Why cryptography should not rely on physical attack complexity
Krämer, Juliane I.
Seitdem Mitte der Neunziger Jahre die ersten Seitenkanal- und Fehlerangriffe auf
kryptographische Technologien vorgestellt wurden, werden kontinuierlich neue Mög-
lichkeiten physikalischer Angriffe erforscht. Der Gefahr, die von diesen Angriffen
ausgeht, wird begegnet, indem auf bekannte Angriffe reagiert wird und Gegenmaß-
nahmen zum Schutz vor ihnen implementiert werden. Bei physikalischen Angriffen,
die zwar prinzipiell bekannt sind, jedoch noch nicht praktisch umgesetzt wurden,
verhält es sich hingegen anders. Angriffe, deren Realisierung eine hohe physikalische
Komplexität zugeschrieben wird, werden weniger ernst genommen. Das Vertrauen
darauf, dass diese Angriffe aufgrund ihrer physikalischen Komplexität nicht möglich
sein werden, führt dazu, dass auf keiner Ebene Gegenmaßnahmen für sie entwickelt
werden. Dieses Vorgehen ist problematisch, wenn sich im Nachhinein durch die Re-
alisierung solcher Angriffe die Einschätzung der Komplexität als falsch erweist.
In dieser Arbeit werden zwei praktische physikalische Angriffe präsentiert,
deren Theorie bereits seit mehreren Jahren bekannt ist. Da diese Angriffe jedoch
zuvor nicht erfolgreich praktisch umgesetzt wurden, wurde in ihnen keine Gefahr
gesehen. Die Komplexität ihrer Durchführung wurde überschätzt. Zunächst stellen
wir den photonischen Seitenkanal vor, der neben der zeitlichen die größtmögliche
räumliche Auflösung bietet, aufgrund der hohen Kosten bei seiner ersten Anwen-
dung jedoch bisher nicht ernst genommen wurde. Wir zeigen sowohl einfache als auch
differentielle photonische Seitenkanalanalysen. Anschließend präsentieren wir einen
Fehlerangriff auf paarungsbasierte Kryptographie, der aufgrund der Notwendigkeit
zweier unabhängiger präziser Fehler in einer einzigen Paarungsberechnung bei der
Entwicklung von Gegenmaßnahmen nicht berücksichtigt wurde. Wir zeigen, wie
Angreifer mit Hilfe dieser physikalischen Angriffe geheimes Schlüsselmaterial sym-
metrischer und asymmetrischer Algorithmen ermitteln können. Anschließend präsen-
tieren wir Gegenmaßnahmen auf Software- und Hardware-Ebene, mit deren Hilfe
diesen neuen Angriffen zukünftig standgehalten werden kann.
Anhand der beiden vorgestellten Angriffe zeigt diese Arbeit, dass die Ein-
schätzung physikalischer Angriffskomplexität fehlerhaft sein kann. Es ist daher falsch,
auf sie zu vertrauen. Kryptographische Technologien sollten gegenüber sämtlichen
physikalischen Angriffen geschützt werden, seien diese bereits praktisch umgesetzt
oder nur theoretisch bekannt. Die Entwicklung von Gegenmaßnahmen erfordert
nicht die erfolgreiche Durchführung praktischer Angriffe und sollte daher bereits er-
folgen, sobald das Prinzip eines Seitenkanals oder eines Fehlerangriffs verstanden ist.
Ever since the first side channel attacks and fault attacks on cryptographic devices
were introduced in the mid-nineties, new possibilities of physical attacks have been
consistently explored. The risk that these attacks pose is reduced by reacting to
known attacks and by developing and implementing countermeasures against them.
For physical attacks whose theory is known but which have not been conducted yet,
however, the situation is different. Attacks whose physical realization is assumed to
be very complex are taken less seriously. The trust that these attacks will not be
realized due to their physical complexity means that no countermeasures are devel-
oped at all. This leads to unprotected devices once the assessment of the complexity
turns out to be wrong.
This thesis presents two practical physical attacks whose theory is known for
several years. Since neither attack has previously been successfully implemented in
practice, however, they were not considered a serious threat. Their physical attack
complexity has been overestimated and the implied security threat has been un-
derestimated. First, we introduce the photonic side channel, which offers not only
temporal resolution, but also the highest possible spatial resolution. Due to the high
cost of its first realization, it has not been taken seriously. We show both simple and
differential photonic side channel analyses. Then, we present a fault attack against
pairing-based cryptography. Due to the need for at least two independent precise
faults in a single pairing computation, it has also not been taken seriously. We show
how attackers can reveal the secret key of symmetric as well as asymmetric cryp-
tographic algorithms based on these physical attacks. We present countermeasures
on the software and the hardware level, which help to prevent these attacks in the
future.
Based on these two presented attacks, this thesis shows that the assessment
of physical attack complexity is error-prone. Hence, cryptography should not rely
on it. Cryptographic technologies have to be protected against all physical attacks,
have they already been realized or not. The development of countermeasures does
not require the successful execution of an attack but can already be carried out as
soon as the principle of a side channel or a fault attack is understood.