- Văn bản
- Lịch sử
Unstable clocks are typical for car
Unstable clocks are typical for cards with an internal clock. Our sample does not have an internal clock, and we are unaware of programmable cards with an internal clock that are vulnerable to DPA within a few thousand traces. Therefore, we choose to process the obtained traces and introduce an unstable clock by duplicating or removing a sample at the end of only a small fraction of clock cycles. This is the second set of traces we will be analysing. Note that in our set with a stable clock, SW-DPA can exactly average consecutive cycles. With the unstable clock, it is not possible for SW-DPA to correctly average clock cycles, as it assumes a fixed clock length. We therefore expect SW-DPA to perform better with the stable clock than with the unstable clock. Elastic alignment should be able to deal with both scenarios, as it automatically synchronizes to the clock.
4.1 Measuring DPA success rate
To analyze the results, we perform correlation power analysis on trace sets of different number of traces, and calculate the first order success rate graph [Stan08]. This graph displays for increasing trace set size what the estimated probability is of finding the correct key as first candidate. We know our target implementation strongly leaks the Hamming weight of the processed intermediates. For CPA, we therefore use the Hamming weight power model and correlate with the output of the DES S-boxes. We are targeting the first round of DES for efficiency reasons. Because of this, the total key we recover has 48 bits. As elastic alignment and SW-DPA are signal processing techniques, there is no reason to assume they perform differently if more rounds or even another cryptographic algorithm is used.
4.2 Trace acquisition and processing
We acquire one set of 100000 traces. All traces are acquired by measuring the instantaneous power consumption of the card by an oscilloscope sampling at 50MHz, using an analog low pass filter at 11MHz. The clock of the card runs at 4MHz, and we compress the traces by averaging consecutive samples resulting in one sample per clock period. The number of samples per trace is 5600. From this original trace set we generate two derived trace sets: one with a stable cycle, and one with an unstable cycle. From Fourier transforms of measurements on various cards with unstable clocks we know the clock to be strongly centered around its base frequency, with a sharp dropoff in both tails. This sharp dropoff indicates the instability to be small, and we therefore choose to create the derived trace sets such that the instability is small as well: the stable cycle has 5 samples per clock, and the unstable cycle length is determined by a rounded Gaussian distribution: bL + 0.5c , L ∼ N(5, 0.2), which yields about 98.7% cycles of 5 samples, and only 1.3% cycles of 4 or 6 samples. Each cycle is represented by one sample with the measured value, followed by samples that are the average of the previous sample and the minimum sample value of the trace. This corresponds with the observation that leakage is typically concentrated in a specific peak of the cycle. For the experiments with elastic alignment, we set the radius parameter to 110. This is an experimentally derived value that balances computational performance and output quality. We start with a low value and increase it until it does not significantly improve the alignment quality. With this value for the radius parameter, aligning each trace takes about 2 seconds on a current 2.4GHz processor. For SW-DPA, we choose to use the average length of a clock cycle in our measurements as the distance parameter, in these measurements 5 samples. The number of consecutive cycles to average is set to 200, which is the experimentally determined width of the distribution of the widest CPA peak (for the last S-Box in the calculation).
4.1 Measuring DPA success rate
To analyze the results, we perform correlation power analysis on trace sets of different number of traces, and calculate the first order success rate graph [Stan08]. This graph displays for increasing trace set size what the estimated probability is of finding the correct key as first candidate. We know our target implementation strongly leaks the Hamming weight of the processed intermediates. For CPA, we therefore use the Hamming weight power model and correlate with the output of the DES S-boxes. We are targeting the first round of DES for efficiency reasons. Because of this, the total key we recover has 48 bits. As elastic alignment and SW-DPA are signal processing techniques, there is no reason to assume they perform differently if more rounds or even another cryptographic algorithm is used.
