lvordu@ueae.tubita.gov.tr, Siddia.Ors@itu.edu.tr ÖZET : Kriptografi algoritmaları gerçeleyen donanımlar, açı veya apalı metin dıında, bazı istemsiz çıılar da üretmetedir. Bu istemsiz çıılar; ilem süresi, dinami güç tüetimi, eletromanyeti radyasyon ve cihazın çıardıı ses olabilir. Eer böyle bir çıı, cihaz içinde salanan gizli bilginin tamamıyla veya bir parçasıyla iliiliyse, yan-anal bilgisi olara adlandırılır. Yan-Kanal Analizi Saldırıları nda, bu yan-anal bilgileri ullanılara gizli bilgiye ulamaya çalıılır. Yan anal analizi saldırıları, riptografi algoritmaların gerçelendii sistemler için büyü bir tehdit oluturmatadır. Bu onu üzerine artara devam eden aratırmalarda, DES, AES ve RSA nın da içlerinde olduu bir ço algoritma gerçelemesinin yan anal analizi saldırılarına açı olduu gösterilmi ve alınabilece çeitli önlemler ileri sürülmütür. ANAHTAR KELMELER: Kriptanaliz, Yan-Kanal Analizi Saldırıları, DPA ABSTRACT : Implementations of cryptographic algorithms have some unintentional outputs which are neither plaintext nor ciphertext. These side outputs (timing information, power consumption, electromagnetic radiation and acustic information) are called side-channel informations if they are somehow related with secret data. Side- Channel Analysis (SCA) Attacs use these side-channel informations to recover secret information. Side-channel attacs pose a serious threat to the implementations of cryptographic algorithms. It has been shown that, many implementations of different algorithms are susceptible to side-channel attacs, including DES, AES and RSA. This is why there has been lots of research to develop countermeasures against theese attacs. KEYWORDS : Cryptanalysis, Side-Channel Analysis Attacs, DPA 1 Giri Kriptografi algoritmaların gerçelemeleri olan cihazlar, açı veri ve apalı veri dıında, istemsiz bazı çıılar (eil 1) da üretmete ve bu bilgiler olaylıla ölçülebilmetedir. Örnein bir ilemin yapılmasının ne adar zaman aldıı, cihazın ne adar dinami güç harcadıı, ne adar eletromanyeti yayınım yaptıı, nasıl ve ne iddette sesler çıardıı, veya ne adar ısı yaydıı bunlardan en bilinenleridir. eil 1 Eer bu çıılar cihazın içinde salanan gizli bilgilerle bir eilde balantılılarsa yan-anal bilgisi olara adlandırılırlar. Yan-anal analizi saldırıları, riptografi cihazın ürettii yan-anal bilgilerini ullanara gizli bilgiye ulamaya çalıır. Aynı algoritmanın farlı gerçelemeleri deii mitar ve biçimlerde yan anal bilgisi sızdırabilir. Bu nedenle, çounlula, yan-anal analizi saldırıları genelletirilemezler. Buna arın bu saldırılar genellile pratite ullanılmaya uygundur. Yan-anal analizi saldırıları, atif ve pasif olara ii gruba ayrılmatadır. Atif saldırılar ya da dier adıyla urcalama saldırıları [1], riptografi cihazın içindei devrelere ulaılmasını geretirir. Bu nedenle uygulanmaları daha zordur ve olduça gelimi ve pahalı düzenee ihtiyaç duyulur. i tür atif saldırı vardır; ölçüm saldırıları [2] ve hata-oluturma saldırıları [3, 15]. Ölçüm saldırılarında, saldırgan, cihaz içindei devrelere eriip belle bölgelerini ouyara yada veri iletim hatlarını gözleyere dorudan gizli bilgiye erimeye çalıır. Hata 1
