技术详情
一、成果简介
差分功耗攻击(differential power attack, DPA)是一种针对密码硬件的侧信道攻击方式,是当今密码芯片的重要威胁。它通过分析密码芯片加/解密过程中的瞬时功耗特征获得参与运算的密钥信息,可以绕开密码算法的数学难题,破解密码算法。DPA 攻击实施简单,仅需要简单的常用装置和PC 机就可以实现,而且攻击强度高(未采取防护措施的普通密码算法芯片,攻击者采用DPA 攻击,仅需要几分钟就可以获得密钥)。日益广泛应用的各类智能卡产品(如门禁卡、付费电视卡、USB 密钥、手机SIM 卡等)以及加密U 盘、加密硬盘等信息安全设备无一例外的都受到DPA 的威胁。然而,采取抗功耗攻击措施,往往带来产品成本的增加、功耗的提高和性能的下降,阻碍了上述产品安全性的提高。清华大学在密码芯片设计技术,特别是抗功耗攻击技术方面开展多年研究,已拥有和申请多项专利,所研制的低功耗低成本抗功耗攻击方法在提供抗DPA 能力的同时,能够有效控制芯片功耗和芯片面积的额外开销,适用于对成本敏感、具有低功耗要求的密码芯片产品。清华大学采用上述方法设计的两款可抗功耗攻击的AES 加密算法芯片功耗水平和芯片面积均达到国际同类芯片的先进水平。我们目前面向密码芯片用户和设计企业,可提供两款适用于不同应用要求的AES 加密芯片或IP 模块,或根据用户需要定制设计各类密码算法芯片和IP 模块。
二、技术指标
(1)Rijndael 算法加密芯片THUDFAES04
功能:支持全部Rijndael 加密标准,包括明文分组长度(128 位、192 位、256 位)和密钥分组长度(128 位、192 位、256 位)的任意组合;密钥置入后,如果下一分组不需要更换密钥则可以只输入明文分组;输入模块采用防恶意干扰设计——可以防止攻击者通过中断数据输入过程篡改密钥和利用系统内部存储单元的残存状态恢复有用信息;输入模块与输出模块彼此时钟独立,可以在同一时钟域也可以在不同时钟域。
参数:
- SMIC 0.18 微米2P6M CMOS 工艺;
- AES-128 标准加密一个分组的能耗为0.053μJ;
- 管芯面积:2.21 mm2(含PAD);
- 吞吐率:AES-128 标准下约60Mbps。
(2)AES 加解密芯片THUDFAES06
功能:支持全部FIP-197 标准(AES-128/192/256)的加密和解密功能;密钥置入后,如果下一分组不需要更换密钥则可以只输入明文分组;输入模块采用防恶意干扰设计——可以防止攻击者通过中断数据输入过程篡改密钥和利用系统内部存储单元的残存状态恢复有用信息;输入模块与输出模块彼此时钟独立,可以在同一时钟域也可以在不同时钟域。
参数:
- SMIC 0.18 微米2P6M CMOS 工艺;
- AES-128 标准加密一个分组的能耗为0.019μJ(不含密钥扩展),一次128 位密钥扩展的能耗是0.057μJ;
- 面积: 0.43 mm2(含PAD);
- 吞吐率:AES-128 标准下约20Mbps。
THUDFAES06 相对于THUDFAES04 安全性更高、面积更小,适用于高安全性低吞吐率
的应用。
三、应用说明
上述两种芯片既可直接作为单独的芯片用于设备中,也可以提供IP 核嵌入到SoC 芯片中。它们既可以作为协处理器与其他处理器配合使用,也可以单独使用。芯片提供AES 算法的核心加解密功能,经过扩展或主处理器控制支持各种加密模式。电路采用模块化设计,算法执行内核相对独立,输入/输出模块可根据应用单独重新设计。电路采用硬件层抗功耗攻击措施,对算法无特殊要求,该技术可以移植到其他密码算法的芯片实现。移动安全设备、智能卡、RFID 等低功耗、低成本要求的信息安全设备。
四、效益分析
采用本算法模块在几乎不增加芯片成本的情况下能够提供高于同类普通产品的安全性和优秀的功耗性能,能够有效增强产品的竞争力。上述芯片都已经过实际加工测试验证,而且已具有经过验证的实用芯片和成熟的设计方法,无论直接应用还是根据需要定制设计都能够保证上市时间的要求,免除了企业自身的研发成本和时间。
