針對真實RFID 標簽的側信道攻擊*

戴 立, 董高峰, 胡紅鋼, 俞能海

中國科學技術大學中國科學院電磁空間信息重點實驗室, 合肥230027

1 引言

在密碼分析學中, 加密算法即便在數學上是安全的, 在工程實現時也會不可避免地在某些物理信道層面泄露額外的密鑰信息.側信道分析便是一種嘗試收集這些額外泄露的信息, 并加以利用進行密碼學分析的方法.側信道分析的思想在20 世紀90年代后期初步形成, 攻擊者通過收集密碼設備運行密碼算法時的時間差異[1]、功耗[2]、電磁[3]或其它類型的物理泄露信息, 結合數學分析方法, 可以恢復出密碼設備運行時所使用的部分或完整密鑰.近年來, 在側信道分析領域涌現出了大量的研究成果, 例如掩碼防護與對抗掩碼的高階攻擊[4,5]、隨機化操作順序隱藏泄露信息[6]、雙柵邏輯和預充電邏輯的抗側信道攻擊電路[7]等.但是由于目前的大多數研究是針對理論模型展開討論的, 通常采用專用的側信道實驗設備[8]或自制的原型設備[9]運行密碼算法并對其進行攻擊測試.這樣做的一個弊端是, 待測設備往往擁有良好的測量配置, 如較完美的觸發信號、運算芯片VCC 端或GND 端直接嵌入的測量電阻, 以及較小的周邊環境干擾等.但將側信道分析理論運用到對真實設備的攻擊時, 會出現許多需要額外考慮的問題.

另一方面, 隨著RFID 技術的發展, 不少RFID 標簽已經具備了運行密碼算法的能力, 但與此同時也受到了來自側信道攻擊的威脅.為探究在對真實RFID 標簽進行側信道攻擊時會遇到哪些挑戰, 以及實際攻擊效果如何, 本文選取了一款稱之為無線識別與傳感平臺[10,11](wireless identification and sensing platform, WISP)的新型RFID 標簽展開側信道攻擊.WISP 是近幾年發展起來的一款可編程RFID 標簽, 本文實驗中所使用的是其第五代版本TB-WISP 5.0, 該版本搭載了一顆MSP430FR5969 微控制芯片, 可以用其驅動該標簽上所配備的各種傳感器裝置, 并將傳感器收集的傳感信息處理后通過特高頻載波波段(902–928 MHz)發送給閱讀器天線, 通訊時采用EPC Class 1 Generation 2 通信協議.WISP 電路內部包含一套能量收集模塊, 可以通過自身天線接收閱讀器天線發出的射頻能量并將其轉化為電能、存儲在標簽內部的儲能電容中以實現無源性, 因此該標簽在人體醫學設備[12]、自定位RFID[13]、結構安全檢測[14]、可充電傳感網[15]、農業環境檢測[16]等應用領域具有廣泛的應用前景.本文選取這樣一款設備進行側信道分析的意義可概括為以下四點:

(1)WISP 是一種典型的MCU 控制的可編程RFID 標簽, 存在巨大的市場應用空間, 具有攻擊和防護的研究價值;

(2)近年來出現了許多對WISP 能量采集效率、密碼和認證算法[17]以及應用領域等方面的研究, 但在已公開發表的文獻中, 本文是首個對WISP 側信道安全性展開研究的;

(3)WISP 在正常工作時, 一方面內部存在板載傳感器等部件的功耗噪聲, 另一方面外部存在與閱讀器通訊時的強烈電磁波噪聲, 這些噪聲的干擾給攻擊帶來了一定難度;

(4)不同于使用穩壓電源供電的大多數設備, WISP 內部含有一套獨特的儲能電容充放電系統, 且具有休眠/喚醒狀態切換的工作特性, 因此這樣的儲能系統和工作特性可能會給攻擊帶來新的挑戰.

