the need for speed applications of hpc in side channel
play

The Need for Speed: Applications of HPC in Side Channel - PowerPoint PPT Presentation

Sep 02, 2022 •30 likes •280 views

The Need for Speed: Applications of HPC in Side Channel Research Dr. M. Elisabeth Oswald Reader, EPSRC Leadership Fellow University of Bristol Roadmap

  1. The ¡Need ¡for ¡Speed: ¡Applications ¡ of ¡HPC ¡in ¡Side ¡Channel ¡Research ¡ Dr. ¡M. ¡Elisabeth ¡Oswald ¡ Reader, ¡EPSRC ¡Leadership ¡Fellow ¡ University ¡of ¡Bristol ¡

  2. � Roadmap ¡ • Background: ¡side ¡channels, ¡pracGcal ¡angles ¡for ¡ research ¡ • The ¡BIG ¡quesGon: ¡how ¡much ¡does ¡my ¡device ¡ leak? ¡ • Summary ¡

  3. � In ¡case ¡you ¡haven’t ¡heard ¡of ¡ side ¡channels ¡…. ¡ • Known ¡side ¡channels: ¡ ¡ • Gming, ¡power, ¡EM ¡ ¡ • acousGcs, ¡de-­‑duplicaGon, ¡TCP-­‑IP ¡ traffic ¡features, ¡error ¡messages, ¡ cache ¡behaviour, ¡… ¡ • Used ¡for ¡ ¡ • Key ¡recovery ¡ • Plaintext ¡recovery ¡ • Device ¡fingerprinGng ¡

  4. � E.g. ¡Web ¡ traf=ic ¡ analysis ¡ Profiling ¡of ¡web ¡traffic ¡ allows ¡to ¡recover ¡user ¡ ¡ choices ¡even ¡through ¡ encrypted ¡traffic. ¡ ¡ (Chen ¡et ¡al., ¡IEEE ¡S&P, ¡ ¡ 2010) ¡

  5. � E.g. ¡Web ¡traf=ic ¡ analysis: ¡features ¡ which ¡leak ¡ Features that leak are: • Packet size • Direction • Arrival time • TLS record lengths • TCP acknowledg. flag • TCP handshaking flags Details: Mather & O., JCEN 2012 (2)

  6. � Side ¡channel ¡research ¡ questions ¡… ¡ • Are ¡there ¡leaks? ¡If ¡so ¡what ¡leaks? ¡If ¡not ¡how ¡can ¡ we ¡be ¡sure? ¡ • How ¡many ¡side ¡channel ¡observaGons ¡are ¡needed ¡ to ¡exploit ¡the ¡leaks ¡…? ¡ • One? ¡ • Many? ¡(What ¡is ¡many?) ¡ • What ¡does ¡exploit ¡mean? ¡(Key ¡recovery, ¡parGal ¡key ¡ recovery, ¡lambda ¡leakage?) ¡ • (New ¡a^acks, ¡new ¡countermeasures, ¡leakage ¡ resilient ¡crypto) ¡

  7. � Different ¡practical ¡‘angles’ ¡for ¡(SC) ¡ research ¡ A^acker ¡ DisGnguished ¡by: ¡ ¡ Degree/extent ¡of ¡knowledge: ¡ • Leakage ¡points ¡(within ¡a ¡trace) ¡ • Leakage ¡model ¡ ¡ ¡ ComputaGonal ¡capabiliGes: ¡ Developer ¡ Evaluator ¡ • How ¡many ¡leakage ¡traces ¡ • How ¡much ¡computaGon ¡

