Международная научная лаборатория
«Защита криптосистем от атак по сторонним каналам»

Лаборатория «Защита криптосистем от атак по сторонним каналам» была создана в 2013 г. при поддержке гранта РФ 074-U01. Целью работы лаборатории является создание научно-методического аппарата, направленного на обеспечение информационной безопасности, защиты современных и перспективных устройств от атак по сторонним каналам, систем мониторинга информационной безопасности, обеспечение информационной безопасности облачных технологий, распределенных систем, мультиагентных систем.

В настоящее время в мире и в России широко используются идентифицирующие устройства, такие как смарт-карты, банковские карты, sim-карты, RFID метки и другие. В связи с повсеместным применением криптоустройств, систем мониторинга, самоорганизующихся распределенных и мультиагентных систем, устройств идентификации их безопасность является приоритетным направлением современных исследований уязвимостей для атак по сторонним каналам. В лаборатории проводятся исследования по нескольким направлениям:

  1. Исследование атак на современные и перспективные криптоустройства и разработка методов и алгоритмов для повышения криптостойкости современных устройств.
  2. Выявление уязвимостей современных криптоустройств, позволяющих осуществлять воздействия на программное обеспечение и алгоритмы.
  3. Разработка методов и методик обнаружения, нейтрализации и противодействия существующим атакам по сторонним каналам.
  4. Создание научно-методического аппарата, использующего решения, базирующиеся на кодах, исправляющих ошибки, для защиты от атак по сторонним каналам.
  5. Разработка методов и методик обеспечения информационной безопасности облачных технологий, распределенных и мультиагентных систем
  6. Информационная безопасность самоорганизующихся мобильных робототехнических систем Руководителем лаборатории является профессор, д.т.н. Зикратов И.А.

НАШИ РАЗРАБОТКИ:

В лаборатории ведутся разарботки нового класса помехоустойчивых кодов. Для создания данных кодов используются сплайн-вэйвлетные разложения. При использовании сплайн- вэйвлетных разложения в теории кодирования возможно создать довольно большой класс новых кодов, как линейных так и не линейных. В данный момент нами прорабатываются несколько различных кодов, основывающихся на сплайн-вэйвлетных и вэйвлетных разложениях, одна из рассмотренных нами возможностей их применения - микросхема ADV612. Тестирование линейного кода на имитационной компьютерной модели микросхемы ADV612 позволило оценить следующие параметры надежности:

  1. Максимум вероятности маскировки ошибки.
  2. Количество необнаруживаемых ошибок

Линейный код не дает защиты от атак внедрения ошибок. Для защиты от такого типа атак был разработан специальный класс нелинейных кодов, называемых надежными кодами.

  1. Разработанный на основе сплайн-вэйвлетного преобразования помехоустойчивых код является надежным кодом, и позволяет обеспечить высокий уровень защиты против атак внедрения ошибок, по сравнению с линейными кодами.
  2. Если система, которую планируется улучшать с помощью надежных помехоустойчивых кодов, уже использует вэйвлетные преобразования, то разработанные коды могут существенно сократить время кодирования за счет повторного использования задействованных в системе коэффициентов масштабирующих функций вейэвлетных преобразований.
  3. По сравнению с надежными кодами, разработанные сплайн-вэйвлетные коды дают больший выигрыш при применении преобразования Грея. К тому же, даже без использования преобразования Грея, сплайн-вэйвлетные коды меньше подвержены тенденции снижения характеристик надежности при неравномерном распределении кодовых слов, свойственной всем надежным кодам.

В настоящее время для криптоустройств представляют огромную опасность атаки по сторонним каналам. В России анализу и проведению данных атак должного внимания не уделяется. В нашей работе производилась адаптивная атака на алгоритм RSA в реализации GnuPG версии 1.4.15.

Для атаки было использовано два сторонних канала, акустический канал и канал побочных электромагнитных излучений и наводок (ПЭМИН).

ПЭМИН атака производится с использованием магнитной антенны с ферритовым сердечником, подключенной к микрофонному входу компьютера. Частота, на которой ведется атака, зависит от частоты процессора атакуемой системы и составляет порядка 12 кГц для первой гармоники опасного сигнала. Атака может проводиться и с использованием высших гармоник. Акустическая атака проводится на тех же частотах, что и атака по ПЭМИН.

Результатом применения данных атак является возникновение опасного сигнала в цепях атакуемой системы в соответствии с Рис. 1 и Рис. 2. Различие спектральных отпечатков вызвано выбором пути исполнения программы на атакуемой системе.

Применение электромагнитных каналов позволяет снизить время атаки за счет высокого соотношения сигнал/шум до 16 минут, что в четыре раза быстрее аналогичных адаптивных атак, проводимых международными специалистами в других странах. Проведенные атаки возможно применить и на другие криптосистемы.

В рамках данных работ так же была проанализирована зависимость между характеристиками процессора, свойствами исполняемых инструкций (размер в байтах, пропускная способность) и спектром паразитных излучений.