本文結構安排如下: 在第2 節中將介紹WISP 整體的工作過程、在工作時所采用的協議以及功耗和電磁攻擊的基本過程和原理; 第3 節中將介紹攻擊中軌跡采集的測量配置及優化、測量效果和對軌跡所進行的預處理; 實驗攻擊的結果和分析將呈現在第4 節中; 最后在第5 節中對全文進行總結, 并提出了對未來工作的展望.

2 攻擊基礎和攻擊原理

2.1 WISP 工作過程

本文所攻擊的WISP 設備工作過程如下: 當由外部供電或內部儲能電容能量充足時, 將處于工作狀態; 當無外部供電且內部儲能電容能量不足時, 將切換到休眠狀態, 由能量收集模塊收集到足夠能量后, 再返回工作狀態繼續工作.在工作狀態下, WISP 將持續用傳感器收集環境信息存入自身FRAM(ferromagnetic random access memory)中, 并隨時接受來自閱讀器的通訊請求中斷.為了防止重放攻擊, 每次WISP 與閱讀器之間采用如圖1 所示的簡易雙向認證協議進行認證和會話密鑰協商.閱讀器與WISP 之間存在一個預先設定好的共享主密鑰k, 首先, 由閱讀器發起通訊請求, 請求數據包中包含一個隨機數R1; WISP 接收到請求后, 用主密鑰k 對R1 進行AES 加密, 將加密結果和一個隨機數R2 一并發送給閱讀器; 閱讀器解密得到R1 完成對WISP 的身份驗證, 并將R2 用k 進行AES 加密后返回給WISP; WISP 解密得到R2 完成對閱讀器的身份驗證; 之后, 雙方生成新的臨時會話密鑰k ⊕R1 ⊕R2,并用該密鑰對數據進行加密完成本次會話通訊.值得注意的是, 當不提供外部電源且WISP 距離閱讀器天線較遠時, WISP 的丟包率將處于一個較高的水平, 因此WISP 在短時間內收到多個通訊請求數據包被認為屬于正常情況.

圖1 簡易雙向認證協議Figure 1 Simple mutual authentication protocol

2.2 功耗和電磁攻擊原理

在側信道攻擊中, 目前比較主流的做法是利用功耗泄露信息或電磁泄露信息進行攻擊, 無論是功耗攻擊還是電磁攻擊, 都可分為“信息采集→軌跡預處理→選取功耗泄露模型→軌跡分析” 這幾個基本階段, 當攻擊結果失敗或者效果不夠理想時, 需要分析原因并相應地回到前面階段修改方案后重新執行.這兩種攻擊的主要區別在于信息采集環節所使用的采集設備和采集方法有所不同.

2.2.1 信息采集

泄露信息的存在和能被采集是攻擊可行性的基礎, 只有當設備存在側信道信息泄露且采集到的數據包含充足的泄露信息時攻擊才有可能成功.

在功耗泄露信息的采集中, 需要使用恒壓電源供電, 并在采集電路的VCC 端或GND 端嵌入一個1–50 歐姆的小電阻, 利用探頭測量電阻兩端的電壓差, 該電壓差的變化可以代表整個電路的功耗變化[18],將其記錄為功耗軌跡以供后續處理.由于電壓差的變化幅度可能較小, 可以使用差分放大器對信號進行放大.

而在電磁泄露信息的采集中, 利用高靈敏度的電磁探頭靠近設備芯片部分, 記錄芯片工作時所泄露出來的電磁信息[18].同樣地, 由于這種電磁泄露信息非常微弱, 通常會利用一個低噪放大器對采集到的電磁信息進行放大處理.記錄到的電磁軌跡同樣可被認為代表了電路的功耗變化情況, 而電磁軌跡與功耗軌跡的不同之處在于, 電磁軌跡在幅度上將顯得更為微弱, 受到噪聲的干擾也更大, 即電磁泄露信息具有更低的信噪比.

