智能卡抗DPA攻擊的設計與實現(xiàn)

文章出處：http://compasssalessolutions.com 作者：張劍峰 錢晶晶 談慧宇 高進濤   人氣： 發(fā)表時間：2011年09月29日

    0 引 言 

    隨著個人計算機的蓬勃發(fā)展、因特網(wǎng)的演進與電子商務的沖擊，市場對安全與個人隱私保護有了強烈的需求。智能卡擁有輕便與安全的特性，在網(wǎng)絡上的安全付款、網(wǎng)絡連接的安全控管與電子簽章等應用領域扮演重要角色。我國已有不少信息安全應用系統(tǒng)借助智能卡來記憶系統(tǒng)運作所需的秘密信息，并利用智能卡具有的計算能力提升系統(tǒng)安全，智能卡正逐步取代磁卡而廣泛應用于金融及其他相關產(chǎn)業(yè)。 

    隨著對智能卡的攻擊方法的不斷發(fā)展，特別是隨著近年來許多新型的攻擊智能卡技術(shù)被公開發(fā)表，智能卡的安全面臨巨大挑戰(zhàn)。這些攻擊技術(shù)能容易地以低價設備取得的信息，如電力消耗、執(zhí)行時間、故障時的輸出與輸入行為、輻射、電力尖峰情形等信息攻擊智能卡。其中，差分功耗分析(Differential Power Analysis，DPA)就是一種很有效的能量攻擊方法，其主要是借助統(tǒng)計方法來提取與密鑰有關的信息，實現(xiàn)過程比較復雜，但對攻擊者的智能卡專業(yè)技術(shù)水平的要求并不是很高，DPA對智能卡中相關的內(nèi)嵌加密算法的成功攻擊已經(jīng)被廣泛報道。 

    智能卡是一種在發(fā)卡后可下載應用程序的公開平臺架構(gòu)，所以為了防止偽卡與保護持卡人，智能卡必須具有高安全性和高可靠性。VISA國際組織規(guī)定智能卡必須符合最高的安全技術(shù)層次要求，不但其內(nèi)嵌儲存體和總線上傳遞的數(shù)據(jù)都要求加密，而且智能卡至少要提供一個以上的對策防止簡單功耗分析(Simple Power Analysis，SPA)與DPA攻擊。

    1 智能卡芯片架構(gòu) 

    智能卡芯片架構(gòu)如圖1所示，主要由如下模塊構(gòu)成： 

    (1)嵌入式微處理器：可控制硬件執(zhí)行相關的指令完成加解密操作。其一般內(nèi)置有存儲器加解密單元，可通過其存取存儲體數(shù)據(jù)；并通過硬件防火墻管制應用程序存儲體。 

    (2)內(nèi)置存儲體：智能卡的存儲體分為SRAM，E2PROM與ROM三塊區(qū)域，其中ROM存放智能卡操作系統(tǒng)、執(zhí)行環(huán)境等程序及數(shù)據(jù)；E2PROM存放用戶定制代碼，給不同的用戶、不同的應用提供靈活的選擇；SRAM為執(zhí)行系統(tǒng)操作提供臨時空間。 

    (3)復位電路：用于產(chǎn)生系統(tǒng)復位信號，其輸入來自RESET引腳輸入的外部復位信號。 

    (4)隨機數(shù)產(chǎn)生器：隨機數(shù)在智能卡的安全性上扮演著重要角色，密鑰生成、數(shù)字簽名、認證和鑒別及各種安全通信協(xié)議都離不開高質(zhì)量的隨機數(shù)。該模塊主要產(chǎn)生無法預測的高質(zhì)量加密用數(shù)據(jù)。 

    (5)ISO7816接口控制器：為智能卡與讀卡器數(shù)據(jù)交換的重要接口，主要是硬件支持由ISO7816制定的T=0及T=1兩種協(xié)議，T=0負責傳送字符(Charac-ter)；T=1則負責傳送區(qū)塊(Block)。 

