Cryptography Reference
In-Depth Information
schlüsselungsverfahren wie der DES und der AES sind teilweise gegenüber simp-
len Stromangriffen anfällig, da ihre Bestandteile (u.a. Permutationen und
Substitutionen) deutliche Spuren auf dem Oszilloskop hinterlassen.
Spannung
Zeit
Abb. 17-2
Der Unterschied zwischen den ersten 16 Bytes (Zufallswerte) und den restlichen 16 Bytes
(jeweils mit demselben Wert) ist im Oszilloskop-Bild gut zu erkennen.
Differenzieller Stromangriff
Beim
differenziellen Stromangriff
führt Mallory nicht nur eine, sondern mehrere
Verschlüsselungen oder Entschlüsselungen durch. Idealerweise stehen ihm dabei
mehrere Krypto-Module mit unterschiedlichen Schlüsseln zur Verfügung.
Anschließend nutzt Mallory die Mittel der Statistik, um die zahlreichen Messkur-
ven miteinander zu verrechnen. Das Ergebnis ist oft eine Messkurve, die beson-
ders scharfe Konturen hat und dadurch Rückschlüsse auf den Arbeitsablauf
zulässt. Daraus versucht Mallory, den Schlüssel zu ermitteln. Der differenzielle
Stromangriff ist schwieriger, aber auch wirkungsvoller als der simple.
Bereits 1998 veröffentlichte Paul Kocher zusammen mit zwei Kollegen einen
differenziellen Stromangriff auf den DES [JaJuKo]. Seinen Ausführungen zufolge
gelang es ihm, mit etwa 100.000 Verschlüsselungsoperationen einen DES-Schlüs-
sel zu rekonstruieren. Eine andere Gruppe von Kryptografen zeigte 2003, dass
auch RC4 per differenziellem Stromangriff zu knacken ist. Sie ermittelten den
Schlüssel mit einigen Tausend Versuchen [AACRR].
Maßnahmen gegen Stromangriffe
Auch gegen Stromangriffe gibt es wirksame Gegenmaßnahmen. So kann der Her-
steller eines Krypto-Moduls den Stromverbrauch verschleiern, indem er Dummy-
Operationen in einen Ver- bzw. Entschlüsselungsvorgang einbaut. Diese können
