RP2350 та другий хакерський челлендж: Менше випадковості, більше кореляції

Наприкінці липня 2025 року — тобто майже 6 місяців тому — ми запустили другий RP2350 Hacking Challenge, шукаючи практичні атаки через бічні канали на енергозахищену реалізацію AES, що лежить в основі безпечного завантаження RP2350. Наразі переможця не визначено, тому ми вирішили вдосконалити виклик, видаливши одну з основних функцій глибокої оборони: рандомізацію доступу до пам'яті.

Наша реалізація AES була розроблена для протистояння атакам через бічні канали за допомогою багатостороннього розподілу секретів (де конфіденційні значення розділяються на випадкові компоненти, які необхідно об'єднати за допомогою операції XOR) та випадкового перестановлення порядку операцій і даних. Ми сподіваємося, що навіть багатостороннього розподілу секретів буде достатньо для захисту від атак через бічні канали, тому ми вирішили оновити наше завдання:

Якщо вам вдасться продемонструвати успішну атаку на нашу реалізацію AES без рандомізації, ви переможете!

Що ж змінилося?

Ми вимкнули різні функції рандомізації, такі як VPERM і BPERM, та усунули джиттер, щоб полегшити збір якісних вимірювань — тепер ваші сліди повинні вирівнюватися набагато краще! Ми також додали приклад емуляції на основі Unicorn, сподіваючись, що люди без складних апаратних конфігурацій зможуть створювати віртуальні атаки з аналізу потужності.

Ви можете побачити ці зміни в репозиторії Hacking Challenge 2 GitHub.

Приклад (очищених) слідів енергії, зібраних з цілі — постріли чітко видно.
Приклад нашого аналізу останнього раунду: ми не змогли виявити сильної кореляції між нашим аналізом потужності та правильним ключем.

Взагалі нічого не зрозуміло?!

Захист безпечного завантаження прошивки на RP2350 базується на AES — Advanced Encryption Standard (розширений стандарт шифрування) — для дешифрування прошивки з зовнішньої флеш-пам'яті в вбудовану SRAM. AES сам по собі вважається дуже безпечним, проте багато програмних і апаратних реалізацій вразливі до так званих атак по бічних каналах. Записуючи та аналізуючи сотні тисяч (або навіть мільйони) слідів енергоспоживання на мікросхемі, зловмисники можуть відновити ключ шифрування.

Щоб захиститися від цього, ми співпрацювали з дуже розумними людьми, аби створити реалізацію AES, яка є стійкою до таких атак. Зараз ми перевіряємо її на практиці, пропонуючи винагороду першій людині, яка успішно атакує нашу AES через бічні канали!

Ми майже тут…

Наближаєтеся до мети, але ще не вдалося здійснити успішну атаку? Напишіть нам! Ми більше дбаємо про захист нашої реалізації, ніж про здійснення повної атаки від початку до кінця. Якщо ви виявили витік, ми хочемо з вами поговорити!

Що ж ми знаємо на даний момент :

Під час початкової роботи над впровадженням AES ми виявили певну абстрактну кореляцію, яка дозволяє нам розрізняти ключ, що складається виключно з нулів, та ключ, що складається виключно з одиниць. Однак нам не вдалося створити модель, яка б мала значний вплив на простір ключів.

Дамо вам трохи більше часу... 

Щоб дати вам трохи більше часу для продовження хакерських атак, ми продовжуємо термін до 30 квітня 2026 року. Приз залишається незмінним — 20 000 доларів.

Перейдіть до репозиторію Hacking Challenge 2, щоб переглянути оновлене програмне забезпечення для виклику.