NO.23 | 2017.10.16
banner
title有備而來 友善列印>>
2017密碼硬體暨嵌入式系統(CHES)研討會_資通安全組 郭麗靜 副理



現代人處於數位時代之中,透過網路科技進行各項網路活動,諸如透過電子信箱傳送訊息、使用網路購物平台進行消費購物,資訊使用數位方式儲存並透過網路傳輸,節省實體遞送成本並且縮短傳送時效。然而保護數位資訊日益重要,為保障資訊機密性、可用性與完整性,密碼學家發展各種密碼機制保護人們機密資訊(如機密檔案、個人身份資訊等),或用數位簽章簽署文件,以確保文件不可否認及認證效果。
 
此外,密碼演算法硬體應用,最常見是在晶片卡或智慧卡上,智慧卡(Smart card)已與人們生活習習相關,應用領域相當廣泛,包含交通運輸業(如悠遊卡、高速公路電子收費)、金融業(如提款卡、電子錢包)、電信通訊業(如SIM卡)、醫療業(如健保IC卡)等,智慧卡具備有高安全性,可以存放個人身分與重要資料,並且攜帶方便、使用便利並具有穩定性。有鑑於智慧卡存放重要並且高價值資訊(如密碼演算法重要金鑰、個人資料等),以致惡意攻擊者會透過不同攻擊手法(諸如智慧卡實體攻擊與邏輯攻擊)來竊取或變更其中機密資料,為保護智慧卡中重要資訊,會將密碼演算法(如AES、RSA等密碼演算法)與數位簽章機制實作在智慧卡上。
 
為掌握最新密碼學硬體及密碼機制相關技術標準與趨勢,報名參與「2017密碼硬體暨嵌入式系統(Conference on Cryptographic Hardware and Embedded Systems, CHES)研討會」,年度CHES研討會著重於密碼硬體與軟體實施之設計和分析的新成果發表。該研討會對於研究和密碼工程之間建立寶貴橋樑,並吸引來自企業、學術和政府機構的參與者共同參與盛會。今年度與會約達350人。歷年來,CHES研討會多數舉辦在美國及歐洲,於亞洲舉辦仍是少數,而今年第19屆CHES研討會自2017年09月26日至2017年09月28日於台北晶華酒店舉行,並由中央研究院榮獲舉辦殊榮邀請世界各國CHES學者及研究專家來台演講與互動,實是難得機會及參與經驗。
 


(附圖說明:該圖為CHES官網過往舉辦研討會之圖示,臺灣的101大樓展示在國際研討會官網上實屬難得。)
 
2017CHES研討會9大議題
 
為了因應新興密碼學發展及攻擊等議題,除了原有密碼學編碼技術及協定設計議題外,還增加現行熱門量子密碼學議題,綜整而言,2017CHES研討會會議共分九個議題,包含旁道攻擊分析、後量子密碼學實作、新興攻擊、高階差分能量分析、晶片與協定設計、安全評估、FPGA安全、密碼編碼技術與密碼高效能實作等議題,並且共計有34場次。
 
資料來源:CHES官網,本報告整理

2017CHES研討會好康資源
 
曾參與過研討會的人多少會對於研討會簡報及各主題演講者報告影音求而不得,因此心痛不已的經驗,然而,2017CHES研討會舉辦單位提供參加者可於會場中可透過內網方式直接下載論文全文,並公開簡報及演講內容,對於有心向密碼學及密碼硬體安全等學習的人員來說實在是不可多得資源,以下就是研討會資源分享:
 
2017CHES研討會全程簡報連結路徑:2017CHES研討會官網
2017CHES研討會線上YouTube影音:
第1天


 
開場與議題1旁道攻擊分析(1)
議題2後量子密碼學實作
議題3新興攻擊(1)
議題4高階差分能量分析
第2天
 
議題5晶片與協定設計
議題6安全評估&議題7 FPGA安全
第3天

 
議題8新興攻擊(2)
議題9旁道攻擊分析(2) & 議題10密碼編碼技術
議題11密碼高效能實作
2017CHES研討會論文:參見中心私有雲
 
2017CHES研討會邀請演講:「硬體安全:鑄造視角(HW security: A Foundry Perspective)(主講者:呂士濂先生)
 
前言
在今年CHES研討會難得邀請台灣積體電路製造股份有限公司設計暨技術平台(DTP)主管呂士濂先生(曾擔任美國俄勒岡州立大學電子與電腦工程系副教授)針對積體電路(IC)硬體安全向與會人士作分享。伴隨IC設計複雜化,為促使IC研發更加經濟與快速,半導體產業朝向全球化專案分工分為IC設計、晶圓代工、封裝及整合商等階段,在快速便利同時,也存在IC安全議題,若沒有IC設計公司則無法深入了解IC內部各區塊無存在安全議題,並且無法釐清IC是否存在所謂硬體木馬(Hardware Trojan)情形。
 
何謂硬體木馬
電腦安全中,眾人應聞名特洛伊木馬電腦病毒,同樣攻擊手法,IC於安全上考量也有硬體木馬,意指若IC在設計或製造過程,有心人士故意微妙改變電路,這些改變在某些的觸發下使其運作及預期結果有差異(如可能使得電路效能降低、洩漏資訊等),此被改變的電路即為惡意電路(malicious circuit)或硬體木馬(Hardware Trojan),將致使IC具有安全上漏洞存在。
 
IC硬體木馬案例
2009年第17屆美國駭客年會(DEF CON 17)由美國德拉瓦大學Nick Waite研究員等人發佈《硬體木馬-滲透法拉第牢籠(Hardware Trojans - Infiltrating the Faraday Cage)》使用電源線洩漏IC資料,並且透過軟體方式監控電源線訊號。
2012年英國劍橋大學的Sergei Skorobogatov等人發表ProASIC3 A3P250可現場編程閘極陣列(FPGA)存有後門論文
2014年第22屆美國駭客年會(DEF CON 22)由Josh Datko等人發表《美國國家安全局資安工具:DIY WAGONBED硬體植入在I2C上(NSA Playset: DIY WAGONBED Hardware Implant over I2C)》展示多項攻擊手法,包含透過用可信賴平台模組掩蓋惡意軟體、通過音頻信號惡意滲透等。
 
小結
於IC設計製造過程中被植入惡意電路發生可能性須予以重視,更提醒眾人對硬體安全重要性,並且鑑於IC產業現有製作模式,硬體木馬屬於實體上安全疑慮,軟體可以透過更新、修改或下載方式作改善,但是硬體木馬是在晶片線路中,與軟體型木馬相較而言更是不容易處理,IC硬體安全是充滿挑戰與重視議題,為強化IC產品安全性而投入人力與費用成本勢必是IC產業必須評估項目,以確保銷售IC產品對客戶而言是具有安全性,並且保護客戶重要資料不被洩露或修改。