1) O documento discute considerações importantes para construir hardware para criptografia, incluindo custos de operações, módulos em corpos binários e precauções contra ataques conhecidos. 2) É apresentado o AES como um algoritmo criptográfico simétrico e discutidas suas implementações em hardware utilizando FPGAs. 3) São explicados conceitos importantes como criptografia simétrica e assimétrica, e exemplos como RSA e curvas elípticas.

1. 1 / 70

2. Construindo hardware .
para criptografia ...
O que ´e preciso considerar?
Luckas Farias (Judocka)
luckas.judocka@gmail.com
luckas.farias@usp.br
Engenharia da Computa¸c˜ao - Escola Polit´ecnica
Universidade de S˜ao Paulo - USP
07 de Julho de 2016

3. Cronograma
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
3 / 70

4. Luckas, quem ´e vocˆe?
Formado em Ciˆencia da Computa¸c˜ao - UEL
Mestrando em Engenharia da Computa¸c˜ao - USP
Escoteiro
Fotografo
Membro IEEE
Young Professionals
Mentor para ramos estudantis
Geek em eventos:
RoadSec
Latinoware
CPBR
BSideSP
STEP
Hackathon
CryptoRave
Engenheiro de cora¸c˜ao
4 / 70

5. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
5 / 70

6. Custos da criptografia?
Tempo?
6 / 70

7. Custos da criptografia?
Tempo?
Processamento?
6 / 70

8. Custos da criptografia?
Tempo?
Processamento?
Conhecimento?
6 / 70

9. Custos da criptografia?
Tempo?
Processamento?
Conhecimento?
Otimiza¸c˜oes?
6 / 70

10. Custos da criptografia?
Tempo?
Processamento?
Conhecimento?
Otimiza¸c˜oes?
Um pouco mais real...
6 / 70

11. MICAz (ATMega128)
Artigo: “Implementa¸c˜ao eficiente de criptografia
de curvas elipticas em sensores sem fio”
7 / 70

12. ARM processor at 600MHz
Artigo: “A Performance Comparison of Elliptic Curve
Scalar Multiplication Algorithms on Smartphones”
8 / 70

13. Solu¸c˜oes da Literatura
Board Curve Cycles Time
8-bit processor Atmega 128 163-bit ECC 111.183.513 13.9 segundos
Dispositivos MICAz (ATMega128) sect163k1 7.022.289 0.95 segundos
Dispositivos MICAz (ATMega128) sect163k1 5.100.400 0.69 segundos
Texas Instrument MSP430 ECC 160-bit key 5.400.000
8-bit processor Atmega 128 ECC 163-bit key 3.930.000 (GLV)
8-bit processor Atmega 128 ECC 163-bit key 5.945.000 (Montgomery)
9 / 70

14. Criptografia em Hardware
10 / 70

15. Criptografia em Hardware
FPGA
10 / 70

16. Custo de opera¸c˜oes em ECC
Eberle
NIST curves Curvas gen´ericas
F163 F163
62% Multiplica¸c˜ao 81% Multiplica¸c˜ao
11 / 70

17. Visualmente
12 / 70

18. Paraleliza¸c˜ao da Arquitetura
Eberle
NIST curves Curvas gen´ericas
F163 F163
62% Multiplica¸c˜ao 81% Multiplica¸c˜ao
36% com Hardware 20% com Hardware
103.33ns 1,356.11ns
13 / 70

19. Visualmente
Eficiˆencia de 156,25% em curvas NIST
Eficiˆencia de 125,00% em curvas gen´ericas
14 / 70

20. Alguns resultados de hardware
15 / 70

21. Estudo de Paralelismo F512
16 / 70

22. Estudo de Paralelismo F512
17 / 70

23. Software
18 / 70

24. Hardware
19 / 70

25. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
20 / 70

26. O que ´e Criptografia?
Criptografia ´e o estudo de t´ecnicas matem´aticas que visam a
seguran¸ca da informa¸c˜ao, por meio das quais ´e poss´ıvel obter-se a
integridade dos dados, autenticidade das entidades e autenticidade
da informa¸c˜ao.
21 / 70