Если компьютер работает с RFID-системой, то его безопасность автоматически ставится под угрозу. Еще один вид атак, это атаки через RFID-тэги. Зачастую, программы, обрабатывающие информацию с меток имеют определенные уязвимости. В том случае, когда известно об этой уязвимости, через метку можно заразить вирусом и весь компьютер. Последний, при считывании измененной информации, будет выдавать неверные данные или вовсе не сработать. Наиболее подверженные такому виду атаки места транспондера: SQL-Injection, web-интерфейсы, где не исключена возможность внедрения вредоносного кода, а также buffer overflow.

В МНЛ были изучены карты Mifare Classic 1k. В качестве считывателя использовался ACR1251U USB NFC Reader II. В комплект не входило программное обеспечение для работы с картами, поэтому оно было написано с использованием предоставленного API. Считыватель подключается через USB.

Для снятия сигналов сторонних каналов с метки-транспондера был использован осциллограф Tektronix TDS 2012C с пропускным каналом 100МГц и частотой сэмплирования 2ГС/с. Для непосредственного снятия сигнала использовались пассивные зонды, причем для снятия электромагнитного сигнала была использована модификация стандартного зонда: замыкание щупа с проводом заземления создает антенну, на которой электромагнитным полем индуцируется ток. Примеры использованных зондов представлены на Рис. 1.

Рис. 1 Модификация зонда для снятия электромагнитного сигнала (слева) и стандартный вид зонда (справа).

Снятие электромагнитного сигнала возможно и без вскрытия, однако для измерений энергопотребления необходимо удалить пластмассовую оболочку карты. Для доступа к антенне и чипу пластмассовая оболочка была растворена при помощи технического ацетона, полученная RFID-метка представлена на Рис. 2. На Рис. 3 показан способ подключения зонда к контактам чипа для измерения энергопотребления. В связи с тем, что энергия, используемая чипом для работы, индуцируется в нем электромагнитным полем, показания измерений по двум побочным каналам схожи, что можно наблюдать на Рис. 3.

Рис. 2 Чип и антенна карты Mifare Classic.

Первоначально съем сигнала производился лишь средствами осциллографа на USB-устройство. Однако данный способ не позволяет эффективно управлять записью сигнала, управлять условиями старта и конца записи, а также предоставляет сигнал лишь в формате csv, что не очень удобно при его дальнейшей обработке. Поэтому было принято решение использовать для управления осциллографом специализированное программное обеспечение LabView SignalExpress Tektronix Edition.

Также использование осциллографа требует наличия источника синхронизации, в качестве которого был использован элемент микросхемы считывателя, а дальнейшая обработка сигнала производится программным способом, что требует больших временных затрат. Для проведения реальной атаки предпочтительнее использовать специализированные устройства и платы. Примером такого устройства является proxmark3. В его состав входят две антенны для низкочастотной и высокочастотной коммуникации, а основная обработка сигнала может производится на аппаратном уровне с помощью FPGA. Программная обработка сигнала обеспечивает поддержку оригинальных схем модуляций.

Рис. 3 Способ снятия величины общего энергопотребления чипа.

Обычно атака на устройство по изменению энергопотребления производится на резисторе, включенном в цепь заземеления целевого устройства. В данном исследовании целевым устройством является цепь смарткарты, заключенная в пластиковый корпус без внешних электрических контактов, что затрудняет измерения. Полуинвазивная атака позволяет успешно измерять общее энергопотребление чипа, однако учитывая тот факт, что энергия передается карте через поле, использование неинвазивной атаки по электромагнитным излучениям принесет равноценный результат, но при этом не потребуется удаление пластиковой оболочки чипа. Инвазивные атаки, при которых необходимо удалить также и силиконовую оболочку чипа, а затем исследовать схему чипа, очень затратны и требуют высокоточное оборудование.

Другим побочным каналом по отношению к RFID-системам является электромагнитное излучение, которое также является и основным каналом взаимодействия считывателя и транспондера. Преимуществом данного канала является неинвазивный сценарий атаки,что невозможно при атаке на энергопотребление. Для того, чтобы снять соответствующий сигнал, необходимо лишь поместить зонд ближней зоны рядом с меткой.

На Рис. 4. представлен пример перехваченного сообщения WUPA. В двочиной форме сообщение представляется как «10100100» (0x52 в шестнадцатеричной форме записи), в передаваемом сигнале биты располагаются по порядку от старших битов к младшим.

Рис. 4 Сигнал WUPA, полученный на электромагнитном канале (оранжевый), и соответствующее изменение энергопотребления (голубой).

Используемый считыватель поддерживает, согласно стандарту, оба типа карт, А и B. При поиске карт считывателем также можно перехватить сообщения модулированные согласно типу B.

Рис. 5 Модуляция несущей по стандарту ISO-14443(B).

Помимо изучения излучения метки-транспондера во время выполнения криптографических операций, можно обратить внимание на излучение считывателя.



Подробную информацию можно получить на официальном сайте международной лаборатории