oluturma saldırılarında ise belirli notalara dıarıdan müdahale edilip, ilemlerde hataya yol açara gizli bilgiler elde edilmeye çalıılır. Pasif saldırılar 1996'da zamanlama analizi ile ilgili il maale yayınlandıında il defa önemli bir tehdit olara görülmeye balandı [4]. Pasif saldırılarda cihazın çalımasına müdahale edilmez. Cihazın normal çalıması sırasında ürettii yan-anal bilgileri ullanılır. Bu saldırılar ço daha basit ölçüm düzeneleriyle yapılabilmetedir. Pasif saldırılar ullandıları yan-anal bilgisine göre dört gruba ayrılır; Zamanlama Analizi Saldırıları, Güç Analizi Saldırıları, Eletromanyeti Analiz Saldırıları ve Austi Analiz Saldırıları. Bu bildiride Yan-Kanal Analizlerinin en bilinenleri olan; Zamanlama Analizi, Güç Analizi ve Eletromanyeti Analiz sırasıyla 2, 3 ve 4 numaralı bölümlerde genel olara tanıtılmı ve mümün olduunca uygulamalarıyla açılanmaya çalıılmıtır. 2 Zamanlama Analizi Saldırıları Zamanlama analizi (ZA) saldırılarında, sabit veri ileme zamanına sahip olmayan algoritmaların sızdırdıı zamanlama yan-anal bilgisinden faydalanılır. Yan-anal bilgisi olumasının nedeni, algoritmanın adımlarının birinde yürütülen bir ilemin süresinin ullanılan gizli anahtara baımlı olmasıdır [4, 16]. Bu, anahtara balı olara yapılan dallanma ilemlerinden, farlı armaılılarda ilemler ullanılmasından, ilemlerin gerçelenmesinde ullanılan eniyiletirme (optimization) tenilerinden veya önbelle ullanımından aynalanabilir. Özellile asimetri anahtarlı algoritmalar için bu durum geçerlidir. Simetri anahtarlı algoritmaların zamanlama arateristileri, asimetri-anahtarlı algoritmalar adar anahtara baımlı olmadıı için zamanlama analizi saldırılarına arı daha güçlüdürler. Örnein toplama ve çarpma ilemlerinin yürütülmesi genellile farlı zamanlarda tamamlanabilmetedir. x, y m-bitli deienler olma üzere, z = x + y ve z = x y ilemlerinin hesaplandıını düünelim. Toplama ilemi T T = m saat darbesi sürede tamamlansın. Eer çarpma ilemi, toplama ilemini taban alara hesaplanıyorsa, bu durumda çarpma ilemi, 3 ( m 1) m T Ç = 2 sürede hesaplanır. Görüldüü gibi, aynı bit-sayısına sahip ii terim ullanan ilemler farlı sürelerde tamamlanmatadır. Bundan faydalanara, saldırgan, yürütülen ilemin süresine baara toplama mı yosa çarpma mı yapıldıını anlayabilir [14]. lemlerin yürütülme sürelerindei farlardan faydalanara elde edilen zamanlama yan-anal bilgisi Kocher ve Jane ve Lehmann ın çalımalarında gizli bilgiye ulama amacıyla baarıyla ullanılmıtır [4,5]. Özellile Kocher in çalıması yan-anal analizi aratırmaları için önemli bir temel oluturmatadır. Bölüm 2.1 de ısaca bu çalımaya deinilmitir. 2.1 Modülo Üs Alıcılara ZA Saldırısı RSA algoritmasında gizli-anahtarın ullanıldıı ilem, x R = f ( x, y) = y mod n, elindedir. Burada; n bilinen bir deerdir, y ise giri deeridir. Saldırganın amacı gizli anahtar bilgisi olan x in bulunmasıdır. x [4] te önerilen saldırıda ripto cihazına, y mod n deeri, adet farlı y deeri için hesaplattırılır. Tüm y deerlerine arı düen ilem süreleri saldırgan tarafından aydedilir. lemlerin süresi, saldırgan tarafından, girilerin hedeflenen cihaza ulamasıyla çııın üretilmesi arasında geçen zamana baara ölçülebilir. Ayrıca saldırının baarılı olabilmesi için, tüm ilemler boyunca aynı x deerinin ullanılması gerelidir. Saldırı, sabit süreli olmayan ilemler içeren herhangi bir yapı için çalıabilmetedir. Örnein aaıdai, x R = y mod n ( x, w-bit uzunluunda olma üzere), deerini hesaplamata ullanılan algoritma ele alınırsa; s 0 = 1, 0 ( w 1) için; Eger x Degilse, s R R + 1 = ( s = s = R Sonuc = R = 1ise, 2 w 1 mod n mod n Saldırı yöntemi ullanılara, üssün il b biti biliniyorsa, ( b +1). biti elde edilebilir. Bu eilde tüm uvvet terimi bitleri elde edilir. l b bit deeri bilindii için, algoritmanın il b adımı hesaplanara sb deeri bulunur. Sonrai adım, il bilinmeyen bit deerini geretirir. Eer bu bit 1 ise, Rb mod n ilemi yapılır, bit 0 ise bu ilem atlanır. Saldırıda bu dallanmadan faydalanılır. Bazı ( s b, y) deerleri için, Rb mod n ilemi normalde aldıından ço daha uzun süre alır. Saldırgan sistemin yapısını inceleyere bu deerleri hesaplayabilir. Eer, R = ( s mod n hesabını b b 2
