FPGA克隆技術(shù)研究（對加密密鑰的攻擊）

針對FPGA克隆技術(shù)展開研究，指出其關(guān)鍵問題在于對加密密鑰的攻擊，并以Xilinx公司7系列FPGA為列，討論了采用AES-256 CBC模式解密條件下的攻擊點(diǎn)函數(shù)選擇方法，通過單比特功耗模型實施差分能量攻擊，成功恢復(fù)了256 bit密鑰。同時，針對不可直接代入密鑰檢驗正確性的問題，設(shè)計了一種基于DPA攻擊相關(guān)系數(shù)極性的檢驗方法，避免了密鑰錯誤引起FPGA錯誤配置，實驗表明，該方法能夠有效消除相關(guān)系數(shù)的“假峰”現(xiàn)象。

0 引言

隨著可編程技術(shù)的不斷發(fā)展，F(xiàn)PGA已經(jīng)成為各類商業(yè)系統(tǒng)的重要組成部分。然而，由于配置文件（比特流）必須存儲在FPGA外部，通過竊取外部存儲器后，攻擊者可直接盜版生產(chǎn)，還可通過FPGA逆向工程（FPGA Reverse Engineering)獲得硬件設(shè)計[1，2]或加入硬件木馬[3，4]，對產(chǎn)品進(jìn)行偽造和破壞，嚴(yán)重地威脅了用戶知識產(chǎn)權(quán)。

為克服這一漏洞，Xilinx公司在ISE、Vivado等設(shè)計軟件中增加AES-256 CBC加密配置方式，并在FPGA內(nèi)部集成解密模塊，從而防止硬件設(shè)計被克隆和偽造[5]。然而，這種方式并不完全可靠。2011年Moradi等人使用差分能量攻擊(Differential Power Attack，DPA)恢復(fù)了Virtex-II Pro系列FPGA加密比特流所用3DES算法密鑰[6]，引起了工業(yè)界的廣泛關(guān)注。此后，使用AES-256算法加密的Xilinx 4系列和5、6、7系列FPGA分別于2012年[7]和2016年[8]被DPA攻擊和差分電磁攻擊(Differential Electromagnetic Attack，DEMA)攻破。

本文針對Xilinx 7系列FPGA實施能量攻擊，從攻擊和檢驗等兩個角度對攻擊效率進(jìn)行了提升。首先根據(jù)Xilinx FPGA解密的實現(xiàn)方式，討論了攻擊點(diǎn)函數(shù)的選取方法，使用DPA攻擊成功恢復(fù)了AES-256算法密鑰，并基于相關(guān)系數(shù)極性設(shè)計了一種新的檢驗方法。

1 FPGA克隆技術(shù)

基于FPGA生產(chǎn)的商用產(chǎn)品，必須通過外部非易失存儲器進(jìn)行重新配置。而FPGA克隆則是通過非法手段獲取比特流配置文件，配合FPGA逆向工具(如BIL[1]、FpgaTools[9])竊取其內(nèi)部設(shè)計XDL/NCD網(wǎng)表的方法，具體流程如圖1所示。

?

加密比特流結(jié)構(gòu)如圖2所示，使用HMAC算法生成認(rèn)證碼SHA256，并通過AES-256算法以CBC模式對SHA256、HMAC密鑰kHMAC和配置信息加密；初始向量IV明文寫入比特流中[5]。因此，密文存儲時，F(xiàn)PGA克隆的關(guān)鍵在于AES密鑰kAES的獲取。

?

由于kAES保存于FPGA內(nèi)部eFUSE中，一次性寫入，外部無法讀取[5]，而明文信息plaintext直接用于FPGA配置，同樣無法獲取，kAES的獲取演變?yōu)槲芪墓?Ciphertext-Only Attack，COA)。由于CBC模式具備很強(qiáng)的抗COA攻擊能力，傳統(tǒng)密碼分析方法難以攻破，此時引入旁道攻擊成為一種較為理想的方法，如圖1所示。

2 能量攻擊方法設(shè)計

2.1 能量攻擊原理

2.1.1 攻擊流程

能量攻擊是最流行的旁道攻擊方法，攻擊者無須了解被攻擊設(shè)備的詳細(xì)知識，根據(jù)功耗的數(shù)據(jù)相關(guān)性，利用加密或解密時的能量跡即可恢復(fù)密鑰，能量攻擊流程如圖3所示[10]，具體流程如下：

?

(1)選取攻擊點(diǎn)

?

(4)計算假設(shè)功耗值

?

(6)結(jié)果檢驗

一般直接代入攻擊所得密鑰，使用新的分組數(shù)據(jù)加密或解密，從而驗證攻擊結(jié)果的正確性。

2.1.2 常用功耗模型及統(tǒng)計方法

針對硬件實現(xiàn)的密碼設(shè)備，DPA攻擊通常針對寄存器翻轉(zhuǎn)功耗的數(shù)據(jù)相關(guān)性進(jìn)行攻擊[10]，根據(jù)統(tǒng)計方法不同，主要分為基于相關(guān)系數(shù)的CPA攻擊和基于均值差的DPA攻擊兩種。

(1)基于相關(guān)系數(shù)的CPA攻擊

?

?

其中，rij表示用第i個猜測密鑰對能量跡上第j個點(diǎn)求得的均值差(下文統(tǒng)稱相關(guān)系數(shù))。