I side-channel attack sono una minaccia spesso sottovalutata nella cybersecurity contemporanea: sfruttando le tracce fisiche lasciate dai dispositivi durante le operazioni crittografiche, questi attacchi dimostrano che la sicurezza digitale non può prescindere dalle leggi della fisica.
Indice degli argomenti
La fisica dietro la cybersecurity: tracce invisibili dei dispositivi
Quando si parla di cybersecurity, infatti, la mente corre subito a firewall, antivirus, crittografia e protocolli di rete. Pochi considerano che la sicurezza digitale dipende anche dalle leggi della fisica.
Ogni dispositivo elettronico produce segnali fisici – elettrici, elettromagnetici, acustici o termici – che possono essere sfruttati per accedere a dati sensibili e ignorare questo aspetto può rendere vulnerabili anche i sistemi più sofisticati. Infatti, ogni operazione di un computer, di un microcontrollore o di una smart card lascia una traccia fisica: quando una CPU esegue calcoli crittografici, genera un consumo di energia variabile, dei campi elettromagnetici e persino micro-vibrazioni o emissioni acustiche.
Anche se sono impercettibili all’occhio umano, questi segnali possono tranquillamente essere misurati e interpretati dagli strumenti adeguati e, di conseguenza, ogni bit digitale elaborato lascia un’impronta fisica che un attaccante può misurare e ricostruire, ottenendo così informazioni sensibili senza mai toccare il software o la rete.
Attacchi elettromagnetici: rubare chiavi senza infiltrazioni software
Immaginiamo di poter rubare una chiave crittografica senza la necessità di infiltrarsi nella rete o nel sistema operativo; sebbene sembri pura fantascienza, è bene sapere che esistono realmente vettori d’attacco che sfruttano la sola fisica del dispositivo, come ad esempio le emissioni elettromagnetiche delle CPU.
Durante l’esecuzione di operazioni crittografiche, vengono prodotti infatti campi elettromagnetici variabili a seconda dei bit elaborati. I sensori elettromagnetici se posti vicino al chip hanno la capacità di rilevare queste emissioni e permettere, tramite analisi statistica, di ricostruire le chiavi segrete.
La logica di un attacco elettromagnetico si può quindi riassumere in 3 fasi principali: il posizionamento del sensore, l’analisi dei pattern acquisiti e il recupero della chiave con tecniche statistiche. Una delle tecniche utilizzate è la Correlation EM Analysis che, come suggerisce il nome, ha lo scopo di correlare i segnali misurati ai dati processati. Questo approccio si è dimostrato particolarmente efficace su smart card e dispositivi embedded, in cui è avvenuta l’intera ricostruzione delle chiavi AES e RSA.
AES-128 e il modello della distanza di Hamming
Analizzando come esempio il funzionamento di AES-128, è possibile capirne meglio il motivo: AES-128 consiste in 10 cicli su blocchi da 128 bit, rappresentati da stati di 16 byte. Ogni ciclo (a eccezione dell’ultimo) è composto da 4 fasi principali che comprendono sostituzioni non lineari di byte, spostamenti ciclici di riga, moltiplicazione delle colonne per una matrice costante e aggiunta di chiave tramite XOR.
Quando l’algoritmo di crittografia viene implementato su un dispositivo è nota l’esistenza di relazioni prevedibili tra la perdita elettromagnetica e le operazioni crittografiche. Il modello che identifica questa dipendenza risale a uno studio del 2004 effettuato da Brier, noto come “modello della distanza di Hamming”. Questo modello ci indica che, se un registro cambia valore, la perdita può essere approssimata con il numero di bit differenti tra i due stati.
Nel caso di AES-128, la perdita si può calcolare per ogni possibile valore del byte e, una volta effettuata la correlazione tra il modello e le misure, il valore con correlazione massima corrisponderà a quello corretto. Ripetendo questo processo su tutti i byte la chiave AES si completa.
Template Attack: la massima verosimiglianza applicata al side-channel
Altra tecnica avanzata consiste poi nella costruzione di modelli comportamentali del dispositivo target sulle emissioni elettromagnetiche; questa tecnica è nota con il nome di Template Attack e consente di aumentare la precisione dell’attacco. Nell’elaborazione dei segnali si rappresenta comunemente il campione osservato come la somma di un segnale deterministico, prodotto dall’operazione, e di rumore, dovuto a sorgenti intrinseche o ambientali. Il segnale rimane costante nella ripetizione della stessa operazione, mentre il rumore è come un campione casuale che dipende dalle condizioni operative e ambientali. Di fronte a un singolo campione, la strategia ottimale dell’attaccante è la massima verosimiglianza, ovvero la migliore ipotesi è quella che massimizza la probabilità di osservare il rumore visibile.