  8. � Different ¡practical ¡‘angles’ ¡for ¡(SC) ¡ research ¡ A^acker ¡ Evaluator ¡should ¡be ¡at ¡least ¡as ¡good ¡ as ¡best ¡‘pracGcal’ ¡a^acker ¡… ¡ ¡ But ¡computaGonal ¡capabiliGes ¡are ¡ increasing ¡fast: ¡ ¡ • A^ack ¡using ¡a ¡32-­‑bit ¡key ¡guess ¡ ¡ Developer ¡ Evaluator ¡ took ¡just ¡over ¡8 ¡minutes ¡in ¡2012 ¡ using ¡4 ¡state ¡of ¡the ¡art ¡GPUs ¡ ¡ • Same ¡a^ack ¡now ¡takes ¡15 ¡sec! ¡ ¡

  9. � Roadmap ¡ • Background: ¡side ¡channels, ¡pracGcal ¡angles ¡for ¡ research ¡ • The ¡BIG ¡ques+on: ¡how ¡much ¡does ¡my ¡device ¡ leak? ¡ • Summary ¡

  10. � How to determine 𝜇 1. Measure side channels for N encryptions Data Data Key (Chunk) Model 2. Extract relevant data: leakage of detection Device 3. Analyse relevant data to extract Predicted Side probabilities for chunks of key: Behaviour channel leakage exploitation Distinguisher 4. Sift through key space using probabilities: key enumeration/ rank estimation Probability associated with key guess Research question: Given N observations, how much effort is required (in 4.) to find the secret key. Leakage bound 𝝁

  11. � Leakage ¡detection ¡ Given ¡a ¡vector ¡of ¡side ¡channel ¡points ¡(aka ¡ ¡a ¡trace, ¡ see ¡below), ¡determine ¡which ¡of ¡the ¡points ¡contain ¡ leakage ¡about ¡a ¡(specific) ¡secret. ¡ • ¡What ¡staGsGcal ¡test ¡to ¡use? ¡(t-­‑test, ¡conGnuous ¡MI, ¡or ¡ discrete ¡MI): ¡ ¡ • Genericity ¡(i.e. ¡it ¡captures ¡all ¡ ¡ sorts ¡of ¡leaks) ¡ • ComputaGonal ¡requirements; ¡ ¡ Gme ¡ • Number ¡of ¡leakage ¡traces ¡ ¡ (aka ¡sample ¡size) ¡ (Power traces of AES encryption)

  12. � Leakage ¡detection, ¡cont. ¡ The ¡ be;er ¡test ¡ can ¡spot ¡informaGon ¡leakage ¡ faster ¡ and ¡more ¡reliable —it ¡requires ¡less ¡data; ¡whilst ¡ maintaining ¡a ¡high ¡staGsGcal ¡power ¡(i.e. ¡probability ¡a ¡ test ¡correctly ¡rejects ¡a ¡null ¡hypothesis). ¡ ¡ Can ¡we ¡esGmate ¡the ¡minimum ¡sample ¡sizes ¡required ¡ to ¡achieve ¡sufficient ¡staGsGcal ¡power? ¡ ¡ • Need ¡to ¡vary ¡leakage ¡models, ¡noise ¡levels, ¡and ¡sample ¡ sizes!! ¡ ¡ • This ¡is ¡research ¡is ¡computaGonally ¡very ¡expensive. ¡ ¡

  13. � Leakage ¡detection, ¡cont. ¡ Heavily lifting required to evaluate effectiveness of e.g. CMI: • Estimate MI(K;T) • Estimate ‘zero MI’, by randomly permuting Sample size required to achieve 80% power traces T (need at least (Toggle count leakage) around 100 permutations) 192000 168000 • Repeatedly …. 144000 120000 Continuous MI Discrete MI 96000 Welch t-test 72000 Even heavy for a single 48000 application: CMI ¡applied ¡to ¡our ¡ ¡ 24000 real ¡world ¡AES ¡traces ¡demanded ¡ ¡ 0 -11 -5 1 7 13 2^51 ¡calls ¡to ¡the ¡kernel ¡funcGon! ¡ Signal-to-noise ratio (2x) ¡