27. O que ´e Criptografia?
Criptografia ´e o estudo de t´ecnicas matem´aticas que visam a
seguran¸ca da informa¸c˜ao, por meio das quais ´e poss´ıvel obter-se a
integridade dos dados, autenticidade das entidades e autenticidade
da informa¸c˜ao.
OK.... Mas isso ´e muito formal, n˜ao?
21 / 70

28. Necessidade de comunica¸c˜ao!
22 / 70

29. Todos PRECISAM
se comunicar
1
1
Cinderela, Disney, 22 de Maio de 1950
23 / 70

30. H´a quem quer
ler a mensagem...
2
...Mesmo essa n˜ao sendo destinada a ele...
2
Mal´evola em “A bela adormecida”, Disney, 06 de Fevereiro de 1959
24 / 70

31. E com a perda
da informa¸c˜ao...
3
...As coisas geralmente n˜ao acabam bem.
3
“A bela adormecida”, Viktor Mikhailovich Vasnetsov
25 / 70

32. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
26 / 70

33. Tipos de criptografia
Existem 2 grandes grupos em que os algoritmos
criptogr´aficos s˜ao divididos.
27 / 70

34. Tipos de criptografia
Existem 2 grandes grupos em que os algoritmos
criptogr´aficos s˜ao divididos.
Criptografia Sim´etrica
Criptografia Assim´etrica
27 / 70

35. Cifras sim´etricas
28 / 70

36. A chave que fecha abre
29 / 70

37. Criptografia Assim´etrica
30 / 70

38. Quem fecha n˜ao abre
31 / 70

39. Exemplos
ElGamal
Diffie–Hellman
RSA
Curvas El´ıpticas Criptogr´aficas o/
P´os-quantica o/o/
32 / 70

40. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
33 / 70

41. Design Modular
Por exemplo, a implementa¸c˜ao de uma
assinatura feita totalmente em hardware deve
considerar que a ´unica entrada no dispositivo ´e a mensagem a
ser assinada e a ´unica sa´ıda ´e a assinatura desta mensagem.
O processo de implementa¸c˜ao pode ser representado como:
34 / 70

42. Escolha do hardware
35 / 70

43. Fabricantes
36 / 70

44. Placas legais
Altera DE0-nano
37 / 70

45. Placas legais
FPGA 101
38 / 70

46. Placas legais
Altera DE2
39 / 70

47. Placas legais
Altera DE2i-150
40 / 70

48. Placas legais
Parallella - Zynq Xilinx
41 / 70

49. Placas legais
Zedboard - Zynq Xilinx
42 / 70

50. N˜ao t˜ao embarcado assim...
Net FPGA
43 / 70

51. O FUTURO
44 / 70

52. O FUTURO
Intel Xeon FPGA
45 / 70

53. O FUTURO
Intel Xeon FPGA
46 / 70

54. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
47 / 70

55. O que ´e AES?
Advanced Encryption Standard
O AES ´e um algoritmo que usa criptografia sim´etrica, sendo
capaz de codificar e decodificar blocos de informa¸c˜ao de 128 bits.
Parˆametros
Data (bits) Rounds key size (bits)
128 10 128
128 12 192
128 14 256
48 / 70

56. Codificador e Decodificador
49 / 70

57. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
50 / 70

58. M´odulos para aritm´etica
Opera¸c˜oes em F2m s˜ao tipicamente f´aceis de se implementar em
hardware, se comparados a implementa¸c˜ao sobre Fp.
A adi¸c˜ao em F2m n˜ao possui uma propaga¸c˜ao de carry (vai um).
Al´em disso, o quadrado em Fp ´e semelhante a uma multiplica¸c˜ao,
entretanto em corpos bin´arios existem otimiza¸c˜oes para calcular-se
em 1 pulso de clock.
51 / 70

