Symposium sur la sécurité des technologies de l'information et des communications

Bien que toutes les tentatives académiques actuelles pour créer des primitives cryptographiques standard en white-box aient été cassées, il y a encore un grand nombre d'entreprises qui vendent des solutions "sécurisées" de cryptographie white-box. Afin d'évaluer le niveau de sécurité de solutions en boîte blanche, nous présentons une nouvelle approche qui ne nécessite ni connaissance des tables internes ni effort de rétro-ingénierie. Cette attaque par analyse différentielle de calcul (differential computation analysis - DCA) est la contrepartie logicielle de l'attaque différentielle de la consommation (DPA) bien connue de la communauté de cryptographie matérielle. Nous avons développé des greffons pour des outils populaires d'instrumentation binaire dynamique afin de produire des traces d'exécution qui enregistrent les adresses mémoire et les données qui sont utilisées. Pour illustrer l'efficacité de cette attaque, nous montrons comment la DCA parvient à extraire les clés secrètes de toutes les implémentations (non commerciales) publiquement disponibles d'algorithmes de chiffrement standards en white-box en analysant ces traces afin d'identifier les éventuelles corrélations. Cette approche permet d'extraire la clé d'une white-box nettement plus rapidement et sans connaissance spécifique des détails de sa conception, et celà de manière automatisée: réduisant largement la connaissance et l'effort requis par rapport aux techniques mathématiques de cryptanalyse utilisées dans les attaques précédentes. En conclusion, cela donne une fois de plus raison à Auguste Kerckhoffs : rien ne sert de cacher les détails du design d'une implémentation white-box dans l'espoir de tenir les attaquants à distance.