4.2 Trace acquisition and processing
We acquire one set of 100000 traces. All traces are acquired by measuring the instantaneous power consumption of the card by an oscilloscope sampling at 50MHz, using an analog low pass filter at 11MHz. The clock of the card runs at 4MHz, and we compress the traces by averaging consecutive samples resulting in one sample per clock period. The number of samples per trace is 5600. From this original trace set we generate two derived trace sets: one with a stable cycle, and one with an unstable cycle. From Fourier transforms of measurements on various cards with unstable clocks we know the clock to be strongly centered around its base frequency, with a sharp dropoff in both tails. This sharp dropoff indicates the instability to be small, and we therefore choose to create the derived trace sets such that the instability is small as well: the stable cycle has 5 samples per clock, and the unstable cycle length is determined by a rounded Gaussian distribution: bL + 0.5c , L ∼ N(5, 0.2), which yields about 98.7% cycles of 5 samples, and only 1.3% cycles of 4 or 6 samples. Each cycle is represented by one sample with the measured value, followed by samples that are the average of the previous sample and the minimum sample value of the trace. This corresponds with the observation that leakage is typically concentrated in a specific peak of the cycle. For the experiments with elastic alignment, we set the radius parameter to 110. This is an experimentally derived value that balances computational performance and output quality. We start with a low value and increase it until it does not significantly improve the alignment quality. With this value for the radius parameter, aligning each trace takes about 2 seconds on a current 2.4GHz processor. For SW-DPA, we choose to use the average length of a clock cycle in our measurements as the distance parameter, in these measurements 5 samples. The number of consecutive cycles to average is set to 200, which is the experimentally determined width of the distribution of the widest CPA peak (for the last S-Box in the calculation).
0/5000
Đồng hồ không ổn định là điển hình cho thẻ với một đồng hồ nội bộ. Mẫu của chúng tôi không có một đồng hồ nội bộ, và chúng tôi không biết gì về lập trình thẻ với một đồng hồ nội bộ đó là dễ bị tổn thương đến DPA trong vòng một vài nghìn vết. Vì vậy, chúng tôi chọn để xử lý những dấu vết thu được và giới thiệu một đồng hồ không ổn định bằng cách nhân đôi hoặc loại bỏ một mẫu ở phần cuối của chỉ là một phần nhỏ của chu kỳ đồng hồ. Đây là tập thứ hai của chúng tôi sẽ phân tích các dấu vết. Lưu ý rằng trong các thiết lập của chúng tôi với một đồng hồ ổn định, SW-DPA chính xác có thể trung bình chu kỳ liên tiếp. Với đồng hồ không ổn định, nó là không thể cho SW-DPA chính xác trung bình chu kỳ đồng hồ, như nó giả định một chiều dài cố định đồng hồ. Do đó, chúng tôi mong đợi SW-DPA để thực hiện tốt hơn với các đồng hồ ổn định hơn với đồng hồ không ổn định. Chỉnh đàn hồi nên có thể đối phó với các tình huống cả hai, như nó sẽ tự động đồng bộ hóa với đồng hồ.4.1 DPA đo tỷ lệ thành côngĐể phân tích các kết quả, chúng tôi thực hiện mối tương quan sức mạnh phân tích vào dấu vết bộ số khác nhau của các dấu vết, và tính toán đầu tiên đặt hàng thành công tỷ lệ đồ thị [Stan08]. Biểu đồ này sẽ hiển thị để tăng kích thước thiết lập theo dõi xác suất ước tính là gì để tìm thấy phím đúng là ứng cử viên đầu tiên. Chúng tôi biết chúng tôi thực hiện mục tiêu mạnh mẽ rò rỉ Hamming trọng lượng trung gian xử lý. CPA, chúng ta do đó sử dụng mô hình năng lượng cân Hamming và tương ứng với đầu ra của DES S-hộp. Chúng tôi đang nhắm mục tiêu vào vòng đầu tiên của DES vì lý do hiệu quả. Bởi vì điều này, chìa khóa tất cả chúng ta phục hồi có 48 bit. Liên kết đàn hồi và SW-DPA những kỹ thuật xử lý tín hiệu, có là không có lý do để thừa nhận họ thực hiện một cách khác nhau nếu viên đạn nhiều hơn hoặc thậm chí một thuật toán mật mã được sử dụng.4.2 