嵌入在FPGA中的AES靜態(tài)與動(dòng)態(tài)數(shù)據(jù)

考慮 AES 加密數(shù)據(jù)沿以太網(wǎng)鏈路以 1G、10G 或更高的速率流式傳輸?shù)奈恢?。攻擊者可以攔截并存儲(chǔ)傳遞的消息，以便在嘗試破解加密之前進(jìn)行后續(xù)分析。他將快速生成大量數(shù)據(jù)包，并且只有源地址和目標(biāo)地址可用于過(guò)濾掉感興趣的消息。這些可能都使用相同的加密密鑰，但在組織良好的加密系統(tǒng)中，加密密鑰將經(jīng)常更改，從而限制了任何安全故障的規(guī)模。

那么攻擊者可以使用哪些方法來(lái)破解加密呢？說(shuō)實(shí)話，攻擊者通常更容易通過(guò)破壞物理或人類(lèi)安全性來(lái)訪問(wèn)密鑰或明文來(lái)訪問(wèn)機(jī)密數(shù)據(jù)而不會(huì)破解加密。數(shù)據(jù)僅以明文形式有用（例如，您無(wú)法觀看加密視頻或閱讀加密文檔）。同樣，密鑰需要以未加密的形式存儲(chǔ)才能使用，并且保護(hù)它的物理安全性可能比加密算法更容易破壞。

或者，攻擊者可能讓內(nèi)部人員提供密鑰。假設(shè)必須破解加密算法，那么用于破解早期DES系統(tǒng)的方法稱為蠻力。在這里，攻擊者使用巨大的計(jì)算能力來(lái)嘗試密鑰的每個(gè)組合。隨著計(jì)算能力的提高，這種技術(shù)對(duì)于資金充足的組織（如敵對(duì)政府）變得可行。然而，AES最少使用的128位密鑰組合的絕對(duì)數(shù)量是驚人的（5.79E + 76）。

另一種常見(jiàn)的攻擊方法依賴于攻擊者對(duì)包含密鑰的設(shè)備有足夠的訪問(wèn)權(quán)限，以允許使用實(shí)驗(yàn)室設(shè)備。請(qǐng)記住，我已經(jīng)說(shuō)過(guò)，嵌入式加密核心永遠(yuǎn)不應(yīng)該靠近設(shè)備的引腳。在這種類(lèi)型的攻擊中，稱為差分功率分析（DPA），電源電流的測(cè)量是在器件的引腳上進(jìn)行的，因此具有不同密鑰的加密將具有略微不同的能量使用。這導(dǎo)致功耗模式，可以使用信號(hào)處理進(jìn)行分析以推斷出密鑰。

在微處理器上實(shí)現(xiàn)的公鑰算法比AES更容易受到這種攻擊。這就是理論，一些學(xué)者已經(jīng)從完全控制的AES實(shí)現(xiàn)中梳理出關(guān)鍵點(diǎn)，使用帶有慢速時(shí)鐘的DPA和定制電路板，旨在促進(jìn)功率測(cè)量。

DPA基本上是關(guān)于從噪聲中提取信號(hào)。通過(guò)使測(cè)量結(jié)果難以獲得，可以使其更具挑戰(zhàn)性。這包括物理安全性，例如在檢測(cè)到篡改時(shí)將密鑰清零。諸如使用表面貼裝封裝（引腳不可訪問(wèn)）的電路板布局和具有封裝內(nèi)去耦電容器的器件等因素將阻礙功率毛刺的測(cè)量。

