ISSCC 2019 Intel will Datenverschlüsselung sicherer machen

Intel präsentierte auf der ISSCC-Konferenz eine 128-bit-AES-Engine mit höherem Widerstand gegen Strom-basierende und elektromagnetische Seitenkanalangriffe, was durch einen integrierten, vollständig digitalen Low-Dropout-Spannungsregler ermöglicht wird.

Seitenkanalangriffe (SCA) nutzen datenabhängige Informationslecks durch Energieverbrauch und elektromagnetische (EM) Emissionen von Verschlüsslungs-Engines, um geheime Schlüssel aufzudecken. Integrierte induktive Spannungsregler (IVR) mit randomisierten Regelkreisen oder Schaltfrequenzen und zufälligem Spannungs-Dithering haben einen verbesserten Widerstand gegen die Seitenkanalanalyse (PSCA) gezeigt. Simulationsstudien haben auch wirksame Methoden über Shunt-Linearregler gezeigt. Intels in der Folge beschriebener Ansatz zeigt einen verbesserte Wiederstand gegen EM-SCAs von Standard-128-bit-AES-Engines mit parallelen (P-AES, 128b) und seriellen (S-AES, 8b) Datenpfaden, indem ein vollständig digitaler Low-Dropout-Regler (DLDO), wie er häufig für SoC-Stromversorgungen zum Einsatz kommt, eingesetzt wird. Der „security-bewusste“ DLDO verbessert den SCA-Widerstand durch regelkreisinduzierte Störungen in einem Basis-DLDO, ergänzt durch eine zufällige Einbringung  von Rauschen bei Schaltvorgängen Random (SNI) über die Endstufenregelung und einen ebenfalls zufallsbasierenden Referenzspannungs-Generator (R-VREF) in Verbindung mit einer rein digitalen Taktmodulation (ADCM).

Der 130-nm-CMOS-Testchip (Bild 1) enthält P-AES- und S-AES-Kerne, die von einem DLDO mit 0,5 bis 1,22 V am Eingang und einem 1,9-nF-On-Die-Metall-Isolator-Metall (MIM)-Lastkondensator versorgt werden (Bild 2). Der DLDO ist mit einer aus 32 Elementen bestehenden PMOS-Array-Leistungsstufe ausgestattet. Die Rückkopplungsschleife, die mit 250 MHz abgetastet wird, beinhaltet einen 4-bit- A/D -Wandler (ADC) und einen digitalen Typ-III-PID-Kompensator. Der gemessene Versorgungsstrom an der Eingangsversorgung (VIN,DLDO) des Chips ist eine transformierte Version des internen On-Die-Versorgungsstroms der AES-Engine, gemessen am lokalen Versorgungsknoten (VAES). Die DLDO-Endstufe wirkt wie ein Tiefpassfilter mit einer Bandbreite, die durch den äquivalenten Widerstand der Endstufe und des Ausgangskondensators bestimmt wird, wodurch die hochfrequenten Stromanteile abgeschwächt werden. Der DLDO-Regelkreis induziert frequenzabhängige Kleinsignalstörungen, die durch die Schleifenverzögerung und die Lage von Null/Pol bedingt sind. Die PID-Koeffizienten (KP, KI, KD) können zur Laufzeit geändert werden, um Informationslecks zu reduzieren.

Das SNI erzeugt in jedem DLDO-Taktzyklus programmierbare Impulse, um alle Devices im PMOS-Array für einen Bruchteil des Taktzyklus zu deaktivieren und damit einen Informationsleckpfad von VAES zu VIN,DLDO zu trennen (Bild 2). Das SNI besteht aus neun Impulsgeneratoren, die jeweils einen Impuls mit vier der neun Phasen eines 9-stufigen spannungsgesteuerten Oszillators (VCO) erzeugen. Ein lineares Rückkopplungs-Schieberegister (LFSR) der maximalen Länge von 4 bit erzeugt ein Signal, um einen der neun Impulse zufällig auszuwählen. Bei aktiviertem SNI liefert der Ausgangsentkopplungskondensator den für den AES-Betrieb erforderlichen Strom, wenn alle PMOSs ausgeschaltet sind. Wenn die PMOS wieder aktiviert werden, reagiert der DLDO-Rückführkreis auf den Spannungsabfall bei VAES und fügt so Amplitudenrauschen bei VAES (und VIN,DLDO) hinzu, auch wenn die PMOS der Leistungsstufe eingeschaltet sind. Da die AES- und DLDO-Takte nicht synchronisiert sind, werden außerdem die aktuellen Signaturen bei VIN, DLDO und VAES de-synchronisiert.

Die R-VREF-Schaltung wählt zufällig (mit 4 bit LFSR - LFSR3) ein digitales Wort für die Referenzspannung (VREF) aus vorher geladenen Registern aus und induziert in programmierbaren regelmäßigen Abständen einen Ausgangsspannungsübergang, wodurch die AES-Versorgungsspannung (VAES) zufällig wird (Bild 3). Referenzregister werden mit VREF-Wörtern so vorgeladen, dass der Mittelwert gleich der Soll-Betriebsspannung ist, während die eingebaute Zufälligkeit durch die Standardabweichung bestimmt wird. Im Gegensatz zum Spannungs-Dithering, bei dem VAES nur zwischen den Verschlüsselungen wechselt, läuft das R-VREF mit hoher Frequenz (DLDO clock/16) und randomisiert VAES auch während einer Verschlüsselung. Eine On-Die-ADCM-Schaltung verwendet Replikate des kritischen Pfads, um Kanten des AES-Taktes zu modulieren und den korrekten Betrieb unter Versorgungsunterbrechungen und Variationen, die sowohl durch SNI als auch R-VREF induziert werden, sicherzustellen. ADCM nutzt das Zufallsrauschen in VAES, um zusätzliche Timing- und Amplituden-Randomisierungen in die aktuellen Signaturen einzubringen.