采集時, 為了提升泄露信息的信噪比, 攻擊者需要精準定位設備加解密運算的時間段, 并將該時間段以外的無關信息拋除, 為達到這一目的需要設定合適的觸發條件.在許多使用專用側信道實驗設備的研究中, 會在編程過程中設置好設備的觸發引腳和觸發信號, 使設備在加解密開始前給觸發引腳發送一個觸發信號以精準地采集加解密段軌跡, 因此這類觸發條件的精準度很高; 而在一些對真實設備攻擊的研究中,則會借助于設備自身的特征作為觸發條件, 如對無線設備的攻擊采用通訊協議中的特征進行觸發[19], 對手機的攻擊采用USB 調試進行觸發[20]等, 相應地這類觸發條件精準度較低.

2.2.2 軌跡預處理

在對真實設備的攻擊中, 由于不精準的觸發條件和較大的噪聲, 信息采集后得到的多條原始軌跡在時間軸上處于未對齊狀態, 在幅度值上也存在較多毛刺噪聲, 需要使用軌跡預處理操作進行對齊和去噪.近年來有許多關于預處理環節的研究成果, 時間軸上的預對齊采用峰值匹配、動態時間規整[21,22]等算法能達到較好的對齊效果, 同時可以通過低通濾波、均值濾波等達到一定去噪效果.

2.2.3 選取功耗泄露模型

功耗泄露模型對密碼設備所泄露的功耗進行了仿真, 目前側信道分析中應用最廣泛的兩種模型是漢明距離模型和漢明重量模型[18].

漢明距離模型將設備元件輸出邏輯值之間的轉換映射為功耗.一般來說, 若設備中數據總線較長, 電容負載大, 對設備的功耗會產生比較大的影響, 這時候可以用漢明距離模型刻畫其數據總線上數據轉換的功耗.如數據總線上一個數據由v0變為v1時, 其漢明距離模型為HD(v0,v1)= HW(v0⊕v1), 其中HW(·)表示取參數的漢明重量值.

相比而言, 漢明重量模型則比漢明距離模型更加簡單一點.當攻擊者不知道設備底層電路元件排布信息或者不知道元件所處理數據的變換情況時, 則可采用漢明重量模型.漢明重量模型假設能耗與被處理數據中比特位為1 的個數(即數據的漢明重量)成正比.雖然在實際情況中, 設備CMOS 電路中的功耗更多地取決于電路中數據數值轉換, 但這種功耗與數據漢明重量并非完全不相關.在漢明重量模型中, 可以直接對一個數據x 取其漢明重量來刻畫處理該數據的功耗, 即功耗模型為HW(x).

以本文對AES 的攻擊為例, 針對AES 初始輪中的輪密鑰加和第一輪中的字節替換這兩個操作進行漢明重量模型建模, 由于操作中原密鑰被分為16 個單字節的子密鑰參與運算, 因此我們分別對每個子密鑰列舉所有的可能情況進行攻擊, 即對于已知明文m 和假定子密鑰k, 這兩個操作過程中其漢明重量模型下的功耗為HW(sbox(m ⊕k)), 其中sbox(m ⊕k)表示明文m 和密鑰k 相異或的結果參與字節替換運算后的輸出值.

2.2.4 軌跡分析

軌跡分析是整個攻擊過程的最后一步.現有的軌跡分析技術多種多樣, 常用的一些包括簡單功耗分析[23]、差分功耗分析[2]、互信息分析[24]、方差分析[25]、模板分析[26]等等.本文實驗所采用的差分功耗分析是通過利用大量功耗軌跡, 計算在相應的功耗泄露模型下, 這些軌跡與所假設子密鑰的相關性, 由相關性推算各個假設子密鑰是真實子密鑰的可能性大小.已知給定的軌跡集合T, T 中第d 條軌跡td所采用的明文字節md, 假設的子密鑰字節k, 則k 與T 的相關性rk為

式中, D 表示集合T 中軌跡的總數量, hd表示T 中第d 條軌跡對應的漢明重量模型下的功耗HW(sbox(md⊕k)),表示全部D 條軌跡在漢明重量模型下功耗的平均值, td,i表示第d 條軌跡在第i個數據點處的值,表示全部D 條軌跡在第i 個數據點處的平均值.

