Рейтинг:3

Correlation Power Analysis на AES — возможные модели атак

флаг br

Насколько я знаю, можно извлечь ключ или части ключа с помощью анализа мощности побочного канала на AES, но для этого нам нужна мощная модель злоумышленника. Первая известная мне атака — это атака на первый раунд AES, сравнение первого результата SBOX, где нам нужно знать открытый текст наших трассировок, чтобы выполнить эту атаку. Вторая атака не требует знания открытого текста, а только зашифрованного текста, который является более слабой моделью злоумышленника, поскольку мы можем прослушивать зашифрованный текст. Это атакует только последний раунд AES и восстанавливает последний круглый ключ AES, что, насколько мне известно, может привести только к полному восстановлению ключа для AES128 и 192, но не для AES256. Злоумышленнику также приходится выполнять больше вычислений из-за операции сдвига строк между подбайтами и зашифрованным текстом.

Знаете ли вы какие-либо другие CPA или еще более мощные атаки на AES? Я знаю DPA, но разве это не более слабая версия CPA, и вообще, если мы можем выполнять CPA, то зачем нам делать DPA?

Можно ли выполнить CPA, не зная ни открытого текста, ни шифротекста?

fgrieu avatar
флаг ng
Обратите внимание, что если вы восстановили полный подключ последнего раунда AES-256, зная выходные данные последнего раунда (зашифрованный текст), теперь вы можете вычислить выходные данные предыдущего раунда, поэтому, возможно, вы можете атаковать этот предыдущий раунд тем же методом и восстановить его ключ раунда. ; и так далее вверх.
флаг br
@fgrieu, что такое последний раунд вывода? afaik, восстановление ключа AES256 из последнего круглого ключа потребует сложности 128 бит
fgrieu avatar
флаг ng
Извините, я не носитель английского языка. Под «последним раундом» я имел в виду раунд перед последним раундом (предпоследний раунд). Я прямо отредактировал свой комментарий. Метод, который я описываю, когда это возможно, дает подключа предпоследнего раунда с работой, сравнимой с восстановлением 128-битного подключа последнего раунда, и это дает больше информации о ключе, не требуя исчерпывающего поиска.
Рейтинг:1
флаг ng

Вопрос и этот ответ предполагают, что Correlation Power Analysis может найти ключ последнего раунда AES-256 при атаке с известным зашифрованным текстом. Это поиск 128-битного ввода ключа AddRoundKey в раунде 14, зная его вывод.

Как только это будет сделано, из известного зашифрованного текста и этого 128-битного ключа можно вычислить вывод AddRoundKey в раунде 13 для каждого известного зашифрованного текста (мы начинаем с известного зашифрованного текста и инвертируем AddRoundKey, ShiftRows, SubBytes, как в расшифровка).

Таким образом, те же условия, которые разрешали CPA в 14-м раунде, теперь применимы к 13-му раунду. И затем, выполнив эту атаку на более раннем этапе выполнения, кажется возможным найти ввод 128-битного ключа AddRoundKey в 13-м раунде. Примечание: есть однако существенная разница: в раунде 13 есть MixColumns между ShiftRows и AddRoundKey, когда этого нет в раунде 14.

Когда и если этот второй CPA будет выполнен, у нас будет достаточно информации, чтобы найти полный 256-битный ключ AES.

флаг br
знание последнего раундового ключа и зашифрованного текста означает, что я могу вычислить последний раунд в обратном порядке и получить входные данные для последней операции с суббайтами. Перед этим идет фаза добавления ключа 13-го раунда, где 14-й подключ сопоставляется с выводом mixcolumn предыдущего раунда. как нам определить значение 14-го подраздела, если мы знаем только вывод операции mixcolumns Xor?
fgrieu avatar
флаг ng
@ user100099: Вы правы в том, что в 14-м и 13-м раундах есть значительная разница, и ответ теперь подтверждает это. Извините, я не буду вдаваться в подробности реальной CPA-атаки. Я надеюсь, что общая картина моей точки зрения остается в силе: как только 14-й раунд был успешно атакован, у нас есть выходные данные 13-го раунда, почти такие же, как и для 14-го раунда при атаке по известному шифрованному тексту, и мы можем надеяться установить (правда, другой) CPA-атака на 13 раунде.
kelalaka avatar
флаг in
Здесь есть одна важная проблема; обычно вы не ожидаете, что кто-то будет расшифровывать зашифрованный текст снова и снова. В обычной операции у вас есть один шанс. Чтобы заставить пользователя/систему снова расшифровать, может потребоваться дополнительная атака с ошибкой или какой-либо другой механизм в протоколе...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.