بخشی از مقاله
اغلب طراحان سامانههای رمزنگاری بر این باورند که مطالب رمز شده خود را در یک محیط بسته و امن ذخیرهسازی و اداره کردهاند که قابلتحلیل و حمله نیست. یکی از این سامانههای رمزنگاری بر روی کارتهای هوشمند پیادهسازی شده، که یکی از مهمترین ابزارهای تصدیق کاربر و ذخیره اطلاعات محرمانه است که امروزه کاربرد وسیعی پیداکرده است. کارتهای هوشمند دارای تراشه الکترونیکی و مغناطیسی میباشند که محیط مناسبی برای پیادهسازی الگوریتمهای رمزنگاری و ذخیرهسازی اطلاعات هستند. این تراشههای الکترونیکی در حین انجام عملیات رمزنگاری و رمزگشایی جریان الکتریکی لازم را از منبع دریافت میکنند که این کار باعث به وجود آمدن فرآیندهای متفاوتی در تراشه میگردد.
این فرآیندها میتواند از چندین نظر موردبررسی و تجزیهوتحلیل اطلاعات قرار گیرد، که استفاده کردن از این اطلاعات برای رسیدن به کلید رمزنگاری را بهاصطلاح حملات جانبی کانال گویند. یکی از قدرتمندترین و معمولترین نوع حملات جانبی کانال استفاده از تجزیهوتحلیل توان مصرفی برای حمله است. در این نوع از حملات سعی بر پیدا کردن یک راهحل و رابطه مناسب بین مصرف لحظهای توان و وضعیت داخلی آن در زمان اجرای الگوریتم رمزنگاری است. ازآنجاییکه پیادهسازی الگوریتمهای رمزنگاری در سامانه-هایی مانند کارت هوشمند، منجر به نشت اطلاعات حساسی از طریق مقادیر میانی الگوریتم می-گردد، پس اطلاعات حساس از طریق کمیتهای فیزیکی موسوم به کانال جانبی نشت میکند، به همراه اطلاعات در دسترس از ساختار ریاضی الگوریتم رمز پیادهسازی شده در سیستم، بهمنظور استخراج کلید محرمانه بهکاررفته، استفاده میشود و میتوانند اطلاعات مخفی سامانه را آشکار سازند. ما در این مقاله به بررسی حملههای موفقی که با استفاده از نشت اطلاعات جانبی بر روی کارت هوشمند اعمالشدهاند پرداخته و درنهایت با ارائه راهکارهایی که میتواند برای جلوگیری از حملات احتمالی بر روی کارتهای هوشمند اعمال گردد میپردازیم.
کلمات کلیدی: حملات جانبی کانال، کارت هوشمند، رمزنگاری، تجزیه تحلیل توان، نشت اطلاعات.
1. مقدمه
رمزنگاری از دیرباز بهعنوان یک ضرورت برای حفاظت از اطلاعات خصوصی در مقابل دسترسیهای غیرمجاز در تجارت، سیاست و مسائل نظامی وجود داشته است. بهطور مثال تلاش برای ارسال یک پیام سری بین دو همپیمان بهگونهای که حتی اگر توسط دشمن دریافت شود نیز قابلدرک نباشد، در تاریخ رم قدیم نیز دیده شده، و یک تاریخچه و قدمت طولانی دارد. در سالیان اخیر رمزنگاری و تحلیل رمز از یک هنر پا را فراتر گذاشته و یک علم مستقل شده است و درواقع بهعنوان یک وسیله عملی برای ارسال اطلاعات محرمانه روی کانالهای غیر امن همانند اینترنت، تلفن، ماکرویو و ماهوارهها شناخته میشود.
با توجه به گستردگی ارتباطات کامپیوتری و پیشرفت تکنولوژی و آسان شدن روشهای نقلوانتقال اطلاعات دیجیتال و توسعه فنآوریهای اطلاعات و به وجود آمدن مخابرات امن و شبکههای دیجیتالی مانند شبکههای اینترنت هرروزه بر تعداد استفادهکنندگان از محصولات دیجیتالی افزوده میشود. از طرف دیگر قابلیت کپیبرداری راحتتر و بدون افت کیفیت از این محصولات باعث شده است تا همواره طراحی سامانههایی که بتواند از این محصولات و حقوق صاحبان آنها محافظت کند یکی از نیازهای جدی این عرضه است.از یک دیدگاه کلی امنیت اطلاعات دارای سه هدف اصلی است که این سه هدف را میتوان بهصورت زیر بیان نمود:
·محرمانگی: اطلاعات تنها توسط افراد مجاز قابلخواندن باشد.
·جامعیت: اگر اطلاعات در حین ارسال و یا پردازش دستکاری گردد، قابلتشخیص نباشد.