    (6)中斷控制器：用來接收定時單元、加密引擎、接口控制器的中斷要求，并傳送“中斷”信號給微處理器，通知微處理器外圍模塊已完成指定工作或有事情發(fā)生。 

    (7)內(nèi)置定時單元：主要當作看門狗定時器用，用以監(jiān)督系統(tǒng)的運作，監(jiān)控內(nèi)部應用程序是否正確執(zhí)行。若發(fā)現(xiàn)程序運行錯誤，就會給中斷控制器一個中斷信號，使智能卡進入暫停狀態(tài)，一直要等到重置信號出現(xiàn)才恢復正常運行。
 
    (8)電源控制器：內(nèi)置的電壓傳感器和控制電路為其他模塊提供穩(wěn)定、安全的電源供應。 

    (9)功耗管理模塊：智能卡對功耗的要求很高，該模塊是為達到節(jié)省電源的目的設計的省電裝置，其帶有停止和省電兩種工作模式。其中，停電模式支持ISO7816-3的頻率停止模式，以降低整個系統(tǒng)的電源消耗；省電模式則根據(jù)系統(tǒng)不同模塊工作特點規(guī)劃了各模塊的工作順序及狀態(tài)，使工作時間互斥的模塊中的一部分工作時，另一部分工作在睡眠狀態(tài)，從而達到降低系統(tǒng)整體功耗的目的。 

    (10)頻率產(chǎn)生電路：智能卡作為一個復雜的SoC芯片，其系統(tǒng)工作頻率和加密操作頻率是不同的，為此一般的智能卡內(nèi)部都有PLL頻率產(chǎn)生電路。其頻率來自CLK腳輸入的外部頻率，產(chǎn)生供微處理器與加密引擎中各種加密協(xié)處理器使用要求的頻率。
 
    (11)加密引擎：智能卡的加密引擎中嵌入了能實現(xiàn)多種加密算法的協(xié)處理器核，使其可以支持一般的加密算法包括：RSA，DES，AES。該模塊主要包括： 

    加密仲裁 根據(jù)系統(tǒng)不同用途下的不同加密操作要求，通過相關的控制指令管理不同的協(xié)處理器工作。DES協(xié)處理器 支持數(shù)據(jù)加密標準(Data E-ncryption Standard，DES)。以56 b密鑰為基礎的密碼塊加密技術(shù)，DES使用56 b密鑰對64 b的數(shù)據(jù)塊進行加密，并對64 b的數(shù)據(jù)塊進行16輪編碼，結(jié)果為64 b的密文。 

    AES協(xié)處理器 支持高級數(shù)據(jù)加密標準(Ad-Vanced Encryption Standard，AES)。使用的是一個迭代型分組密碼，對加密來說，輸入是一個明文分組和一個密鑰，輸出是一個密文分組；分組長度和密碼長度都可變，可以獨立指定為128 b，192 b或256 b。 

    RSA協(xié)處理器 支持公開金鑰加解密系統(tǒng)。RSA主要是指數(shù)的運算，是基于大質(zhì)數(shù)的因數(shù)分解的公匙體系，簡單來講就是兩個很大的質(zhì)數(shù)，一個作為公鑰，另一個作為私鑰，如用其中一個加密，則用另一個解密。密鑰長度從40～2048 b可變，密鑰越長，加密效果越好，但加密、解密的開銷也就越大。 

    智能卡的ASIC設計，主要模塊如加密引擎中所涉及的加解密協(xié)處理器、嵌入式微處理器等在市場上都由相關的IP核提供，這些IP的設計都采用了相關算法實現(xiàn)了抗DPA攻擊，具有很好的安全性。但是將上述IP整合及其他模塊的設計上必須注意采取抗DPA攻擊措施，才能保證智能卡的高安全性。 

   2 DPA攻擊原理 

    在一個沒有任何抗DPA攻擊的加密芯片上指令的執(zhí)行順序和相關數(shù)據(jù)處理操作會影響功率消耗，盡管這種影響會被噪聲消耗，但是靠統(tǒng)計的方式還是可以看出端倪。DPA攻擊技術(shù)以功率消耗圖為基礎，再以統(tǒng)計方式推演主密鑰的攻擊技術(shù)，其原理是智能卡在執(zhí)行加密過程中會消耗能量，產(chǎn)生電磁輻射，通過使用特殊的電子測量儀和數(shù)學統(tǒng)計技術(shù)，就可以檢測和分析這些變化，從而得到芯片中的特定關鍵信息。智能卡執(zhí)行一條指令消耗的能量與指令的操作數(shù)相關，某一指令I的執(zhí)行所消耗的平均功耗P如下式所示： 

