the need for speed applications of hpc in side channel
play

The Need for Speed: Applications of HPC in Side Channel - PowerPoint PPT Presentation

Sep 02, 2022 •30 likes •280 views

The Need for Speed: Applications of HPC in Side Channel Research Dr. M. Elisabeth Oswald Reader, EPSRC Leadership Fellow University of Bristol Roadmap

  1. The ¡Need ¡for ¡Speed: ¡Applications ¡ of ¡HPC ¡in ¡Side ¡Channel ¡Research ¡ Dr. ¡M. ¡Elisabeth ¡Oswald ¡ Reader, ¡EPSRC ¡Leadership ¡Fellow ¡ University ¡of ¡Bristol ¡

  2. � Roadmap ¡ • Background: ¡side ¡channels, ¡pracGcal ¡angles ¡for ¡ research ¡ • The ¡BIG ¡quesGon: ¡how ¡much ¡does ¡my ¡device ¡ leak? ¡ • Summary ¡

  3. � In ¡case ¡you ¡haven’t ¡heard ¡of ¡ side ¡channels ¡…. ¡ • Known ¡side ¡channels: ¡ ¡ • Gming, ¡power, ¡EM ¡ ¡ • acousGcs, ¡de-­‑duplicaGon, ¡TCP-­‑IP ¡ traffic ¡features, ¡error ¡messages, ¡ cache ¡behaviour, ¡… ¡ • Used ¡for ¡ ¡ • Key ¡recovery ¡ • Plaintext ¡recovery ¡ • Device ¡fingerprinGng ¡

  4. � E.g. ¡Web ¡ traf=ic ¡ analysis ¡ Profiling ¡of ¡web ¡traffic ¡ allows ¡to ¡recover ¡user ¡ ¡ choices ¡even ¡through ¡ encrypted ¡traffic. ¡ ¡ (Chen ¡et ¡al., ¡IEEE ¡S&P, ¡ ¡ 2010) ¡

  5. � E.g. ¡Web ¡traf=ic ¡ analysis: ¡features ¡ which ¡leak ¡ Features that leak are: • Packet size • Direction • Arrival time • TLS record lengths • TCP acknowledg. flag • TCP handshaking flags Details: Mather & O., JCEN 2012 (2)

  6. � Side ¡channel ¡research ¡ questions ¡… ¡ • Are ¡there ¡leaks? ¡If ¡so ¡what ¡leaks? ¡If ¡not ¡how ¡can ¡ we ¡be ¡sure? ¡ • How ¡many ¡side ¡channel ¡observaGons ¡are ¡needed ¡ to ¡exploit ¡the ¡leaks ¡…? ¡ • One? ¡ • Many? ¡(What ¡is ¡many?) ¡ • What ¡does ¡exploit ¡mean? ¡(Key ¡recovery, ¡parGal ¡key ¡ recovery, ¡lambda ¡leakage?) ¡ • (New ¡a^acks, ¡new ¡countermeasures, ¡leakage ¡ resilient ¡crypto) ¡

  7. � Different ¡practical ¡‘angles’ ¡for ¡(SC) ¡ research ¡ A^acker ¡ DisGnguished ¡by: ¡ ¡ Degree/extent ¡of ¡knowledge: ¡ • Leakage ¡points ¡(within ¡a ¡trace) ¡ • Leakage ¡model ¡ ¡ ¡ ComputaGonal ¡capabiliGes: ¡ Developer ¡ Evaluator ¡ • How ¡many ¡leakage ¡traces ¡ • How ¡much ¡computaGon ¡