59. Exemplo no corpo F24
Em F24 o polinˆomio irredut´ıvel ´e f (z) = z4 + z1 + z0.
Exemplos de opera¸c˜oes aritm´eticas:
Adi¸c˜ao: (z3 + z2 + 1) ⊕ (z2 + z + 1) = z3 + z
Subtra¸c˜ao: (z3 + z2 + 1) ⊕ (z2 + z + 1) = z3 + z
Multiplica¸c˜ao: (z3 + z2 + 1).(z2 + z + 1) = z5 + z + 1
= z.z4 + z + 1 = z(z + 1) + z + 1 = z2 + z + z + 1 = z2 + 1
Invers˜ao: (z3 + z2 + 1)−1 = z2
Sabendo que (z3 + z2 + 1).z2mod(z4 + z + 1) = 1
52 / 70

60. Multiplica¸c˜ao esquem´atico
Caso a redu¸c˜ao polinomial f (z) seja fixa
pode-se projetar o multiplicador com um n´ıvel menor de
complexidade, isso pois a redu¸c˜ao precisa de um registrador menor.
53 / 70

61. Quadrado de um polinˆomio
A representa¸c˜ao bin´aria de a(z)2 ´e obtida inserindo 0 entre os
valores dos bits (posi¸c˜oes ´ımpares do polinˆomio).
54 / 70

62. Exemplo de Hardware
Se considerarmos o corpo F27 cujo
polinˆomio irredut´ıvel seja f (z) = z7 + z + 1, temos que:
c = a2
c = a6z12
+ a5z10
+ a4z8
+ a3z6
+ a2z4
+ a1z2
+ a0z0
c = (a6 +a3)z6
+a6z5
+(a5 +a2)z4
+a5z3
+(a4 +a1)z2
+a4z +a0
55 / 70

63. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
56 / 70

64. Retomando...
57 / 70

65. Paralelismo em F512
58 / 70

66. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
59 / 70

67. Como se proteger
de ataques?
Considerando protocolos sem backdors, os ataques sobre
maneiras de implementar recaem sobre:
Ataques de medida de tempo
Ataques de consumo de potˆencia
”Ladr˜oes de galinha”
60 / 70

68. Ataques de medida
O algoritmo depende dos elementos
Em busca de “otimiza¸c˜oes” como multiplicar por 0000...0010
Equa¸c˜oes n˜ao completas
Depende de “conferˆencias”
Solu¸c˜oes
Usar equa¸c˜oes completas
N˜ao usar sistemas que necessitam de checagem
Mesmo parecendo burro, fa¸ca com que sempre tenha o mesmo
tempo
61 / 70

69. Perspectivas futuras
Curvas El´ıpticas (mais) Robustas
P´os-quˆantica
62 / 70

70. Sum´ario
Motiva¸c˜ao
Contextualiza¸c˜ao
Criptografia
Hardware!
AES
M´odulos em Corpos Bin´arios
Custo de Opera¸c˜oes
Precau¸c˜oes
Ataques conhecidos e vulnerabilidades
63 / 70

71. Pollard Rho
64 / 70

72. Pollard Rho
65 / 70

73. Side channel attack
66 / 70

74. Side channel attack
67 / 70

75. Side channel attack
68 / 70

76. Interessou?
Ent˜ao m˜aos `a obra!
69 / 70

77. Obrigado pela aten¸c˜ao
Obrigado a CAPES pela bolsa que me permite realizar minha pesquisa;
Ao Prof. Paulo e ao Prof. Bruno por estar me orientando neste mestrado;
Obrigado a Karoline pelas revis˜oes.
E-mail: luckas.judocka@gmail.com
E-mail: luckas.farias@usp.br
Facebook: fb.com/luckas.judocka
Linkedin: br.linkedin.com/in/luckas
70 / 70