DFA攻击背景介绍#
传统的密码安全性分析环境被称为黑盒攻击环境,攻击者只能访问密码系统的输入与输出,但随着密码系统部署环境的多样化,该分析模型已经不能够反映实际应用中攻击者的能力。2002年,Chow等人[1]提出了白盒攻击环境的概念,该攻击环境中的攻击者对算法运行环境具备完全的控制权,并且完全掌握算法的设计细节。白盒攻击环境中攻击者的能力包括但不限于:动态观测算法程序运行过程、修改算法程序运行过程中的中间值、对算法程序进行调试分析等,其中包括了差分计算分析(DCA)。
差分计算分析(DCA):DCA不需要攻击者掌握算法的设计细节,只需要采集算法程序在运行过程的中间状态,通过相应的统计分析方法提取密钥。DCA分析只需要掌握白盒实现的底层算法,能够监测白盒实现程序的运行过程即可进行分析,极大地降低了分析的部署难度。
与DCA相似的,Sanfelix,Mune和de Haas在BlackHat Europe 2015上成功提出了针对相同白盒挑战的差分故障分析(DFA)攻击,也就是我们今天要研究的差分故障分析攻击。在大部分白盒攻击模型中,故障非常容易执行且成本低廉,并且不会导致程序自我毁灭
AES算法介绍#
AES是著名的非对称算法,通过每轮变换的轮密钥实现加密。它由 10、12 或 14 轮(分别用于 AES-128、AES-192 和 AES-256)组成)通过重复操作逐步转换 16 字节输入。在AES-128里,第一轮的密钥就是AES的密钥,而在AES-256里,第一轮的密钥被拆分为两个轮密钥。
而问题就出在这里,在白盒里面,密钥不会从原地进行轮密钥加,而是在生成白盒时预先计算的,而且轮密钥加会混合在其他轮次中来进行隐藏。
AES的整个加密解密流程如下图
AddRoundKey (轮密钥加)— 矩阵中的每一个字节都与该次轮密钥(round key)做XOR运算;每个子密钥由密钥生成方案产生。
**SubBytes(字节替代) **— 通过非线性的替换函数,用查找表的方式把每个字节替换成对应的字节。
**ShiftRows(行移位) **— 将矩阵中的每个横列进行循环式移位。
MixColumns (列混淆)— 为了充分混合矩阵中各个直行的操作。这个步骤使用线性转换来混合每列的四个字节。
DFA分析AES-128加密#
DFA 攻击的一般要求是:
- 输出必须在没有外部编码的情况下可观察(直接在密码末尾或解码后在应用程序中的其他地方)。
- 必须能够在同一输入(可以是编码的或未知的)上多次执行密码。在几轮后捕获 AES 的状态并多次恢复它也是一种选择。
由AES加密算法流程可以看出,第10次轮秘钥加之前是没有列混淆的。
所以我们可以知道第九次轮密钥加之前是这样的:
如果我们在第九轮列混淆之前构造如下两组数据:
可以看出这两组数据只有第一个数据不一样,以当前状态继续进行,那么作为状态矩阵的输入就会影响到其余地方,由于
通过上述表达式推算,可以得到一组K10的(0,7,10,13)的位置值,同理,如果换成其他位置的值,可以得到K10的其他位置值,从而推算得到整个K10的值,再根据AES秘钥拓展算法(),最终可以还原原始的加密秘钥。
实战#
2023巅峰极客逆向 m1_read#
ida打开附件,findcrypto一下发现很明显的AES加密
但是找了很久都没有找到密钥,于是可以联想到是白盒AES(别问怎么联想的),用大爹的模拟执行代码进行还原密钥
我们借用qiling框架来模拟程序执行。
参数传入#
函数开头传⼊参数, rcx 存储输⼊的地址
def hook_args(ql: Qiling):
ql.mem.write(0x500000000, b"\x01" * 16)
ql.arch.regs.write("rcx", 0x500000000)
#print(ql.mem.read(0x500000000, 16))
ql.mem.write(0x500000000 + 0x10, b"\x00" * 16)
ql.arch.regs.write("rdx", 0x500000000 + 0x10)
ql.mem.write(0x500000000 + 0x20, b"\x00" * 16)
ql.arch.regs.write("rbx", 0x500000000 + 0x20)
#print("Hook Success")
return
start_addr = 0x140004BF0
ql.hook_address(hook_args, start_addr)
找到插入缺陷数据的地方#
上文中,我们说过要将构造多组数据将AES的密钥攻击出来,而我们是在第九次进行轮密钥加之前加入的这种数据,这种数据后文叫缺陷数据。
找到列混合的地方可以很快找到轮密钥加,在本题中我们很容易找到一个对16位字符进行操作的函数,可以肯定这就是列混合的地方。
