[ml] SPA ed attacchi "control flow based"

Ricordo  che per  "messaggi  riguardanti gli  algoritmi,  la teoria,  la
pratica e l'implementazione di sistemi di crittografia e qualsiasi altra
cosa sia "crypto-related", anche in ambito non strettamente informatico"
la  lista  giusta  e'  crypto@. Eventuali  risposte,  direttamente  li',
grazie.

thnx
Koba (moderatore)

----- Forwarded message from Patrick Bellasi <zeus@xxxxxxxxxxxxx> -----
From: Patrick Bellasi <zeus@xxxxxxxxxxxxx>
Subject: SPA ed attacchi "control flow based"
Date: Mon, 7 Feb 2005 18:14:40 +0100

Salve ragazzi,
  da qualche tempo mi stò interessando a problematiche legate alle sicurezza 
degli algoritmi di cifratura. Mi sono focalizzato principalmente sulla 
possibilità di effettuare SPA a partire dall'analisi di una traccia di 
potenza assorbita dal core di un sistema di cifratura.

 In particolare, dispongo di un simulatore di microprocessori; non si tratta 
di un Instruction Set Simulator ma bensì di un simulatore comportamentale, 
pensato originariamente per rilevare statistiche sulle tempistiche di 
esecuzione delle istruzioni macchina.

Bene, ho esteso questo simulatore rendendolo capace di tracciare gli 
assorbimenti del core con il dettaglio del singolo clock cycle. Quello che 
ottengo in output è un tracciato che è molto vicino, almeno nell'andamento, a 
quello che si otterrebbe se collegassimo direttamente un oscilloscopio al 
core hardware.
Tengo a precisare che nel tracciato ottenuto NON ho dipendenza dai dati, 
questo dipende da come è stato pensato originariamente il simulatore, ma solo 
una potenza calcolata in funzione del tipo di istruzioni che si trovano 
all'interno della pipeline in ogni istante di clock.

Venendo al punto. Mi chiedevo se fosse possibile sfruttare i dati che riesco 
ora a generare per analizzare la vulnerabilità di alcuni algoritmi di 
cifratura ad attacchi basati sulla "Simple Power Analysis".

In particolare, mi chiedevo:

1. esistono algoritmi vulnerabili alla SPA, ovvero che mostrano una forte 
dipendenza del "flusso di controllo" dalla chiave?

2. DES, AES, SHA, MD5 sono sicuri in merito alla SPA;

3. Quali altre informazioni possono avere una certa correlazione con la chiave 
di cifratura ed al contempo essere analizzabili mediante SPA? (tipo numero di 
volte che viene eseguito una certa operazione)

4. Gli algoritmi "meno vulnerabili" alla SPA, se implementati su architetture 
elementari, come i microporcessori delle smartcard, possono mostrare 
debolezze verso attacchi SPA? (ad esempio uno shift di Nbit inplementato come 
successione di N shift in linguaggio macchina ciascuno di 1 bit: potrebbe 
essere evidente in un tracciato per SPA)


Ho pensato di scrivere a questa mailing list perchè so essere frequentata da 
alcuni dei migliori esperti di sicurezza in Italia... spero qualcuno mi 
riesca a dare qualche dritta interessante.
Vanno benissimo anche riferimenti bibliografici.

Grazie per la collaborazione,
 Patrick Bellasi

-- 
<---------------------------------------------------------------------------------------------------------->
                                                  DERKLING
                                    LRU 338214 (http://counter.li.org)

  Computers are like air conditioners: they don't work well
  if you keep windows opened...


<---------------------------------------------------------------------------------------------------------->
   Patrick Bellasi <derkling_at_users.sourceforge.net>
   Student (Politecnico di Milano)
       Comp.Sci & Soft.Eng
   
   Contacts:
    - Room   +39 02 23952621
    - Home   +39 0342 621043 (week-ends)
    - ICQ    344672588
    - MSN    derkling@xxxxxxxx
    - Skype  derkling
   
   Privacy:
    - GnuPG   0x72ABC1EE (keyserver.linux.it)
        pub  1024D/72ABC1EE 2003-12-04 Patrick Bellasi
             (Zeus - Spektra System Administrator) <zeus@xxxxxxxxxxxxx>
        Key fingerprint: 3958 7B5F 36EC D1F8 C752  9589 C3B7 FD49 72AB C1EE
<---------------------------------------------------------------------------------------------------------->   
----- End forwarded message -----