ço yavalatan bir y deeri için, toplam üs alma ilemi ısa sürede tamamlanıyorsa, b indisli anahtar biti 0 olmalıdır. Çünü Rb mod n hesabı atlanmı, böylelile onun yaratacaı fazladan gecime olumamı olacatır. Benzer eilde, Rb mod n hesabını ço yavalatan bir y deeri için, toplam uvvet alma ilemi normalden daha uzun sürede tamamlanıyorsa, b indisli anahtar biti 1 olmalıdır. Çünü Rb mod n hesabı yapılmı, böylelile onun yaratacaı fazladan gecime toplam ilem süresine elenmi olacatır. Anahtarın il biti 0 olara abul edilere yuarıdai eilde anahtarın tüm bitleri bulunur. Aynı eilde il bit 1 olara abul edilere yuarıdai eilde anahtarın tüm bitleri bulunur. i balangıç deerinden birisi için doru sonuca ulaılır. 2.2 ZA Saldırılarına Karı Tedbirler Zamanlama saldırılarına arı oyabilme için riptografi algoritmaların gerçelemeleri sabit iletim süresine sahip olaca eilde tasarlanmalıdır. Günümüzde algoritma gerçelemelerinin hemen hepsi, zamanlama saldırılarına arı dirençlidir. Zamanlama analizine arı oyma yöntemlerinden bazıları [17, 18, 19, 20] de bulunabilir. Bununla birlite, zamanlama bilgisi dier yan-anal bilgileriyle birlite ullanılabilir. Örnein zamanlama bilgisi, bir algoritmanın özel parçalarını belirleme amacıyla ullanılabilir. 3 Güç Analizi Saldırıları Günümüzde tamamlayıcı metal ositli yarı-ileten (CMOS: complementary metal oxide semiconductor) tranzistörler, eletroni tümdevre gerçelemelerinde ço yaygın olara ullanılmatadır. Bir CMOS tranzistörün güç tüetiminin büyü ısmı dinami güç tüetimine (onum deitirme anlarındai güç tüetimi) balıdır. Çünü, tranzistörün sürdüü yü apasitesinin (eil 2 de C L ) aımı, üzerindei gerilimin deiimine balıdır [21]. Bu sebeple çııın sabit aldıı anlardai güç tüetimi, eil 3 te gösterildii gibi, ço düü almatadır. Yine eil 3 ten görülecei üzere, 0 1 geçilerindei güç tüetimi, 1 0 geçilerine oranla daha yüsetir. eil 3 Bir loji apının güç tüetimi giri deerleri ile dorudan iliilendirilebilir. Giri deerinin deimesi, çııın onum deitirmesine ve dolayısıyla dinami güç tüetimine neden olabilir. Bu nedenle, CMOS apıların güç tüetimi, apı girileri gizli bir bilgiye balıysa, yan-anal bilgisi olara ullanılabilir [6]. Farlı ilemlerin farlı güç tüetim arateristiine sahip olması, saldırıların baarısını arttırır. Güç analizi (PA: Power Analysis) saldırılarında [14, 22], riptografi cihazın güç tüetimi ile gizli bilgi ya da yapılan ilemler arasında bir orelasyon urulara gizli bilgiye eriilmeye çalıılır. Bunun için öncelile güç tüetiminin ölçülmesi geremetedir. Bu amaçla, devre ile ayna arasındai hat üzerine üçü deerli bir direnç yerletirilir ve bu direncin her ii ucundai gerilim deerlerinin farından yararlanılara çeilen aım bilgisi elde edilir [23]. eil 4 ten de görüldüü gibi, ölçüm düzenei olduça basit yapıdadır ve ullanılan düzene pahalı deildir. Bu da, Güç Analizi (GA) yöntemini atif saldırılardan daha büyü bir tehdit haline getirmetedir. eil 4 Güç analizi saldırıları il ez Kocher [6] tarafından DES üzerinde uygulanmıtır. Bu uygulamanın baarısının ardından, güç analizi üzerine pe ço çalıma yapılmıtır. Güç analizi saldırıları ii balı altında toplanabilir; basit güç analizi saldırıları ve diferansiyel güç analizi saldırıları. eil 2 3.1 Basit Güç Analizi Saldırıları Basit Güç Analizi (BGA) Saldırıları, ripto cihazı çalııren yapılan te bir güç tüetimi ölçümü 3
