DISTANT - Defending against Implementation attackS Through mAchiNe learning Technique
Chipkaarten zoals transport- of bankkaarten zijn gewilde doelwitten voor aanvallers die hiervoor vaak gebruik maken van side-channels. DISTANT is gericht op de ontwikkeling van automatische kaders die in staat zijn om verschillende potentiële side-channel- en foutinjectiebedreigingen - afkomstig van diverse bronnen - te beoordelen. Dergelijke systemen zullen veiligheidsbeoordelaars, en vooral bedrijven die chips voor veiligheidstoepassingen produceren, een mogelijkheid bieden om de potentiële zwakke punten vroegtijdig op te sporen en de afweging te maken tussen het veiligheid en implementatiegemak.
We spraken begin 2023 met dr. Stjepan Picek. Stjepan Picek is universitair hoofddocent in de groep Digital Security (DiS) bij de Radboud Universiteit. Hij bestudeert het snijvlak van cybersecurity en kunstmatige intelligentie. Door deze velden te combineren, is hij gespecialiseerd in implementatie-aanvallen (side-channel analyse, foutinjectie) en beveiliging van machine learning. Daarnaast doet hij onderzoek op het gebied van evolutionaire algoritmes. In het onderzoek werkt hij samen met PhD student Azade Rezaeezade van de TU Delft, waar Stjepan zelf ook nog steeds actief is als assistent professor. Het project loop van maart 2021 tot maart 2025.
Aanvallen en beveiligen
Aanvallen die niet gericht zijn op het cryptografische algoritmen maar op de implementatie ervan zijn bijzonder verwoestend en de bekendste voorbeelden zijn de zogenaamde side-channel en fout- injectie aanvallen. Om dergelijke aanvallen tegen te gaan, gebruiken beveiligingsbeoordelaars dezelfde technieken als de aanvallers en zoeken zij naar mogelijke zwakke punten om deze vóór de ingebruikneming te "repareren". Helaas is dit door de vindingrijkheid van de aanvallers enerzijds en de meestal korte tijd waarover de beveiligingsevaluatoren beschikken (en de menselijke foutenfactor) anderzijds, geen eerlijke wedstrijd. Daarom zoeken onderzoekers naar mogelijkheden om de beveiligingsevaluaties betrouwbaarder en sneller te maken. “Technieken op basis van machine learning blijken hiervoor geschikte kandidaten, hoewel de uitdaging nog lang niet is opgelost,” aldus Stjepan.
Vijf stappen (vijf workpackages)
In stap 1 (WP1) staat het ontwerpen van de kaders centraal: er worden nieuwe evaluaties ontwikkeld voor verschillende technieken. “De side-channel community voor machine learning is erg actief. Vanaf circa 2016 zijn er meer dan 200 publicaties over het onderwerp beschikbaar. We moeten dus ook eerst de verschillende technieken evalueren. Hoe ze presteren zodat we ook kunnen beslissen welke technieken eigenlijk het meest efficiënt zijn, want je kunt natuurlijk op veel manieren aanvallen. Dus wat zijn wat zijn goede technieken, wat zijn goede instellingen, wat zijn de juiste parameters.”
In WP2 wordt uitgebreid gekeken naar de aanvallen en de gebruikte AI-technieken. Door die beter te begrijpen kunnen er betere tegenmaatregelen ontwikkeld worden (verdediging). “Een heel belangrijk deel van onze inspanning is nu om het vermogen van machine learning uit te leggen. Om te begrijpen waarom de machine learning toepassing enkele doelen brak, vooral in relatie tot de tegenmaatregelen.”
In stap 3 (WP3) wordt overgegaan op foutinjectie, wat een actief type aanval is waarbij je niet alleen naar de communicatie luistert, maar eigenlijk probeert een signaal in te voegen dat missers veroorzaakt. “Het is niet eenvoudig en het is vaak lastig te reproduceren.. We werken met verschillende AI-technieken, meestal gebaseerd op evolutionaire berekeningen en deep learning. Hoe kunnen we een fout zo efficiënt mogelijk injecteren, of kunnen we voorspellen als wat we injecteren zal resulteren in een fout.
In WP4 wordt geëxperimenteerd met neuro-evolutie waarbij we de verbeterde implementatie van aanvallen betrekken. “Het afstemmen van neurale netwerken blijkt erg ingewikkeld dus we zijn nu geïnteresseerd in hoe we het efficiënt kunnen maken. Hier is nog veel te onderzoeken, het is uitdagend maar heel waardevol.”
“In WP 5 wisselen we eigenlijk van perspectief en kijken we of en hoe we bestaande machine learning modellen kunnen reverse-engineeren. Daarom onderzoeken we ook hoe we tegenmaatregelen kunnen ontwerpen om machine learning te beschermen.”
Uitdagingen
Het lastigste was om relevante zaken te herkennen uit de meer dan 200 bestaande publicaties. Vooral omdat verschillende onderzoeksgroepen met verschillende datasets werken en met verschillende doelen. “Voor één groep kan een aanval heel eenvoudig zijn. Voor de andere groep kan dezelfde aanval erg gecompliceerd zijn omdat de dataset anders is. We moeten een open blik houden en veel verschillende dingen testen om echt te begrijpen wat het beste werkt. Maar aangezien het domein erg actief is, betekent dit dat we veel, heel veel dingen moeten testen.” Ook de exploiteerbaarheid van AI blijft een uitdaging. “Voor veel publicaties is het voldoende dat je laat zien dat je het doel hebt behaald. Maar wanneer je betere tegenmaatregelen wilt treffen, moet je ook goed begrijpen wat er mis is met de oude tegenmaatregelen.”
Het einddoel
Stjepan kijkt alvast vooruit naar april 2025, naar wat DISTANT dan kan opleveren. “Ten eerste zouden we de community een raamwerk moeten bieden om verschillende soorten aanvallen uit te voeren. Ten tweede nieuwe relevante datasets beschikbaar stellen en tenslotte waardevolle technieken delen voor exploiteerbaarheid.” Het onderzoek vult de kloof tussen wat er in de academische wereld bekend is over fysieke aanvallen en wat er in de industrie nodig is om dergelijke aanvallen te voorkomen. Uiteindelijk kunnen deze raamwerken ook een nuttig hulpmiddel zijn om andere soorten bedreigingen te beperken.
