Cryptography Reference
In-Depth Information
parallel zum Nutzbetrieb laufen und verzögern die Laufzeit daher nicht notwen-
digerweise. Darüber hinaus kann ein Krypto-Modul ein künstliches Rauschen
erzeugen, das den eigentlichen Stromverbrauch überlagert.
17.1.3
Fehlerangriffe
Im September 1996 legten drei Mitarbeiter der US-Firma Bellcore den Grund-
stein für eine weitere Klasse von Seitenkanalangriffen, die als
Fehlerangriffe
bezeichnet werden [BoDeLi]. Bei einem Fehlerangriff beschädigt Angreifer Mal-
lory eine Krypto-Implementierung oder bedient sie falsch, um aus den anschlie-
ßend auftretenden Fehlern auf den Schlüssel zu schließen. Die drei genannten
Bellcore-Forscher beschädigten Smartcards mit Hitze oder mechanisch. Durch
einen Vergleich zwischen dem korrekten und dem falschen Resultat konnten sie
teilweise den Schlüssel rekonstruieren. Adi Shamir und Eli Biham - die Erfinder
der differenziellen Kryptoanalyse - übertrugen die Idee des Bellcore-Angriffs auf
symmetrische Verfahren und führten den
differenziellen Fehlerangriff
ein
[BiSh97] - so nennt man Fehlerangriffe, bei denen der Angreifer die Ergebnisse
mehrerer Fehlerinduzierungen miteinander vergleicht. Ross Anderson und Mar-
kus Kuhn schlugen als zusätzliche Variante einen abrupten Taktwechsel vor, der
zu aufschlussreichen Fehlern führen kann [AndKuh].
Auch Fehlerangriffe sind vor allem für Smartcards geeignet, da Mallory an
diese am einfachsten herankommt. In der Tat haben Angriffe dieser Art in der
Smartcard-Welt für einigen Wirbel gesorgt. In der Praxis spielen sie bisher jedoch
kaum eine Rolle. Es ist offensichtlich recht schwierig, Hardwaremodule so zu
beschädigen, dass ein gezielter Angriff möglich ist.
17.1.4
Weitere Seitenkanalangriffe
Ein weiterer Seitenkanal, der sich für entsprechende Angriffe nutzen lässt, ist die
elektromagnetische Abstrahlung. Dementsprechend spricht man von
elektromag-
netischen Angriffen
. Auch hier kann man wiederum zwischen dem simplen elekt-
romagnetischen Angriff und dem differenziellen elektromagnetischen Angriff
unterscheiden. Darüber hinaus gibt der innere Zustand eines Prozessors Informa-
tionen über den Schlüssel preis [BoDeLi]. Obwohl Seitenkanalangriffe vor allem
gegenüber Hardwareimplementierungen eine wirksame Waffe sein können, sollte
man sie nicht überschätzen. Dies belegen folgende Argumente:
■
Wir gehen an dieser Stelle davon aus, dass Mallory direkten Zugriff auf das
betreffende Hardwaremodul hat und dieses in Gang setzen kann (er wird also
nicht von einer PIN aufgehalten). Diese Extremsituation ist in der Praxis häu-
fig nicht gegeben.