ullanılara yapılır. Elde edilen ölçümler genellile gözle incelenere yorumlanır. BGA da, yürütülen ilemlerle güç tüetimi yan-anal bilgisi arasında ilii urulmaya çalıılır. Elde edilen ölçümler incelenere, ripto cihazının ileyii haında bilgi edinilecei gibi, dorudan gizli anahtar bilgisine de ulaılabilir. Farlı miroilemci omutları ileniren, ya da toplama ve çarpma gibi farlı ilemler gerçeletiriliren entegre devreler farlı mitarda güç tüetirler. Bir oddai dallanmalar bu tür farlılıların genel olara olutuu bölümlerdir. Güç tüetimi ölçümleri inceleniren bu falılılar olayca gözlemlenebilir. Hatta RSA de dallanma sonucunda gerçeletirilen çarpma ve are alma ilemleri, yada DES turundai dallanma sonucunda gerçeletirilen aydırma ilemlerinden yararlanılara bu ii algoritmada ullanılan anahtarlar elde edilebilir [6]. eil 5 te gösterilen ardarda gelen ii DES turuna (2. ve 3. turlar) ait yüse çözünürlülü bir güç tüetimi ölçümü incelendiinde, algoritmaya ait bazı ayrıntılar daha açı olara görülebilmetedir [6]. 28-bitli DES anahtar belleleri, 2. turda bir ez (soldai o), 3. turda ise ii ez (sadai ii o) aydırılmatadır. Gözlemlenebilen bu üçü farlılılar, çounlula oullu dallanma ilemlerinden aynalanmatadır. eil 5 eil 6 Daha yüse çözünürlülü ölçümler incelendiinde ço daha ayrıntılı bilgilere ulaılabilir. eil 6 da, 7 saat darbeli bölümde yürütülen miroilemci odları için elde edilen ii güç ölçümü gösterilmitir. Üsttei grafite, 6. saat darbesinde bir dallanma yapılıren, alttai grafite bu dallanma atlanmatadır. Güç tüetimindei far açıça görülmetedir. Yürütülen ilemlerin, ilenen veriye balı olara, deitii bölümlerin bulunduu algoritmaların BGA ile ırılması mümün olabilir [6]. Örnein; DES anahtar üreteci: DES tur anahtarlarının üretimi sırasında 28-bitli bellelerde bulunan veriler aydırılmata, bu ilem sonucunda en anlamsız bit dıarı verilmetedir. Sonrasında bu bit deerine balı olara ilemler yapılmatadır. 0 ve 1 bitleri için yapılan ilemlerin güç tüetimlerinin farlı oluundan faydalanara anahtar elde edilebilmetedir. BGA saldırılarından orunma için algoritma tasarımı sırasında ya da gerçeleme aamasında bazı önlemler alınabilir [24, 25]. Örnein; Gizli ara deerler ya da anahtar bilgisi ullanılara yapılan oullu dallanmalardan saınılması, bir ço BGA saldırısının yapılmasını olanasız ılmatadır. Dallanmaların art olduu durumlarda, algoritmanın gerçelenmesi aamasında, güç tüetimini dengeleme yöntemleri ullanılabilir. Bu amaçla, güç tüetiminin düü 4
olduu dallarda, algoritmanın ileyiine etisi olmayan geresiz ilemler de yapılara, bu dalların güç tüetiminin yüse olduu dallardan ayırt edilmesi engellenebilir. Miroilemcilerde zayıf dallara ilevsiz odlar (NOP: No Operation) yerletirilebilir. 3.2 Diferansiyel Güç Analizi Saldırıları Yürütülen omutlara veya yapılan ilemlere balı olara oluan güç tüetimi deiimlerine e olara, ilenen veriye balı olara da güç tüetiminde deiimler olumatadır. Bu deiimlerin ço düü boyutta olmaları, ölçüm hataları yada gürültü nedeniyle gözlemlenmelerini zorlatırır. Anca yine de, hedeflenen algoritmaya yöneli bazı istatistisel teniler ve hata düzeltme yöntemleri ullanılara yan-anal bilgisi elde edilebilir ve gizli bilgiye ulaılabilir. Diferansiyel Analiz saldırılarında, saldırgan saldırılan cihazın hipoteti bir modelini ullanır. Bu modelin alitesi saldırganın sahip olduu bilgiye balıdır. Bu hipoteti model bazı yan-anal bilgisi deeri tahminleri yapma için ullanılır. Bu tahminler, cihazın gerçe, ölçülmü yan anal bilgisi