對于每一個子密鑰字節, 可列舉出256 種密鑰假設, 將每一種密鑰假設與所采集功耗軌跡的相關性計算出來后取絕對值并按從大到小排序, 結果中最大的值所對應的密鑰假設被認為最有可能是真實密鑰.

從安全性分析的角度而言, 若我們一開始知道真實密鑰, 可以觀測到通過D 條軌跡攻擊后, 真實密鑰所對應的相關性絕對值在所有假設密鑰對應的相關性絕對值中從大到小的排序序號(從序號0 開始計算),這一序號值等于部分猜測熵[27](partial guessing entropy, PGE), 部分猜測熵可被用來評估在D 條軌跡攻擊下的攻擊效果, 其值越小, 表示攻擊效果越好, 當部分猜測熵的值達到0 時, 攻擊效果達到最佳水平.

3 軌跡采集與預處理

3.1 測量配置

本文實驗過程中采用的主要器件包括: TB-WISP 5.0 標簽一個、Impinj R420 閱讀器及天線一部、Pico 5444B 示波器一臺、ChipWhisperer 公司的CW501 差分探頭一個、ChipWhisperer 公司的CW502 低噪放大器一個、RIGOL 電磁探頭一個和PC 機一臺.其中, Pico 5444B 示波器單通道下最大支持14 比特的采樣位寬和5 GS/s 的采樣頻率, CW501 差分探頭提供20 kHz–200 MHz 帶寬范圍內的10db 增益, CW502 低噪放大器提供0.1 MHz 到1000 MHz 帶寬范圍內的20 db 增益.由2.1 節中WISP所采用的雙向認證協議可知, 我們的攻擊目標是分析出WISP 所使用的主密鑰k.為了獲取大量設備加密時的功耗或電磁泄露軌跡, 我們可以用閱讀器向WISP 發送多個含有不同隨機數的通訊請求數據包, 在收到加密結果前完成對其加密功耗或電磁泄露軌跡的采集.

3.1.1 功耗泄露的測量配置

為了完成功耗軌跡采集, 根據2.2.1 節中描述的采集原理, 一種較好的測量方法是直接在MSP430FR5969 MCU 的VCC 端或GND 端嵌入一個小型貼片電阻, 再用差分探頭測量其兩端的電壓差, 這樣能有效地減小電路其它部分的噪聲影響, 但是嵌入貼片電阻的操作難度比較大, 且需要昂貴的設備才能完成這一精細操作.在真實攻擊中, 若攻擊人員只有一塊待攻擊WISP 標簽樣本, 嵌入電阻時蝕刻電路操作上的失誤將直接導致攻擊的失敗, 且這種操作會在設備上留下明顯的改裝痕跡, 在一些實際攻擊場景中顯得不適用.

本文中的功耗測量選用了比較大的測量環路: 在WISP 的程序下載接口處利用外部電源進行供電, 于供電電源與下載接口之間增加一段連接導線, 并在VCC 端的導線上加裝一個阻值為1 Ω 測量電阻.之后,我們可以直接在測量電阻兩端安裝CW501 差分探頭, 并連接Pico 示波器完成測量環路的配置.關于外部電源的選擇, 我們測試了電腦USB 供電、實驗室穩壓電源供電、干電池供電等三種方案, 發現采用干電池供電時, 電源紋波最小, 采樣效果也最理想.