  14. � Leakage ¡detection, ¡cont. ¡ Continuous MI test, high-end specification 2021 days i5 3550 1c x 3.3 GHz CPU i5 3550 4c x 3.3 GHz CPU 188.5 days 39 days Radeon HD 6450 GPU Radeon HD 7970 GPU 3.7 days Switching ¡to ¡a ¡GPU ¡based ¡implementaGon ¡on ¡our ¡HPC ¡cluster ¡was ¡ ¡ the ¡only ¡way ¡to ¡conduct ¡this ¡research. ¡

  15. � Leakage ¡detection ¡summary ¡ • T-­‑test ¡is ¡a ¡good ¡baseline ¡test, ¡but ¡obviously ¡ cannot ¡capture ¡higher-­‑order ¡leaks ¡ • CMI ¡can ¡be ¡used ¡in ¡pracGce ¡if ¡implemented ¡ appropriately ¡ • Bo^om ¡line: ¡we ¡can ¡now ¡assess ¡general ¡ informaGon ¡leaks ¡with ¡some ¡rigour! ¡ ¡ • See ¡Mather ¡& ¡O. ¡(et ¡al.) ¡Asiacrypt ¡2013 ¡

  16. � How to determine 𝜇 1. Measure side channels for N encryptions Data Data Key (Chunk) Model 2. Extract relevant data: leakage of detection Device 3. Analyse relevant data to extract Predicted Side probabilities for chunks of key: Behaviour channel leakage exploitation Distinguisher 4. Sift through key space using probabilities: key enumeration/ rank estimation Probability associated with key guess Research question: Given N observations, how much effort is required (in 4.) to find the secret key. Leakage bound 𝝁

  17. � Leakage ¡exploitation ¡ ¡ • Given ¡a ¡set ¡of ¡known ¡ leakage ¡points ¡what ¡is ¡ the ¡best ¡strategy ¡to ¡ exploit ¡the ¡leakage? ¡ • (How ¡to ¡select ¡among ¡the ¡ known ¡leakage ¡points) ¡ • How ¡to ¡combine ¡the ¡ selected ¡leakage ¡points ¡ (AES power trace) ¡

  18. � Leakage ¡exploitation: ¡combining ¡ attack ¡outcomes ¡(AES) ¡ Single ¡point ¡a;ack ¡ Combining ¡outcomes ¡ • AES ¡has ¡16 ¡state ¡bytes, ¡ • But ¡you ¡can ¡a^ack ¡different ¡ assume ¡you ¡a^ack ¡them ¡ intermediate ¡values, ¡so ¡ individually: ¡ these ¡should ¡be ¡combined ¡

  19. � Leakage ¡exploitation, ¡cont. ¡ • It ¡turned ¡out ¡that ¡amalgamaGng ¡disGnguishing ¡scores ¡ by ¡`directly´using ¡them ¡as ¡probabilGes ¡is ¡a ¡very ¡ efficient ¡strategy ¡ • But ¡working ¡with ¡MixColumns ¡means ¡we ¡need ¡to ¡ work ¡with ¡32 ¡bits ¡of ¡the ¡key ¡at ¡a ¡Gme. ¡We ¡used ¡again ¡ a ¡GPU ¡based ¡implemenaGon, ¡and ¡switched ¡to ¡an ¡HPC ¡ plaporm ¡to ¡do ¡repeat ¡experiments. ¡

  20. � Leakage ¡exploitation: ¡AES ¡column ¡ ¡

  21. � Leakage ¡exploitation: ¡real ¡device ¡

  22. � Leakage ¡exploitation: ¡ experimental ¡setup ¡ • Used ¡up ¡to ¡6 ¡workstaGons ¡with ¡2 ¡high ¡end ¡GPUs ¡ each ¡(cost ¡per ¡machine ¡around ¡2k ¡GBP) ¡ • Both ¡Nvidia ¡cards ¡and ¡AMD ¡ • Developed ¡Baikal ¡which ¡efficiently ¡distributes ¡ a^acks ¡across ¡workstaGons ¡and ¡within ¡nodes ¡ (hand ¡threaded) ¡uGlising ¡OpenCL ¡ • Completed ¡just ¡over ¡2^50 ¡operaGons ¡on ¡ combined ¡disGnguishing ¡vectors ¡in ¡about ¡2 ¡weeks ¡ • Details ¡in ¡Mather ¡& ¡O. ¡(et ¡al.) ¡Asiacrypt ¡2014 ¡