deerleriyle arılatırılır. Karılatırma ilemi veriler üzerinde bazı istatistisel metodlar ullanılara yapılır. Diferansiyel Güç Analizi (DGA) saldırılarında ilenen veri ile güç tüetimi arasındai ilii urulmaya çalıılır. BGA dainin asine, gürültüyü filtreleyebilme amacıyla ço sayıda ölçüm yapılır. DGA saldırılarının uygulanabilmesi için gere oul, algoritma içerisinde bir veya daha fazla ara deerin, az sayıda anahtar biti ve bilinen giri veya çıı verisiyle ifade edilebilmesi ya da en azından orelasyonlu olmasıdır. Bir ço algoritma, bu gere oulu salamatadır. DGA saldırılarının uygulanması, BGA saldırılarına göre olduça zordur. Anca BGA saldırılarından ço daha güçlüdürler ve arı tedbir alınması daha zordur. Ayrıca, incelenen sistemin yapısı haında ço fazla bir bilgi sahibi olunmasını geretirmez. DGA saldırısının uygulanması için öncelile gere oulu salayan bir ara deer belirlenir. Bu ara deer genellile bir belle elemanının çııı olara seçilir. Çünü, belle elemanlarının onum deitirmeleri bir saat döngüsünün ço ısa bir diliminde gerçeleir. Bu nedenle giri verilerinin yarattıı güç tüetimi farı (dinami güç tüetimi elinde) ço ısa bir zaman aralıında olumata ve ölçülmesi daha olay olmatadır. Hedeflenen ara deer seçilditen sonra algoritmanın seçilen ara deeri hesaplayan ısmı, genellile algoritmanın il veya son turu, N adet farlı açı veri girii için aynı gizli anahtar ullanılara oturulur [14]. Her açı veri için, adet örneten oluan, arı düen güç tüetimi ölçümleri aydedilir. Bu eilde N boyutunda bir ölçüm matrisi elde edilir. Matrisin her satırı, ullanılan bir açı veri için elde edilen ölçüm sonuçlarını içerir [14, 23]. Elde edilen ölçüm sonuçlarının deerlendirilmesinde farlı istatistisel yöntemler ullanılmatadır. En ço ullanılan ii yöntemden birincisinde, yapılan ölçümlerle giri verilerinin iliisini urma için ortalamaların uzalıı hesabı ullanılıren, iinci yöntemde orelasyon analizi [14] ullanılmatadır. DES Algoritmasının Gerçelemesine DGA Saldırısı DES algoritmasının son turundai S-Kutularının çııları DGA saldırısı [6] için uygundur. Bu S- Kutularının çıılarını belirlemete öncei turdan gelen ara deerle birlite 6 anahtar biti ullanılmatadır. Ayrıca, çıı deerinden (apalı veri) geri dönere bu S-Kutularının çııları hesaplanabilir. Saldırıyı gerçeletirebilme için öncelile, aynı gizli anahtar ullanılara, m adet farlı giri deeri için algoritma m defa oturulur. Her bir giri deeri için adet örneten oluan, son tura ait, güç ölçümleri ( T1... m [ 1L ] ) ve arı düen apalı veri ( C 1... m ) aydedilir. Kapalı veri deerlerinden de yararlanara, tüm olası 6-bitli anahtar ( K s ) deerleri için S-Kutusu çııları hesaplanır. S-Kutusu çıılarının belirli sayıda biti diate alınara bir ayrıtırma fonsiyonu oluturulur. Örnein bu ayrıtırma, S-Kutusu çııının bir te biti diate alıp, bu bitin 1 olara hesaplandıı giri verilerine arı düen ölçümleri S 1 ümesine, 0 olara hesaplandıı çııları ise S 0 ümesine yerletirece eilde tanımlanabilir. 1 olara hesaplanan deer, onum deitirme anında bir 0 1 yada 1 1 geçii sonrasında olumutur. 1 1 geçii ço az bir güç tüetimi olutururen, 0 1 geçileri en yüse güç tüetimine neden olur. Benzer eilde, 0 olara hesaplanan deer, onum deitirme anında bir 1 0 yada 0 0 geçii sonrasında olumutur. 0 0 geçii ço az bir güç tüetimi olutururen, 1 0 geçileri biraz daha yüse güç tüetimine neden olur. Bu nedenle S 1 ümesinde daha yüse güç tüetimine sahip ölçümlerin bulunması belenir. Her bir anahtar tahmini için, S 1 ve S 0 ümelerinin ortalamaları arasındai fartan, Ts ölçüm ortalaması farı elde edilir. Eer K s tahmini yanlısa, Ts deerinin, ölçüm sayısı artıça sıfıra yaınsaması belenir. Çünü yanlı anahtar tahmini, farlı Ci deerleri için, hesaplanan hedef bit deerinin gerçe deere eit olması ihtimalini %50 ye indirir. Bu da ayrıtırma fonsiyonunun, hedeflenen bitin 5
