依赖AES加速器的抗泄漏的认证加密

最新推荐文章于 2024-06-22 14:52:41 发布
最新推荐文章于 2024-06-22 14:52:41 发布
阅读量464 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 上课看的论文 文章标签: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lrylx/article/details/127770992

依赖AES加速器的抗泄漏的认证加密

论文主要工作

在2020年tches上提出了一篇论文[USS20]给出了抗泄漏AEAD的具体实现,并论证了其安全性。但是本论文作者(Olivier Bronchain等)发现[USS20]给出的实现在实际环境中并不安全,因此作者给出了相关的攻击并分析了不安全的原因,并且进一步给出了相应的改进方案。因此在介绍本论文之前,我们需要简要回顾一下[USS20]论文给出LAEAD的实现方案,而由于[USS20]论文是对一个理论上抗泄漏的AEAD方案的实现,因此我们需要首先了解这个LR-AEAD是如何构造的[KS20]。

Retrofitting Leakage Resilient Authenticated Encryption to Microcontrollers 相关工作
抗泄漏的AEAD方案

在这里插入图片描述

从图中我们可以看到,该LAEAD方案包含四个函数——两个伪随机函数F,F‘,一个伪随机数生成器PRG,以及一个hash函数H。这个方案要求F和F’都需要满足在侧信道泄漏的情况下仍然是伪随机的(刚开始作者要求F‘需要是不可预测的,但是后来Kramer和Struck证明了这个性质是不需要的)。因此我们可以发现,实现这个AEAD方案具体主要需要实现两个函数,LR-PRF和LR-PRG。

LR-PRF

在这里插入图片描述

作者使用的L-PRF是Marcel等人提出的。

初始方案如左图:Fk(x)F_k(x)Fk(x): 每个临时密钥具有两个明文信息。然后从初始密钥开始,利用初始密钥k进行加密,获得两个临时密钥。stage 2使用哪个临时密钥进行加密依赖于伪随机函数的输入x的第 i 比特。我们假设PRF的输入具有128比特,这样的话我们就需要128 个 stage。(由于每个临时密钥只使用两次,因此敌手很难进行侧信道攻击)

我们能想到的提升效率的方法就如右图所示:对于每个stage 选取2^k个明文信息,例如我们选取 k=8,也就是选取256个明文信息。这样每次就能使用x的8比特。这样我们就只需要(128/8)16个stage了。这样虽然提高了效率,但是同时也会降低安全性。因为这样每个临时密钥就被使用了256次,增加了敌手通过侧信道攻击恢复临时密钥的风险。

上面这个方案在一般的情景下仍然不是抗泄漏的。作者又提出了AES的S盒并行来进一步增加侧信道安全性(由于并行会增加侧信道攻击的噪音)。然而,在这种情况下,敌手仍然有可能通过divide and conquer策略来一步步恢复所有密钥。

作者为了进一步增加侧信道攻击的难度(准确来说应该增加divide and conquer的难度),作者为每一层精心挑选了加密的明文信息。即:把每个明文信息都设置为相同的字节进行及联,这样敌手在进行攻击的时候,由于第一层AES加密每个S盒都具有相同的输入,这样敌手即使是用了 divide and conquer策略,也仍然需要确定每个S盒的顺序,这样就进一步增加了敌手完整的恢复密钥的难度。

但是这样保证安全性其实要求两个条件:

  1. 每个S盒的侧信道泄漏函数需要是相同的
  2. 利用未知的密文进行侧信道攻击是困难的
L-PRG

在这里插入图片描述

该L-PRG也是利用AES算法不断更新临时密钥,从而达到抗侧信道的性质的。和LPRF不同的是,这个函数使用的明文信息需要进行保密。

Hash算法

Hash算法由于不需要抗侧信道攻击的性质,因此可以直接运用SHA256。

作者利用上面这些组件的实现,就可以获得一个抗侧信道攻击的AEAD了。作者在STM32和EFM32上进行了测试,说明了这种实现方式是侧信道安全的

Improved Leakage-Resistant Authenticated Encryption based on Hardware AES Coprocessors

