Skip to content

Screaming Channels

Bir mixed-signal çipte digital crypto core ile radio transmitter tek bir die'ı paylaşır — böylece bir power/EM side channel'ın normalde yakından okuduğu EM leakage RF carrier'a mix edilir ve antenna tarafından yayınlanır, attacker'ın metrelerce uzaktan key geri çıkarmasını sağlar.

Mechanism

Neden çalışır

Bir mixed-signal system-on-chip (örn. bir Bluetooth/Wi-Fi SoC), gürültülü digital logic (CPU, crypto accelerator) ile hassas bir analog radio transceiveraynı silicon substrate üzerine koyar. Klasik EM/power side channel'lar (differential power analysis, correlation power analysis), digital logic'in data-dependent switching aktivitesini doğrudan çipe yerleştirilmiş bir prob ile okur — santimetre menzilli bir saldırı.

Screaming Channels menzil sınırını kaldırır. Digital aktivite, paylaşılan substrate ve power network üzerinden analog front end'e couple olur; orada transmitter'ın zaten amplify ettiği RF carrier'ı modüle eder. Leakage bu yüzden transmit frequency'sinin etrafında side-band'ler olarak görünür, çipin kendi power amplifier'ı tarafından amplify edilir ve antenna tarafından radyate edilir — çip kelimenin tam anlamıyla iç leakage'ini havadan "çığlık atar".

Leak/transmit/decode invariant'ı:

  • Leak: crypto core'daki secret-dependent switching (örn. AES SubBytes) her zamanki EM/power imzasını üretir.
  • Transmit: substrate/supply coupling o imzayı radio carrier'a mix eder; antenna onu yayınlar.
  • Decode: attacker carrier frequency'sinin etrafını bir SDR ile capture eder, leakage trace'ini geri çıkarmak için demodüle eder ve key'i çıkarmak için standart power-analysis (CPA / template attack'leri) uygular.

Sonuç, milimetreler yerine metrelerce mesafede transmission'dan sağ çıkan bir power/EM side channel'dır.

Walkthrough

Attacker'ın, cihazın transmit frequency'sinin yakınına tune edilmiş bir software-defined radio'ya ve bir power-analysis toolchain'ine ihtiyacı vardır. Kavramsal pipeline:

1. LOCATE  : identify the target's TX frequency (e.g. the 2.4 GHz ISM band for
             a BLE SoC) and the leakage side-bands offset from the carrier.
2. CAPTURE : with the device transmitting, record IQ samples around the carrier
             using an SDR (the leakage rides on the radio signal).
3. EXTRACT : demodulate / down-convert to recover the amplitude trace that
             carries the digital switching signature, time-aligned to each
             encryption.
4. ATTACK  : run correlation power analysis or a template attack over many
             traces to recover the AES-128 key byte by byte.
# Conceptual outline only (not runnable as-is): collect traces while the
# target encrypts known plaintexts, then correlate a leakage model.
traces  = sdr_capture(center_hz=TX_FREQ, span_hz=BANDWIDTH, n=N_TRACES)
aligned = demodulate_and_align(traces)          # recover switching signature
key     = correlation_power_analysis(aligned,   # standard CPA over AES SubBytes
                                     plaintexts,
                                     leakage_model="HW(sbox_out)")
Gösterilen sonuç (Camurati ve diğ., CCS 2018)
Target      : Nordic nRF52832 mixed-signal BLE SoC running tinyAES (AES-128)
Channel     : crypto EM leakage coupled onto the 2.4 GHz radio carrier
Recovery    : correlation power analysis / template attack on captured,
              demodulated traces
Range       : key recovery demonstrated at a distance (meters, far beyond
              the centimeter range of conventional EM probing)

Mesafe ortama bağlıdır

Ulaşılabilir menzil antenna, gain, line-of-sight ve toplanan trace sayısıyla değişir; herhangi bir tek mesafe rakamını, cihazın sabit bir özelliği yerine kuruluma özgü olarak değerlendir.

Detection

  • Software'den tespit etmek zordur — leak fiziksel bir RF emission'dır. Cihazın TX band'ının yakınında spectrum monitoring, crypto aktivitesiyle korele anormal side-band enerjisini ortaya çıkarabilir.

Mitigation

  • Coupling yolunu kesmek için digital crypto ile analog radio arasında fiziksel/layout isolation (guard ring'ler, ayrı supply/substrate isolation).
  • Kanaldan bağımsız olarak power analysis'i alt eden algoritmik korumalar: crypto implementation'ının masking, hiding ve shuffling'i; constant-time, data-independent execution.
  • Leakage'i yayınlayacak carrier'ı ortadan kaldırarak, radio aktif olarak transmit ederken key-dependent crypto yapmaktan kaçın.

References