Fault Attacks on AES with Faulty Ciphertexts Only


Auteurs : Thomas Fuhr, Eliane Jaulmes, Victor Lomné et Adrian Thillard (ANSSI).Intervention d’Adrian Thillard sur le sujet lors du FDTC 2013 (Fault, Diagnosis and Tolerance in Cryptography) le 20 août 2013 à Santa Barbara, États-Unis.

Les attaques par faute nécessitent généralement de chiffrer deux fois le même message clair, afin d’obtenir une ou plusieurs paires de messages chiffrés correct et erroné correspondant au même message clair.

Cette observation a amené certains concepteurs à penser que certains modes d’opération ajoutant de l’aléa, et donc empêchant de chiffrer deux fois le même message, constituent une protection suffisante contre les attaques par faute.

Dans cet article, un nouveau type d’attaques par faute est proposé, où l’attaquant n’a accès qu’à un ensemble de messages chiffrés erronés.
Ainsi plusieurs attaques visant l’AES en version 128 bits sont proposées, ciblant les quatre derniers tours de l’algorithme. Ce nouveau type d’attaques se base sur l’hypothèse que l’attaquant est capable d’introduire des fautes non uniformes lors du chiffrement.

Enfin, ce travail met en évidence le besoin de protections dédiées contre les attaques par faute dans les systèmes embarqués.

  • pdf

    Fault Attacks on AES with Faulty Ciphertexts Only

    264.73 Ko