mua lại theo dõi và xử lýChúng tôi có được một tập hợp các dấu vết 100000. Tất cả các dấu vết được mua bằng cách đo mức tiêu thụ điện tức thời của thẻ bằng một mẫu máy hiện sóng tại 50MHz, bằng cách sử dụng một bộ lọc thông thấp tương tự ở 11MHz. Đồng hồ của thẻ chạy ở 4MHz, và chúng tôi nén các dấu vết của trung bình mẫu liên tiếp, kết quả là một mẫu cho một khoảng thời gian đồng hồ. Số lượng mẫu mỗi dấu vết là 5600. Từ điều này đặt dấu vết ban đầu chúng tôi tạo ra hai dấu vết nguồn gốc bộ: một với một chu kỳ ổn định, và một với một chu trình không ổn định. Từ biến đổi Fourier của các số đo trên các loại thẻ khác nhau với đồng hồ không ổn định, chúng ta biết đồng hồ để được mạnh mẽ tập trung vào tần số cơ sở của nó, với một dropoff sắc nét trong cả hai đuôi. Này dropoff sắc nét cho thấy sự bất ổn định được nhỏ, và do đó chúng tôi chọn để tạo ra các bộ nguồn gốc dấu vết như vậy mà sự bất ổn định cũng như là nhỏ: chu kỳ ổn định có 5 mẫu cho một đồng hồ, và chiều dài các chu trình không ổn định được xác định bằng phân phối Gaussian tròn: bL + cách 0.5c, L ∼ N (5, 0.2), sản lượng khoảng 98.7% chu kỳ 5 mẫu , và chỉ 1,3% chu kỳ của mẫu 4 hoặc 6. Mỗi chu kỳ được đại diện bởi một mẫu với các giá trị đo được, theo sau là các mẫu trung bình của các mẫu trước đó và các giá trị tối thiểu mẫu của vết. Điều này tương ứng với các quan sát rằng rò rỉ thường tập trung ở đỉnh điểm cụ thể của chu kỳ. Đối với các thí nghiệm với sự liên kết đàn hồi, chúng tôi đặt tham số bán kính 110. Đây là một giá trị bằng thực nghiệm dịch cân bằng tính toán hiệu suất và sản lượng chất lượng. Chúng tôi bắt đầu với một giá trị thấp và tăng nó cho đến khi nó không đáng kể cải thiện chất lượng liên kết. Với giá trị này cho tham số bán kính, liên kết khu vực theo dõi mỗi mất khoảng 2 giây trên một bộ xử lý hiện tại 2.4GHz. Cho SW-DPA, chúng tôi chọn sử dụng chiều dài trung bình của một chu kỳ đồng hồ trong số đo của chúng tôi như là tham số khoảng cách trong các mẫu đo 5. Số lượng các chu kỳ liên tiếp trung bình được thiết lập 200, đó là thí nghiệm xác định độ rộng của việc phân phối các cao điểm rộng nhất của CPA (cho cuối cùng S-Box trong tính toán).
đang được dịch, vui lòng đợi..
Đồng hồ không ổn định là tiêu biểu cho thẻ với một đồng hồ nội bộ. Mẫu của chúng tôi không có một đồng hồ nội bộ, và chúng tôi không biết thẻ lập trình với một đồng hồ nội bộ dễ bị tổn DPA trong vòng vài ngàn dấu vết. Do đó, chúng tôi chọn để xử lý các dấu vết thu được và giới thiệu một đồng hồ không ổn định bằng cách nhân đôi hoặc loại bỏ một mẫu vào cuối chỉ là một phần nhỏ của chu kỳ đồng hồ. Đây là tập thứ hai của dấu vết, chúng tôi sẽ phân tích. Lưu ý rằng trong bộ của chúng tôi với một chiếc đồng hồ ổn định, SW-DPA có thể chu kỳ chính xác trung bình liên tục. Khi đồng hồ không ổn định, nó không phải là có thể cho SW-DPA đến đúng chu kỳ đồng hồ trung bình, vì nó giả định một chiều dài đồng hồ cố định. Do đó chúng tôi mong đợi SW-DPA để thực hiện tốt hơn với đồng hồ ổn định hơn so với các đồng hồ không ổn định. Đàn hồi liên kết nên có thể đối phó với cả hai kịch bản, vì nó sẽ tự động đồng bộ hóa với đồng hồ.
4.1 Đo tỷ lệ thành công DPA
Để phân tích kết quả, chúng tôi thực hiện phân tích năng lượng tương quan trên bộ dấu vết của số khác nhau của dấu vết, và tính toán tỷ lệ thành công đầu tiên đặt hàng đồ thị [Stan08]. Biểu đồ này hiển thị để tăng kích thước dấu vết bộ những gì các xác suất ước tính là tìm chìa khóa đúng là ứng cử viên đầu tiên. Chúng ta biết thực hiện mục tiêu của chúng tôi bị rò rỉ mạnh trọng lượng Hamming của các chất trung gian xử lý. Đối với CPA, do đó chúng tôi sử dụng mô hình điện trọng lượng Hamming và tương quan với sản lượng của DES S-box. Chúng tôi đang nhắm mục tiêu các vòng đầu tiên của DES vì lý do hiệu quả. Bởi vì điều này, tổng trọng chúng ta hồi phục có 48 bit. Khi liên kết đàn hồi và SW-DPA là kỹ thuật xử lý tín hiệu, không có lý do để cho rằng họ thực hiện khác nhau nếu có nhiều viên đạn hoặc thậm chí một thuật toán mã hóa được sử dụng.
