Détecter les vulnérabilités et évaluer la résistance aux attaques de pirates des cartes à puce et des processeurs cryptographiques avec protection intégrée

Au cours de la dernière décennie, outre les méthodes permettant d'extraire des secrets ou d'effectuer d'autres actions non autorisées, les attaquants ont commencé à recourir à des fuites de données involontaires et à des manipulations de l'exécution de programmes via des canaux secondaires.

Les méthodes d’attaque traditionnelles peuvent s’avérer coûteuses en termes de connaissances, de temps et de puissance de traitement. Les attaques par canal secondaire, en revanche, peuvent être plus facilement mises en œuvre et non destructives car elles exposent ou manipulent des propriétés physiques accessibles pendant le fonctionnement normal.

En utilisant des méthodes statistiques pour traiter les mesures des canaux secondaires ou en introduisant des failles dans les canaux privés de la puce, un attaquant peut accéder à ses secrets en quelques heures.

Avec plus de 5,000 XNUMX millions de cartes à puce émises chaque année et l’arrivée de nouvelles technologies cryptographiques intégrées sur les marchés, il devient de plus en plus nécessaire de garantir la sécurité des entreprises et de la confidentialité.

Aux Pays-Bas, Riscure a créé Inspector, qui offre aux laboratoires de R&D ainsi qu'aux fabricants de nouvelles capacités de détection des menaces de sécurité très efficaces.

Le système Inspector Risk prend en charge diverses techniques d'analyse de canal secondaire (SCA) telles que l'analyse de la consommation d'énergie (SPA/DPA), la synchronisation, la RF, ainsi que l'analyse électromagnétique (EMA) et les attaques de perturbations (FI) telles que les problèmes de tension, les problèmes d'horloge et manipulation laser. La fonctionnalité intégrée du système prend en charge de nombreux algorithmes cryptographiques, protocoles d'application, interfaces et instruments.

Le système vous permet d'étendre et de mettre en œuvre de nouvelles méthodes et applications personnalisées pour détecter les vulnérabilités.

Le système d'analyse des canaux latéraux Inspector SCA comprend :

• Traceur de puissance ;
• installation d'une station de sonde EM à sondage électromagnétique ;
• Générateur de déclencheurs icWaves ;
• filtre CleanWave ;
• sonde de courant Sonde de courant.

Parmi les principaux « goodies », nous pouvons souligner les principaux :

• Il s'agit d'un outil unique et intégré pour l'analyse des canaux secondaires et les tests d'injection de défauts ;
• Inspector répond aux exigences de test de canal latéral certifiées EMVco et CMVP Common Criteria ;
• Il s'agit d'un environnement ouvert qui comprend le code source des modules, permettant ainsi de modifier les méthodes existantes et d'inclure de nouvelles méthodes de test qui peuvent être développées par l'utilisateur pour Inspector ;
• Les logiciels et matériels stables et intégrés incluent l'acquisition de données à grande vitesse sur des millions de traces ;
• Le cycle de publication du logiciel, tous les six mois, permet aux utilisateurs d'être informés des dernières techniques permettant de tester les canaux secondaires sur le terrain.

Inspector est disponible en différentes versions sur une seule plateforme :

• Inspecteur SCA offre toutes les options nécessaires pour effectuer une analyse des canaux secondaires DPA et EMA.
• Inspecteur FI offre une fonctionnalité complète d’injection de fautes (attaques par perturbation) ainsi qu’une analyse différentielle des fautes (DFA).
• Inspecteur Core et SP (Signal Processing) offre des fonctionnalités de base SCA implémentées dans des modules séparés pour fournir un progiciel accessible pour l'acquisition ou le post-traitement des données.

Inspecteur SCA

Une fois les résultats de mesure obtenus, diverses techniques de traitement du signal sont disponibles pour générer plusieurs traces à signal élevé et à faible bruit. Des fonctions de traitement du signal ont été développées pour prendre en compte les différences subtiles entre le traitement du signal de trace EM, de trace de puissance et de trace RF. La puissante présentation graphique des traces d'Inspector permet aux utilisateurs d'effectuer une analyse temporelle ou d'examiner les traces, par exemple pour détecter les vulnérabilités SPA.