Recommend

Towards the Automatic Applications of Side Channel Countermeasures Francesco Regazzoni Francesco

Towards the Automatic Applications of Side Channel Countermeasures Francesco Regazzoni Francesco

Towards the Automatic Applications of Side Channel Countermeasures Francesco Regazzoni Francesco Regazzoni 23 October 2015, Chia, Italy P. 1 Contents 1 Motivations 2 DPA Resistant Synthesis 3 DPA Resistant Place and Route 4 DPA

1.01k views • 55 slides
+ Side Channel and Covert Channel A1acks on Microkernel

+ Side Channel and Covert Channel A1acks on Microkernel

+ Side Channel and Covert Channel A1acks on Microkernel Architectures WAMOS 2015 Advanced Opera3ng Systems Hochschule RheinMain Alexander Baumgrtner and

539 views • 25 slides
Side-Channel & Fault Attacks Ruggero Susella System Research & Applications Security

Side-Channel & Fault Attacks Ruggero Susella System Research & Applications Security

Side-Channel & Fault Attacks Ruggero Susella System Research & Applications Security Rodmap STMicroelectronics 2018/12/06 2 ST Who are we ? STMicroelectronics 3 A global semiconductor leader 2017 revenues of $8.35B

1.32k views • 107 slides
FIDES: Lightweight Authentication Cipher with Side-Channel Resistance for Constrained Hardware

FIDES: Lightweight Authentication Cipher with Side-Channel Resistance for Constrained Hardware

FIDES: Lightweight Authentication Cipher with Side-Channel Resistance for Constrained Hardware Begl Bilgin, Andrey Bogdanov, Miroslav Kne evi , Florian Mendel, and Qingju Wang 1 DIAC 2013, Chicago Side Channel Resistance 2 Side

1.29k views • 76 slides
Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 18

Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 18

I SAP Towards Side-channel Secure AE Christoph Dobraunig, Maria Eichlseder, Stefan Mangard, Florian Mendel, Thomas Unterluggauer FSE 2017 www.iaik.tugraz.at Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . .

635 views • 30 slides
Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 21

Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 21

I SAP Towards Side-channel Secure AE Christoph Dobraunig, Maria Eichlseder, Stefan Mangard, Florian Mendel, Thomas Unterluggauer ESC 2017 www.iaik.tugraz.at Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . .

476 views • 33 slides
The Curse of Class Imbalance and Conflicting Metrics with Machine Learning for Side-channel

The Curse of Class Imbalance and Conflicting Metrics with Machine Learning for Side-channel

The Curse of Class Imbalance and Conflicting Metrics with Machine Learning for Side-channel Evaluations Stjepan Picek, Annelie Heuser, Alan Jovic, Shivam Bhasin, and Francesco Regazzoni Big Picture side-channel measurements device classifier

822 views • 33 slides
Generic Side-Channel Distinguishers: Improvements and Limitations N. Veyrat-Charvillon and F-X.

Generic Side-Channel Distinguishers: Improvements and Limitations N. Veyrat-Charvillon and F-X.