    式中：PI表示指令I執(zhí)行過程中平均消耗的能量；op1，op2，…，opn表示I的操作數(shù)；PI(0)和PI(1)分別表示op1取0和1時執(zhí)行指令I消耗的平均功耗?？梢?，PI與op1相關(△PI≠0)。 

    另外，考慮到智能卡采用的是CMOS工藝，其功耗主要是動態(tài)功耗Pd，而Pd大小如下面公式所示： 

    式中：f是工作頻率；CL是輸出節(jié)點的集總負載電容；VDD是電源電壓；α是電路開關活動因子(電路翻轉(zhuǎn)率)?？梢奀MOS邏輯門功耗大小與α密切相關，所以，電路中的數(shù)據(jù)的0與1狀態(tài)與電路的功率信號必然具有一定的相關性。
綜上所述，加密用密鑰與電路功耗存在相關性，DPA攻擊就是從這種相關性人手，最終實現(xiàn)對密鑰的破解。下面以AES算法為例，介紹DPA攻擊的過程： 

    (1)隨機生成大量明文；
 
    (2)加密這些明文，并記錄下加密操作時的能耗曲線，求得這些曲線的平均；
 
    (3)關注第一輪S2盒的輸出，設輸出的第一比特為b，對第一輪子密鑰的第一個字節(jié)進行猜測，并用其與相應的明文計算出S2盒的輸出； 

    (4)根據(jù)b的值，將能耗曲線按照b=0和b=1分為兩類； 

   (5)計算出這兩類的平均能耗曲線，并將二者相減，求得差分能耗曲線； 

    (6)觀察步驟(2)和(5)生成的能量曲線。若密鑰猜測正確，那么步驟(4)的分組就是正確的，步驟(5)生成的差分能耗曲線將和步驟(2)生成的平均能耗曲線呈現(xiàn)較大的差別，差分能耗曲線中將出現(xiàn)峰值。因此，攻擊者通過觀察峰值來判斷密鑰的猜測是否正確； 

    (7)重復步驟(3)～(6)，得到其他輪的子密鑰。DPA攻擊易于實現(xiàn)，一個完全不懂得智能卡技術(shù)的編程人員完全可以利用專用程序?qū)]有DPA防范的智能卡實現(xiàn)攻擊。高安全性的智能卡必須采取相應的防范措施以實現(xiàn)抗DPA攻擊。

    3 抗DPA攻擊的設計 

    目前各種密碼系統(tǒng)的算術(shù)邏輯運算單元的VLSI設計已得到較為廣泛的研究，如何在其他方面實現(xiàn)抗DPA攻擊是值得進一步深入研究的問題。下面從隨機數(shù)產(chǎn)生器、組合和時序邏輯防DPA設計介紹智能卡抗DPA攻擊的電路實現(xiàn)。

    3．1 隨機數(shù)產(chǎn)生器設計 

    對于智能卡的DPA攻擊，主要是利用在卡上嵌入式微處理器運作時，某個特定指令的執(zhí)行或數(shù)據(jù)存取所消耗功率，在供應電壓源上所表現(xiàn)特定的電流頻譜提供的有用信息。故可以通過外加額外的電路造成額外的電流消耗，從而改變電流頻譜以達到抗DPA攻擊。同時額外的電流消耗電路必須通過采用隨機數(shù)隨機的方式，產(chǎn)生隨機數(shù)消耗電流，以達到芯片消耗電力無法預測性，使其不能被分析與統(tǒng)計。 

