考慮 AES 加密數(shù)據(jù)沿以太網(wǎng)鏈路以 1G、10G 或更高的速率流式傳輸?shù)奈恢?。攻擊者可以攔截并存儲(chǔ)傳遞的消息，以便在嘗試破解加密之前進(jìn)行后續(xù)分析。他將快速生成大量數(shù)據(jù)包，并且只有源地址和目標(biāo)地址可用于過濾掉感興趣的消息。這些可能都使用相同的加密密鑰，但在組織良好的加密系統(tǒng)中，加密密鑰將經(jīng)常更改，從而限制了任何安全故障的規(guī)模。

那么攻擊者可以使用哪些方法來破解加密呢？說實(shí)話，攻擊者通常更容易通過破壞物理或人類安全性來訪問密鑰或明文來訪問機(jī)密數(shù)據(jù)而不會(huì)破解加密。數(shù)據(jù)僅以明文形式有用（例如，您無法觀看加密視頻或閱讀加密文檔）。同樣，密鑰需要以未加密的形式存儲(chǔ)才能使用，并且保護(hù)它的物理安全性可能比加密算法更容易破壞。

或者，攻擊者可能讓內(nèi)部人員提供密鑰。假設(shè)必須破解加密算法，那么用于破解早期DES系統(tǒng)的方法稱為蠻力。在這里，攻擊者使用巨大的計(jì)算能力來嘗試密鑰的每個(gè)組合。隨著計(jì)算能力的提高，這種技術(shù)對于資金充足的組織（如敵對政府）變得可行。然而，AES最少使用的128位密鑰組合的絕對數(shù)量是驚人的（5.79E + 76）。

另一種常見的攻擊方法依賴于攻擊者對包含密鑰的設(shè)備有足夠的訪問權(quán)限，以允許使用實(shí)驗(yàn)室設(shè)備。請記住，我已經(jīng)說過，嵌入式加密核心永遠(yuǎn)不應(yīng)該靠近設(shè)備的引腳。在這種類型的攻擊中，稱為差分功率分析（DPA），電源電流的測量是在器件的引腳上進(jìn)行的，因此具有不同密鑰的加密將具有略微不同的能量使用。這導(dǎo)致功耗模式，可以使用信號(hào)處理進(jìn)行分析以推斷出密鑰。

在微處理器上實(shí)現(xiàn)的公鑰算法比AES更容易受到這種攻擊。這就是理論，一些學(xué)者已經(jīng)從完全控制的AES實(shí)現(xiàn)中梳理出關(guān)鍵點(diǎn)，使用帶有慢速時(shí)鐘的DPA和定制電路板，旨在促進(jìn)功率測量。

DPA基本上是關(guān)于從噪聲中提取信號(hào)。通過使測量結(jié)果難以獲得，可以使其更具挑戰(zhàn)性。這包括物理安全性，例如在檢測到篡改時(shí)將密鑰清零。諸如使用表面貼裝封裝（引腳不可訪問）的電路板布局和具有封裝內(nèi)去耦電容器的器件等因素將阻礙功率毛刺的測量。

使用低電源電壓、較高頻率以及芯片上相關(guān)電路產(chǎn)生額外噪聲的設(shè)計(jì)將不那么容易受到攻擊。此外，加密器中的設(shè)計(jì)技術(shù)可能會(huì)影響對 DPA 攻擊的敏感性，并且通過頻繁更改密鑰，使得攻擊者無法在更改密鑰之前捕獲足夠的數(shù)據(jù)來確定密鑰，從而無法做到這一點(diǎn)。我并不是說這是不可能的，但與使用FPGA實(shí)現(xiàn)AES的典型應(yīng)用相比，DPA對智能卡，公鑰算法和微處理器實(shí)現(xiàn)的威脅更大。也就是說，與沒有加密相比，向系統(tǒng)添加加密的安全性是向前邁出的一大步。

靜態(tài)數(shù)據(jù)存在不同的問題。機(jī)密數(shù)據(jù)顯然可以在磁盤上被攻擊者訪問和更改。加密存儲(chǔ)的兩個(gè)重要標(biāo)準(zhǔn)是數(shù)據(jù)的大小不變，并且相同的明文加密并存儲(chǔ)在多個(gè)位置應(yīng)始終具有不同的密文。還希望對扇區(qū)進(jìn)行隨機(jī)訪問，而不是堅(jiān)持加密和解密完整文件。

不擴(kuò)大數(shù)據(jù)的要求是，磁盤可以存儲(chǔ)相同數(shù)量的數(shù)據(jù)，無論是否加密。如果沒有數(shù)據(jù)擴(kuò)展選項(xiàng)以包含額外的完整性檢查值（ICV），則很難提供身份驗(yàn)證，即保證加密數(shù)據(jù)未被篡改。

磁盤上相同的數(shù)據(jù)應(yīng)該總是不同的原因是它可能會(huì)揭示數(shù)據(jù)的結(jié)構(gòu)（類似于上一篇博客中提到的ECB模式問題）。它為攻擊打開了漏洞，其中系統(tǒng)被指示加密已知的所需數(shù)據(jù)（例如，指示某人在其銀行帳戶中有1，000，000美元的記錄），然后將其復(fù)制到磁盤上的另一個(gè)位置（在這種情況下，通過攻擊者自己的銀行帳戶記錄）。避免這種情況的方案是一種稱為AES-XTS（IEEE標(biāo)準(zhǔn)1619）的變體。XTS IP 核比基本的 AES 設(shè)計(jì)更復(fù)雜，它使用兩個(gè)不同的密鑰來加密數(shù)據(jù)。它考慮了數(shù)據(jù)的扇區(qū)地址，以確保相同的數(shù)據(jù)不會(huì)重復(fù)。

另一個(gè)考慮因素是，雖然加密可確保數(shù)據(jù)的機(jī)密性，但它不會(huì)提供有關(guān)郵件是否損壞或惡意更改的任何信息。這對于金融交易等應(yīng)用程序至關(guān)重要，其中消息中更改的數(shù)字可能會(huì)將付款從$ 1，000更改為$ 9，000。AES有一個(gè)解決方案 - 它在加密數(shù)據(jù)時(shí)對數(shù)據(jù)執(zhí)行“哈?！保缓笤谙⒛┪舶暾詸z查值（ICV）。這會(huì)擴(kuò)展數(shù)據(jù)包長度，但會(huì)增加用戶的值，因?yàn)榭梢詸z測到并拒絕被篡改的消息。

用于身份驗(yàn)證和加密的最流行的 IP 核稱為 AES-GCM。AES-GCM的好處是整個(gè)操作可以流水線化，F(xiàn)PGA可以支持100G數(shù)據(jù)速率。這是用FPGA不動(dòng)產(chǎn)換取性能的又一個(gè)例子。AES-GCM內(nèi)核比基本的AES實(shí)現(xiàn)更復(fù)雜，但構(gòu)成了更廣泛的加密子系統(tǒng)的基礎(chǔ)，正如我們將在第3部分中看到的那樣。