МОДЕЛИРОВАНИЕ УТЕЧЕК ПО ПОБОЧНЫМ КАНАЛАМ ДЛЯ КРИПТОГРАФИЧЕСКОГО АЛГОРИТМОВ «МАГМА» И «КУЗНЕЧИК» НА ОСНОВЕ ЭМУЛЯТОРА ELMO
Аннотация
Анализ стойкости реализаций средств защиты информации к атакам по побочным каналам является актуальной задачей при разработке криптографических модулей. Первым этапом в ис- следовании стойкости по побочным каналам рассматривается оценка наличия статистических утечек в различных параметрах работы устройств в ходе выполнения криптографических алго- ритмов. Универсальным источником, оцениваемым как побочный канал, рассматривается анализ энергопотребления устройства в ходе криптографических вычислений. В исследовательской ра- боте с помощью инструмента ELMO получены трассы энергопотребления для алгоритмов шиф- рования «Магма» и «Кузнечик», выявлены инструкции, содержащие статистические утечки по энергопотреблению для исследуемых алгоритмов. Для моделирования трасс энергопотребления в ELMO реализован на языке С алгоритм шифрования ГОСТ Р 34.12—2015 (n=64 «Магма» и n=128 «Кузнечик»). Полнораундовая версия алгоритмов шифрования «Магма» и «Кузнечик» составляет соответственно 15400 инструкций (из них 4450 инструкций содержит потенциальную утечку по энергопотреблению) и 7167 инструкций (из них 4833 инструкций содержит потенциальную утеч- ку по энергопотреблению). Выявление побочного канала (соответствующего обрабатываемым данным) может быть осуществлено с помощью статистического t-теста. Для выполнения этой задачи формируются два независимых набора трасс энергопотребления устройств: трассы при фиксированном значении входных векторов и трассы при произвольных (не совпадающих с фикси- рованными) значениях входных векторов. Выполнено моделирование утечек по энергопотреблению для различного числа раундов шифрования «Магма» и «Кузнечик» на о снове статистического t-теста. Определены инструкции, содержащие наибольшую статистическую зависимость на базе проведенного тестирования. Для шифра Магма выделены инструкции adds r3,r4,r3 и ldrb r3,[r3,r1], для шифра Кузнечик - lsls r5,r3,#0x0 и str r7,[r3,#0x20000888]. Выявленные инструкции являются оптимальными для последующего проведения дифференциальных или корреляционных атак по энергопотреблению на исследуемые алгоритмы шифрования.
