Power Analysis: ডিভাইসের বিদ্যুৎ খরচ বিশ্লেষণ করে ক্রিপ্টোগ্রাফিক কি বের করার পদ্ধতি!

ক্রিপ্টোগ্রাফিক অ্যালগরিদমের গাণিতিক নিরাপত্তা একটি বিষয়, এবং তার বাস্তব Implementation আরেকটি বিষয়। একটি প্রমাণিত নিরাপদ অ্যালগরিদম যদি Hardware-এ এমনভাবে চালু হয় যা গোপন তথ্য "ফাঁস" করে, তাহলে গাণিতিক নিরাপত্তা অর্থহীন। এই ফাঁসকে Side-channel বলা হয়—মূল চ্যানেল (Plaintext-Ciphertext) ছাড়াও তথ্য প্রবাহের অতিরিক্ত পথ।

Side-channel-এর প্রধান প্রকার রয়েছে—Timing (প্রক্রিয়াকরণে কত সময় লাগছে), Power Consumption (কত বিদ্যুৎ খরচ হচ্ছে), Electromagnetic Emission (ডিভাইস থেকে কী EM তরঙ্গ বের হচ্ছে), Acoustic (CPU-এর সূক্ষ্ম শব্দ), এবং Optical (LED-এর Flickering)। Power Analysis এদের মধ্যে সবচেয়ে শক্তিশালী এবং বহুল গবেষিত।

মূল ধারণা সহজ—CMOS লজিকের ট্রানজিস্টর Switch করার সময় বিদ্যুৎ খরচ করে। যখন একটি ট্রানজিস্টর 0 থেকে 1-এ বা 1 থেকে 0-এ পরিবর্তিত হয়, ক্ষণিকের জন্য একটি Current Spike দেখা যায়। ক্রিপ্টোগ্রাফিক অপারেশনে যেহেতু বিভিন্ন ডেটার জন্য বিভিন্ন সংখ্যক বিট পরিবর্তিত হয়, সামগ্রিক বিদ্যুৎ খরচের প্যাটার্ন প্রক্রিয়াকৃত ডেটা সম্পর্কে তথ্য প্রকাশ করে।

বিদ্যুৎ খরচের সাধারণ মডেল হলো Hamming Weight Model—একটি Register-এ থাকা ১-এর সংখ্যার অনুপাতে বিদ্যুৎ খরচ। আরেকটি Hamming Distance Model—দুটি ক্রমাগত অবস্থার মধ্যে কতগুলো বিট পরিবর্তিত হয়। আধুনিক CPU-তে এই মডেল সঠিকভাবে কাজ করে এবং Power Trace বিশ্লেষণের ভিত্তি।

Simple Power Analysis সবচেয়ে মৌলিক কৌশল। আক্রমণকারী Oscilloscope বা বিশেষায়িত সরঞ্জাম (ChipWhisperer, Pico Scope) দিয়ে ক্রিপ্টোগ্রাফিক অপারেশন চলাকালীন বিদ্যুৎ খরচের Trace রেকর্ড করেন। সরাসরি দৃশ্য পরিদর্শনে গোপন তথ্য নির্ণয় করা হয়।

SPA-এর সবচেয়ে বিখ্যাত উদাহরণ RSA-এর Square-and-Multiply অ্যালগরিদমের বিরুদ্ধে। RSA Modular Exponentiation-এ প্রতিটি Exponent বিটের জন্য একটি Square অপারেশন এবং Multiply (যদি বিট ১ হয়) সম্পাদিত হয়। Square এবং Multiply-এর বিদ্যুৎ Profile ভিন্ন। Power Trace দেখে আক্রমণকারী সরাসরি Exponent (Private Key)-এর বিট ক্রম পড়তে পারেন।

DES-এর Implementation-এও SPA কার্যকর ছিল। S-box Lookup এবং Permutation-এর বিদ্যুৎ Profile ভিন্ন—যা Key Schedule সম্পর্কে তথ্য প্রকাশ করতো। AES-এর Initial Reference Implementation-ও SPA-প্রবণ ছিল কারণ S-box-এর Memory Access প্যাটার্ন বিদ্যুৎ-পর্যবেক্ষণযোগ্য।

SPA-এর সীমাবদ্ধতা—এটি কাজ করে শুধু যদি ভিন্ন অপারেশনের মধ্যে স্পষ্ট পার্থক্য থাকে। আধুনিক Constant-time Implementation এই হুমকি প্রশমিত করে। তবে SPA এখনো IoT এবং Legacy Embedded Device-এ কার্যকর।

DPA Paul Kocher, Joshua Jaffe এবং Benjamin Jun ১৯৯৯ সালে প্রকাশ করেছিলেন—এটি SPA-এর চেয়ে অনেক বেশি শক্তিশালী। DPA পরিসংখ্যানিক বিশ্লেষণ ব্যবহার করে—Single Trace থেকে নয়, হাজার হাজার Trace-এর সংগ্রহ থেকে।

