Startseite > Kommunikation > Mobilfunk > Smart-Cards: so wurden sie vor 20 Jahren sicher

Korrelationsleistungsanalyse

Smart-Cards: so wurden sie vor 20 Jahren sicher

28. Januar 2025, 10:20 Uhr | Heinz Arnold

Nach zwanzig Jahren kam die Anerkennung: Eric Brier, Francis Olivier und Christophe Clavier haben für die »Correlation Power Analysis«, die sie bei Gemplus entwickelt hatten, den »CHES-Test Of Time«-Preis erhalten.

Heutige Chipkarten sind sicher. Die Grundlagen haben drei Spezialisten vor 20 Jahren mit der Korrelationsleistungsanalyse (CPA) gelegt – ein Meilenstein für die kryptografische Verteidigung.

▶ Diesen Artikel anhören

»Wir waren einfach nur verrückte Nerds, die versuchten, mathematische Probleme zu lösen«, mit diesen Worten erinnert Eric Brier, Chief Technology Officer für Cyber Digital Solutions von Thales, an die Laborarbeit, die er vor 20 Jahren geleistet hat. Zusammen mit zwei Kollegen (Francis Olivier und Christophe Clavier) untersuchte Eric die Correlation Power Analysis (DPA) – eine Technik zur Messung der Leistungsabgabe von Smart Cards und ähnlichen Produkten.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die Korrelationsleistungsanalyse kurz erklärt
Wenn man versucht, kryptografische Geheimnisse (z. B. ein Passwort) aus einem elektronischen Gerät zu extrahieren, besteht die primäre Methode darin, den mathematischen Algorithmus zu brechen. Aber es gibt eine Alternative - die sogenannte Seitenkanalanalyse. Sie beschreibt verschiedene Möglichkeiten der Analyse von Daten aus physikalischen Ereignissen zu extrahieren wie der Rechenzeit eines Geräts, der elektromagnetischen Leistung, dem Schall und der Wärme. Angreifer können diese Daten analysieren und nach Korrelationen suchen, wenn ein Gerät zum Beispiel eine PIN verarbeitet. Ein besonders effektiver Marker für die Seitenkanalanalyse ist der Stromverbrauch. Mit anderen Worten: Es wird ermittelt wieviel elektrische Leistung während einer kryptografischen Operation aufgenommen und abgegeben wird. Diese Technik lässt sich gut auf Smartcards anwenden. Sie werden allerdings oft als sicher gegenüber Angriffen von außen eingeschätzt, weil dort keine beweglichen Teilevorhanden sind und sie relativ wenig Strom aufnehmen. Aus diesen Gründen galten Smartcards traditionell als resistent gegen Sicherheitsangriffe. Im Jahr 1999 änderte sich die Auffassung, dass sie gegen Sicherheitsangriffe weitgehend resistent seien. Ein Forscher namens Paul Kocher vertrat die Ansicht, dass es möglich sein könnte, durch Energieanalyse die geheimen Informationen wiederherstellen zu können. Einem Hacker sollte es gelingen können, mit Hilfe eines Oszillioskops die Stromaufnahme zu analysiere und so die verschlüsselten Informationen zu rekonstruieren. Die neue Technik, die in der CHES 2004 veröffentlicht wurde, erhielt den Namen »Correlation Power Analysis« (Korrelationsleistungsanalyse), und schon bald begannen Forscher, sie zur Überprüfung auf unbeabsichtigte Informationslecks in Chipkarten einzusetzen.

Die Korrelationsleistungsanalyse kurz erklärt

Wenn man versucht, kryptografische Geheimnisse (z. B. ein Passwort) aus einem elektronischen Gerät zu extrahieren, besteht die primäre Methode darin, den mathematischen Algorithmus zu brechen.

Aber es gibt eine Alternative - die sogenannte Seitenkanalanalyse. Sie beschreibt verschiedene Möglichkeiten der Analyse von Daten aus physikalischen Ereignissen zu extrahieren wie der Rechenzeit eines Geräts, der elektromagnetischen Leistung, dem Schall und der Wärme. Angreifer können diese Daten analysieren und nach Korrelationen suchen, wenn ein Gerät zum Beispiel eine PIN verarbeitet.

Ein besonders effektiver Marker für die Seitenkanalanalyse ist der Stromverbrauch. Mit anderen Worten: Es wird ermittelt wieviel elektrische Leistung während einer kryptografischen Operation aufgenommen und abgegeben wird.

