基于AES算法的Cache Hit旁路攻击

AES加密快速实现中利用了查表操作,查表的索引值会影响Cache命中率和加密时间,而查表的索引值和密钥存在密切关系。通过分析AES最后一轮加密过程中查表索引值与密文和最后一轮子密钥的关系,以及它们对Cache命中与否和加密时间长短的影响,提出一种利用Cache hit信息作为旁路信息对AES进行旁路攻击的技术,在Intel Celeron 1.99 GHz和Pentium4 3.6 GHz CPU的环境中,分别在221和225个随机明文样本的条件下,在5 min内恢复了OpenSSL v.0.9.8(a)库中AES的128 bit密钥,并介绍防御这种攻击途径的手段。     

一种新的针对AES的访问驱动Cache攻击

Cache访问"命中"和"失效"会产生时间和能量消耗差异,这些差异信息已经成为加密系统的一种信息隐通道,密码界相继提出了计时Cache攻击、踪迹Cache攻击等Cache攻击方法.针对AES加密算法,提出一种新的Cache攻击一访问驱动Cache攻击,攻击从更细的粒度对Cache行为特征进行观察,利用间谍进程采集AES进程加密中所访问Cache行信息,通过直接分析和排除分析两种方法对采集信息进行分析,在大约20次加密样本条件下就可成功推断出128位完整密钥信息.     

针对AES的Cache计时模板攻击研究

受微处理器硬件架构和操作系统的影响,分组密码查找S盒不同索引执行时间存在差异,构成了S盒索引的天然泄漏源.该文采用“面向字节、分而治之”的旁路攻击思想,对AES抗Cache计时模板攻击能力进行了研究.首先分析了分组密码访问Cache时间差异泄漏机理,直观地给出了基于碰撞和模板的两种Cache计时攻击方法;其次给出了Cache计时外部模板攻击模型,提出了基于Pearson相关性的模板匹配算法,对128位AES加密第一轮和最后一轮分别进行了攻击应用;为克服外部模板攻击需要一个模板密码服务器的限制,提出了Cache计时内部模板攻击模型,并对AES进行了攻击应用;最后,在不同环境、操作系统、加密Cache初始状态、密码库中,分别进行攻击实验,同前人工作进行了比较分析,并给出了攻击的有效防御措施.     

针对AES的基于时间的缓存攻击

基于时间的缓存攻击是指通过分析处理器中算法的不同执行时间来恢复密钥的攻击。该文分析针对AES的时间驱动缓存攻击,给出一种改进的攻击,它可以应用于大多数的AES实现软件。在PentiumⅢ, OpenSSL v.0.9.8.(a)和Miracl环境下的实验发现,只需要224个时间信息就可以恢复出密钥,少于原攻击的228个时间信息数据。给出抵抗这种攻击的对策。     

针对RSA算法的踪迹驱动数据Cache计时攻击研究

Cache计时攻击是旁路攻击领域的研究热点.针对滑动窗口算法实现模幂运算的RSA算法,分析了RSA算法访问驱动Cache计时攻击的难点,建立了踪迹驱动数据Cache计时攻击模型.在攻击模型与原有踪迹驱动计时攻击算法的基础上,利用幂指数与操作序列的相关性、窗口大小特征和预计算表索引值与窗口值的映射关系,提出了一种改进的幂指数分析算法,并给出了利用幂指数dp和dq的部分离散位恢复出私钥d的格攻击过程.利用处理器的同步多线程能力实现了间谍进程与密码进程的同步执行,针对OpenSSL v0.9.8b中的RSA算法,在真实环境下执行攻击实验.实验结果表明:新的分析算法大约能够获取512位幂指数中的340位,比原有算法进一步降低了密钥恢复的复杂度;同时对实际攻击中的关键技术以及可能遇到的困难进行分析,给出相应的解决方案,进一步提高了攻击的可行性.     

基于欧式距离的AES算法模板攻击

针对AES算法Cache计时模板攻击时会触发大量的Cache失效,容易被硬件计数器检测出来的问题,基于Flush+Flush攻击模型,提出一种基于欧氏距离的AES算法模板攻击方法,以减少触发Cache失效的次数,使攻击更加隐蔽.使用Flush+Flush攻击模型获取AES算法在内存中映射的位置;利用已知明文攻击不断地触...     

RSA 踪迹驱动指令Cache 计时攻击研究

指令Cache 攻击是基于获取算法执行路径的一种旁路攻击方式.首先,通过分析原有RSA 指令Cache 计时攻击存在可行性不高且能够获取的幂指数位不足等局限性,建立了新的基于监视整个指令Cache 而不只是监视特定指令Cache 的踪迹驱动计时攻击模型;然后,提出了一种改进的基于SWE 算法窗口大小特征的幂指数分析算法;最后,在实际环境下,利用处理器的同步多线程能力确保间谍进程与密码进程能够同步运行.针对OpenSSLv.0.9.8f 中的RSA算法执行指令Cache 计时攻击实验,实验结果表明:新的攻击模型在实际攻击中具有更好的可操作性;改进的幂指数分析算法能够进一步缩小密钥搜索空间,提高了踪迹驱动指令Cache 计时攻击的有效性.对于一个512 位的幂指数,新的分析算法能够比原有分析算法多恢复出大约50 个比特位.     