作者在这篇论文中分析了上一篇论文方案中存在一些不合理的方面并给出了进一步的改进。

不合理之处
  1. 在上面LAEAD方案中存在标签验证的比较操作,这个操作需要在实现层面进行保护(例如通过masking技术),但是这项技术和上篇论文的主题(使用硬件来保证测新到的安全性)不相符合。
  2. 上面使用的L-PRF在实际使用中其实并不是完全抗侧信道攻击的,原因是上面L-PRF安全性要求每个S盒的侧信道泄漏函数需要是相同的,但是(Olivier Bronchain等)发现在实际芯片中,不同S盒侧信道泄漏不完全相同,并且这个差异性可以被使用来进行SPA攻击。
关于标签验证操作的攻击:

首先看一下上一篇论文中给出的AEAD解密方案:

特别注意一下在14行,代码中实现是直接利用真实标签和敌手给的标签进行比较。这个相比的操作在C语言中写出来就是下面的代码(进行位运算速度更快)

在这里插入图片描述

攻击者可以选择随机的标签S,访问LR-ARAD的解密函数,并进行侧信道攻击。下面是选择的标签S的数据量和成功恢复标签成功率的关系。我们可以看到,敌手大概需要3000次左右的解密操作就能恢复一个32比特长度的标签了。

