оригинала 24 февраля 2018 г. Проверено 23 февраля 2018 г.
^ Jump up to: ^а ^б ^с ^д «Сетевая асинхронная архитектура для криптографических устройств». Архивировано 29 сентября 2011 г. на Wayback Machine. Лиляна Спадавеккья 2005 г. в разделах «3.2.3 Меры противодействия», «3.4.2 Меры противодействия», «3.5.6 Контрмеры», «3.5.7 Программные контрмеры», «3.5.8 Аппаратные меры противодействия» и «4.10 Анализ побочных каналов асинхронных архитектур».
^ «Модель безопасности противодействия программам: автоматическое обнаружение и устранение атак по боковым каналам потока управления». Архивировано 19 апреля 2009 г. в Wayback Machine Дэвидом Молнаром, Мэттом Пиотровски, Дэвидом Шульцем, Дэвидом Вагнером (2005).
^ « Модель безопасности противодействия программам: автоматическое обнаружение и устранение атак по побочным каналам потока управления». Презентация статьи USENIX в стадии разработки» (PDF) . Архивировано (PDF) из оригинала 14 августа 2017 г. Проверено 4 октября 2014 г.
^ Чон, К.; Новик, С.М. (январь 2007 г.). «Оптимизация устойчивых асинхронных схем путем ослабления локальной полноты ввода» . 2007 Конференция по автоматизации проектирования в Азии и Южно-Тихоокеанском регионе . стр. 622–627. дои : 10.1109/ASPDAC.2007.358055 . ISBN 978-1-4244-0629-6 . S2CID 14219703 .
^ «Маскировка против атак по побочным каналам: формальное доказательство безопасности». Архивировано 11 августа 2017 г. в Wayback Machine Эммануэлем Пруффом и Матье Ривеном в книге «Достижения в криптологии» - EUROCRYPT 2013.
^ «EM и Power SCA-Resilient AES-256 в 65-нм CMOS благодаря более чем 350-кратному ослаблению сигнатуры в текущей области». Архивировано 7 августа 2020 г. на Wayback Machine Д. Дасом и др., на Международной конференции IEEE по твердотельным схемам. (ISSCC), 2020,
^ «STELLAR: Общая защита от атак по побочным каналам EM посредством детального анализа первопричин». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, М. Натом, Б. Чаттерджи, С. Гошем и С. Сен, на Международном симпозиуме IEEE по аппаратно-ориентированной безопасности и доверию (HOST), Вашингтон, округ Колумбия, 2019 г.
^ «ASNI: подавление сигнатурного шума для защиты от атак по побочным каналам с низким уровнем мощности». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, С. Мэйти, С.Б. Насиром, С. Гошем, А. Рэйчоудхури и С. Сен, в IEEE Transactions on Circuits and Systems I: Regular Papers, 2017, Vol. 65, выпуск 10.
^ «Высокоэффективная устойчивость к атакам по побочным каналам мощности с использованием введения шума в домене ослабленных сигнатур». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, С. Мэйти, С.Б. Насиром, С. Гошем, А. Рэйчоудхури и С. Сен, на Международном симпозиуме IEEE по аппаратно-ориентированной безопасности и доверию (HOST), Вашингтон, округ Колумбия, 2017 г.

Дальнейшее чтение

Книги

Эмброуз, Джуд; и др. (2010). Атаки по побочным каналам анализа энергопотребления: контекст уровня проектирования процессора . ВДМ Верлаг. ISBN 978-3-8364-8508-1 .