Diese Technik lässt sich gut auf Smartcards anwenden. Sie werden allerdings oft als sicher gegenüber Angriffen von außen eingeschätzt, weil dort keine beweglichen Teilevorhanden sind und sie relativ wenig Strom aufnehmen. Aus diesen Gründen galten Smartcards traditionell als resistent gegen Sicherheitsangriffe.

Im Jahr 1999 änderte sich die Auffassung, dass sie gegen Sicherheitsangriffe weitgehend resistent seien. Ein Forscher namens Paul Kocher vertrat die Ansicht, dass es möglich sein könnte, durch Energieanalyse die geheimen Informationen wiederherstellen zu können. Einem Hacker sollte es gelingen können, mit Hilfe eines Oszillioskops die Stromaufnahme zu analysiere und so die verschlüsselten Informationen zu rekonstruieren.

Die neue Technik, die in der CHES 2004 veröffentlicht wurde, erhielt den Namen »Correlation Power Analysis« (Korrelationsleistungsanalyse), und schon bald begannen Forscher, sie zur Überprüfung auf unbeabsichtigte Informationslecks in Chipkarten einzusetzen.

Im Jahr 2004 entwickelte sich die DPA zu einer vielversprechenden Technik, um kryptografische Schlüssel aus elektronischen Geräten zu extrahieren. Die Forscher analysierten die Beziehung zwischen dem Stromverbrauch und den Daten, die während einer kryptografischen Operation verarbeitet wurden. Sie suchten nach einer Korrelation und nutzten sie, um Schlüssel zu extrahieren. Sie vermuteten, dass dies eine Technik ist, die Cyber-Angreifer nutzen könnten, um kryptografisches Material zu stehlen.

Das Geheimnis der Anomalie

Bei ihren Experimenten bemerkte das Gemplus-Trio (Gemplus wurde später in Gemalto umbenannt und schließlich von Thales übernommen) eine Anomalie, die manchmal zu falschen Ergebnissen führte. Die meisten DPA-Forscher ignorierten sie. Das Gemplus-Team tat dies nicht. Stattdessen machten sie sich an die Arbeit, um herauszufinden, was die Fehler verursachte. Sie lösten das Problem und veröffentlichten ihre Ergebnisse in einem Papier mit dem Titel »Correlation Power Analysis With A Leakage Model«.

Zuerst Ablehnung, dann Ignoranz…

Die Studie hatte keinen guten Start. Sie wurde von der Conference on Cryptographic Hardware and Embedded Systems (CHES) fast abgelehnt. Und nach der Veröffentlichung wurde sie größtenteils ignoriert. Correlation Power Analysis (CPA) war im Jahr 2004 kein glamouröses Thema.

…doch dann immer wieder gelesen

Doch während die meisten übersehenen Forschungsarbeiten in der Versenkung verschwinden, war das bei dieser Arbeit nicht der Fall. Stattdessen fand sie verbreitete sie sich über die Zeit eine höchst erstaunliche Verbreitung: Innerhalb von 20 Jahren wurde sie mehr als 3.000 Mal zitiert. Damit gehörte sie zu den besten ein Prozent aller wissenschaftlichen Arbeiten.

Warum war CPA so erfolgreich war

Denn die CPA sollte sich als eine wertvolle Technik dafür erweisen, um die Hardware-Angriffen auf Geräte mit geringem Stromverbrauch im Labor zu simulieren. In einer Zeit, in der Smart Cards explosionsartig zu wachsen begannen, war dies ausgesprochen interessant.

Nach 20 Jahren: Endlich der »Test Of Time«-Preis

Im September letzten Jahres, an seinem 20. Geburtstag, erhielt die Arbeit endlich die Anerkennung, die sie verdiente. Jedes Jahr vergibt die International Association for Cryptologic Research auf ihrer jährlichen CHES-Veranstaltung einen speziellen »Test Of Time«-Preis. Mit diesem Preis werden historische Arbeiten gewürdigt, die auch lange nach ihrer Veröffentlichung noch relevant sind. »Correlation Power Analysis With A Leakage Model“« erschien im Jahr 2024 nun endlich des Preises würdig zu sein.

Innerhalb von Thales wird die Arbeit von Eric, Francis und Christophe weiterhin hoch geschätzt. »Wenn Thales ein unbestrittener Marktführer im Bereich der eingebetteten Sicherheit ist, dann ist dies den Experten zu verdanken, die in diesem Labor an der Entwicklung proprietärer Gegenmaßnahmen zu CPA gearbeitet haben«, sagt Philippe Loubet Moundi, Principal, Security HW Lab Manager von Thales.