Mua lại và xử lý 4.2 Vết
Chúng tôi có được một bộ 100000 dấu vết. Tất cả các dấu vết được mua bằng cách đo mức tiêu thụ năng lượng tức thời của các thẻ bằng một mẫu dao động ở 50MHz, sử dụng một bộ lọc tương tự thông thấp ở 11MHz. Chiếc đồng hồ của card chạy ở 4MHz, và chúng tôi nén các dấu vết bằng trung bình mẫu liên tiếp dẫn đến một mẫu cho mỗi thời kỳ đồng hồ. Số lượng mẫu mỗi dấu vết là 5600. Từ này ban đầu dấu vết bộ chúng ta tạo ra hai bộ dấu vết nguồn gốc: một với một chu kỳ ổn định, và một với một chu kỳ không ổn định. Từ biến đổi Fourier của các phép đo trên thẻ khác nhau với các đồng hồ không ổn định, chúng tôi biết đồng hồ để được tập trung mạnh mẽ xung quanh tần số cơ sở của nó, với một dropoff mạnh cả đuôi. Dropoff nhọn Điều này cho thấy sự bất ổn là nhỏ, và do đó chúng tôi chọn để tạo ra các bộ dấu vết nguồn gốc như vậy mà bất ổn là nhỏ cũng như: chu kỳ ổn định có 5 mẫu cho mỗi đồng hồ, và độ dài chu kỳ không ổn định được xác định bởi một phân phối Gaussian tròn : BL + 0.5C, L ~ N (5, 0,2), trong đó sản lượng khoảng 98,7% chu kỳ của 5 mẫu, và chỉ có 1,3% chu kỳ 4 hoặc 6 mẫu. Mỗi chu kỳ được đại diện bởi một mẫu với các giá trị đo được, tiếp theo là mẫu mà là mức trung bình của các mẫu trước đó và giá trị mẫu tối thiểu của các dấu vết. Điều này tương ứng với việc quan sát rò rỉ thường được tập trung ở một cao điểm cụ thể của chu kỳ. Đối với các thí nghiệm với sự liên kết đàn hồi, chúng tôi thiết lập các tham số bán kính 110. Đây là một giá trị có nguồn gốc thực nghiệm để cân bằng với hiệu suất máy tính và chất lượng đầu ra. Chúng tôi bắt đầu với một giá trị thấp và tăng nó cho đến khi nó không cải thiện đáng kể chất lượng liên kết. Với giá trị này cho các tham số bán kính, sắp xếp từng dấu vết mất khoảng 2 giây trên một bộ xử lý 2.4GHz hiện hành. Đối với SW-DPA, chúng tôi chọn để sử dụng độ dài trung bình của một chu kỳ đồng hồ trong các phép đo của chúng tôi là tham số khoảng cách, trong các phép đo 5 mẫu. Số lượng các chu kỳ liên tiếp đến trung bình được thiết lập đến 200, mà là độ rộng xác định bằng thực nghiệm về sự phân bố của các đỉnh cao CPA rộng nhất (cho người cuối cùng S-Box trong tính toán).
4.1 Đo tỷ lệ thành công DPA
Để phân tích kết quả, chúng tôi thực hiện phân tích năng lượng tương quan trên bộ dấu vết của số khác nhau của dấu vết, và tính toán tỷ lệ thành công đầu tiên đặt hàng đồ thị [Stan08]. Biểu đồ này hiển thị để tăng kích thước dấu vết bộ những gì các xác suất ước tính là tìm chìa khóa đúng là ứng cử viên đầu tiên. Chúng ta biết thực hiện mục tiêu của chúng tôi bị rò rỉ mạnh trọng lượng Hamming của các chất trung gian xử lý. Đối với CPA, do đó chúng tôi sử dụng mô hình điện trọng lượng Hamming và tương quan với sản lượng của DES S-box. Chúng tôi đang nhắm mục tiêu các vòng đầu tiên của DES vì lý do hiệu quả. Bởi vì điều này, tổng trọng chúng ta hồi phục có 48 bit. Khi liên kết đàn hồi và SW-DPA là kỹ thuật xử lý tín hiệu, không có lý do để cho rằng họ thực hiện khác nhau nếu có nhiều viên đạn hoặc thậm chí một thuật toán mã hóa được sử dụng.