  8. � Different ¡practical ¡‘angles’ ¡for ¡(SC) ¡ research ¡ A^acker ¡ Evaluator ¡should ¡be ¡at ¡least ¡as ¡good ¡ as ¡best ¡‘pracGcal’ ¡a^acker ¡… ¡ ¡ But ¡computaGonal ¡capabiliGes ¡are ¡ increasing ¡fast: ¡ ¡ • A^ack ¡using ¡a ¡32-­‑bit ¡key ¡guess ¡ ¡ Developer ¡ Evaluator ¡ took ¡just ¡over ¡8 ¡minutes ¡in ¡2012 ¡ using ¡4 ¡state ¡of ¡the ¡art ¡GPUs ¡ ¡ • Same ¡a^ack ¡now ¡takes ¡15 ¡sec! ¡ ¡

  9. � Roadmap ¡ • Background: ¡side ¡channels, ¡pracGcal ¡angles ¡for ¡ research ¡ • The ¡BIG ¡ques+on: ¡how ¡much ¡does ¡my ¡device ¡ leak? ¡ • Summary ¡

  10. � How to determine 𝜇 1. Measure side channels for N encryptions Data Data Key (Chunk) Model 2. Extract relevant data: leakage of detection Device 3. Analyse relevant data to extract Predicted Side probabilities for chunks of key: Behaviour channel leakage exploitation Distinguisher 4. Sift through key space using probabilities: key enumeration/ rank estimation Probability associated with key guess Research question: Given N observations, how much effort is required (in 4.) to find the secret key. Leakage bound 𝝁

  11. � Leakage ¡detection ¡ Given ¡a ¡vector ¡of ¡side ¡channel ¡points ¡(aka ¡ ¡a ¡trace, ¡ see ¡below), ¡determine ¡which ¡of ¡the ¡points ¡contain ¡ leakage ¡about ¡a ¡(specific) ¡secret. ¡ • ¡What ¡staGsGcal ¡test ¡to ¡use? ¡(t-­‑test, ¡conGnuous ¡MI, ¡or ¡ discrete ¡MI): ¡ ¡ • Genericity ¡(i.e. ¡it ¡captures ¡all ¡ ¡ sorts ¡of ¡leaks) ¡ • ComputaGonal ¡requirements; ¡ ¡ Gme ¡ • Number ¡of ¡leakage ¡traces ¡ ¡ (aka ¡sample ¡size) ¡ (Power traces of AES encryption)

  12. � Leakage ¡detection, ¡cont. ¡ The ¡ be;er ¡test ¡ can ¡spot ¡informaGon ¡leakage ¡ faster ¡ and ¡more ¡reliable —it ¡requires ¡less ¡data; ¡whilst ¡ maintaining ¡a ¡high ¡staGsGcal ¡power ¡(i.e. ¡probability ¡a ¡ test ¡correctly ¡rejects ¡a ¡null ¡hypothesis). ¡ ¡ Can ¡we ¡esGmate ¡the ¡minimum ¡sample ¡sizes ¡required ¡ to ¡achieve ¡sufficient ¡staGsGcal ¡power? ¡ ¡ • Need ¡to ¡vary ¡leakage ¡models, ¡noise ¡levels, ¡and ¡sample ¡ sizes!! ¡ ¡ • This ¡is ¡research ¡is ¡computaGonally ¡very ¡expensive. ¡ ¡

  13. � Leakage ¡detection, ¡cont. ¡ Heavily lifting required to evaluate effectiveness of e.g. CMI: • Estimate MI(K;T) • Estimate ‘zero MI’, by randomly permuting Sample size required to achieve 80% power traces T (need at least (Toggle count leakage) around 100 permutations) 192000 168000 • Repeatedly …. 144000 120000 Continuous MI Discrete MI 96000 Welch t-test 72000 Even heavy for a single 48000 application: CMI ¡applied ¡to ¡our ¡ ¡ 24000 real ¡world ¡AES ¡traces ¡demanded ¡ ¡ 0 -11 -5 1 7 13 2^51 ¡calls ¡to ¡the ¡kernel ¡funcGon! ¡ Signal-to-noise ratio (2x) ¡

