浅述M2354 旁路攻击防护作法与好处

M2354是新唐科技所研发的一款MCU，用来因应时代对于MCU效能与安全的需要，提供了各种硬件的密码学算法的加速器与多重的信息保护功能，包括了AES、ECC、RSA、HMAC与高质量不可预测的随机数生成器 （TRNG），更具有专门储存秘钥的Key Store，使其在运用于高安全需求的应用中，除具备有极高的效能外，更能有效抵挡攻击者的入侵与信息窃取，无论这攻击是来自于网络或是对MCU本身的攻击。

M2354 旁路攻击防护做法与好处

信息安全，除了仰赖密码学算法，也架构在机器本身的防护上，但一般系统芯片在运行时，仍会不经意地透过一些物理特性泄露讯息，这些讯息会透过电压、电流、电磁波等物理现象传播到系统芯片外，攻击者便可以藉由分析这些暴露出来的信息，反向分析出芯片中的秘钥，这种利用密码系统运行中所泄露出来的物理信息，来对系统进行破解的攻击方式，称为旁路攻击。

M2354针对常用的密码学算法AES、ECC与RSA更加入了旁路攻击的防护，防止攻击者从MCU运作中所泄漏的物理信息，反推系统所使用的秘钥。

AES的旁路攻击防护，能够让AES在运算过程中，由电源、接地端泄露的信息量大幅降低，以避免被截取相关信息来分析出其秘钥。

除了AES，M2354也提供非对称加密算法ECC，并也加入了旁路攻击的防护，以增加攻击者分析电源、接地端的信息，来反推秘钥的困难度。

M2354同时也加入了RSA硬件加速器，也内建了旁路攻击的防护，避免秘钥信息在运算中，透过电源或接地端泄露出去。

以RSA为例，如未加入旁路攻击防护，其译码时所使用的秘钥与其译码时的电流波形，会有高度的相关性，如下图所示：

由上图可以看出，不同的三把RSA秘钥，其解码时的电流波形有显著的不同，由此可见，RSA运行时的电流波形中，确实明显蕴藏的跟秘钥相关信息，这让攻击者能够轻易地透过分析RSA运作时的电流，反向分析出所使用的秘钥。

那么有效的旁路攻击防护，就必须能够隐藏RSA在运行中，由电流泄漏出来的秘钥讯息，由下图可以看出，在M2354中，打开RSA的旁路攻击防护功能后，不同秘钥之间的不同处，并无法明显的由RSA运行时的电流信息中分辨出来，由此可见，打开M2354的旁路攻击防护功能之后，能够有效的抑制秘钥信息，以操作电流的方式泄漏出去。

信息安全除了仰赖密码学算法的强度，对系统本身能否有效的防护相关秘钥被窃取也极其重要。旁路攻击是一种常见的对系统秘钥窃取的攻击方式，因此其防护于完整的信息安全也是很重要一环，M2354的AES、RSA与ECC密码学算法，除了提供硬件的加速器，提供高效能的数据加密外，也各自提供旁路攻击的防护，除了保护网络传输数据的安全，也保护了针对MCU本体的攻击，真正做到了完整的信息安全。

编辑：jq