enCRYPT 案例：保護應用程式免受 DFA 攻擊

2023年對於密碼學來說注定是意義非凡的一年。我們很可能會看到FIPS 140-3標準的首批認證，以及對FIPS 140-3更深入的探索。 量子計算對加密的影響此外，我們將看到更多針對強大的DFA攻擊的保護措施，這些攻擊一直以來都令密碼學家們頭痛不已。 2023年甚至可能是自2001年以來密碼學領域最激動人心的一年，那一年，（當時的）全新高級加密標準（AES）規範最終定稿，向公眾開放了一種數學上安全且性能卓越的加密演算法。

AES旨在取代那些在數學運算上開始顯露出弱點、且容易受到攻擊者日益增長的計算能力攻擊的舊式加密演算法，它將資料保護的主動權交還給了那些試圖保護自身資料的人。攻擊者很快就意識到，暴力破解攻擊和針對AES數學原理的攻擊都將無效，他們需要一種新的方法。

差分故障分析（DFA）是第一篇關於該主題的研究論文發表於2002年的一種攻擊技術，它透過在應用程式運行時向其加密代碼中註入「故障」並觀察應用程式行為的變化，來恢復應用程式的加密金鑰。故障本質上是在內部計算中翻轉一個比特位，並觀察由此產生的變化。故障可以透過多種方式註入，例如改變硬體設備的功率等級或更改軟體中的記憶體位。

攻擊者會在應用程式的多個不同部分注入故障，直到找到一個能夠以特定方式改變加密操作輸出的故障點。基於加密操作輸出的變化，利用確定性有限自動機（DFA）和一些數學運算，攻擊者可以恢復加密金鑰。一旦這些金鑰被恢復，任何用它們加密的資料都將變得脆弱，面臨風險。

最初，DFA攻擊主要針對硬體設備，因為攻擊者無法輕易查看硬體設備的機器碼。軟體攻擊則簡單得多，因為加密金鑰通常清晰地隱藏在應用程式程式碼中，反彙編器等工具可以輕鬆顯示。長期以來，如果一段程式碼涉及加密，它都會被保存在一個安全的環境中，攻擊者無法輕易查看應用程式碼來取得金鑰。最初，這些環境是科技公司的實體財產。如今，每家公司都是科技公司，技術/軟體/機密/金鑰的實體和「虛擬」安全性在大多數情況下都掌握在AWS、谷歌雲端和微軟Azure等巨頭手中。

我們在2023年面臨的另一個不同之處在於，我們創造的大部分技術既不存在於（我們假設的）安全可靠的雲端，也不存在於企業資料中心。相反，軟體/技術甚至密鑰都存在於消費者手機、桌上型電腦、智慧型電視和汽車上的應用程式中。因為 威脅者 現在，我們可以直接查看構成應用程式的指令，但軟體應用程式需要保護其加密例程和金鑰。白盒密碼學於 2002 年推出，正是為了解決這個問題，同年，第一篇 DFA 論文發表。

白盒密碼技術的引入，旨在為攻擊者可以隨意篡改程式碼和資料的應用程式提供安全的加密實作。白盒密碼技術能夠針對給定的輸入獲得與普通加密實現相同的輸出，但其內部實作方式與標準加密實作完全不同。這使得攻擊者很難理解其內部運作機制。由於難以理解白盒密碼技術的實現，攻擊者藉鏡硬體領域的成功經驗，開始在軟體實現中使用確定性有限自動機（DFA）來攻擊白盒密碼技術。

DFA攻擊正變得越來越普遍。許多安全研究人員在會議上討論DFA攻擊，他們實現硬體和軟體DFA攻擊，並發表相關教學。 DFA攻擊不再侷限於學術界或高端安全實驗室。現實世界中的DFA攻擊已經出現，隨著攻擊代碼的擴散和武器化，已報告的攻擊事件也越來越多。

隨著DFA攻擊的有效性和普及程度不斷提高，確保您的防禦措施能夠與時俱進，並繼續保護應用程式內部的加密例程至關重要。您可以採取以下幾個步驟，盡最大努力防禦DFA攻擊。

首先，要確保您使用的是現代的白盒密碼學實現，該實現旨在防禦DFA攻擊，並經過信譽良好的第三方機構測試。由於攻擊手段會隨著時間推移而變得越來越複雜，因此使用積極開發以應對新型攻擊的白盒實現至關重要。

其次，您應該確保您的應用程式使用應用防護（也稱為應用程式內保護）。 代碼混淆（例如，反篡改和反程式碼提取技術）旨在從根本上增加攻擊者發動DFA攻擊的難度。使用混淆技術的應用程式使攻擊者難以理解在何處注入故障，而能夠識別自身是否遭受攻擊的應用程式（即具有反篡改功能的應用程式）可以立即採取措施阻止攻擊，防止其進一步發展。

要了解更多關於如何保護您的行動、桌面和伺服器應用程式的信息，請查看我們的 Digital.ai 白盒密碼學解決方案簡介.