  14. � Leakage ¡detection, ¡cont. ¡ Continuous MI test, high-end specification 2021 days i5 3550 1c x 3.3 GHz CPU i5 3550 4c x 3.3 GHz CPU 188.5 days 39 days Radeon HD 6450 GPU Radeon HD 7970 GPU 3.7 days Switching ¡to ¡a ¡GPU ¡based ¡implementaGon ¡on ¡our ¡HPC ¡cluster ¡was ¡ ¡ the ¡only ¡way ¡to ¡conduct ¡this ¡research. ¡

  15. � Leakage ¡detection ¡summary ¡ • T-­‑test ¡is ¡a ¡good ¡baseline ¡test, ¡but ¡obviously ¡ cannot ¡capture ¡higher-­‑order ¡leaks ¡ • CMI ¡can ¡be ¡used ¡in ¡pracGce ¡if ¡implemented ¡ appropriately ¡ • Bo^om ¡line: ¡we ¡can ¡now ¡assess ¡general ¡ informaGon ¡leaks ¡with ¡some ¡rigour! ¡ ¡ • See ¡Mather ¡& ¡O. ¡(et ¡al.) ¡Asiacrypt ¡2013 ¡

  16. � How to determine 𝜇 1. Measure side channels for N encryptions Data Data Key (Chunk) Model 2. Extract relevant data: leakage of detection Device 3. Analyse relevant data to extract Predicted Side probabilities for chunks of key: Behaviour channel leakage exploitation Distinguisher 4. Sift through key space using probabilities: key enumeration/ rank estimation Probability associated with key guess Research question: Given N observations, how much effort is required (in 4.) to find the secret key. Leakage bound 𝝁

  17. � Leakage ¡exploitation ¡ ¡ • Given ¡a ¡set ¡of ¡known ¡ leakage ¡points ¡what ¡is ¡ the ¡best ¡strategy ¡to ¡ exploit ¡the ¡leakage? ¡ • (How ¡to ¡select ¡among ¡the ¡ known ¡leakage ¡points) ¡ • How ¡to ¡combine ¡the ¡ selected ¡leakage ¡points ¡ (AES power trace) ¡

  18. � Leakage ¡exploitation: ¡combining ¡ attack ¡outcomes ¡(AES) ¡ Single ¡point ¡a;ack ¡ Combining ¡outcomes ¡ • AES ¡has ¡16 ¡state ¡bytes, ¡ • But ¡you ¡can ¡a^ack ¡different ¡ assume ¡you ¡a^ack ¡them ¡ intermediate ¡values, ¡so ¡ individually: ¡ these ¡should ¡be ¡combined ¡

  19. � Leakage ¡exploitation, ¡cont. ¡ • It ¡turned ¡out ¡that ¡amalgamaGng ¡disGnguishing ¡scores ¡ by ¡`directly´using ¡them ¡as ¡probabilGes ¡is ¡a ¡very ¡ efficient ¡strategy ¡ • But ¡working ¡with ¡MixColumns ¡means ¡we ¡need ¡to ¡ work ¡with ¡32 ¡bits ¡of ¡the ¡key ¡at ¡a ¡Gme. ¡We ¡used ¡again ¡ a ¡GPU ¡based ¡implemenaGon, ¡and ¡switched ¡to ¡an ¡HPC ¡ plaporm ¡to ¡do ¡repeat ¡experiments. ¡

  20. � Leakage ¡exploitation: ¡AES ¡column ¡ ¡

  21. � Leakage ¡exploitation: ¡real ¡device ¡

  22. � Leakage ¡exploitation: ¡ experimental ¡setup ¡ • Used ¡up ¡to ¡6 ¡workstaGons ¡with ¡2 ¡high ¡end ¡GPUs ¡ each ¡(cost ¡per ¡machine ¡around ¡2k ¡GBP) ¡ • Both ¡Nvidia ¡cards ¡and ¡AMD ¡ • Developed ¡Baikal ¡which ¡efficiently ¡distributes ¡ a^acks ¡across ¡workstaGons ¡and ¡within ¡nodes ¡ (hand ¡threaded) ¡uGlising ¡OpenCL ¡ • Completed ¡just ¡over ¡2^50 ¡operaGons ¡on ¡ combined ¡disGnguishing ¡vectors ¡in ¡about ¡2 ¡weeks ¡ • Details ¡in ¡Mather ¡& ¡O. ¡(et ¡al.) ¡Asiacrypt ¡2014 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Towards the Automatic Applications of Side Channel Countermeasures Francesco Regazzoni Francesco