· در دسترس بودن: اطلاعات و منابع سیستم در دسترس افراد مجاز باشد و افراد غیرمجاز نتوانند خللی در امکان استفاده از منابع ایجاد کنند.
برای رسیدن به دو هدف اولی، اصلیترین مکانیزم استفاده از روشهای رمزنگاری است. درجه تضمین هریک از اهداف، وابستگی مستقماًی به الگوریتم استفادهشده برای رسیدن به آن هدف را دارد. هرچه قدر از الگوریتمهای پیچیده و قدرتمندتری استفاده شود تضمین بیشتری برای رسیدن به اهداف وجود خواهد داشت.در سالیان دور مکانیزمهای امنیتی و کاربردهای آنمعمولاً محدود به حوزههای نظامی و مراکز امنیتی بوده است، اما در دهههای اخیر با گسترش شبکههای کامپیوتری و به وجود آمدن کاربردهای گوناگون الکترونیکی مانند تجارت الکترونیک، امنیت اطلاعات در سایر حوزهها هم موردتوجه قرارگرفته است و به یک مسئله روزمره تبدیل شده است که ما همواره در کاربردهای روزانه با آن سروکار داریم. یکی از این کاربردهای مهم روزانه ما استفاده از کارتهای هوشمند است6]،2،.[1
2.برنامهریزی کارت هوشمند
گسترش کارتهای پلاستیکی در اوایل دهه 50 میلادی آغاز شد. هزینه پایین این کارتها که از جنس پلی وینیل کلراید بودند، باعث شد تا بهسرعت جای کارتهای کاغذی که تحمل تنشهای فیزیکی و تغییرات آبوهوا را ندارند را بگیرند. اولین ارتقاء در این کارتها با اضافه نمودن نوار مغناطیسی ذخیره داده به آنها که امکان ذخیرهسازی اطلاعات را میداد پدید آمد. در سال 1970 و با پیشرفت چشمگیر در ریزپردازندهها و ترکیب آنها با حافظههای غیرفعال این امکان به وجود آمد تا از آنها در کارتهای هوشمند استفاده گردد.کارتهای هوشمند، امروزه در بسیاری از کاربردهایی که نیاز به نگهداری و انتقال امن اطلاعات دادهها، کنترل دسترسی به سیستمهای رایانهای و نیز کنترل دسترسی فیزیکی به محیطهای خاص بهعنوان کلید الکترونیکی وجود دارند، بکار میروند.
کارت هوشمند که با نامهای کارت چیپدار یا کارتهای با مدار مجتمع هم شناخته میشود که کارتی است که بر روی آن مدار مجتمع نصب شده است. همچنین از این نوع کارت میتوان به جای کارت اعتباری و کارت پول یا در سیستمهای امنیتی کامپیوتری، سیستمهای تشخیص هویت و بسیاری موارد دیگر استفاده کرد. امروزه کاربردهای این تکنولوژی در سطح دنیا در اکثر زمینهها قابلمشاهده بوده وحتی این روند، رو به رشد است. بانکها، مراکز مخابراتی، سازمانهای دولتی، مراکز بهداشتی، مراکز ارائه خدمات، مراکز آموزشی، مراکز تفریحی و غیره از این دستاوردهای کاربردی این تکنولوژی بهره میگیرند.[3]
با توجه به کاربردهایی که اشارهشده پس ازاینرو امنیت در کارتهای هوشمند اهمیت ویژهای را ملزوم میکند. رمزنگاری در کارتهای هوشمند نیازی است که بههیچوجه قابل انکار نیست. کارتهای هوشمند شرایطی را برای دسترسی به اطلاعات خود اعمال میکنند تا از محتویات دادههای موجود در فایلها محافظت بکنند. کاربران فقط در شرایطی میتوانند به نوشتن یا خواندن اطلاعات کارت اقدام کنند که شرایط دسترسی و مجوزهای لازم را داشته باشند. کارت توسط سیستم عامل کنترل میشود درنتیجه سیستم عامل مسئول امنیت اطلاعات کارت است. با افزوده شدن رمزنگاری به کارتهای هوشمند میبایست محاسبات پیچیده ریاضی در کارتها انجام میشد. اما از بین روشهای مختلفی که در رمزنگاری وجود دارد، روش AES و DES
بیشترین کاربرد را نسبت به الگوریتمهای دیگر دارا هستند. این دو روش در استاندارد رمزنگاری پیشرفته توسط دولت ایالاتمتحده پذیرفته شده و اکنون در سراسر جهان استفاده میگردد. الگوریتم رمزنگاری AES در سال 1999 بهجای استاندارد رمزنگاری دادهها DES که در سال 1977 منتشر شده بود، جایگزین گردیده است این الگوریتم یک الگوریتم متقارن است، بدین معنی که از یک کلید یکسان برای رمزنگاری و رمزگشایی