往下翻,就能找到轮密钥加的地方
每轮v6加了1024*4个字节,也就是1000个字节,在经过八次相加之后就是8000,在这之后加入缺陷代码
在汇编层面上就是下面的代码
def hookcode(ql:Qiling):
if ql.arch.regs.read("r12") == 0x8000:
global index
#第一次需要获取正确的密文,所以不需要插入\x00,也就是说下面的write第一次不用写
ql.mem.write(0x500000000 + index,b'\x00')
index += 1
#此处是获取正确的密文
#print(ql.mem.read(0x500000000,16).hex())
#print(ql.mem.read(0x500000000,16))
return
index_addr = 0x1400052c5#这个地址就是判断是否到第酒次的地址
ql.hook_address(hookcode,index_addr)
获取密文#
找到定义密文的地方,如下图所示
所以可以直接hook这个地址,拿到密文
def hook_enc(ql:Qiling):
print(ql.mem.read(0x500000000,16).hex)
return
enc_addr = 0x1400053ca
ql.hook_addr(hook_enc,enc_addr)
运行两次(每次的运行代码不同)验证正确密文和错误密文,看结果是否满足白盒AES原理
可以看出,分别得到了正确密文为
e14d5d0ee27715df08b4152ba23da8e0
第九轮列混淆时,错误的密文为
d24d5d0ee27715ac08b4bf2ba272a8e0
在第0,7,10,13个字节分别与正确密文有错误,和原理一致。
获取所有错误密文#
写个for循环即可得到剩下的密文,整个代码如下
from qiling import *
from qiling.const import QL_VERBOSE
index = 0
ql = Qiling(
["/home/nian/桌面/examples/m1_read.exe"],
r"/home/nian/桌面/examples/rootfs/x86_windows",
verbose=QL_VERBOSE.OFF,
)
def hook_args(ql: Qiling):
ql.mem.write(0x500000000, b"\x01" * 16)
ql.arch.regs.write("rcx", 0x500000000)
#print(ql.mem.read(0x500000000, 16))
ql.mem.write(0x500000000 + 0x10, b"\x00" * 16)
ql.arch.regs.write("rdx", 0x500000000 + 0x10)
ql.mem.write(0x500000000 + 0x20, b"\x00" * 16)
ql.arch.regs.write("rbx", 0x500000000 + 0x20)
#print("Hook Success")
return
def hook_code(ql: Qiling):
if ql.arch.regs.read("r12") == 0x8000:
global index
ql.mem.write(0x500000000 + index, b"\x00")
index += 1
#print(ql.mem.read(0x500000000, 16).hex())
#print(ql.mem.read(0x500000000 + 0x10, 16))
return
def hook_enc(ql: Qiling):
print(ql.mem.read(0x500000000, 16).hex())
return
index_addr = 0x1400052C5
start_addr = 0x140004BF0
end_addr = 0x14000542D
enc_after = 0x1400053CA
ql.hook_address(hook_args, start_addr)
ql.hook_address(hook_code, index_addr)
ql.hook_address(hook_enc, enc_after)
# e14d5d0ee27715df08b4152ba23da8e0
# e14d5d73e27708df0878152b843da8e0
for i in range(16):
ql.run(begin=start_addr, end=end_addr)
得到如下错误密文
"""d24d5d0ee27715ac08b4bf2ba272a8e0