    為此，可以在隨機數(shù)產(chǎn)生電路中設計如圖2所示的隨機數(shù)消耗電路，電路由比較器、移位寄存器、譯碼器組成；當電阻噪聲產(chǎn)生的噪聲電壓經(jīng)過放大器、比較器后，產(chǎn)生“1”或“0”數(shù)字信號，存入移位寄存器，這樣寄存器內(nèi)的值已經(jīng)類似混沌式RNG所產(chǎn)生的隨機數(shù)，此隨機數(shù)經(jīng)譯碼器編碼后，控制三態(tài)充放電緩沖器的充放電個數(shù)，最終達到以隨機數(shù)控制電流消耗的目的。 

    3．2 組合邏輯防DPA攻擊設計
 
    防DPA攻擊的主要目的是使電路特性在運算時保持相同，而保持電特性相同很重要的一點是使翻轉(zhuǎn)的晶體管數(shù)量在任何運算步驟中都是一個常數(shù)。為實現(xiàn)這個目的可在電路運算步驟之間增加一個中間步驟，這樣能防止有用信息從功耗分析中泄漏出去。最簡單的中間步驟設置是在輸入?yún)?shù)和電路運算完成之后設置系統(tǒng)中間值。 

    為此，參考異步邏輯電路的雙軌編碼方式中對信息的每一位用兩根信號線進行編碼的方式。采用兩位信號線的組合值“01”和“10”來表示數(shù)字邏輯的“真”和“假”，而組合值“00”和“01”則為中間值。這樣的編碼方式下，設計的基本邏輯單元電路如圖3所示。 

    如圖3(a)電路對于輸入A(A1A2)和B(B1B2)，輸出只有O1O2和R1R2有效，當輸入A1A2B1B2為0000或1111時，輸出O1O2和R1R2的值是11或00，這樣實現(xiàn)了編碼中間態(tài)的傳遞。而當輸入A1A2B1B2為有效數(shù)據(jù)0101，0110，1001和1010時，輸出O1O2和R1的值就得到相關的NAND，AND，NOR和OR四個邏輯功能；其中，輸出O1O2→NAND，O2O1→AND，R1R2→NoR，R2R1→OR。至于NOT的實現(xiàn)如圖3(b)的電路所示。所以，上述基本的邏輯電路足以實現(xiàn)復雜的數(shù)字組合邏輯運算功能。 

    3．3 時序邏輯防DPA攻擊設計 

    針對差分功耗分析，除了利用增加電路噪聲以降低差分功耗分析的信噪比的防御方案外。通過減小差分功率信號的值，同樣可以降低差分功耗分析的信噪比；若電路不同狀態(tài)下的功率差異趨于零，則差分功耗分析將失效。于是基于上述思路，在時序邏輯電路設計上可采用如圖4所示的互補結(jié)構(gòu)寄存器電路。 

    設寄存器初始狀態(tài)相同，輸出負載相同，時鐘沿賦值，如圖4不論輸入為O或1，兩個互補寄存器必是一個翻轉(zhuǎn)，另一個不翻轉(zhuǎn)，因此總的功耗在兩種情況下沒有差別。 

    另外，對于采用前面所述的雙線信號編碼方式，在時序邏輯電路的設計上，可采用在輸入任何有效的數(shù)據(jù)01和10之前，都先把寄存器設置為00或11中間態(tài)的協(xié)議。這樣，無論進行何種操作，則時序邏輯中相關的寄存器都只有一個寄存器翻轉(zhuǎn)，有效地防止了寄存器在數(shù)據(jù)傳輸過程中的信息泄漏。

    4 結(jié) 語 

    智能卡是一種高安全性、高可靠性和復雜的片上系統(tǒng)，具有抗功率分析攻擊、時間分析攻擊和故障分析攻擊的能力，但在一些新型的智能卡攻擊技術(shù)下其安全受到巨大的挑戰(zhàn)，例如DPA攻擊。本文針對DPA攻擊智能卡的特點，在智能卡的硬件電路上進行了抗DPA攻擊的設計，采用此設計，再結(jié)合一些軟件上的抗DPA攻擊措施，就能構(gòu)成一個完善的智能卡安全體系結(jié)構(gòu)，能十分有效地保證智能卡免受DPA攻擊。