Di conseguenza, per calcolare questa probabilità, l’attaccante deve modellare con precisione sia il segnale sia la distribuzione del rumore, il tutto per ciascuna operazione. Se per esempio avessimo un dispositivo che effettua una tra le N possibili sequenze di operazioni, un attaccante che campiona il side channel vuole determinare quale operazione è in corso oppure restringere significativamente l’insieme delle ipotesi possibili.
I Template attack applicano proprio questo principio: il principio della massima verosimiglianza, sfruttando la conoscenza dell’algoritmo crittografico sotto attacco. L’attaccante può usare infatti un dispositivo di prova identico a quello bersaglio per costruire, tramite sperimentazione, dei template: per una piccola porzione del campione e basandosi su pochi bit di chiave incogniti, ottiene le distribuzioni statistiche medie del segnale e del rumore, corrispondenti a ciascun valore possibile dei bit operati.
Questi template servono poi a classificare la porzione osservata e a ridurre lo spazio delle possibili chiavi. Ripetendo il procedimento con prefissi via via più lunghi, coinvolgendo così più bit di chiave, si mantiene solo un numero limitato di candidati per la parte di chiave considerata fino a quel momento.
In sostanza, i Template Attack seguono una strategia di estensione focalizzata sul singolo campione, in cui si allungano progressivamente i prefissi e si impiegano i corrispondenti template per scartare le combinazioni di chiave impossibili o improbabili. I Template Attack sono particolarmente potenti nelle implementazioni su dispositivi CMOS, grazie a due fenomeni: la contaminazione e la diffusione.
La contaminazione indica perdite legate alla chiave che si manifestano su più cicli di calcolo, la diffusione invece è la proprietà degli algoritmi crittografici per cui piccole differenze nei bit di chiave si amplificano nelle fasi successive del calcolo; anche quando la contaminazione lascia passare candidati vicini, la diffusione tende a separarli rapidamente, facilitandone l’eliminazione. Fortunatamente, l’hardware su cui è implementato l’algoritmo stabilisce molti limiti teorici alla riuscita di un attacco a template e per avvicinarsi a questo limite l’attaccante ha bisogno di caratterizzare il rumore in modo molto accurato.
Limiti del software e necessità di contromisure hardware
Questi attacchi mostrano chiaramente che il software, per quanto ben progettato e crittograficamente solido, non è sufficiente a garantire la sicurezza se la componente fisica del sistema viene trascurata.
Attacchi come i template attack e le analisi elettromagnetiche sfruttano informazioni che “fuoriescono” dal comportamento effettivo dell’hardware: in pratica, la fisica del dispositivo può rivelare porzioni sensibili delle operazioni crittografiche anche quando gli algoritmi sono teoricamente sicuri.
Per questo motivo i settori critici, come banche, dispositivi medicali, sistemi industriali e applicazioni militari, devono integrare le contromisure fisiche alle già necessarie protezioni digitali, adottando un approccio di difesa stratificata che consideri simultaneamente software, hardware e ambiente operativo.
Contromisure efficaci contro i side-channel attack
Tra le contromisure più efficaci, per esempio, vi sono la schermatura elettromagnetica e l’isolamento fisico dei chip critici, ovvero misure progettate per ridurre emissioni e perdite che un attaccante potrebbe misurare dall’esterno.
Altre tecniche includono la randomizzazione del consumo energetico e la variazione temporale delle operazioni (introducendo jitter o rumore intenzionale), nel complesso, strategie che rendono i segnali osservabili meno prevedibili e ostacolano quindi l’allineamento e la classificazione dei template.
A livello di progettazione si possono poi adottare logiche e circuiti resistenti a side-channel, come ad esempio implementazioni che mascherano le dipendenze dai bit di chiave o che distribuiscono e bilanciano i consumi sulle varie unità del chip, oltre a meccanismi di rilevazione manomissione fisica e di cancellazione sicura delle chiavi in caso di anomalie.
Valutazione del rischio e sicurezza come processo continuo
È importante anche che le organizzazioni inseriscano valutazioni del rischio e test pratici (penetration test fisici e valutazioni di side-channel) nelle fasi di sviluppo e certificazione dei prodotti in quanto solo attraverso la verifica empirica su dispositivi reali è possibile scoprire perdite involontarie e valutare l’efficacia delle contromisure.
In definitiva, la sicurezza va vista come un processo continuo, per questo motivo aggiornamenti, audit periodici, formazione degli ingegneri e collaborazione con la comunità di ricerca aiutano a mantenere il livello di protezione adeguato all’evoluzione delle tecniche di attacco.
Referenze citate: Brier E., Clavier C., Olivier F. Correlation Power analysis with a leakage model; Proceedings of the Conference on Cryptographic Hardware and Embedded Systems 2004; Cambridge, MA, USA. 11–13 August 2004.