Статьи

[1] «Анализ дифференциальной мощности», П. Кохер, Дж. Яффе, Б. Джун, появилось в CRYPTO'99.
[2] , Атака по побочному каналу: подход, основанный на машинном обучении, 2011, Л. Лерман, Г. Бонтемпи, О. Маркович.
[3] , Временные атаки на реализации Диффи-Хеллмана, RSA, DSS и других систем, П. Кохер.
[4] , Введение в дифференциальный анализ мощности и связанные с ним атаки, 1998, П. Кохер, Дж. Яффе, Б. Джун.
Nist.gov , предостережение относительно оценки кандидатов AES на смарт-картах, 1999 г., С. Чари, С. Ютла, Дж. Р. Рао, П. Рохатги.
DES и анализ дифференциальной мощности, Л. Губен и Дж. Патарин, в материалах CHES'99, конспекты лекций по информатике № 1717, Springer-Verlag
Грабхер, Филипп; и др. (2007). «Криптографические побочные каналы из кэш-памяти малой мощности» . В Гэлбрейте, Стивен Д. (ред.). Криптография и кодирование: 11-я Международная конференция IMA, Сайренсестер, Великобритания, 18–20 декабря 2007 г.: материалы, том 11 . Спрингер. ISBN 978-3-540-77271-2 .
Камаль, Абдель Алим; Юсеф, Амр М. (2012). «Анализ неисправностей схемы цифровой подписи NTRUSign». Криптография и связь . 4 (2): 131–144. дои : 10.1007/s12095-011-0061-3 . S2CID 2901175 .
Дэниел Генкин; Ади Шамир; Эран Тромер (18 декабря 2013 г.). «Извлечение ключей RSA с помощью акустического криптоанализа с низкой пропускной способностью» . Тель-Авивский университет . Проверено 15 октября 2014 г.

Внешние ссылки

Сима, Михай; Бриссон, Андре (2015), Реализация шифрования белого шума с повышенной устойчивостью к атакам по побочным каналам
Бриссон, Андре (2015), Университет Виктории, Британская Колумбия, исследование устойчивости белого шума к атакам по боковым каналам
Новые методы атаки по побочным каналам
COSADE Workshop Международный семинар по конструктивному анализу побочных каналов и безопасному проектированию

[1] Шуо Чен; Руй Ван; СяоФэн Ван и Кехуань Чжан (май 2010 г.). «Утечки по боковым каналам в веб-приложениях: реальность сегодня, проблема завтра» (PDF) . Исследования Майкрософт . Симпозиум IEEE по безопасности и конфиденциальности 2010. Архивировано (PDF) из оригинала 17 июня 2016 г. Проверено 16 декабря 2011 г.

[2] Ашоккумар К.; Рави Пракаш Гири; Бернар Менезеш (2016). «Высокоэффективные алгоритмы получения ключей AES при атаках на доступ к кешу». Европейский симпозиум IEEE по безопасности и конфиденциальности (EuroS&P) , 2016 г. стр. 261–275. дои : 10.1109/ЕвроСП.2016.29 . ISBN 978-1-5090-1751-5 . S2CID 11251391 .

[3] Горка Ирасоки; Мехмет Синан Инчи; Томас Эйзенбарт; Берк Сунар, погоди! Быстрая межвиртуальная атака на AES (PDF) , заархивировано (PDF) из оригинала 11 августа 2017 г. , получено 7 января 2018 г.

[4] Юваль Яром; Катрина Фолкнер, Flush + Reload: атака по боковым каналам кэша L3 с высоким разрешением, низким уровнем шума (PDF) , заархивировано (PDF) из оригинала 05 июля 2017 г. , получено 7 января 2018 г.

[5] Мехмет С. Инчи; Берк Гюльмезоглу; Горка Ирасоки; Томас Эйзенбарт; Берк Сунар, Атаки на кэш позволяют массовое восстановление ключей в облаке (PDF) , заархивировано (PDF) из оригинала 17 июля 2016 г. , получено 7 января 2018 г.

[6] Дэвид Брамли; Дэн Бонех (2003). «Удаленные атаки по времени практичны» (PDF) . Архивировано (PDF) из оригинала 28 июля 2011 г. Проверено 5 ноября 2010 г.

[7] Ковач, Эдуард (01 августа 2023 г.). «Почти все современные процессоры сливают данные в результате новой атаки по боковым каналам Collide+Power» . Неделя Безопасности . Архивировано из оригинала 11 июля 2024 г. Проверено 2 августа 2023 г.

[:3-8] Клэберн, Томас. «Обнаружена еще одна утечка данных процессора. К счастью, это непрактично» . www.theregister.com . Проверено 2 августа 2023 г.