Mua lại và xử lý 4.2 Vết
Chúng tôi có được một bộ 100000 dấu vết. Tất cả các dấu vết được mua bằng cách đo mức tiêu thụ năng lượng tức thời của các thẻ bằng một mẫu dao động ở 50MHz, sử dụng một bộ lọc tương tự thông thấp ở 11MHz. Chiếc đồng hồ của card chạy ở 4MHz, và chúng tôi nén các dấu vết bằng trung bình mẫu liên tiếp dẫn đến một mẫu cho mỗi thời kỳ đồng hồ. Số lượng mẫu mỗi dấu vết là 5600. Từ này ban đầu dấu vết bộ chúng ta tạo ra hai bộ dấu vết nguồn gốc: một với một chu kỳ ổn định, và một với một chu kỳ không ổn định. Từ biến đổi Fourier của các phép đo trên thẻ khác nhau với các đồng hồ không ổn định, chúng tôi biết đồng hồ để được tập trung mạnh mẽ xung quanh tần số cơ sở của nó, với một dropoff mạnh cả đuôi. Dropoff nhọn Điều này cho thấy sự bất ổn là nhỏ, và do đó chúng tôi chọn để tạo ra các bộ dấu vết nguồn gốc như vậy mà bất ổn là nhỏ cũng như: chu kỳ ổn định có 5 mẫu cho mỗi đồng hồ, và độ dài chu kỳ không ổn định được xác định bởi một phân phối Gaussian tròn : BL + 0.5C, L ~ N (5, 0,2), trong đó sản lượng khoảng 98,7% chu kỳ của 5 mẫu, và chỉ có 1,3% chu kỳ 4 hoặc 6 mẫu. Mỗi chu kỳ được đại diện bởi một mẫu với các giá trị đo được, tiếp theo là mẫu mà là mức trung bình của các mẫu trước đó và giá trị mẫu tối thiểu của các dấu vết. Điều này tương ứng với việc quan sát rò rỉ thường được tập trung ở một cao điểm cụ thể của chu kỳ. Đối với các thí nghiệm với sự liên kết đàn hồi, chúng tôi thiết lập các tham số bán kính 110. Đây là một giá trị có nguồn gốc thực nghiệm để cân bằng với hiệu suất máy tính và chất lượng đầu ra. Chúng tôi bắt đầu với một giá trị thấp và tăng nó cho đến khi nó không cải thiện đáng kể chất lượng liên kết. Với giá trị này cho các tham số bán kính, sắp xếp từng dấu vết mất khoảng 2 giây trên một bộ xử lý 2.4GHz hiện hành. Đối với SW-DPA, chúng tôi chọn để sử dụng độ dài trung bình của một chu kỳ đồng hồ trong các phép đo của chúng tôi là tham số khoảng cách, trong các phép đo 5 mẫu. Số lượng các chu kỳ liên tiếp đến trung bình được thiết lập đến 200, mà là độ rộng xác định bằng thực nghiệm về sự phân bố của các đỉnh cao CPA rộng nhất (cho người cuối cùng S-Box trong tính toán).
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Stories
- Das silikonfreie Shampoo sorgt für mehr
- 1. Phần LanDanh sách 11 nước đứng đầu về
- đến 12 tháng, bảo dưỡng miễn phí lên đến
- If not will continue xem xét liệu lỗi hư
- đến 12 tháng, bảo dưỡng miễn phí lên đến
- Develop the right content
- cùng với sự hiện diện của 2 sinh viên ưu
- Điều tôi yêu thích nhất ở mùa đông ư? Ch
- Annual holding cost
- 上次我們打樣給客人CB 的樣品 盤子 / 手機架 .. 甘納QC來驗貨時 會幫忙
- Tranh chấp về giá trị pháp lý của quyết
- enclosure
- this is the best product ever...it liter
- It may be damaged or use a file format t
- Tranh chấp về giá trị pháp lý của quyết
- this printer is driving me crazy
- The previous discussion of the CMOS inve
- chả cá
- Das silikonfreie Shampoo sorgt für mehr
- Xã hội đang ngày càng phát triển, điều đ
- rừng tự nhiên
- Yes, your order has been shipped to your
- bền