Effectuer le DPA lors de la mise en œuvre de l'ECC

Pour de nombreuses implémentations de sécurité considérées aujourd'hui comme résistantes au SPA, les tests se concentrent généralement sur les méthodes de test différentielles (c'est-à-dire DPA/CPA). À cette fin, Inspector propose une large gamme de méthodes configurables couvrant un large éventail d'algorithmes cryptographiques et des algorithmes largement utilisés tels que (3)DES, AES, RSA et ECC.

Rayonnement EM de la puce pour trouver le meilleur emplacement lors de la mise en œuvre de DEMA

Les principales caractéristiques

• Cette solution combine des méthodes d'analyse de puissance (SPA/DPA/CPA), électromagnétiques (SEMA/DEMA/EMA-RF) et de test sans contact (RFA).
• La vitesse d'acquisition des données est grandement améliorée grâce à l'intégration étroite de l'oscilloscope avec Inspector.
• Des techniques d'égalisation avancées sont utilisées pour éviter la gigue d'horloge et la randomisation
• L'utilisateur peut configurer des modules de cryptanalyse qui prennent en charge les attaques primaires et d'ordre élevé sur tous les principaux algorithmes tels que (3)DES, AES, RSA et ECC.
• Une prise en charge étendue des algorithmes spécifiques au domaine est utilisée, notamment SEED, MISTY1, DSA, notamment Camellia.

Matériel

En plus de la station de travail PC Inspector, SCA utilise du matériel optimisé pour l'acquisition de données et de signaux par canal secondaire :

• Power Tracer pour SPA/DPA/CPA sur cartes à puce
• Station de sonde EM pour SEMA / DEMA / EMA RF
• Sonde de courant pour SPA/DPA/CPA sur les appareils intégrés
• Filtre CleanWave avec Micropross MP300 TCL1/2 pour RFA et RF EMA
• Oscilloscope compatible IVI

Les objets évalués nécessitent souvent des mesures, des commutations et un contrôle matériel nécessaires à la réalisation de la SCA. Le gestionnaire de matériel flexible d'Inspector, son environnement de développement ouvert et ses nombreuses options d'interface constituent une base solide pour des mesures de haute qualité à l'aide de matériel personnalisé.

Inspecteur SCA

L'ingénieur en chef de la sécurité interne, Joh John Connor, déclare à propos du système :
« Inspector a révolutionné la façon dont nous évaluons la résistance différentielle de nos produits. attaque de consommation d'énergie DPA. Sa force réside dans le fait qu’il intègre des processus de collecte et d’analyse qui nous permettent d’évaluer rapidement l’efficacité des nouvelles conceptions de matériel cryptographique. De plus, son interface graphique supérieure permet à l'utilisateur de visualiser les signatures énergétiques des données discrètes collectées individuellement ou simultanément (ce qui est inestimable lors de la préparation des données pour la DPA lors d'une attaque), tandis que ses puissantes bibliothèques d'analyse prennent en charge les algorithmes de chiffrement commerciaux les plus couramment utilisés. Les mises à jour logicielles et technologiques en temps opportun prises en charge par Riscure nous aident à maintenir la sécurité de nos produits.

Inspecteur FI

Inspector FI - Fault Injection - offre une large gamme de fonctionnalités pour effectuer des tests d'injection de défauts sur les technologies de cartes à puce et de périphériques embarqués. Les méthodes de test prises en charge incluent les problèmes d’horloge, les problèmes de tension et les attaques laser optiques. Les attaques par injection de fautes, également appelées attaques par perturbation, modifient le comportement d'une puce, provoquant une panne utilisable.

Avec Inspector FI, les utilisateurs peuvent tester si une clé peut être extraite en provoquant des échecs dans les opérations cryptographiques de la puce, en contournant une vérification telle que l'authentification ou l'état du cycle de vie, ou en modifiant la façon dont un programme s'exécute sur la puce.

Options configurables étendues

Inspector FI comprend un grand nombre de paramètres configurables par l'utilisateur pour contrôler par programme la commutation et les perturbations telles que les impulsions de durée variable, la répétition des impulsions et les changements de niveau de tension. Le logiciel présente les résultats, montrant le comportement attendu, les réinitialisations de carte et le comportement inattendu, ainsi qu'une journalisation détaillée. Des modules d'attaque DFA sont disponibles pour les principaux algorithmes de chiffrement. À l'aide de « l'assistant », les utilisateurs peuvent également créer un programme de perturbation personnalisé avec l'API.