Towards the Automatic Applications of Side Channel Countermeasures Francesco Regazzoni Francesco

Towards the Automatic Applications of Side Channel Countermeasures Francesco Regazzoni Francesco Regazzoni 23 October 2015, Chia, Italy P. 1 Contents 1 Motivations 2 DPA Resistant Synthesis 3 DPA Resistant Place and Route 4 DPA

1.01k views • 55 slides
+ Side Channel and Covert Channel A1acks on Microkernel

+ Side Channel and Covert Channel A1acks on Microkernel

+ Side Channel and Covert Channel A1acks on Microkernel Architectures WAMOS 2015 Advanced Opera3ng Systems Hochschule RheinMain Alexander Baumgrtner and

539 views • 25 slides
Side-Channel & Fault Attacks Ruggero Susella System Research & Applications Security

Side-Channel & Fault Attacks Ruggero Susella System Research & Applications Security

Side-Channel & Fault Attacks Ruggero Susella System Research & Applications Security Rodmap STMicroelectronics 2018/12/06 2 ST Who are we ? STMicroelectronics 3 A global semiconductor leader 2017 revenues of $8.35B

1.32k views • 107 slides
FIDES: Lightweight Authentication Cipher with Side-Channel Resistance for Constrained Hardware

FIDES: Lightweight Authentication Cipher with Side-Channel Resistance for Constrained Hardware

FIDES: Lightweight Authentication Cipher with Side-Channel Resistance for Constrained Hardware Begl Bilgin, Andrey Bogdanov, Miroslav Kne evi , Florian Mendel, and Qingju Wang 1 DIAC 2013, Chicago Side Channel Resistance 2 Side

1.29k views • 76 slides
Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 18

Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 18

I SAP Towards Side-channel Secure AE Christoph Dobraunig, Maria Eichlseder, Stefan Mangard, Florian Mendel, Thomas Unterluggauer FSE 2017 www.iaik.tugraz.at Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . .

635 views • 30 slides
Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 21

Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . . . 1 / 21

I SAP Towards Side-channel Secure AE Christoph Dobraunig, Maria Eichlseder, Stefan Mangard, Florian Mendel, Thomas Unterluggauer ESC 2017 www.iaik.tugraz.at Introduction Problem: side-channel attacks Countermeasures: hiding, masking, TI . .

476 views • 33 slides
The Curse of Class Imbalance and Conflicting Metrics with Machine Learning for Side-channel

The Curse of Class Imbalance and Conflicting Metrics with Machine Learning for Side-channel

The Curse of Class Imbalance and Conflicting Metrics with Machine Learning for Side-channel Evaluations Stjepan Picek, Annelie Heuser, Alan Jovic, Shivam Bhasin, and Francesco Regazzoni Big Picture side-channel measurements device classifier

822 views • 33 slides
Generic Side-Channel Distinguishers: Improvements and Limitations N. Veyrat-Charvillon and F-X.

Generic Side-Channel Distinguishers: Improvements and Limitations N. Veyrat-Charvillon and F-X.