基于Cache行为的旁路攻击

分析新型高速缓冲存储器(Cache)旁路攻击技术,给出一种Cache旁路攻击方法。针对S盒操作使用查找表处理的数据加密标准(DES)算法实现,通过获取DES加密过程中前2轮加密运算对应的Cache命中信息,结合数学分析方法,可以有效地缩小DES密钥搜索空间。对Cache存储器行为和数学分析攻击进行仿真实现的结果显示,通过26个选择明文,大约耗费230次离线DES加密时间成功地恢复了DES密钥。给出了防御Cache攻击的基本对策。     

针对AES加密前两轮的访问驱动Cache攻击方法

高速缓存Cache具有数据访问时间不确定和多进程资源共享两大特征,AES加密快速实现中使用了大量查表操作进行Cache访问,查表索引值会影响Cache命中与否,而查表的索引值和密钥存在密切关系。针对128位AES加密算法,利用间谍进程采集AES进程加密时Cache访问特征信息,通过对AES前两轮加密过程中查表索引值、明文和初始密钥之间关系进行分析,第一轮分析可获取64位密钥,第二轮分析可获取剩余密钥,最终成功获取AES全部密钥。     

一种改进的针对DSA签名的指令Cache计时攻击

针对公钥密码的指令Cache计时攻击是近年来提出的一种新的旁路攻击方式.现有的两种针对公钥密码的指令Cache计时攻击模型尚存在一些不足,一个是攻击前提过于苛刻而难以实现,另一个是无效信息过多导致数据量偏大及后续分析工作量的增加.在充分研究现有模型的基础上,提出一种改进的基于特征Cache组监测的指令Cache计时攻击模型,克服了现有两种模型的不足,在不降低性能的情况下将计时数据减少了约29％,并以DSA数字签名为攻击对象对改进模型进行了实验.     

针对RSA滑动窗口算法的Cache计时攻击

研究RSA签名算法和Cache计时攻击原理,分析OpenSSL0.9.8a中的RSA实现过程,针对RSA滑动窗口算法中的访问初始化表操作,提出一种Cache计时攻击方法.实验结果表明,该方法在1次攻击中可获得1 024 bit密钥中700 bit以上的密钥,与传统基于统计方法的计时攻击相比,所需样本更少.     

针对访问驱动cache攻击HC-256算法的改进*

高速缓存Cache具有数据访问时间不确定和多进程资源共享两大特征,流密码算法HC-256生成密钥流的过程中使用了大量查找表操作进行Cache访问,查找表索引值会影响Cache命中与否,而查找表索引值和密钥之间存在密切关系。为了使HC-256可以防御此访问驱动Cache攻击,本文对HC-256算法进行了改进,在HC-256中加入完全随机排序算法,对表P和表Q进行扰乱,这样使用变化的表代替固定的S盒,使得攻击者获得的输入和输出都是不安全的,有效地防御了此访问驱动Cache攻击。     

针对重用掩码AES算法的随机明文碰撞攻击

侧信道攻击是密码学研究的热点方向,碰撞攻击作为侧信道攻击的重要分支,可从泄露能量中有效提取中间值信息,根据中间值信息检测不同S盒之间的碰撞,并利用碰撞建立不同密钥字节之间的线性关系,缩小密钥候选值的空间。针对使用重用掩码的高级加密标准（AES）算法,自适应选择明文碰撞攻击方法需要预先建立攻击模板,并且实施攻击所需的前提条件较多。提出一种高效的随机明文碰撞攻击方法,基于2个不同S盒输入值的汉明距离及其对应能量迹的欧氏距离之间的关系,从256个密钥异或值中找出正确的密钥异或值。通过理论分析得出该方法无需预先确定碰撞阈值及建立攻击模板,即可有效利用能量迹中未发生碰撞的信息,并且所加密的明文是随机的,能在没有目标设备的情况下实施攻击。实验结果表明,与自适应选择明文碰撞攻击、改进型相关性碰撞攻击等方法相比,该方法减少了实现碰撞攻击所需的前提条件,并且扩大了攻击范围。     

插入随机时延的高阶旁路攻击防御方法

旁路攻击是一种新的密码分析方法,现有的密码算法仍然容易遭受高阶旁路攻击。分析旁路信息的泄露模型与高阶攻击模型,针对AES算法的安全实现,提出一种插入随机时延的高阶攻击防御方法。该方法通过插入随机的冗余指令,降低了内部运算与泄露信息之间的相关性,从而使统计攻击无法成功。通过仿真实验证实该方法能有效地防御高阶旁路攻击。