Side-Channel Cryptanalysis Models and Dependencies New Generic Test Experiments Conclusions Generic Side-Channel Distinguishers: Improvements and Limitations N. Veyrat-Charvillon and F-X. Standaert UCL Crypto Group, Universit e catholique

355 views • 24 slides
SIDE-CHANNEL ATTACKS ON HARDWARE IMPLEMENTATIONS OF CRYPTOGRAPHIC ALGORITHMS Sddka Berna

SIDE-CHANNEL ATTACKS ON HARDWARE IMPLEMENTATIONS OF CRYPTOGRAPHIC ALGORITHMS Sddka Berna

SIDE-CHANNEL ATTACKS ON HARDWARE IMPLEMENTATIONS OF CRYPTOGRAPHIC ALGORITHMS Sddka Berna Ors Yal cn Istanbul Technical University Department of Electronics and Communication Engineering Introduction A side-channel analysis attack

1.81k views • 99 slides
Side-Channel Cryptanalysis Joseph Bonneau Security Group jcb82@cl.cam.ac.uk Rule 0: Attackers

Side-Channel Cryptanalysis Joseph Bonneau Security Group jcb82@cl.cam.ac.uk Rule 0: Attackers

Side-Channel Cryptanalysis Joseph Bonneau Security Group jcb82@cl.cam.ac.uk Rule 0: Attackers will always cheat xkcd #538 What is side channel cryptanalysis? Side Channels: whatever the designers ignored Key Plaintext Encryption Cipher

1.14k views • 112 slides
Recent advances in side- channel analysis using machine learning techniques Annelie Heuser with

Recent advances in side- channel analysis using machine learning techniques Annelie Heuser with

Recent advances in side- channel analysis using machine learning techniques Annelie Heuser with Stjepan Picek, Sylvain Guilley, Alan Jovic, Shivam Bhasin, Tania Richmond, Karlo Knezevic In this talk Short recap on side-channel analysis

4.52k views • 56 slides
Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of

Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of

Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of Technology, The Netherlands May 6, 2018 Outline 1 Side-channels 2 Implementation Attacks 3 Side-channel Attacks 4 Fault Injection 2 / 48

824 views • 48 slides
Elliptic Curve Cryptography on Embedded Devices Scalar Multiplication and Side-Channel Attacks

Elliptic Curve Cryptography on Embedded Devices Scalar Multiplication and Side-Channel Attacks

Elliptic Curves Side-Channel Countermeasures Conclusion Elliptic Curve Cryptography on Embedded Devices Scalar Multiplication and Side-Channel Attacks Vincent Verneuil 1 , 2 1 Inside Secure 2 Institut de Math ematiques de Bordeaux S

2.22k views • 188 slides
Enhancing the Power of Deep Learning in Side-Channel Analysis? Breaking multiple layers of

Enhancing the Power of Deep Learning in Side-Channel Analysis? Breaking multiple layers of

Plaintext: A Missing Feature for Enhancing the Power of Deep Learning in Side-Channel Analysis? Breaking multiple layers of side-channel countermeasures Anh-Tuan Hoang, Neil Hanley and Mire ONeill CHES 2020 14-18 September 2020 Outline

622 views • 21 slides
AUTOMATED SOFTWARE PROTECTION FOR THE MASSES AGAINST SIDE-CHANNEL ATTACKS PHISIC 2018 |

AUTOMATED SOFTWARE PROTECTION FOR THE MASSES AGAINST SIDE-CHANNEL ATTACKS PHISIC 2018 |

Nicolas Belleville Damien Courouss Karine Heydemann Henri-Pierre Charles AUTOMATED SOFTWARE PROTECTION FOR THE MASSES AGAINST SIDE-CHANNEL ATTACKS PHISIC 2018 | Belleville Nicolas INTRODUCTION Focus on power/EM based side channel

535 views • 31 slides
Randomness as countermeasures against Side Channel Attacks Nadia El Mrabet

Randomness as countermeasures against Side Channel Attacks Nadia El Mrabet

Randomness as countermeasures against Side Channel Attacks Nadia El Mrabet nadia.el-mrabet@emse.fr Mines St Etienne WRACH2019, April 17, 2019 Side channel attacks Physical counter measures Algorithmic counter measures Arithmetical

900 views • 36 slides
Behind the Scene of Side Channel Attacks ASIACRYPT 2013 Victor LOMNE, Emmanuel PROUFF and Thomas