最低0.47元/天 解锁文章
使用AES_GCM加密模式创造一个Windows加密工具
qq_54226199的博客
04-10 726
手搓AES_GCM文件加密工具
开源物联网技术--AES加密功能技术分享
AmazIOT的博客
09-10 976
后来我们发现,很多物联网产品开发团队都面临着相似的困扰,于是,我们决定向全体物联网行业开发者开放奇迹物联内部沉淀的应用技术知识库 Wiki,期望能为更多物联网产品开发者减轻一些重复造轮子的负担。示例使用的是板载5x6卡,用户的硬件可能是使用外置卡,或者是三合一全网通卡,因为硬件上三种卡使用的模组SIM卡接口不一样(外置卡SIM1,5x6卡和三合一卡SIM2),所以,需要通过一个全局变量来制定SIM卡硬件接口。随着物联网技术的不断发展,越来越多的设备连接到互联网上,这也增加了数据泄露和网络攻击的风险。
AES快速实现,加密速度大约1.4G/s,为了增加速度非一般流程,移植性存在问题
08-07
AES的完全实现,其中代码编写过程中具有很高的技巧性,同时利用了AES加密结构的特点,实现了AES的快速实现,本人2.5G的电脑在DEV上运行最快可达1.4G/s
【转】安全加密(五):如何使用AES防止固件泄露
weixin_30678821的博客
07-19 589
本文导读 随着电子产品更新换代速度的加快,往往都会进行系统升级或APP功能维护升级,但是由此产生了两个主要问题。首先,由于更新过程中出现错误,该设备可能变得无用;另外一个主要问题是:如何避免未经授权的用户访问目标产品的固件? 在嵌入式领域,根据嵌入式系统的MCU存储结构和更新原理,提出了通过加密方式升级设备功能的方法,其中最常用的方法为BootLoader加密升级。 Boo...
AES 前后端加密数据传输
周洲 (Julie)
12-13 2443
问题         敏感信息明文传输,一旦被劫持,就会造成密码泄露。LocalStorage是前端开发经常用到了,将一些信息本地化存储到客户端硬盘中。但是如果有一些密码等信息明文存储,就会造成安全问题。 解决:        AES是一种对称加密的方法,前端加密,后端持密钥解密,就可以获取原来的内容。 前端: AESutils.js: import CryptoJS from...
Springboot +vue Aes加密
凉薄的博客
06-10 1416
首先导入aes依赖 编写aes工具类 在需要使用的地方最直接调用即可。引入 crypto-js npm install -S crypto-js 新建全局工具类 前后端秘钥和key和加密方式,填充方式要一致。不然无法校验。
AES加密、解密
LDRaaa的博客
08-11 604
AES加密、解密 1.引入依赖 <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk15on</artifactId> <version>1.56</version> </dependency> 2.加密算法:AES 工作模式:ECB 填充方式:PKCS7P
go语言实现AES加密的方法
09-22
需要注意的是,在创建加密器实例时,必须确保密钥的长度符合AES算法的要求,否则NewCipher函数会返回错误。此外,输出的加密数据需要存储在适当大小的输出缓冲区中。 当然,在实际应用中,仅仅实现基本的AES加密是...
STM32 16字节加解密的AES算法程序源码
最新发布
12-25
STM32微控制器是一种广泛应用于嵌入式系统的高性能32位RISC微控制器,它具有丰富的外设和较低的功耗,适用于工业控制、医疗设备、消费电子产品等众多领域。在这些领域中,数据的安全性和隐私性非常重要,因此对于...
android AES rsa 混合加密
10-18
如果对性能有更高要求,可以考虑使用一些优化技术,如使用硬件加速器或者多线程并行处理。 7. **合规性与法规**: 在进行加密操作时,需要了解当地的法律法规,确保加密策略符合相关标准,例如在某些地区可能需要...
aes对称加密所需jar
04-19
项目使用aes对称加密时,JDK不支持,报错.根据readme.txt进行操作即可.
挖洞实战之信息泄露与前端加密
YJ_12340的博客
06-09 1929
本文并非密码向,不会对算法过程/代码逻辑进行具体阐述,因为这没有意义,实战的时候肯定是具体问题具体分析,所以了解个大致流程就行。
前端AES加密,后端解密,有效防止数据外泄
hexianfan的博客
07-13 1万+
/AES加密 var key = "ABCDEFGHIJKL_key";
AES 高级加密加速器实验
你要拥有一个你喜欢并且热爱的人生
06-22 707
Kendryte K210 内置 AES(高级加密加速器),相对于软件可以极⼤的提高 AES 运算速度。 AES 加速器支持多种加密/解密模式(ECB,CBC,GCM),多种⻓度的 KEY(ECB,CBC,GCM)的运算。
使用CPU硬件指令对AES加解密进行加速
weixin_34233856的博客
11-17 5640
概述 AES是世界上最安全、使用广泛的加密算法,很多安全合规要求里面都明确要求使用AES算法,只是相对于3des、rc4等加密算法,速度慢了很多,幸好有了AES-NI,这是针对AES加密算法的硬件加解密CPU指令集。 AES-NI的全称是:Advanced Encryption Standard New Instructions。指令集说明 更多详细的信...
AES】——对称加密AES加密算法
我爱吃土豆
07-24 8501
目录 一、对称加密  1、什么是对称加密?  2、对称加密的工作过程  3、对称加密的优点  4、对称加密的两大不足 二、AES加密算法  1、什么是AES加密算法及AES加密算法的形成过程  2、AES加密流程 (要理解AES加密流程,会涉及到AES的五个关键词:分组密码体制、Padding、初始向量IV、密钥、四种加密模式)  3、AES加密原理 (要理解AES的...
AES加密算法原理的详细介绍与实现
热门推荐
qq_28205153的博客
02-19 89万+
AES简介高级加密标准(AES,Advanced Encryption Standard)为最常见的对称加密算法(微信小程序加密传输就是用这个加密算法的)。对称加密算法也就是加密和解密用相同的密钥,具体的加密流程如下图: 下面简单介绍下各个部分的作用与意义: 明文P 没有经过加密的数据。密钥K 用来加密明文的密码,在对称加密算法中,加密与解密的密钥是相同的。密钥为接收方与发送方协商产生
AES算法的DFA攻击方法
m0_74043383的博客
07-11 1775
在针对AES进行DFA分析时,研究者们采取的是先获取轮加密过程中某一轮次的密钥结果,得到轮密钥后根据其与初始提供的密钥之间的数学关系,逆推得到数学模型然后进行初始密钥的破译。进行差分故障攻击时,其原理主要是利用了数学分析方法和AES迭代密码的差分特性。在实施DFA分析时,统计同样的明文信息在正常执行下的输出结果和受攻击注入干扰而错误执行后的异常结果。通过对(CC∗)之间的差分值进行分析,根据此差分值信息进行部分轮密钥信息的猜测运算。下面介绍一种针对AES的DFA的具体攻击过程。
AI嵌入式K210项目(16)-高级加密加速器
疯狂飙车的蜗牛的博客
01-19 1291
K210内置了丰富的加速器,包括神经网络处理器 (KPU),AES(高级加密加速器),APU 麦克风阵列语音数据加速计算处理器,现场可编程 IO 阵列 (FPIOA),数字摄像头接口 (DVP),相对于软件可以极大的提高 AES 运算速度,快速傅里叶变换加速器 (FFT),安全散列算法加速器 (SHA256)。本文介绍高级加密加速器 (AES);AES是高级加密标准,在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值