[发明专利]一种抵御冷启动攻击的公钥密码实现方法

说明书

技术领域

本发明属于信息安全技术领域，具体涉及一种抵御冷启动攻击的公钥密码实现方法。

背景技术

在理论上，对密码系统的攻击一般通过对密码算法弱点的分析和对密钥的暴力破解两种方法来进行。由于主流的密码算法的安全性往往经过学术研究和工业实践的充分检验，使用的密钥长度也往往足够长，所以一次成功的攻击往往需要消耗大量的时间和计算资源，其成本远大于可能得到的收益，从而保证了密码系统的安全性。

然而，对于实际部署中的密码系统，其安全性不仅与算法本身的安全性有关，还取决于算法具体实现以及软硬件计算环境等多方面因素。旁路攻击（side channel attack）就是这样的一种攻击方式：通过利用密码系统具体实现和计算环境中的安全缺陷，攻击者可以在无需破解密码系统的基础数学难题或者对密钥进行暴力破解的条件下，获得系统执行加解密过程中可以用来还原密钥的中间状态，甚至直接获得密钥本身。旁路攻击大大降低了攻击者有效破解现实密码系统的难度，严重威胁现实系统的安全性。尤其是对于一些被普遍认为是安全甚至被当作系统安全的基本前提假设的系统设计方案，一旦被发现了可行的旁路攻击方法，往往会产生广泛而重大的安全隐患。

冷启动攻击（cold boot attack）是近年来出现并备受关注的一种旁路攻击方法。过去，人们通常认为，在计算机系统的电源被切断后以后，保存在内存（动态存储器，Dynamic RAM，DRAM）中的数据会因为掉电而立即消失，除非获得了足够高的权限，攻击者无法访问系统中其他进程的内存数据。所以，很多开发者都选择直接将密钥以及密钥的调度表等敏感数据直接保存在内存中。然而，学术界和技术界的研究表明，对于正在运行的计算机的内存，即使是在常温下被从主板拔出，其中的数据也会在掉电后保留数秒钟之久而不会发生明显的丢失（即存储单元的值反转）；如果使用了简单的冷却技术进行降温，数据保留的时间会大大增加。尽管用户的计算机的BIOS或操作系统可能在系统正常的关机或重启过程中执行清除内存的操作，但如果攻击者直接切断电源，这些机制将无法发挥作用。这样，攻击者就可以将目标内存转移到另一台准备好的没有相关安全机制的电脑上，用一个自制的引导程序将目标内存的数据转储到磁盘或其它永久存储设备上。综上，攻击者可以按照下列操作流程执行冷启动攻击：

准备：

●正在运行的待攻击的计算机，简称目标机。

●冷却剂，比如罐装空气（canned air），用于冷却内存。

●一台没有内存清除机制的计算机，用于执行攻击，转储目标机的内存，下称执行机。

●一个简单的引导程序，用于将内存转储到硬盘、U盘等存储设备。由于其在引导的时候需要占用一部分内存，所以这个引导程序的编写要尽可能简单，并占用尽量少的内存，能完成转储功能即可。可以根据执行机的硬件情况灵活选择加载方式，比如U盘、PXE等。

执行步骤：

1)使用冷却剂对正在运行的目标机的内存进行冷却。

2)切断目标机的电源，拔下内存，迅速插入到执行机中，启动执行机。根据相关研究的实验结果，这个过程中目标机的内存中的数据损失非常小，且当执行机启动后，内存加电，数据将不再丢失。

3)执行机启动后将自动加载引导程序，引导程序将目标机的内存转储到磁盘上。

4)攻击者采用特定算法从目标机的内存映像中恢复出密钥或密码运算中关键的中间状态，攻破密码系统。

一次成功执行冷启动攻击的过程如图1所示。

不难看出，执行冷启动攻击并没有太高的技术门槛，一旦攻击者做好准备（执行机、引导程序、冷却剂等），并有机会物理上接触到待攻击的计算机，便可在数分钟之内将其内存转储；而相关研究结果表明，恢复密钥的工作也可以在数分钟之内完成。同时，受到目前通用计算机体系结构的限制，大量密码系统都将密钥或中间状态放在内存中，所以，冷启动攻击的出现为目前的计算机安全体系结构带来了巨大的安全威胁，在学术界和工业界都得到了广泛的关注。

现代密码体制主要包括对称密码体制和公钥密码体制两类。在对称密码体制中，加解密采用相同密钥，因此通信双方必须事先完成密钥协商，且信任对方不会泄露密钥。对称密钥加解密速度较快，资源消耗较少，可用来保证数据的完整性和保密性，但具有需要事先协商密钥、无法验证加密者身份、多方通信密钥管理困难等缺点。常用的对称密码算法包括DES、AES、IDEA等。