e14d5d73e27708df0878152b843da8e0
e14dd50ee23415df7fb4152ba23da890
e16f5d0e537715df08b415e7a23dc6e0
e11a5d0e057715df08b4151ba23d99e0
574d5d0ee277157508b4df2ba234a8e0
e14d5d49e27785df0840152bff3da8e0
e14db80ee2d215dfceb4152ba23da868
e14dc60ee2bf15dfc4b4152ba23da8bf
e1425d0e5e7715df08b415b6a23d4ce0
5d4d5d0ee277159608b42f2ba297a8e0
e14d5d6ce2773ddf089d152ba93da8e0
e14d5dcde2772adf084b152bba3da8e0
e14df40ee27115df96b4152ba23da881
e11b5d0e337715df08b41544a23df3e0
fa4d5d0ee27715af08b42e2ba2c2a8e0"""
还原第十个密钥#
现在已知了正确的密文和所有的错误密文,可以用phoenixAES工具来还原原理中提到的k10
https://github.com/SideChannelMarvels/JeanGrey/tree/master/phoenixAES
代码如下:
import phoenixAES
with open("tracefile","wb") as t:
t.write(
""" e14d5d0ee27715df08b4152ba23da8e0
d24d5d0ee27715ac08b4bf2ba272a8e0
e14d5d73e27708df0878152b843da8e0
e14dd50ee23415df7fb4152ba23da890
e16f5d0e537715df08b415e7a23dc6e0
e11a5d0e057715df08b4151ba23d99e0
574d5d0ee277157508b4df2ba234a8e0
e14d5d49e27785df0840152bff3da8e0
e14db80ee2d215dfceb4152ba23da868
e14dc60ee2bf15dfc4b4152ba23da8bf
e1425d0e5e7715df08b415b6a23d4ce0
5d4d5d0ee277159608b42f2ba297a8e0
e14d5d6ce2773ddf089d152ba93da8e0
e14d5dcde2772adf084b152bba3da8e0
e14df40ee27115df96b4152ba23da881
e11b5d0e337715df08b41544a23df3e0
fa4d5d0ee27715af08b42e2ba2c2a8e0
""".encode("utf-8")
)
phoenixAES.crack_file("tracefile",verbose=0)
运行后得到k10
"""B4EF5BCB3E92E21123E951CF6F8F188E"""
还原原始密钥#
得到第十轮的密钥后,就可以着手还原原始密钥了,用到的工具是Stark
https://github.com/SideChannelMarvels/Stark
下载好stark之后要记得在文件目录下面make把三个c文件编译成可执行文件,再用可执行文件操作,如下图
这样一来,就得到原始密钥key0了
"""00000000000000000000000000000000"""
再利用原始密钥解密原始密文,即可得到明文
解密#
out.bin里面的密文
"""0B987EF5D94DD679592C4D2FADD4EB89"""
解密即可得到明文
from Crypto.Cipher import AES
enc = bytearray(bytes.fromhex("0B 98 7E F5 D9 4D D6 79 59 2C 4D 2F AD D4 EB 89"))
enc = bytes([enc[i] ^ 0x66 for i in range(16)])
key = bytes.fromhex("00000000000000000000000000000000")
aes = AES.new(key=key, mode=AES.MODE_ECB)
print(aes.decrypt(enc))
运行,得到flag
上述就是基本的AES差分故障分析方法和例题,而除了AES之外,还有DES和SM4的白盒,它们和AES的故障攻击方法基本大同小异
这里给出研究SM4的博客供大家(wo)学习
https://www.anquanke.com/post/id/231483