技術領域

本發明屬于信息安全技術領域，具體涉及一種抵御冷啟動攻擊的公鑰密碼實現方法。

背景技術

在理論上，對密碼系統的攻擊一般通過對密碼算法弱點的分析和對密鑰的暴力破解兩種方法來進行。由于主流的密碼算法的安全性往往經過學術研究和工業實踐的充分檢驗，使用的密鑰長度也往往足夠長，所以一次成功的攻擊往往需要消耗大量的時間和計算資源，其成本遠大于可能得到的收益，從而保證了密碼系統的安全性。

然而，對于實際部署中的密碼系統，其安全性不僅與算法本身的安全性有關，還取決于算法具體實現以及軟硬件計算環境等多方面因素。旁路攻擊（side?channel?attack）就是這樣的一種攻擊方式：通過利用密碼系統具體實現和計算環境中的安全缺陷，攻擊者可以在無需破解密碼系統的基礎數學難題或者對密鑰進行暴力破解的條件下，獲得系統執行加解密過程中可以用來還原密鑰的中間狀態，甚至直接獲得密鑰本身。旁路攻擊大大降低了攻擊者有效破解現實密碼系統的難度，嚴重威脅現實系統的安全性。尤其是對于一些被普遍認為是安全甚至被當作系統安全的基本前提假設的系統設計方案，一旦被發現了可行的旁路攻擊方法，往往會產生廣泛而重大的安全隱患。

冷啟動攻擊（cold?boot?attack）是近年來出現并備受關注的一種旁路攻擊方法。過去，人們通常認為，在計算機系統的電源被切斷后以后，保存在內存（動態存儲器，Dynamic?RAM，DRAM）中的數據會因為掉電而立即消失，除非獲得了足夠高的權限，攻擊者無法訪問系統中其他進程的內存數據。所以，很多開發者都選擇直接將密鑰以及密鑰的調度表等敏感數據直接保存在內存中。然而，學術界和技術界的研究表明，對于正在運行的計算機的內存，即使是在常溫下被從主板拔出，其中的數據也會在掉電后保留數秒鐘之久而不會發生明顯的丟失（即存儲單元的值反轉）；如果使用了簡單的冷卻技術進行降溫，數據保留的時間會大大增加。盡管用戶的計算機的BIOS或操作系統可能在系統正常的關機或重啟過程中執行清除內存的操作，但如果攻擊者直接切斷電源，這些機制將無法發揮作用。這樣，攻擊者就可以將目標內存轉移到另一臺準備好的沒有相關安全機制的電腦上，用一個自制的引導程序將目標內存的數據轉儲到磁盤或其它永久存儲設備上。綜上，攻擊者可以按照下列操作流程執行冷啟動攻擊：

準備：

●正在運行的待攻擊的計算機，簡稱目標機。

●冷卻劑，比如罐裝空氣（canned?air），用于冷卻內存。

●一臺沒有內存清除機制的計算機，用于執行攻擊，轉儲目標機的內存，下稱執行機。

●一個簡單的引導程序，用于將內存轉儲到硬盤、U盤等存儲設備。由于其在引導的時候需要占用一部分內存，所以這個引導程序的編寫要盡可能簡單，并占用盡量少的內存，能完成轉儲功能即可。可以根據執行機的硬件情況靈活選擇加載方式，比如U盤、PXE等。

執行步驟：

1)使用冷卻劑對正在運行的目標機的內存進行冷卻。

2)切斷目標機的電源，拔下內存，迅速插入到執行機中，啟動執行機。根據相關研究的實驗結果，這個過程中目標機的內存中的數據損失非常小，且當執行機啟動后，內存加電，數據將不再丟失。

3)執行機啟動后將自動加載引導程序，引導程序將目標機的內存轉儲到磁盤上。

4)攻擊者采用特定算法從目標機的內存映像中恢復出密鑰或密碼運算中關鍵的中間狀態，攻破密碼系統。

一次成功執行冷啟動攻擊的過程如圖1所示。

不難看出，執行冷啟動攻擊并沒有太高的技術門檻，一旦攻擊者做好準備（執行機、引導程序、冷卻劑等），并有機會物理上接觸到待攻擊的計算機，便可在數分鐘之內將其內存轉儲；而相關研究結果表明，恢復密鑰的工作也可以在數分鐘之內完成。同時，受到目前通用計算機體系結構的限制，大量密碼系統都將密鑰或中間狀態放在內存中，所以，冷啟動攻擊的出現為目前的計算機安全體系結構帶來了巨大的安全威脅，在學術界和工業界都得到了廣泛的關注。

現代密碼體制主要包括對稱密碼體制和公鑰密碼體制兩類。在對稱密碼體制中，加解密采用相同密鑰，因此通信雙方必須事先完成密鑰協商，且信任對方不會泄露密鑰。對稱密鑰加解密速度較快，資源消耗較少，可用來保證數據的完整性和保密性，但具有需要事先協商密鑰、無法驗證加密者身份、多方通信密鑰管理困難等缺點。常用的對稱密碼算法包括DES、AES、IDEA等。