在剛開始研究時, 為了確定加密操作在功耗軌跡上的所占區段并繼而分析其軌跡特征, 我們為WISP設置了一個觸發信號: 讓WISP 加密完成后短暫點亮一次LED 燈, LED 燈的VCC 引腳可作為觸發引腳.為了捕捉這一觸發信號, 我們在LED 燈的兩端焊接了兩根電源線, 并連接到一個示波器探頭.真實攻擊場景中, 這種類似的觸發引腳是有可能存在并被加以利用的, 但我們的攻擊不應對這種觸發引腳的存在產生依賴性.因此在后續攻擊中, 我們取消了觸發引腳的設定, 利用所發現的加密軌跡特征優化了觸發條件, 這將在3.2 節中展開詳細討論.

功耗泄露的測量配置和供電連接方式如圖2 所示.由于MSP430FR5969 MCU 的最高時鐘頻率為16 MHz, 根據奈奎斯特采樣定律[28], 我們需要至少32 MS/s 的示波器采樣頻率才能保證原始信號的無損采樣.在我們的實驗中, 采樣頻率設置為62.5 MS/s, 采樣位寬設置為14 比特.當完成測量配置后, 利用閱讀器向WISP 發送一個包含隨機數R1 的請求數據包, 若WISP 成功接收到便會執行對R1 的AES 加密操作, 此時記錄下示波器所采集到的波形, 并保存對應的明文R1 即可.

3.1.2 電磁泄露的測量配置

電磁泄露的測量與功耗泄露的測量類似, 供電方式和觸發引腳保持不變, 將差分探頭改為電磁探頭并靠近工作中的MSP430FR5969 MCU 進行探測, 同時我們在電磁探頭和示波器之間增加了一個20 db 增益的CW502 低噪放大器, 測量方法如圖3 所示.同樣地, 圖中的觸發引腳和對應的示波器探頭也可被取消, 取而代之用電磁泄露軌跡自身的特征進行觸發.

需要注意的是, 電磁探頭的位置會影響到所采集到軌跡的形態, 為了達到較好的采集效果, 可以在WISP 處于工作狀態時, 將電磁探頭垂直于WISP 平面并貼近其MCU 芯片, 然后微調探頭橫縱坐標的位置, 尋找一處使得有效信號軌跡振幅盡可能大且受到較小噪聲干擾的點.此外, 在同一次電磁攻擊的采集過程中, 要求電磁探頭相對WISP 的位置保持穩定, 可以利用膠帶或其它工具固定WISP 在實驗臺面上的位置, 并利用夾持器固定探頭的位置, 同時, 采集過程中應避免實驗臺面發生較大的振動.

圖2 功耗泄露的測量配置和供電連接圖示Figure 2 Power leakage measurement setup and power supply connection diagram

圖3 電磁泄露的測量配置和供電連接圖示Figure 3 Electromagnetic leakage measurement setup and power supply connection diagram

3.2 觸發條件的優化

3.2.1 功耗軌跡的特征分析與觸發條件優化

圖4 帶觸發信號的功耗采集模式下單條軌跡Figure 4 Single trace in power measurement mode with trigger signal

3.1 節所介紹的軌跡采集方法使用了LED 燈的VCC 引腳高電平作為觸發信號, 采集出來的一條樣本軌跡如圖4 所示.圖中紅色曲線為觸發信號軌跡, 藍色曲線為采集到的功耗軌跡.我們在分析了大量這種軌跡后發現, 它們擁有這樣一些共同特點:

(1)紅色觸發信號高電平前4 ms 左右長的功耗軌跡可分辨出清晰的AES-128 加密9 輪半結構的周期性圖案, 加密段放大后效果如圖5 所示;

(2)所有軌跡均存在分布不規則的毛刺, 毛刺的脈沖寬度和幅度會有所變化, 但脈沖寬度均小于3 ms, 毛刺有時會與加密段軌跡發生疊加現象;

(3)除卻加密段和毛刺段呈現出較高的功耗特征外, 加密段前后20 ms 所記錄的軌跡范圍內均沒有其它明顯的功耗特征;

(4)觸發信號轉到高電平時, 會影響AES 加密尾部的波形, 在尾部形成一個急劇的功耗突變.根據以上軌跡特點, 我們有如下分析:

(1)毛刺可能是由于WISP 特殊的儲能電容結構放電或電路上并行運行的傳感器裝置所帶來的能耗噪聲;

(2)加密時的能耗遠高于其它工作環節的能耗, 且加密段呈現出明顯的圖案特征, 脈沖寬度較為固定,九輪半加密結構明顯, 可以在實際攻擊中根據這一特征來設置觸發條件.

