分析泄漏功率攻擊采用90nm CMOS技術(shù)的加密器件

泄漏電流可能被用于攻擊加密系統(tǒng)。

在電子商務(wù)與電子銀行等應(yīng)用中，安全要求越來越嚴(yán)格。雖然加密技術(shù)提供了強(qiáng)健的算法，但這些算法的物理實(shí)現(xiàn)一般會通過器件電氣運(yùn)行中的物理現(xiàn)象，泄漏一些信息，攻擊者會利用它來探測密鑰。這些“旁路”（side-channel）攻擊利用加密實(shí)現(xiàn)硬件模塊所泄漏的信息。該信息可能包含數(shù)據(jù)與功耗或時(shí)序之間的相互關(guān)系。一種廣為報(bào)道的強(qiáng)大旁路攻擊方法是微分功率分析（differential-Power analysis），因?yàn)樗茏尮粽哂矛F(xiàn)售元件做出的測量設(shè)置探測出密鑰。攻擊者依據(jù)的事實(shí)是，標(biāo)準(zhǔn)CMOS邏輯的動態(tài)功耗主要依賴于輸入數(shù)據(jù)。例如，考慮一個(gè)簡化的CMOS反相器模型，它以一只接地電容作為自己的負(fù)載。該模型只有當(dāng)輸出從0至1的過渡時(shí)才從電源吸入電流。在1至0的過渡時(shí)，輸出電容釋放能量，而從0至0和1至1的過渡時(shí)電路不消耗能量。最近工程師們提出了很多同時(shí)采用軟件和RTL（寄存器傳輸級）的對策，以阻止通過動態(tài)功率分析的攻擊。

歷史上，CMOS電路功耗的主要來源是CMOS開關(guān)活動造成的動態(tài)功耗。動態(tài)功耗是電源電壓的二次方，而對時(shí)鐘頻率的依賴則是線性的。CMOS電路功耗的另外一個(gè)來源是CMOS器件關(guān)斷狀態(tài)下寄生電流所造成的泄漏功率。這種泄漏功率很快將達(dá)到可與動態(tài)功耗相比較的量級。CMOS設(shè)計(jì)中的泄漏電流主要取決于輸入數(shù)據(jù)的矢量，工程師使用這個(gè)特性，在電路的等待周期內(nèi)減少泄漏功耗。他們還提出了可以預(yù)測在CMOS電路中分別產(chǎn)生最大和最小泄漏電流的輸入矢量模型。

由于泄漏電流依賴于CMOS邏輯中的輸入值，你可以通過測量泄漏電流，提取出一個(gè)加密核心中有關(guān)加密數(shù)據(jù)的信息。對一個(gè)采用RTL仿真的簡單加密核心，通過分析泄漏電流與輸入數(shù)據(jù)的依賴關(guān)系，就可以用統(tǒng)計(jì)分析技術(shù)發(fā)動攻擊。這些技術(shù)類似于微分功耗分析技術(shù)，可以提取出從泄漏電流測量開始的密鑰，原理上更容易實(shí)現(xiàn)。

數(shù)據(jù)依賴性

泄漏電流主要來自反向結(jié)、亞閾值以及門隧道電流。對于一個(gè)偏置在弱反向區(qū)的MOS晶體管，亞閾值電流是最重要的因素。標(biāo)準(zhǔn)CMOS門的設(shè)計(jì)者會使用串并聯(lián)連接組成的上拉和下拉網(wǎng)絡(luò)。設(shè)計(jì)者還為串并聯(lián)配置的MOS器件開發(fā)了泄漏電流模型。

為了解標(biāo)準(zhǔn)CMOS門泄漏電流對數(shù)據(jù)的依賴性，研究人員對意法半導(dǎo)體公司90 nm CMOS090工藝的標(biāo)準(zhǔn)單元作了仿真。這些仿真采用了代工廠針對Spectre晶體管級仿真器所提供的模型，用五種溫度來驗(yàn)證泄漏電流與溫度的關(guān)系（表1）。如果對表中泄漏電流按升序排序，則順序與溫度的變化相同。例如，對一個(gè)雙輸入與非門，邏輯輸入0或1在所有溫度值下都產(chǎn)生最大的泄漏電流。這種功率分析方法能揭示出一個(gè)加密核心的輸入與產(chǎn)生最大或最小泄漏電流之間的關(guān)聯(lián)?，F(xiàn)在有資料描述最大、最小和其它算法，用于估算泄漏電流。

對稱密鑰算法的基本部件是S盒（substitution box）。當(dāng)使用分組密碼時(shí)，一般用S盒來掩蓋原文本與加密文本之間的關(guān)系。S盒在N位輸入字和M位輸出字之間提供了一種組合映射。這些盒子（如有四輸入和四輸出）一般都使用固定表。

Cadence公司的研究人員采用一個(gè)真值表和意法半導(dǎo)體公司的90 nm CMOS工藝庫，對一種S盒做綜合，這款S盒有四個(gè)輸入和四個(gè)輸出（表2）。然后研究人員對S盒的所有可能的輸入組合作了大量泄漏電流仿真。如果按泄漏電流的升序?qū)Ρ碇械妮斎虢M合作排列，則結(jié)果與溫度的變動無關(guān)。于是，在仿真或測量中可以使用任何熱系數(shù)，只要它保持恒定不變。可以將異或門連接到一只S盒的輸入端，實(shí)現(xiàn)一個(gè)簡單加密核心的組合器件。異或門將任何原文本文字與密鑰預(yù)先混合，S盒加密結(jié)果。你可以針對一個(gè)加密核心的組合部分，對所有密鑰值和輸入值作大量的泄漏電流仿真。如果將泄漏電流值升序排列，則輸入與輸出的次序?qū)γ總€(gè)密鑰都是相同的，意味著泄漏電流與輸入值無關(guān)。這些仿真還顯示出，對不同密鑰和相同輸入值，泄漏電流值有差異。異或門對輸入變化很敏感，它是這種差異的根源。S盒不是過錯(cuò)方，因?yàn)閷ο嗤妮斎?，測得的電流總是相同的。

圖1，為一個(gè)組合設(shè)計(jì)增加一些電阻，就可以構(gòu)建出一個(gè)簡單的加密核心。