gerçe deeriyle orelasyonsuz hale gelmesine neden olur. Rastgele bir fonsiyon, bir ümeyi ii altümeye ayırmata ullanılırsa, yalaı olara eit elemanlı ii altüme oluturacaından, bu rastgele oluturulmu aynı sayıda elemana sahip ii ümenin ortalamalarının farının sıfıra yaın olması belenir. Eer K s tahmini doruysa, hesaplanan bit deerleri ile gerçe deerler uyumlu olacatır. Bu da yüse güç çeilen girilere arı düen ölçümlerin aynı altümeye toplanmasına neden olacatır. Bu durumda, Ts deeri, S-Kutusu çıılarının hesaplandıı anlarda yüse deerlere sahip olacatır. eil 7 de, yapılan üç farlı anahtar tahmini için elde edilen Ts deerlerinin grafileri verilmitir. En üstte, DES turuna ait ortalama güç tüetim grafii bulunmatadır. Alttai üç grafiten en üsttei, doru anahtar tahmini için elde edilen farsal ölçüm deerinin grafiidir. Görüldüü gibi, olduça belirgin tepe deerlerine sahiptir. En alttai ii grafite ise yanlı anahtar tahminleri için elde edilmi olan farsal ölçüm deeri grafileri görülmetedir. eil 7 3.2.1 DGA Saldırılarına Karı Tedbirler DGA saldırılarında, güç tüetimiyle ilenilen veriler, dolayısıyla da gizli bilgiler arasında ilii urulur. Bu nedenle, arı tedbirler, gizli bilgiyle güç tüetimi arasındai iliiyi zayıflatmayı veya güç ölçümlerini zorlatırmayı hedefler. Karı tedbirler ii grup altında toplanabilir; yazılımsal arı tedbirler ve donanımsal arı tedbirler [24, 25]. Yazılımsal arı tedbirlerde, ilenen veriyle güç tüetimi arasındai ilii zayıflatılmaya çalıılır. lem zamanlarının rastgele hale getirilmesi [7] yönteminde, algoritma ilemleri arasına NOP lar ya da geresiz (aynı zamanda algoritma ileyiine eti etmeyen) ilemler yerletirilere, algoritma ilemlerinin her seferinde farlı anlarda yapılması salanmaya çalıılır. Bu eilde, yapılan ölçümlerde, hedeflenen algoritma parçasındai güç tüetimleri farlı anlara den düer. Böylece ortalama alınara gürültünün etisinin azaltılması ve farlı her ölçüm için aynı anda oluan güç tüetimlerinin üst üste toplanara yan-anal bilgisinin güçlendirilmesi mümün olmaz. Anca bu yöntemin ullanılması algoritmanın daha uzun sürede tamamlanmasına ve birim zamanda üretimin dümesine neden olur. Algoritma ilemlerinin yerlerinin deitirilmesi [8] ve algoritmanın çalıtırıldıı saat freansının süreli olara deitirilmesi yöntemlerinde de yuarıda bahsedilen yöntemle aynı amaca ulaılmaya çalıılır. Öncei bölümlerde de bahsedildii gibi, DGA saldırısının gerçeletirilebilmesi için, algoritma içerisinde sadece anahtar ve bilinen giri/çıı verisine balı ara deerlerin bulunması gerelidir. Maseleme yönteminde [9, 10], algoritma giriindei 6
veri rastgele bir deienle (mase) toplanır. Böylece algoritma içerindei tüm ara deerler bu üçüncü deere de baımlı olur ve saldırı için gere oul salanamaz. Algoritma çııında doru deerin elde edilebilmesi için, algoritma yapısının, bu mase deerinin algoritma ileyiini bozmayacaı eilde, deitirilmesi gereir Donanımsal arı tedbirler, yapılan güç ölçümlerini, gürültüyü artırara ya da sızan yan-anal bilgisini azaltara zorlatırmaya çalıır. Bu tedbirler sonucunda yan-anal bilgisi sıfırlanamaz. Anca gereli ölçüm sayısını prati olmayan seviyelere çıarma mümün olabilir. Kullanılan bazı donanımsal arı tedbirler öyledir; Algoritmayı gerçeleyen devre içerisine bir rastgele sayı üreteci yerletirilere [6], ortamdai gürültü seviyesi arttırılabilir. Ya da güç iaretini filtreleyen bir devre yerletirilere [11] yan-anal bilgisinin genlii olduça düürülebilir. Anca bu yapılar saldırgan tarafından, urcalamayla, devre dıı bıraılabilir. 