嵌入在FPGA中的AES靜態(tài)與動態(tài)數(shù)據(jù)

考慮 AES 加密數(shù)據(jù)沿以太網(wǎng)鏈路以 1G、10G 或更高的速率流式傳輸?shù)奈恢?。攻擊者可以攔截并存儲傳遞的消息，以便在嘗試破解加密之前進行后續(xù)分析。他將快速生成大量數(shù)據(jù)包，并且只有源地址和目標地址可用于過濾掉感興趣的消息。這些可能都使用相同的加密密鑰，但在組織良好的加密系統(tǒng)中，加密密鑰將經(jīng)常更改，從而限制了任何安全故障的規(guī)模。

那么攻擊者可以使用哪些方法來破解加密呢？說實話，攻擊者通常更容易通過破壞物理或人類安全性來訪問密鑰或明文來訪問機密數(shù)據(jù)而不會破解加密。數(shù)據(jù)僅以明文形式有用（例如，您無法觀看加密視頻或閱讀加密文檔）。同樣，密鑰需要以未加密的形式存儲才能使用，并且保護它的物理安全性可能比加密算法更容易破壞。

或者，攻擊者可能讓內(nèi)部人員提供密鑰。假設必須破解加密算法，那么用于破解早期DES系統(tǒng)的方法稱為蠻力。在這里，攻擊者使用巨大的計算能力來嘗試密鑰的每個組合。隨著計算能力的提高，這種技術(shù)對于資金充足的組織（如敵對政府）變得可行。然而，AES最少使用的128位密鑰組合的絕對數(shù)量是驚人的（5.79E + 76）。

另一種常見的攻擊方法依賴于攻擊者對包含密鑰的設備有足夠的訪問權(quán)限，以允許使用實驗室設備。請記住，我已經(jīng)說過，嵌入式加密核心永遠不應該靠近設備的引腳。在這種類型的攻擊中，稱為差分功率分析（DPA），電源電流的測量是在器件的引腳上進行的，因此具有不同密鑰的加密將具有略微不同的能量使用。這導致功耗模式，可以使用信號處理進行分析以推斷出密鑰。

在微處理器上實現(xiàn)的公鑰算法比AES更容易受到這種攻擊。這就是理論，一些學者已經(jīng)從完全控制的AES實現(xiàn)中梳理出關(guān)鍵點，使用帶有慢速時鐘的DPA和定制電路板，旨在促進功率測量。

DPA基本上是關(guān)于從噪聲中提取信號。通過使測量結(jié)果難以獲得，可以使其更具挑戰(zhàn)性。這包括物理安全性，例如在檢測到篡改時將密鑰清零。諸如使用表面貼裝封裝（引腳不可訪問）的電路板布局和具有封裝內(nèi)去耦電容器的器件等因素將阻礙功率毛刺的測量。

使用低電源電壓、較高頻率以及芯片上相關(guān)電路產(chǎn)生額外噪聲的設計將不那么容易受到攻擊。此外，加密器中的設計技術(shù)可能會影響對 DPA 攻擊的敏感性，并且通過頻繁更改密鑰，使得攻擊者無法在更改密鑰之前捕獲足夠的數(shù)據(jù)來確定密鑰，從而無法做到這一點。我并不是說這是不可能的，但與使用FPGA實現(xiàn)AES的典型應用相比，DPA對智能卡，公鑰算法和微處理器實現(xiàn)的威脅更大。也就是說，與沒有加密相比，向系統(tǒng)添加加密的安全性是向前邁出的一大步。

靜態(tài)數(shù)據(jù)存在不同的問題。機密數(shù)據(jù)顯然可以在磁盤上被攻擊者訪問和更改。加密存儲的兩個重要標準是數(shù)據(jù)的大小不變，并且相同的明文加密并存儲在多個位置應始終具有不同的密文。還希望對扇區(qū)進行隨機訪問，而不是堅持加密和解密完整文件。

不擴大數(shù)據(jù)的要求是，磁盤可以存儲相同數(shù)量的數(shù)據(jù)，無論是否加密。如果沒有數(shù)據(jù)擴展選項以包含額外的完整性檢查值（ICV），則很難提供身份驗證，即保證加密數(shù)據(jù)未被篡改。

磁盤上相同的數(shù)據(jù)應該總是不同的原因是它可能會揭示數(shù)據(jù)的結(jié)構(gòu)（類似于上一篇博客中提到的ECB模式問題）。它為攻擊打開了漏洞，其中系統(tǒng)被指示加密已知的所需數(shù)據(jù)（例如，指示某人在其銀行帳戶中有1，000，000美元的記錄），然后將其復制到磁盤上的另一個位置（在這種情況下，通過攻擊者自己的銀行帳戶記錄）。避免這種情況的方案是一種稱為AES-XTS（IEEE標準1619）的變體。XTS IP 核比基本的 AES 設計更復雜，它使用兩個不同的密鑰來加密數(shù)據(jù)。它考慮了數(shù)據(jù)的扇區(qū)地址，以確保相同的數(shù)據(jù)不會重復。

另一個考慮因素是，雖然加密可確保數(shù)據(jù)的機密性，但它不會提供有關(guān)郵件是否損壞或惡意更改的任何信息。這對于金融交易等應用程序至關(guān)重要，其中消息中更改的數(shù)字可能會將付款從$ 1，000更改為$ 9，000。AES有一個解決方案 - 它在加密數(shù)據(jù)時對數(shù)據(jù)執(zhí)行“哈?！?，然后在消息末尾包含完整性檢查值（ICV）。這會擴展數(shù)據(jù)包長度，但會增加用戶的值，因為可以檢測到并拒絕被篡改的消息。

用于身份驗證和加密的最流行的 IP 核稱為 AES-GCM。AES-GCM的好處是整個操作可以流水線化，F(xiàn)PGA可以支持100G數(shù)據(jù)速率。這是用FPGA不動產(chǎn)換取性能的又一個例子。AES-GCM內(nèi)核比基本的AES實現(xiàn)更復雜，但構(gòu)成了更廣泛的加密子系統(tǒng)的基礎，正如我們將在第3部分中看到的那樣。