圖5 AES-128 加密段功耗軌跡Figure 5 Power trace of AES-128 encryption segment

如3.1 節所述, 實際攻擊中可能不存在可供利用的觸發引腳, 因此我們需要進一步考慮利用功耗軌跡自身的特征來進行觸發.首先, 我們關閉了WISP 加密結束后點亮LED 指示燈的這一設定, 并將測量的觸發條件更改為功耗軌跡脈沖寬度觸發, 經過反復驗證, 觸發電壓設置為0.8 V、觸發脈沖寬度設置在5.3 ms 到6.3 ms 之間時可以得到較純凈的AES 加密功耗軌跡.值得注意的是, 這種觸發條件過濾掉了部分受到毛刺噪聲影響而變得畸形的功耗軌跡, 因為這些軌跡加密段的脈沖寬度會由于與噪聲脈沖疊加而發生改變.去掉觸發信號后的一條AES 加密段軌跡如圖6 中藍色曲線所示.由于沒有了觸發信號的干擾, 可以觀測到軌跡尾部的功耗突變現象消失了.

圖6 無觸發信號的功耗軌跡(藍)和電磁軌跡(綠)Figure 6 Power trace (blue)and electromagnetic trace (green)without trigger signal

3.2.2 電磁軌跡的特征分析與觸發條件優化

我們進一步考慮如何測量無觸發信號的電磁軌跡, 由于電磁泄露信息受到環境電磁波干擾較大, 電磁軌跡的測量也存在更大難度.無觸發信號條件下一條經過10 倍幅度放大后的典型電磁泄露軌跡如圖6 中綠色曲線所示.我們發現與功耗泄露軌跡相比, 電磁泄露軌跡有如下特征:

(1)受到噪聲干擾現象更加嚴重, AES 九輪半加密結構不再明顯;

(2)加密開始前有兩處很明顯的脈沖波形, 波形幅值小于加密部分;

(3)加密結束后無明顯的波形回落現象;

(4)部分軌跡有時會在加密段受到嚴重的電磁噪聲干擾而變得不可識別.

我們利用上述第(2)條特征設置欠幅脈沖作為觸發條件, 可以通過設置更為苛刻的觸發條件閾值來盡量獲得更為一致的軌跡, 但這同時也舍棄掉了許多有用但不嚴格符合該閾值的軌跡.應注意, 合適的觸發條件閾值會由于電磁探頭種類的不同和具體擺放位置的變化而有所改變, 采集過程中應保持電磁探頭處于一個較為固定的位置.

3.3 軌跡預處理

在這一步里, 我們需要對采集到的軌跡進行對齊和去噪處理.為了提高結果的準確性, 我們先對軌跡進行了初步篩選, 去除掉了那些在加密第一輪處明顯被毛刺噪聲干擾的軌跡.對于剩下的軌跡, 我們保留了AES 加密算法第一輪附近的60 000 個數據點進行進一步的預處理.

首先, 我們對軌跡進行平滑去噪.可采用的去噪方法有很多, 常見的如巴特沃斯低通濾波、高斯低通濾波、移動平均濾波等都能達到一定去噪效果.經過反復的性能對比, 我們采用了參考文獻[20]中提出的預處理方法, 該方法將軌跡先進行短時傅里葉變換(STFT), 然后選取適當的有效信號頻帶, 再進行移動平均濾波.在該處理方法中, 我們所采用的STFT 窗口大小為128, 有效信號頻帶選取0–1 MHz, 移動平均濾波的窗口大小為200.加密第一輪部分的軌跡去噪處理前后對比如圖7 所示.