Interview mit Eric Brier

Können Sie in einfachen Worten erklären, wie die CPA funktioniert?

Eric Brier, CTO für Cyber Digital Solutions von Thales: Jederzeit kann der Stromverbrauch des Mikroprozessors in einem Gerät gemessen werden – und die Messung variiert zeitlich je nach Art der durchgeführten Berechnungen. Das Verfahren funktioniert besonders gut in einem Chip. Je mehr Bits man umdreht, desto mehr Energie benötigt man. Allerdings ist die genaue Leistungsschwankung nicht leicht zu ermitteln. Sie ist bis zu einer Konstante messbar, die man nicht kennt, bis zu einer Steigung, die man nicht kennt, und mit der zusätzlichen Schwierigkeit des unvermeidlichen Rauschens durch das elektromagnetische Felder, die in der Laborumgebung auftreten. Man muss also eine Reihe komplexer mathematischer Verfahren anwenden, um die richtigen Informationen zu erhalten.«

Wie konnte dies 2004 gemessen werden?

»Wir verwendeten eine so genannte differenzielle Leistungsanalyse. Wir ließen einen Algorithmus hunderte Male laufen, um die Verbrauchsspuren aufzuzeichnen. Wir glichen alles ab und nutzten Statistiken, um herauszufinden, welcher Unterschlüssel den höchsten Spitzenwerten entsprach.

Damit hätte die Geschichte eigentlich enden können. Doch dann stellten wir fest, dass die höchsten Spitzenwerte manchmal mit dem falschen Unterschlüssel übereinstimmten. Wir nannten sie „falsche Spitzenwerte“. «

Welche Schlüsse zogen Francis, Christophe und Sie daraus?

Zwei von uns nahmen die Anomalien einfach als gegeben hin. Sie akzeptierten sie als Tatsache, ohne nach einer Erklärung zu suchen. Doch Christophe verhielt sich anders: Er konnte nicht akzeptieren kann, dass etwas einfach so passiert, ohne dass es eine Erklärung gibt. Er will immer wissen, warum etwas passiert.

Deshalb spornte er uns an, zusammenzuarbeiten, um einen neuen Weg zu finden. Glücklicherweise war die damalige Geschäftsführung von Gemplus bereit, drei verrückte Nerds für die Lösung dieser mathematischen Probleme zu bezahlen – auch wenn es keine praktische Anwendung gab. Zu diesem Zeitpunkt versuchten wir nicht, eine neue Methode zu entwickeln, sondern nur zu verstehen, was passiert.

Nach ein paar Wochen hatten wir eine Lösung gefunden, woher die falschen Spitzenwerte stammten. Dann entwickelten wir eine neue Methode, die die richtigen Ergebnisse mit einer viel geringeren Fehlerquote lieferte.

Was in der Wissenschaftsgemeinde auf wenig Interesse stieß…

…wir hatten zunächst Schwierigkeiten, die Arbeit überhaupt veröffentlichen zu können. Die Conference on Cryptographic Hardware and Embedded Systems (CHES) hätte sie fast abgelehnt. Das Thema war damals einfach – noch – nicht „sexy genug“. Als die Arbeit veröffentlicht wurde, stieß sie deshalb auf geringes Interesse.

Ist das mit der Verleihung des »Test Of Time«-Preis durch die CHES zwanzig Jahre später vergessen?

Es ist natürlich sehr schön, anerkannt zu werden. Aber noch erfüllender ist es, sich darüber bewusst sein zu dürfen, etwas wirklich sinnvolles getan haben. Darauf sind wir drei jetzt sehr stolz.

Welchen Impuls gab diese Forschung der digitalen Sicherheit insgesamt?

Man kann nie ganz sicher sein, wie Hacker Systeme angreifen. Aber man kann versuchen, die gängigsten Methoden zu finden. Die Aufgabe eines Sicherheitsteams ist es, Produkte gegen diese bekannten Angriffe zu schützen.

Mit unserer Arbeit haben wir den Sicherheitsexperten ein neues Werkzeug in die Hand gegeben. Wir haben ihnen eine Technik an die Hand gegeben, mit der sie das tatsächliche Sicherheitsniveau einer Chipkarte – oder allgemeiner eines Mikroprozessors oder kryptografischen Beschleunigers – bewerten können. Auch nach zwanzig Jahren gehört diese Technik noch zu den Werkzeugen, die Smartcards und viele andere empfindliche Kryptogeräte resistent gegen Stromangriffe machen.