[9] Collide+Power , Институт прикладной обработки информации и коммуникаций (IAIK), 01 августа 2023 г., заархивировано из оригинала 1 августа 2023 г. , получено 2 августа 2023 г.

[10] Лерман, Лиран; Бонтемпи, Джанлука; Маркович, Оливье (1 января 2014 г.). «Атака с анализом мощности: подход, основанный на машинном обучении» . Международный журнал прикладной криптографии . 3 (2): 97–115. дои : 10.1504/IJACT.2014.062722 . ISSN 1753-0563 . Архивировано из оригинала 25 января 2021 года . Проверено 25 сентября 2020 г.

[11] Тимон, Бенджамин (28 февраля 2019 г.). «Непрофилированные атаки по побочным каналам на основе глубокого обучения с анализом чувствительности» . Транзакции IACR на криптографическом оборудовании и встроенных системах : 107–131. дои : 10.13154/tches.v2019.i2.107-131 . ISSN 2569-2925 . S2CID 4052139 . Архивировано из оригинала 12 ноября 2021 г. Проверено 19 ноября 2021 г.

[12] «X-DeepSCA: Атака по боковому каналу глубокого обучения между устройствами». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, А. Голдером, Дж. Даниалом, С. Гошем, А. Рэйчоудхури и С. Сеном, на 56-й конференции ACM/IEEE Design Automation (DAC) 2019.

[13] «Практические подходы к атаке по боковым каналам с использованием нескольких устройств на основе глубокого обучения». Архивировано 11 июля 2024 г. в Wayback Machine А. Голдером, Д. Дасом, Дж. Даниалом, С. Гошем, А. Рэйчоудхури и С. Сен, в «Транзакциях IEEE в системах очень большой интеграции (VLSI)», Vol. 27, выпуск 12, 2019.

[14] «Рассекреченный документ АНБ раскрывает тайную историю TEMPEST» . Проводной . Wired.com. 29 апреля 2008 года. Архивировано из оригинала 1 мая 2008 года . Проверено 2 мая 2008 г.

[15] «Введение в TEMPEST | Институт SANS» . Архивировано из оригинала 5 сентября 2017 г. Проверено 06 октября 2015 г.

[16] Черч, Джордж (20 апреля 1987 г.). «Искусство высокотехнологичного слежения» . Время . Архивировано из оригинала 4 июня 2011 года . Проверено 21 января 2010 г.

[17] Эдуард Ковач (23 февраля 2017 г.), «Индикатор жесткого диска позволяет кражу данных с компьютеров с воздушным зазором» , Security Week , заархивировано из оригинала 07 октября 2017 г. , получено 18 марта 2018 г.

[18] Дж. Ферриньо; М. Главач (сентябрь 2008 г.), «Когда мигает AES: введение оптического побочного канала» , IET Information Security , 2 (3): 94–98, doi : 10.1049/iet-ifs:20080038 , заархивировано из оригинала 01.2018 г. -11 , получено 16 марта 2017 г.

[19] С. Ангел; С. Каннан; З. Рэтлифф, «Частные распределители ресурсов и их приложения» (PDF) , Труды симпозиума IEEE по безопасности и конфиденциальности (S&P), 2020 г. , заархивировано (PDF) из оригинала 24 июня 2020 г. , получено 6 июня 2020 г. -23

[20] Логика Тортуги (2018). «Выявление проблем изоляции в современных микропроцессорных архитектурах» . Архивировано из оригинала 24 февраля 2018 г. Проверено 23 февраля 2018 г.

[Spadavecchia-21] Jump up to: ^а ^б ^с ^д «Сетевая асинхронная архитектура для криптографических устройств». Архивировано 29 сентября 2011 г. на Wayback Machine. Лиляна Спадавеккья 2005 г. в разделах «3.2.3 Меры противодействия», «3.4.2 Меры противодействия», «3.5.6 Контрмеры», «3.5.7 Программные контрмеры», «3.5.8 Аппаратные меры противодействия» и «4.10 Анализ побочных каналов асинхронных архитектур».

[22] «Модель безопасности противодействия программам: автоматическое обнаружение и устранение атак по боковым каналам потока управления». Архивировано 19 апреля 2009 г. в Wayback Machine Дэвидом Молнаром, Мэттом Пиотровски, Дэвидом Шульцем, Дэвидом Вагнером (2005).