圖7 AES 第一輪軌跡去噪前后軌跡對比Figure 7 Comparison of traces before and after denoising in AES’s 1st round

此外, 我們需要對去噪后的軌跡進行預對齊處理.我們采用了峰值匹配算法進行初步對齊.在這一步后, 大多數軌跡得到了很好的對齊效果, 但有部分軌跡尾部出現了微小的時延偏差.目前尚不清楚出現這一時延偏差的具體原因, 在設備抗側信道攻擊設計中, 也經常加入隨機時延作為一種應對側信道攻擊的防御措施, 我們采用動態時間規整算法對這類軌跡進行處理可以達到完美的對齊效果.在經過這兩種算法的處理后, 多條軌跡的局部對齊效果如圖8 所示, 圖中以不同顏色區分不同編號的軌跡.

圖8 多條軌跡預對齊處理后的對齊效果(局部)Figure 8 Alignment effect (partial)of several traces after pre-aligned processing

由圖8 我們可以觀測到, 雖然軌跡在時間軸上得到了很好的對齊效果, 但幅度軸上仍然存在整體性偏移差別.為了消除這種整體性偏移, 我們可以利用歸一化公式T?=T ?mean(T)或進行歸一化, 兩式中T 表示原軌跡, T?表示歸一化后得到的新軌跡, mean(T)表示軌跡上所有點的平均值,std(T)表示軌跡上所有點的標準差.但在后續的實驗中我們發現, 歸一化處理后的軌跡雖然擁有更好的視覺對齊效果, 在攻擊效果上卻不如原軌跡, 這是因為歸一化在對齊軌跡幅度軸的同時, 也一定程度地減小了不同軌跡間的差異, 從而損失了部分泄露信息.因此, 在后續處理中, 我們并沒有對軌跡進行歸一化.

4 實驗結果與分析

4.1 實驗結果

我們采用了漢明重量模型對預處理完的功耗軌跡和電磁軌跡分別進行了2.2.4 節中所介紹的差分功耗分析.

在功耗軌跡的差分分析中, 被攻擊密鑰的16 個字節攻擊效果如表1 所示, 攻擊效果最好的是第1 個字節, 僅用了80 條軌跡就得到了正確的密鑰猜測; 而攻擊效果最差的是第7 個字節, 用了240 條軌跡才得到正確的密鑰猜測.

表1 功耗攻擊中每個字節得到正確密鑰猜測時所用軌跡條數Table 1 Number of traces used in power attack for each byte to get correct key guess

在電磁軌跡的差分分析中, 由于電磁泄露信息受到了比較大的噪聲影響, 所需要的軌跡數量要遠大于功耗軌跡的數量.我們的攻擊結果如表2 所示, 攻擊效果最好的仍然是第1 個字節, 用了1000 條軌跡得到正確的密鑰猜測, 而攻擊效果最差的是第9 個字節, 用了2970 條軌跡才得到正確的密鑰猜測.

表2 電磁攻擊中每個字節得到正確密鑰猜測時所用軌跡條數Table 2 Number of traces used in electromagnetic attack for each byte to get correct key guess

圖9 和圖10 分別展示了在對功耗軌跡和電磁軌跡的攻擊下第1 個字節的部分猜測熵隨著攻擊軌跡條數增多的變化情況.

