In applicazioni come il commercio elettronico, banche on line e servizi basati su smart card, i requisiti di sicurezza diventano sempre più stringenti. I dati riservati (dati personali, dati bancari, codici segreti, ecc.) non devono infatti essere accessibili a eventuali malintenzionati. Ai fini della sicurezza, la sola robustezza degli algoritmi crittografici non è più sufficiente; infatti, recentemente sono state scoperte nuove metodologie per estrarre informazioni sensibili sfruttando direttamente le debolezze dell'implementazione hardware.
Tali metodologie si basano sulla possibilità di estrarre informazioni da un dispositivo crittografico monitorando una o più grandezze fisiche legate al suo stesso funzionamento, come ad esempio il consumo di potenza o l'emissione elettromagnetica, e sfruttandone il legame implicito con i dati internamente elaborati. Un'attività di questo tipo è definita "attacco a canale laterale" (Side-Channel Attack, SCA). La robustezza nei confronti di simili attacchi non dipende dalle proprietà matematiche dell'algoritmo o dalla lunghezza della chiave crittografica, ma dalla capacità di una certa implementazione hardware di ridurre il livello di correlazione tra emissioni fisiche e dati processati.
Il presente progetto di ricerca si propone di approfondire lo studio sugli attacchi "power analysis" che sfruttano misure di corrente statica sui dispositivi crittografici CMOS per estrarre informazioni riservate o chiavi di cifratura. Questo tipo di attacchi ha ricevuto recentemente una notevole attenzione da parte della comunità scientifica sia per il continuo aumento del consumo statico nelle tecnologie CMOS nanometriche, sia per lo sviluppo di metodologie di attacco sempre più efficaci. L'approfondimento dello studio di queste tecniche e lo sviluppo di un setup di misura e di attacco consentirà di proporre e validare una o più proposte di contromisure volte a contrastare l'efficacia di questi attacchi su core crittografici CMOS.
La ricerca si propone di analizzare e studiare aspetti dei nuovi e potenti attacchi Side-Channel che sfruttano le correnti statiche come canale laterale. Le nuove criticità introdotte dall'incremento dell'entità del consumo statico nel power budget dei chip digitali, ha portato alla luce nuove problematiche in termini di sicurezza. In [1] analisi effettuate al simulatore, con tecnologie CMOS 65nm e 40nm, hanno evidenziato che l'uso di contromisure DPA/CPA logic-level allo stato dell'arte, risultano essere totalmente inefficaci se si fa uso delle correnti statiche come canale laterale.
Lo sviluppo di un setup di misura a basso costo basato su amperometri convenzionali piuttosto che su oscilloscopi a campionamento (adottati finora per condurre tutti i tipi di attacchi PAA) e lo sviluppo di soluzioni (anche queste a basso costo e basate su componenti commerciali facilmente reperibili) per il controllo della temperatura durante la fase di misura consentirà di dimostrare la possibilità di violare le chiavi segrete di dispositivi crittografici CMOS utilizzando un setup di misura con un costo dell'ordine delle poche centinaia di euro. La possibilità di eseguire attacchi con setup di misura a bassissimo costo estende drasticamente la platea dei potenziali "attaccanti" e rende ancora più impellente la necessità di sviluppare contromisure adeguate a contrastare questo tipo di attacchi.
L'analisi su un supporto fisico di queste nuove criticità permetterà di mettere in luce, secondo le opportune metriche di sicurezza, le problematiche che riguardano le protezioni dei dati sensibili elaborati dai processori crittografici. Verranno prese in considerazione sia implementazioni di algoritmi molto diffusi, come l'AES, che i nuovi standard PRESENT e SERPENT, i quali si collocano nella categoria dei cifrari a blocchi "lightweigth". L'uso di piattaforme ASIC o FPGA, realizzate con tecnologie nanometriche (
Nell'ambito del progetto di ricerca saranno sviluppate nuove tecniche di attacco che utilizzano il consumo statico come canale-laterale.
Quest'attività si rende necessaria nel momento in cui un'implementazione hardware crittografica deve essere verificata e validata, in quanto il progettista necessita di poter valutare l'informazione che un attaccante può essere in grado di recuperare nei diversi scenari possibili. Allo stato attuale, infatti, esistono pochi lavori in letteratura sull'argomento, i quali si limitano principalmente alla tecnica LPA.
Lo stile logico Time Enclosed Logic (TEL), proposto in [2], è stato studiato solo per implementazioni full-custom e nel caso di utilizzo del consumo dinamico come canale laterale. La proposta di ricerca prevede anche lo studio di un implementazione basata su standard-cell ed FPGA-compatibile. Lo studio di una nuova famiglia logica che ha lo scopo di minimizzare il leakage di informazione dovuto sia al consumo statico che a quello dinamico, porterà alla definizione di un nuovo flusso di progetto per hardware crittografico sicuro che risulterà compatibile sia con gli step di progettazione full e semi-custom che standard-cell.
Lo sviluppo di una contromisura basata sulla famiglia logica TEL e completamente codificata in linguaggio VHDL consentirà l'implementazione sia secondo un flusso ASIC semi-custom (standard-cell based) sia secondo un flusso standard per FPGA. Tale contromisura sarà validata e verificata con le opportune metriche di sicurezza direttamente sul dispositivo fisico e in un setup di attacco reale. La fase di validazione sarà eseguita valutando anche le più recenti metriche di sicurezza, che fanno uso della teoria dell'informazione, come la mutual information e la perceived information.
L'analisi di contromisure puramente standard-cell riguarderà anche il livello di astrazione superiore, in quanto, non sono stati ancora proposti né studi né analisi di sicurezza dal punto di vista del consumo statico. È naturale, dunque considerare tali contromisure RTL-level sia per il contrasto agli attacchi al consumo dinamico sia per quelli al consumo statico, poiché, ai fini della sicurezza delle informazioni trattate dai dispositivi crittografici, è importante poter proteggere l'implementazione dall'uso combinato dei due tipi di minaccia.
[1] D. Bellizia, S. Bongiovanni, P. Monsurrò, G. Scotti, and A. Trifiletti, "Univariate Power Analysis Attacks Exploiting Static Dissipation of Nanometer CMOS VLSI Circuits for Cryptographic Applications," IEEE Transactions on Emerging Topics in Computing, vol. 5, no. 99, pp. 1¿1, May 2016.
[2] S. Bongiovanni, F. Centurelli, G. Scotti, and A. Trifiletti, "Design and validation through a frequency-based metric of a new countermeasure to protect nanometer ICs from side-channel attacks", in Journal. of Cryptographic Engineering, vol. 5, no. 4, pp. 269-288, Springer Berlin Heidelberg, April 2015.