Side-Channel Cryptanalysis Models and Dependencies New Generic Test Experiments Conclusions Generic Side-Channel Distinguishers: Improvements and Limitations N. Veyrat-Charvillon and F-X. Standaert UCL Crypto Group, Universit e catholique

355 views • 24 slides
SIDE-CHANNEL ATTACKS ON HARDWARE IMPLEMENTATIONS OF CRYPTOGRAPHIC ALGORITHMS Sddka Berna

SIDE-CHANNEL ATTACKS ON HARDWARE IMPLEMENTATIONS OF CRYPTOGRAPHIC ALGORITHMS Sddka Berna

SIDE-CHANNEL ATTACKS ON HARDWARE IMPLEMENTATIONS OF CRYPTOGRAPHIC ALGORITHMS Sddka Berna Ors Yal cn Istanbul Technical University Department of Electronics and Communication Engineering Introduction A side-channel analysis attack

1.81k views • 99 slides
Side-Channel Cryptanalysis Joseph Bonneau Security Group jcb82@cl.cam.ac.uk Rule 0: Attackers

Side-Channel Cryptanalysis Joseph Bonneau Security Group jcb82@cl.cam.ac.uk Rule 0: Attackers

Side-Channel Cryptanalysis Joseph Bonneau Security Group jcb82@cl.cam.ac.uk Rule 0: Attackers will always cheat xkcd #538 What is side channel cryptanalysis? Side Channels: whatever the designers ignored Key Plaintext Encryption Cipher

1.14k views • 112 slides
Recent advances in side- channel analysis using machine learning techniques Annelie Heuser with

Recent advances in side- channel analysis using machine learning techniques Annelie Heuser with

Recent advances in side- channel analysis using machine learning techniques Annelie Heuser with Stjepan Picek, Sylvain Guilley, Alan Jovic, Shivam Bhasin, Tania Richmond, Karlo Knezevic In this talk Short recap on side-channel analysis

4.52k views • 56 slides
Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of

Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of

Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of Technology, The Netherlands May 6, 2018 Outline 1 Side-channels 2 Implementation Attacks 3 Side-channel Attacks 4 Fault Injection 2 / 48

824 views • 48 slides
Elliptic Curve Cryptography on Embedded Devices Scalar Multiplication and Side-Channel Attacks

Elliptic Curve Cryptography on Embedded Devices Scalar Multiplication and Side-Channel Attacks

Elliptic Curves Side-Channel Countermeasures Conclusion Elliptic Curve Cryptography on Embedded Devices Scalar Multiplication and Side-Channel Attacks Vincent Verneuil 1 , 2 1 Inside Secure 2 Institut de Math ematiques de Bordeaux S

2.22k views • 188 slides
Enhancing the Power of Deep Learning in Side-Channel Analysis? Breaking multiple layers of

Enhancing the Power of Deep Learning in Side-Channel Analysis? Breaking multiple layers of

Plaintext: A Missing Feature for Enhancing the Power of Deep Learning in Side-Channel Analysis? Breaking multiple layers of side-channel countermeasures Anh-Tuan Hoang, Neil Hanley and Mire ONeill CHES 2020 14-18 September 2020 Outline

620 views • 21 slides
AUTOMATED SOFTWARE PROTECTION FOR THE MASSES AGAINST SIDE-CHANNEL ATTACKS PHISIC 2018 |

AUTOMATED SOFTWARE PROTECTION FOR THE MASSES AGAINST SIDE-CHANNEL ATTACKS PHISIC 2018 |

Nicolas Belleville Damien Courouss Karine Heydemann Henri-Pierre Charles AUTOMATED SOFTWARE PROTECTION FOR THE MASSES AGAINST SIDE-CHANNEL ATTACKS PHISIC 2018 | Belleville Nicolas INTRODUCTION Focus on power/EM based side channel

535 views • 31 slides
Randomness as countermeasures against Side Channel Attacks Nadia El Mrabet

Randomness as countermeasures against Side Channel Attacks Nadia El Mrabet

Randomness as countermeasures against Side Channel Attacks Nadia El Mrabet nadia.el-mrabet@emse.fr Mines St Etienne WRACH2019, April 17, 2019 Side channel attacks Physical counter measures Algorithmic counter measures Arithmetical