Les principales caractéristiques

• Précision et synchronisation non parallèles et facilement reproductibles pour tout le matériel défectueux.
• Scénarios de conception d'attaque à l'aide d'un système de commande puissant et d'un inspecteur IDE intégré.
• Options de configuration étendues de l’Inspector pour les tests automatisés d’injection de pannes.
• Équipement laser pour multi-glitch au recto et au verso de la carte, réalisé sur mesure pour les tests par injection de glitch.
• Modules DFA pour la mise en œuvre d'algorithmes de chiffrement courants, notamment RSA, AES et 3DES
• La mise à niveau vers un laser multipoint offre la possibilité d'influencer le microcircuit à plusieurs endroits à la fois.
• La synchronisation dépendante du fonctionnement à l'aide du générateur de déclenchement icWaves peut empêcher les contre-mesures et empêcher la perte d'échantillons.

Matériel

Inspector FI peut être utilisé avec les composants matériels suivants pour mener des attaques :

• VC Glitcher avec amplificateur de glitch supplémentaire
• Station laser à diode avec mise à niveau multipoint en option
• Oscilloscope compatible PicoScope 5203 ou IVI

Inspector FI avec VC Glitcher, générateur de déclenchement icWaves, amplificateur Glitch et station laser

Le générateur VC Glitcher constitue le cœur de l’architecture d’injection de glitch du système Inspector. Grâce à la technologie FPGA ultra-rapide, des pannes aussi courtes que deux nanosecondes peuvent être générées. Le matériel dispose d'une interface de programmation conviviale. Le programme défectueux créé par l'utilisateur est chargé dans le FPGA avant le test. Le VC Glitcher comprend un circuit intégré pour introduire des problèmes de tension et d'horloge, ainsi qu'une sortie de canal pour contrôler la station laser.

La station laser à diode se compose d'un ensemble personnalisé de lasers à diode haute puissance dotés d'optiques personnalisées qui sont contrôlées de manière rapide et flexible par le VC Glitcher. L'équipement fait passer les tests optiques à un niveau supérieur en fournissant des défauts multiples efficaces, un contrôle précis de la puissance et une réponse rapide et prévisible pour la commutation d'impulsions.

En mettant à niveau la station laser à diode vers une version multipoint, plusieurs zones peuvent être testées sur la puce en utilisant différents paramètres de synchronisation et tensions d'alimentation.

Déclenchement basé sur un signal à l'aide du générateur de déclenchement icWaves

La gigue d'horloge, les interruptions aléatoires du processus et la durée du processus dépendant des données nécessitent une commutation flexible des défauts et une collecte de données sur les canaux secondaires. Le générateur icWaves du système Inspector crée une impulsion de déclenchement en réponse à la détection en temps réel des différences par rapport à un modèle donné dans l'alimentation électrique de la puce ou le signal EM. L'appareil comprend un filtre coupe-bande spécial pour garantir que la correspondance du modèle est détectée même dans les signaux bruyants.

La trace de référence utilisée pour correspondre au modèle à l'intérieur du dispositif FPGA peut être modifiée à l'aide des fonctions de traitement du signal de l'Inspector. Une carte à puce ayant détecté une injection de faute peut lancer un mécanisme de protection pour supprimer les données sensibles ou bloquer la carte. Le composant icWaves peut également être utilisé pour déclencher un arrêt de la carte chaque fois que la consommation électrique ou le profil EM s'écarte du fonctionnement standard.

Station Laser (LS) avec option d'accès multipoint,
avec microscope et table de coordonnées

Environnement de développement intégré (IDE)

L'environnement de développement Inspector est conçu pour offrir une flexibilité maximale à l'utilisateur pour utiliser SCA et FI à toutes fins.

• API ouverte : facilite la mise en œuvre de nouveaux modules
• Code source : Chaque module est livré avec son propre code source, les modules peuvent donc être adaptés aux souhaits de l'utilisateur ou utilisés comme base pour créer de nouveaux modules

Inspecteur FI

Inspector combine des techniques d’injection de fautes et d’analyse de canal secondaire dans un seul package hautes performances.

Exemple d’analyse du comportement de défaillance :

Le domaine des attaques par canal secondaire évolue rapidement, avec de nouveaux résultats de recherche publiés chaque année, rendus publics ou rendant obligatoire la certification des systèmes et des normes. Inspector permet aux utilisateurs de se tenir au courant des nouveaux développements et des mises à jour logicielles régulières qui mettent en œuvre de nouvelles techniques.

Source: habr.com