一种最小且高效的芯片级侧信道传感器

撰文 | 周文权

编辑 | 刘梦迪

随着多租户FPGA环境的普及，芯片资源被多个用户共享已成为现实。这种灵活性也带来了新的安全挑战，其中之一是远程功耗分析攻击（RPA）。传统的功耗侧信道攻击依赖外部测量设备捕捉电流或电压的变化，而RPA攻击则更“隐秘”——它通过芯片内部的电压传感器来检测加密电路的瞬时电压波动，从而还原密钥，攻击模型如下图所示：

攻击模型

已有的研究中，TDC（时间-数字转换器）、环形振荡器（RO）、电压感应时间间隔（VITI）、功率脉宽调制（PPWM）等传感器被用于此类攻击。然而，它们或多或少存在面积大、功耗高或布线依赖强等问题。

近期，来自悉尼大学和新南威尔士大学的Jayasinghe等人在2024年的CHES会议上提出了一种新颖的电压传感器——1LUTSensor，它只使用一个查找表（LUT）和一个触发器（flip-flop）即可感知FPGA中的电压波动，不仅尺寸极小，还能在600MHz高频运行，成为迄今最小、最快的芯片级电压波动传感器^[1]。

1LUTSensor的核心在于利用FPGA中LUT内部的多路复用器路径作为可调的延迟线。当FPGA中的电压出现波动时，这些信号路径的传播延迟也会受到影响，从而引发触发器的时序违例，记录下电压波动的发生。如下图所示：

1LUTSensor的架构

通俗地讲：研究人员将LUT当成一根“敏感的电压探针”，它在电压波动下表现出的传播延迟差异，会直接影响输出的比特（‘0’或‘1’），这个比特就成了攻击者获取侧信道信息的“密码”。

不同于依赖布线结构的传感器，1LUTSensor利用的是FPGA内部硬连线的专用路径，这样其延迟特性更加稳定，且不易被检测。延迟线如下图所示：

延迟线

研究团队在ZedBoard平台上的Xilinx Zynq-7020 FPGA上进行了实验，攻击目标为一段运行中的AES加密电路。实验设置如下图所示：

实验评估表

通过在多个区域部署1LUTSensor并对输出比特进行滑动窗口统计（SliW），研究人员能够还原电压波动强度，进而使用CPA（相关功耗分析）攻击还原AES的完整密钥。结果如下图所示：

实验对比结果

结果表明：

• 未预处理数据需17万次测量才能还原密钥；

• 使用滑动窗口预处理后，只需9万次测量即可完成攻击；

• 对比TDC、RO等已有方案，1LUTSensor在面积上分别小136倍、512倍，同时检测效果持平甚至更好。

此外，实验还测试了不同频率、不同放置位置和不同温度下的性能表现，证明了1LUTSensor具备良好的稳定性与环境适应性。

1LUTSensor展示了极小尺寸的电压传感器在FPGA侧信道攻击中的巨大潜力。它具有以下几个关键优势：

• 高度紧凑：仅占用1/4个FPGA Slice；

• 高频运行：最高可达600MHz；

• 运行时可调：延迟可动态调节，增强灵敏度；

• 跨平台适配：兼容Xilinx多个架构（包括UltraScale+）；

对于未来的芯片安全检测、加密电路防护、甚至电压干扰式攻击，1LUTSensor不仅是一种有效工具，也是一种新思路的起点。

这项研究不仅展示了一种极致微型化的传感器设计，还验证了其在复杂加密环境中的实际攻击能力。它再次提醒我们：在FPGA等共享资源平台上，硬件层的侧信道攻击威胁不可忽视。

或许下一步的研究焦点，不只是怎么“听见”芯片的心跳，而是如何在不被发现的前提下，“悄悄地记录”它的每一次脉动。

[1] Jayasinghe D, Udugama B, Parameswaran S. 1lutsensor: Detecting FPGA voltage fluctuations using lookup tables[J]. IACR Transactions on Cryptographic Hardware and Embedded Systems, 2024, 2024(1): 51-86.