900 views • 36 slides
RECD 3 Progress update Layer 1: Curriculum Foundations Dei Verbum Lumen Gentium 1. R EVELATION

RECD 3 Progress update Layer 1: Curriculum Foundations Dei Verbum Lumen Gentium 1. R EVELATION

RECD 3 Progress update Layer 1: Curriculum Foundations Dei Verbum Lumen Gentium 1. R EVELATION 2. C HURCH Gods self -revelation and the human Communion of life in Christ. response of faith. Sacrosanctum Concilium Gaudium et Spes 3. C

846 views • 52 slides
Really Managing to Design 1 Marine Land Aviation Nuclear www.babcockinternational.com Intent

Really Managing to Design 1 Marine Land Aviation Nuclear www.babcockinternational.com Intent

UDT 2019 May 2019 - Nigel Whybrow Really Managing to Design 1 Marine Land Aviation Nuclear www.babcockinternational.com Intent This paper and presentation discuss measures to improve the execution and outturn of major design-based

383 views • 17 slides
Formal Formal Component Component Models Models for for Context Context

Formal Formal Component Component Models Models for for Context Context

Formal Formal Component Component Models Models for for Context Context Awareness Awareness Deploy FP7 MatsNeovius andKaisaSere FMCO2008 boAkademi FacultyofTechnology, 1 22.10.2008

431 views • 22 slides
Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval

Inf1-DA 20102011 III: 51 / 89 Part III Unstructured Data Data Retrieval: III.1 Unstructured data and data retrieval Statistical Analysis of Data: III.2 Data scales and summary statistics III.3 Hypothesis testing and correlation III.4

344 views • 17 slides
The trauma of hospitalization in medical inpatients: A prospective cohort study Shail Rawal,

The trauma of hospitalization in medical inpatients: A prospective cohort study Shail Rawal,

The trauma of hospitalization in medical inpatients: A prospective cohort study Shail Rawal, Janice Kwan, Fahad Razak, Amol Verma and the GEMINI Investigators CSIM Annual Meeting 2017 @ ShailRawalMD Disclosures Potential for conflicts:

569 views • 19 slides
Testing gravity with INPOP planetary ephemerides A. Fienga 1 , 4 INPOP team: A. Verma 2 , 3 J.

Testing gravity with INPOP planetary ephemerides A. Fienga 1 , 4 INPOP team: A. Verma 2 , 3 J.

tugraz Testing gravity with INPOP planetary ephemerides A. Fienga 1 , 4 INPOP team: A. Verma 2 , 3 J. Laskar 4 H. Manche 4 M. Gastineau 4 1 G eoAzur, Observatoire de la C ote dAzur, France 2 Institut UTINAM, France 3 UCLA, Los Angeles, USA

753 views • 63 slides
Intelligent Virtual Prototyping of Offshore Cranes Robin T. Bye 1 , Hans Georg Schaathun 1 , Birger

Intelligent Virtual Prototyping of Offshore Cranes Robin T. Bye 1 , Hans Georg Schaathun 1 , Birger

Intelligent Virtual Prototyping of Offshore Cranes Robin T. Bye 1 , Hans Georg Schaathun 1 , Birger Skogeng Pedersen 1 , 2 , Ibrahim A. Hameed 1 , and Ottar L. Osen 1 , 2 1 Software and Intelligent Control Engineering (SoftICE) Laboratory, Faculty

932 views • 46 slides
Epidemic Simulations and Interventions CSC 570 Christopher Siu 1 / 15 Mathematical Models of

Epidemic Simulations and Interventions CSC 570 Christopher Siu 1 / 15 Mathematical Models of

Epidemic Simulations and Interventions CSC 570 Christopher Siu 1 / 15 Mathematical Models of Epidemics Carriers R ecovered I nfected E xposed S usceptible 2 Analyze the rate of movement between compartments. 1 Compartmentalize the population

329 views • 15 slides

More recommend