SIFA：利用对称密码的无效故障归纳

摘要

自Boneh等人的开创性工作以来，故障攻击的威胁已广为人知，故障攻击技术和对策已得到广泛研究。绝大多数关于故障攻击的文献都关注故障攻击将中间值更改为故障值的能力，如差异故障分析（DFA）、碰撞故障分析、统计故障攻击（SFA）、故障敏感性分析或差异故障强度分析（DFIA）。断层的另一个方面，即断层可以诱发且不会改变值，研究得更少。在对称密码的情况下，无效故障攻击（IFA）利用了这一点。然而，IFA依靠攻击者的能力可靠地在小值部分（例如，一个位或字节）上诱发可再现的确定性故障，如卡阻故障，这通常被认为是不可行的。
因此，大多数针对故障攻击的对策并不侧重于此类攻击，而是针对利用中间值变化的攻击，通常尝试检测此类变化（基于检测），或在发生故障时销毁可利用的信息（感染性对策）。这种对策隐含地假设，在引发故障的攻击者存在的情况下发布“无故障”密文不会泄露任何可利用的信息。在这项工作中，我们证明了这个假设是无效的，并且我们提出了在基于检测和感染的对抗措施存在的情况下工作的新型故障攻击。这些攻击利用了这样一个事实，即导致“无故障”密文的中间值显示出非均匀分布，而它们应该均匀分布。所提出的攻击完全实用，并证明适用于AES的软件实现和硬件协处理器。这些实际攻击依赖于时钟故障的故障感应，因此只能使用低成本设备实现。这是可行的，因为我们的攻击在有噪声的故障诱导尝试下非常稳健，并且不需要攻击者建模或分析准确的故障影响。我们以两种类型的对策为例：带比较的简单时间冗余和几种感染性对策。然而，我们的攻击可以应用于更广泛的对策，并且不限于这两种对策。