4.2 結果分析

圖9 功耗攻擊中字節1 的PGE 隨軌跡條數變化情況Figure 9 Change of PGE (byte 1)in power attack

圖10 電磁攻擊中字節1 的PGE 隨軌跡條數變化情況Figure 10 Change of PGE (byte 1)in electromagnetic attack

根據第3 節中的采集結果和4.1 節中的攻擊結果可知, 在RFID 標簽上不加防范地運行的密碼算法并不安全, 通過側信道攻擊能提取出存儲在標簽內部的密鑰.即使我們的測量環境并沒有達到一個最佳的測量環境, 如測量功耗的電阻并非直接嵌入在運算芯片的VCC 端或GND 端, 電磁測量也沒有用法拉第籠屏蔽環境中的電磁干擾, 但在這種情況下, 我們仍然通過不同明文加密的240 條功耗軌跡或2970 條電磁軌跡完全恢復了存儲在WISP 標簽內的AES 密鑰.對于其他攻擊者而言, 他們甚至可以通過改進攻擊手段, 如建立攻擊模板、更換分析算法等, 用更少的軌跡就能獲取完整的真實密鑰.

我們在將側信道分析理論應用到對真實RFID 標簽設備的攻擊中時, 雖然遇到了觸發條件的選取、設備功耗或電磁軌跡特征未知、設備特殊電路帶來噪聲干擾等諸多方面的挑戰, 但仍然找到了方法來克服這些挑戰.因此, 側信道攻擊技術對社會上已經廣泛應用的密碼設備所帶來的威脅絕不可忽視, 密碼設備的設計者們也應該投入更多的精力來應對這一威脅.針對輕量化的RFID 標簽, 建議采用基于哈希的認證協議、隨機化操作順序等低價高效的手段來做側信道分析防護.

4.3 與現有研究對比

近年來, 也出現過許多針對具體密碼系統的側信道攻擊研究: 如文獻[9]的作者自制了高頻和超高頻的RFID 標簽原型, 并用2000 條電磁軌跡和差分頻率分析破解了其AES 算法密鑰; 文獻[20]的作者用簡單側信道分析以單條軌跡破解了手機上的RSA 和ECC 算法密鑰; 文獻[29]的作者使用逆向工程手段,通過150 條電磁軌跡破解了安全門鎖經過改造的DES 算法密鑰.與現有研究對比, 本文的實驗有如下創新點:

(1)不再基于協議特征或觸發引腳進行觸發, 而是發掘并利用功耗或電磁軌跡的自身特征進行觸發;

(2)實現了完全非侵入式的功耗軌跡采集, 由于無需焊接觸發引腳, 且功耗測量電阻不需焊接到目標電路板上, 采集完畢后不會在目標設備上留下攻擊痕跡.

5 結論

為了探究在對真實密碼設備進行側信道攻擊時會遇到的問題和挑戰, 本文從攻擊者的角度出發, 選取了一款新興的可編程RFID 標簽TB-WISP 5.0 進行攻擊.在攻擊過程中, 我們用相對簡單的采集設備,分析出了AES-128 加密算法在WISP 設備運行時功耗和電磁泄露軌跡上的特征, 據此設計了無需觸發信號的軌跡采集方案, 并排除掉了WISP 特殊儲能電容和周邊電路帶來的噪聲干擾, 在可接受的采集軌跡條數內成功攻擊出了WISP 內部儲存的AES 密鑰.之前的研究者已經做出了部分對真實密碼設備攻擊的研究案例, 本文在他們的基礎之上, 進一步證明了對真實RFID 標簽進行側信道攻擊的可行性, 展示了攻擊中所遇到的挑戰和應對方法, 也揭示了在設計密碼設備軟硬件時, 從抗側信道攻擊的角度加以設計防護措施的必要性和迫切性.

在未來的工作中, 對真實密碼設備的攻擊仍然是一個非常重要的研究方向.本文中所攻擊的WISP尚沒有加入嚴格的側信道防范措施, 但目前市面上有不少密碼設備已經在側信道安全性方面設計了專門的防范方案.未來可以針對這些設備進行進一步的攻擊研究, 從而發現現有設備中仍然存在的攻擊弱點, 為不斷完善密碼設備的側信道安全性作出貢獻.