使用低電源電壓、較高頻率以及芯片上相關(guān)電路產(chǎn)生額外噪聲的設(shè)計(jì)將不那么容易受到攻擊。此外，加密器中的設(shè)計(jì)技術(shù)可能會(huì)影響對(duì) DPA 攻擊的敏感性，并且通過(guò)頻繁更改密鑰，使得攻擊者無(wú)法在更改密鑰之前捕獲足夠的數(shù)據(jù)來(lái)確定密鑰，從而無(wú)法做到這一點(diǎn)。我并不是說(shuō)這是不可能的，但與使用FPGA實(shí)現(xiàn)AES的典型應(yīng)用相比，DPA對(duì)智能卡，公鑰算法和微處理器實(shí)現(xiàn)的威脅更大。也就是說(shuō)，與沒(méi)有加密相比，向系統(tǒng)添加加密的安全性是向前邁出的一大步。

靜態(tài)數(shù)據(jù)存在不同的問(wèn)題。機(jī)密數(shù)據(jù)顯然可以在磁盤(pán)上被攻擊者訪問(wèn)和更改。加密存儲(chǔ)的兩個(gè)重要標(biāo)準(zhǔn)是數(shù)據(jù)的大小不變，并且相同的明文加密并存儲(chǔ)在多個(gè)位置應(yīng)始終具有不同的密文。還希望對(duì)扇區(qū)進(jìn)行隨機(jī)訪問(wèn)，而不是堅(jiān)持加密和解密完整文件。

不擴(kuò)大數(shù)據(jù)的要求是，磁盤(pán)可以存儲(chǔ)相同數(shù)量的數(shù)據(jù)，無(wú)論是否加密。如果沒(méi)有數(shù)據(jù)擴(kuò)展選項(xiàng)以包含額外的完整性檢查值（ICV），則很難提供身份驗(yàn)證，即保證加密數(shù)據(jù)未被篡改。

磁盤(pán)上相同的數(shù)據(jù)應(yīng)該總是不同的原因是它可能會(huì)揭示數(shù)據(jù)的結(jié)構(gòu)（類(lèi)似于上一篇博客中提到的ECB模式問(wèn)題）。它為攻擊打開(kāi)了漏洞，其中系統(tǒng)被指示加密已知的所需數(shù)據(jù)（例如，指示某人在其銀行帳戶中有1，000，000美元的記錄），然后將其復(fù)制到磁盤(pán)上的另一個(gè)位置（在這種情況下，通過(guò)攻擊者自己的銀行帳戶記錄）。避免這種情況的方案是一種稱為AES-XTS（IEEE標(biāo)準(zhǔn)1619）的變體。XTS IP 核比基本的 AES 設(shè)計(jì)更復(fù)雜，它使用兩個(gè)不同的密鑰來(lái)加密數(shù)據(jù)。它考慮了數(shù)據(jù)的扇區(qū)地址，以確保相同的數(shù)據(jù)不會(huì)重復(fù)。

另一個(gè)考慮因素是，雖然加密可確保數(shù)據(jù)的機(jī)密性，但它不會(huì)提供有關(guān)郵件是否損壞或惡意更改的任何信息。這對(duì)于金融交易等應(yīng)用程序至關(guān)重要，其中消息中更改的數(shù)字可能會(huì)將付款從$ 1，000更改為$ 9，000。AES有一個(gè)解決方案 - 它在加密數(shù)據(jù)時(shí)對(duì)數(shù)據(jù)執(zhí)行“哈希”，然后在消息末尾包含完整性檢查值（ICV）。這會(huì)擴(kuò)展數(shù)據(jù)包長(zhǎng)度，但會(huì)增加用戶的值，因?yàn)榭梢詸z測(cè)到并拒絕被篡改的消息。

用于身份驗(yàn)證和加密的最流行的 IP 核稱為 AES-GCM。AES-GCM的好處是整個(gè)操作可以流水線化，F(xiàn)PGA可以支持100G數(shù)據(jù)速率。這是用FPGA不動(dòng)產(chǎn)換取性能的又一個(gè)例子。AES-GCM內(nèi)核比基本的AES實(shí)現(xiàn)更復(fù)雜，但構(gòu)成了更廣泛的加密子系統(tǒng)的基礎(chǔ)，正如我們將在第3部分中看到的那樣。