4 Eletromanyeti Analiz Saldırıları Loji apıların iledileri veriye göre güç tüetimi deimetedir. Bu, çetileri aımın da deimesine neden olur. Böylelile yeni bir yan-anal bilgisi oluur. Çünü devre içerisinde çeilen aımların deimesi, devrenin yaydıı eletromanyeti radyasyonun da deimesine, dolayısıyla yan-anal bilgisi sızdırmasına neden olur. Ayrıca, devre içerisinde oluan çeitli uplajlar ve gerçeletiren modülasyonlar da eletromanyeti radyasyona, dolayısıyla yan-anal bilgisi oluumuna neden olabilir. Eletromanyeti Analiz (EMA: Electromagnetic Analysis) saldırıları bu yan-anal bilgisini ullanır. Eletromanyeti yan-anal bilgisini ullanan il saldırılar [12] 2000 li yıllarda gerçeletirilmi, ardından çalımalar hızlanmıtır. EMA saldırıları da basit (SEMA: Single EMA) ve diferansiyel (DEMA: Differential EMA) olara iiye ayrılmatadır. Ölçüm aamasından sonra, EMA [13] saldırılarında ullanılan analiz yöntemleri, güç analizi yöntemlerinde ullanılanlarla hemen hemen aynıdır. EMA saldırılarının güç analizi saldırılarına göre önemli avantajları vardır. Öncelile, GA saldırılarının asine, ölçümler hedeflenen cihazla hiçbir fizisel balantı urmadan da belirli bir mesafeden gerçeletirilebilmetedir. Ayrıca ölçümler cihaz üzerinde istenilen notalara odalanabilir. 4.1 EMA Saldırılarına Karı Tedbirler TEMPEST standartlarına uyulması ve manyeti radyasyonu engelleyici aplama yapılması elde edilece yan-anal bilgisini zayıflatır. Anca cihazın saldırganın eline geçmesi durumunda bu tedbirler, oruyucu yapıların çıarılmasıyla, etisiz hale getirilebilir. Bunun dıında, GA saldırılarına arı alınaca tedbirler, EMA saldırılarını da önleyici nitelite olacatır. 5 Sonuç Günümüzde, riptografi algoritma gerçelemeleri, sayısal imza, veri ifreleme, güvenli e-posta, finansal transferler, eletroni ticaret ve benzeri bir ço alanda yaygın olara ullanılmatadır. Kullanıldıları tüm sistemlerde güvenli büyü ölçüde ullanılan riptografi algoritmalara dayanmatadır. Bu nedenle ullanılan algoritmaların ve bu algoritmaların gerçelemelerinin her türlü saldırıya arı dayanılı olmaları bir zorunlulutur. Görece olara yeni bir onu olan yan-anal saldırıları, lasi riptanaliz yöntemlerine arı dayanılı olan birço algoritma için gerçeleme aamasından sonra büyü bir tehdit oluturmatadır. Bu nedenle algoritma gerçelemelerinde mümün olduunca arı tedbirlerin alınması, algoritma tasarımında ise yan-anal saldırılarına iman verece yapılardan açınılması geremetedir. Bu onuda yapılmata olan aademi çalımaların yanı sıra, onu ticari olara da önem taımatadır. Yurtdıında özellile aıllı art alımlarında yan-anal saldırılarına arı güvenilirli de bir riter olara aranmata ve bu onuda çalıan çeitli urulular güvenilirli sertifiaları vermetedir. Ülemizde de yapılaca bu tür ilemler için açı bir pazar bulunmatadır. Teeür Bu çalımayı hazırlamama yardımcı olan Sayın Yrd. Doç. Dr. Sıddıa Berna Örs Yalçın a teeürlerimi sunarım. Kaynalar [1] Anderson, R., Kuhn, M., Tamper resistance a cautionary note, Proceedings of the 2nd USENIX Worshop on Electronic Commerce, 1-11, 1996 [2] Kommerling, O. ve Kuhn, M.G., Design principles for tamper resistant smartcard processors, Worshop on Smartcard Technology 1999 [3] Boneh, D., DeMillo, R.A., Lipton R.J., On the importance of checing cryptographic protocols for faults, EUROCRYPT 97, vol 1233, 37-51, 1997 [4] Kocher, P., Timing attacs on implementations of Diffie-Hellman, RSA, DSS and other systems, CRYPTO 96, vol. 1109, 104-113, 1996 7