Behind the Scene of Side Channel Attacks ASIACRYPT 2013 Victor LOMNE, Emmanuel PROUFF and Thomas

Behind the Scene of Side Channel Attacks ASIACRYPT 2013 Victor LOMNE, Emmanuel PROUFF and Thomas ROCHE ANSSI (French Network and Information Security Agency) Thursday, December 3rd, 2013 Side Channel Attacks (SCA)| Linear Regression Attack

340 views • 32 slides
CaSym: Cache Aware Symbolic Execution for Side Channel Detection and Mitigation Robert

CaSym: Cache Aware Symbolic Execution for Side Channel Detection and Mitigation Robert

CaSym: Cache Aware Symbolic Execution for Side Channel Detection and Mitigation Robert Brotzman, Shen Liu, Danfeng Zhang, Gang Tan, Mahmut Kandemir Pennsylvania State University Cache Side Channels Process Data CPU Cache Program Side

390 views • 20 slides
Side Channels CS 161: Computer Security Prof. David Wagner April 23, 2013 UI Side Channel

Side Channels CS 161: Computer Security Prof. David Wagner April 23, 2013 UI Side Channel

Side Channels CS 161: Computer Security Prof. David Wagner April 23, 2013 UI Side Channel Snooping Scenario: Ann the Attacker works in a building across the street from Victor the Victim. Late one night Ann can see Victor hard at work in

727 views • 44 slides
Glitching and Side-Channel Analysis for All Colin OFlynn NewAE Technology Inc. RECON 2015

Glitching and Side-Channel Analysis for All Colin OFlynn NewAE Technology Inc. RECON 2015

Glitching and Side-Channel Analysis for All Colin OFlynn NewAE Technology Inc. RECON 2015 Montreal, QC. Overview W.t.f is side-channel power analysis (again) Example: IEEE 802.15.4 Node Example: AES-256 Bootloader W.t.f.

633 views • 47 slides
Provable Security against Side-Channel Attacks Matthieu Rivain matthieu.rivain@cryptoexperts.com

Provable Security against Side-Channel Attacks Matthieu Rivain matthieu.rivain@cryptoexperts.com

Provable Security against Side-Channel Attacks Matthieu Rivain matthieu.rivain@cryptoexperts.com MCrypt Seminar Aug. 11th 2014 Outline 1 Introduction 2 Modeling side-channel leakage 3 Achieving provable security against SCA

1.62k views • 92 slides
Higher-Order Side Channel Security and Mask Refreshing J.-S. Coron,E. Prouff, M. Rivain and T.

Higher-Order Side Channel Security and Mask Refreshing J.-S. Coron,E. Prouff, M. Rivain and T.

Higher-Order Side Channel Security and Mask Refreshing J.-S. Coron,E. Prouff, M. Rivain and T. Roche thomas.roche@ssi.gouv.fr FSE 2013 March 2013 T. Roche, ANSSI Higher-Order Side Channel Security and Mask Refreshing Side Channel Analysis

1.14k views • 75 slides
System-Level Protection Against Cache-Based Side Channel Attacks in the Cloud Taesoo Kim, Marcus

System-Level Protection Against Cache-Based Side Channel Attacks in the Cloud Taesoo Kim, Marcus

System-Level Protection Against Cache-Based Side Channel Attacks in the Cloud Taesoo Kim, Marcus Peinado, Gloria Mainar-Ruiz MIT CSAIL Microsoft Research Security is a big concern in cloud adoption Why are cache-based side channel

588 views • 38 slides
Performing Low-cost Electromagnetic Side-channel Attacks using RTL-SDR and Neural Networks

Performing Low-cost Electromagnetic Side-channel Attacks using RTL-SDR and Neural Networks

Performing Low-cost Electromagnetic Side-channel Attacks using RTL-SDR and Neural Networks Pieter Robyns Motivation and introduction Motivation Information about performing EM side-channel attacks using SDR is quite scarce A few

758 views • 42 slides

More recommend