Für Leistungs- und EM-Signaturen im Zeit- und Frequenzbereich werden Testvektor-Leckage-Bewertung (TVLA) und Korrelationsleistungsanalyse (CPA) durchgeführt. Leistungssignaturen werden als Differenzspannungen über einen 1-Ω-Vorwiderstand an VAES (Standalone AES) und VIN,DLDO (DLDO-AES) Pins gemessen (Bild 4). Ein externer Trigger wird verwendet, um AES-Verschlüsselungen zu starten. Gemessene Muster bei VIN,DLDO zeigen, dass die Leistungssignatur, obwohl unterscheidbar, im Vergleich zu VAES um ~5,6× abgeschwächt ist. Wenn SNI und R-VREF aktiviert sind, sind P-AES-Rundungen bei VIN,DLDO nicht mehr unterscheidbar. EM-Signaturen, obwohl viel schwächer, zeigen deutliche Spitzenwerte während der P-AES-Rundungen. Die Power/EM-Signaturen werden mit schmalen Bandpassfiltern (10 MHz) im Bereich von 5 MHz bis 305 MHz gefiltert, um Out-of-Band-Rauschen zu entfernen. Gefilterte Signaturen werden mit einer Kreuzkorrelation ausgerichtet, um die anfängliche Verzögerung zu beseitigen, die durch die Verwendung eines externen Triggers verursacht wird.

TVLA auf P-AES zeigt einen hohen Informationsverlust für das eigenständige AES, der sich bei DLDO-AES deutlich reduziert (Bild 5). Wenn KP=KD=0 für den PID-Regler (integrierter Kompensator mit KI=1/32), ist die TVLA-Leckage maximal, während sie bei höheren KP- und KI-Werten reduziert wird, was zu einem unterdämpften Verhalten führt. Ebenso führt ein schnellerer R-VREF-Takt und eine größere SNI-Pulsbreite zu mehr Amplitude und Timing (mit ADCM) Randomisierung, was zu geringeren TVLA-Leckagen führt. Obwohl SNI das Rauschen bei VAES erhöht, wird der korrekte Betrieb durch ADCM mit nur 9,3% Leistungsverlust gewährleistet. Das R-VREF erzeugt VAES-Werte mit einem Mittelwert nahe dem Nominalwert, um einen minimalen (-1,1%) Verlust im durchschnittlichen Durchsatz des AES-Kerns zu gewährleisten.

Die CPA-Analyse auf Byte 9 (höchstes Byte) des P-AES-128-b-Schlüssels mit 5 Millionen Messungen zeigt ein hohes Korrelationsverhältnis (CR), definiert als das Verhältnis von absoluter Korrelation für korrekte Schlüsselvermutung und zweithöchster Korrelation für erfolgreichen Angriff, über alle Bänder für eigenständiges AES. Der CR-Wert reduziert sich bei DLDO-AES, wobei die meisten Bänder noch undicht sind (Bild 6). Mit dem R-VREF und SNI reduziert sich CR auf 1,3, wobei nur wenige Bänder undicht sind. CPA im Frequenzbereich zeigt, dass Byte 9 des Schlüssels im eigenständigen P-AES mit nur 400 Messungen aufgedeckt werden kann, während 3,6 Millionen Messungen für DLDO-AES mit dem R-VREF und SNI erforderlich sind. Alle Schlüsselbytes wurden mit bis zu 10 Millionen Messungen für Frequency-Domain-CPA extrahiert (Bild 7). MTD (Minimale Anzahl zur Aufdeckung) für eine 80 %ige Erfolgsrate (SR), d.h. um 13/16 Schlüsselbytes zu enthüllen, ist für Baseline P-AES 1900 (CPA) und 50 K (CEMA), was sich auf 8 M (CPA) und 6,8 M (CEMA) für DLDO-AES mit SNI und R-VREF verbessert. MTD, das sowohl CPA als auch CEMA berücksichtigt, steigt um 3579× für P-AES und um 2182× für S-AES. Einschließlich der Leistungsstufe, des Controllers und des R-VREF/SNI weist das DLDO-AES eine 36,9 % höhere Chip-Fläche und 10,4% niedrigere Durchsatzleistung als das eigenständige AES sowie 68 % ihrer Energieeffizienz auf, während es 40 mA bei 0,84 V aufnimmt.

Die Sicherheit von DLDO-AES kann weiter verbessert werden, indem ein TRNG verwendet wird, um die Vorhersagbarkeit/Wiederholbarkeit des LFSR zu reduzieren, und indem Eingangssensorschaltungen bei VIN, DLDO und VCTRL hinzugefügt werden, um eine PIA zu verhindern.