[5] Jane, M. ve Laacmann, P., Power and timing analysis attacs against security controllers. In neon Technologies AG, Technology Update, Smart Cards. [6] Kocher, P., Jaffe, J. ve Jun, B., Differential power analysis, CRYPTO 99, vol. 1666, 388-397, 1999 [7] Chari, S., Jutla C.S., Rao, J.R. ve Rohatgi, P., Towards sound approaches to counteract poweranalysis attacs, CRYPTO 99, v1666, 398-412, 1999 [8] Goubin, L. ve Patari, J., DES and differential power analysis the duolication method, CHES- 1999, vol. 1717, 158-172. 1999 [9] Aar, M.L. ve Giraud, C., An implementation of DES and AES, secure against some attacs, CHES 2001, Third International Worshop., vol. 2162, 309-318, 2001 [10] Oswald, E., Mangard, S., Pramstaller, N., Rijmen, V., A side-channel analysis resistant description of the AES S-Box, FSE 2005, vol. 3557, 2005 [11] Shamir, A., Protecting smart cards from passive power analysis with detached power supplies, CHES- 2000, vol 1965, 71-77, 2000 [12] Quisquater, J. ve Samyde, D., Electromagnetic analysis (EMA): measures and countermeasures fors mart cards, Proceedings of smart card programming and security, LNCS 2140, 200-210, 2001 [13] Chari S., Rao J.R. ve Rotagi P., Advances in Side-Channel Analysis, RSA Laboratories Cryptobytes, vol. 6, 20-32, 2003 [18] Walter C.D., Montgomery exponentiation needs no final subtraction. Electronic letters, 35(21) 1831-1832, October 1999. [19] Walter C.D., MIST: An efficient, randomized exponentiation algorithm for resisting power analysis. vol 2271 of Lecture Notes in Computer Science, pages 53-66, San Jose, USA, February 2002. [20] Hachez G. and Quisquater J.-J.. Montgomery exponentiation with no final subtractions: Improved results. In C. K. Koç and C. Paar, editors,proceedings of 2nd International Worshop on Cryptographic Hardware and Embedded Systems (CHES), vol 1965 pages 293-301, Worcester, Massachusetts, USA, August 17-18 2000. [21] Kang S.-M., and Leblebici Y., CMOS Digital Integrated Circuits: Analysis and Design. McGraw Hill, 2002. [22] Ordu L., AES Algoritmasının FPGA Üzerinde Gerçelenmesi ve Yan-Kanal Analizi Saldırılarına Karı Güçlendirilmesi. Yüse Lisans Tezi, TÜ Fen Bilimleri Enstitüsü, Haziran 2006. [23] Oswald E., On Side-Channel Attacs and the Application of Algorithmic Countermeasures. PhD Thesis. June 2003. [24] Messerges T.S., Power Analysis Attacs and Countermeasures on Cryptographic Algorithms. PhD thesis, University of Illinois, 2002. [25] Borst J., Bloc Ciphers: Design, Analysis and Side-Channel Analysis. PhD thesis, K.U.Leuven, September 2001. [14] Örs, S.B., Hardware Design Of Elliptic Curve Cryptosystems And Side-Channel Attacs. PhD thesis, Katholiee Universiteit Leuven, Faculteit Toegepaste Wetenschappen, Departement Eletrotechnie, Kasteelpar Arenberg 10, 3001 Leuven (Heverlee), Belgium, February 2005. [15] Joye M., Lenstra A.K. and Quisquater J.-J, Chinese remaindering based cryptosystem in the presence of faults. Journal of Cryptology, 4(12), 241-245, 1999. [16] Jane M. and Laacmann P., Power and timing analysis attacs against security controllers. In neon Technologies AG, Technology Update, Smart Cards. [17] Dhem J.F., Design of an effcient public-ey cryptographic library for RISC-based smart cards. PhD thesis, UCL Crypto Group, Laboratoire de microelectronique (DICE), May 1998. 8