[23] « Модель безопасности противодействия программам: автоматическое обнаружение и устранение атак по побочным каналам потока управления». Презентация статьи USENIX в стадии разработки» (PDF) . Архивировано (PDF) из оригинала 14 августа 2017 г. Проверено 4 октября 2014 г.

[24] Чон, К.; Новик, С.М. (январь 2007 г.). «Оптимизация устойчивых асинхронных схем путем ослабления локальной полноты ввода» . 2007 Конференция по автоматизации проектирования в Азии и Южно-Тихоокеанском регионе . стр. 622–627. дои : 10.1109/ASPDAC.2007.358055 . ISBN 978-1-4244-0629-6 . S2CID 14219703 .

[25] «Маскировка против атак по побочным каналам: формальное доказательство безопасности». Архивировано 11 августа 2017 г. в Wayback Machine Эммануэлем Пруффом и Матье Ривеном в книге «Достижения в криптологии» - EUROCRYPT 2013.

[26] «EM и Power SCA-Resilient AES-256 в 65-нм CMOS благодаря более чем 350-кратному ослаблению сигнатуры в текущей области». Архивировано 7 августа 2020 г. на Wayback Machine Д. Дасом и др., на Международной конференции IEEE по твердотельным схемам. (ISSCC), 2020,

[27] «STELLAR: Общая защита от атак по побочным каналам EM посредством детального анализа первопричин». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, М. Натом, Б. Чаттерджи, С. Гошем и С. Сен, на Международном симпозиуме IEEE по аппаратно-ориентированной безопасности и доверию (HOST), Вашингтон, округ Колумбия, 2019 г.

[28] «ASNI: подавление сигнатурного шума для защиты от атак по побочным каналам с низким уровнем мощности». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, С. Мэйти, С.Б. Насиром, С. Гошем, А. Рэйчоудхури и С. Сен, в IEEE Transactions on Circuits and Systems I: Regular Papers, 2017, Vol. 65, выпуск 10.

[29] «Высокоэффективная устойчивость к атакам по побочным каналам мощности с использованием введения шума в домене ослабленных сигнатур». Архивировано 22 февраля 2020 г. в Wayback Machine Д. Дасом, С. Мэйти, С.Б. Насиром, С. Гошем, А. Рэйчоудхури и С. Сен, на Международном симпозиуме IEEE по аппаратно-ориентированной безопасности и доверию (HOST), Вашингтон, округ Колумбия, 2017 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

v т и Криптографические хэш-функции и коды аутентификации сообщений
List Comparison Known attacks
Common functions	MD5 (compromised) SHA-1 (compromised) SHA-2 SHA-3 BLAKE2
SHA-3 finalists	BLAKE Grøstl JH Skein Keccak (winner)
Other functions	BLAKE3 CubeHash ECOH FSB Fugue GOST HAS-160 HAVAL Kupyna LSH Lane MASH-1 MASH-2 MD2 MD4 MD6 MDC-2 N-hash RIPEMD RadioGatún SIMD SM3 SWIFFT Shabal Snefru Streebog Tiger VSH Whirlpool
Password hashing/ key stretching functions	Argon2 Balloon bcrypt Catena crypt LM hash Lyra2 Makwa PBKDF2 scrypt yescrypt
General purpose key derivation functions	HKDF KDF1/KDF2
MAC functions	CBC-MAC DAA GMAC HMAC NMAC OMAC/CMAC PMAC Poly1305 SipHash UMAC VMAC
Authenticated encryption modes	CCM ChaCha20-Poly1305 CWC EAX GCM IAPM OCB
Attacks	Collision attack Preimage attack Birthday attack Brute-force attack Rainbow table Side-channel attack Length extension attack
Design	Avalanche effect Hash collision Merkle–Damgård construction Sponge function HAIFA construction
Standardization	CAESAR Competition CRYPTREC NESSIE NIST hash function competition Password Hashing Competition NSA Suite B CNSA
Utilization	Hash-based cryptography Merkle tree Message authentication Proof of work Salt Pepper