DPA-এর মৌলিক ধাপগুলো এমন—আক্রমণকারী একই Algorithm এবং Key দিয়ে অনেক ভিন্ন Plaintext এনক্রিপ্ট করানোর সময় Power Trace সংগ্রহ করেন। প্রতিটি Trace ১০০০-১,০০,০০০ Sample থাকতে পারে। এরপর Key-এর একটি ছোট অংশ (যেমন AES-এ ৮-বিট Subkey) Guess করেন। প্রতিটি Guess-এর জন্য পরিসংখ্যানিক পরীক্ষা (Pearson Correlation, T-test, Mutual Information) চালিয়ে দেখেন কোন Guess Power Trace-এর সাথে সবচেয়ে ভালোভাবে মেলে। সঠিক Guess স্পষ্ট পরিসংখ্যানিক Signal তৈরি করে। AES-এ ১৬টি Byte Independently পুনরুদ্ধার করা হয়—যা সম্পূর্ণ Key-এর জন্য ২^১২৮ Brute-force-কে ১৬×২৫৬ = ৪০৯৬ Guess-এ পরিণত করে।

Correlation Power Analysis (CPA) DPA-এর উন্নত সংস্করণ। এটি Pearson Correlation Coefficient ব্যবহার করে যা পরিসংখ্যানিকভাবে আরো শক্তিশালী। আধুনিক CPA সাধারণ AES Hardware Implementation-কে ১০০-১০০০ Trace-এ ভেঙে দিতে পারে—যা মিনিটের মধ্যে সম্ভব।

DPA-এর জন্য প্রয়োজনীয় সরঞ্জাম তুলনামূলক সস্তা। ChipWhisperer—NewAE Technology-এর Open-source প্রকল্প—সম্পূর্ণ DPA সরঞ্জাম $২৫০ থেকে $২০০০-এর মধ্যে প্রদান করে। শিক্ষাগত উদ্দেশ্যে এটি Side-channel গবেষণার দরজা খুলে দিয়েছে।

Template Attack DPA-এর চেয়ে আরো শক্তিশালী কিন্তু আক্রমণকারীর কাছে একটি অনুরূপ "Profiling Device" প্রয়োজন। এতে আক্রমণকারী প্রথমে একটি অভিন্ন ডিভাইসে বিভিন্ন Key এবং Input-এর জন্য Power Template তৈরি করেন। তারপর লক্ষ্য ডিভাইসের সীমিত Trace সংগ্রহ করে Template-এর সাথে তুলনা করেন।

Template Attack-এ গাণিতিক ভিত্তি Multivariate Gaussian Distribution—প্রতিটি Key Guess-এর জন্য Trace-এর পরিসংখ্যানিক বণ্টন মডেল করা হয়। Single Trace থেকেও পুনরুদ্ধার সম্ভব—যা বিশেষভাবে Smart Card-এর মতো Constrained Environment-এ কার্যকর যেখানে সীমিত সংখ্যক অনুসন্ধান সম্ভব।

Deep Learning-ভিত্তিক Side-channel Analysis (DLSCA) গত কয়েক বছরে দ্রুত উন্নত হয়েছে। Convolutional Neural Network (CNN) এবং Multilayer Perceptron (MLP) প্রচলিত পরিসংখ্যানিক পদ্ধতির তুলনায় কম Trace-এ এবং Masked Implementation-এর বিরুদ্ধেও কার্যকর। ANSSI এবং Riscure-এর গবেষণায় প্রমাণিত—ML মডেল Side-channel গবেষণাকে নতুন মাত্রায় নিয়ে গেছে।

ML-ভিত্তিক আক্রমণে Pre-processing এবং Feature Selection গুরুত্বপূর্ণ। Points of Interest (POI) সনাক্তকরণ, Trace Alignment, এবং Noise Reduction—এসব ধাপ আক্রমণের কার্যকারিতা উল্লেখযোগ্যভাবে বাড়ায়।

EM Analysis Power Analysis-এর একটি ঘনিষ্ঠ সম্পর্কিত শাখা। ডিভাইসের ভেতরে বিদ্যুৎ প্রবাহ Electromagnetic Field তৈরি করে যা একটি ছোট প্রোব দিয়ে রেকর্ড করা যায়। EM Analysis-এর সুবিধা—এটি Contactless এবং একটি নির্দিষ্ট চিপ অংশে ফোকাস করা যায়, ফলে Signal-to-Noise Ratio অনেক বেশি।

EM Side-channel একটি প্রাসঙ্গিক হুমকি বিশেষত যেখানে Power Trace সংগ্রহ কঠিন। উদাহরণস্বরূপ, একটি Locked Smartphone-এর Battery থেকে সরাসরি Power Trace সংগ্রহ অসম্ভব, কিন্তু পাশে রাখা একটি EM Probe থেকে CPU-এর কার্যকলাপ পরিমাপ সম্ভব। ২০১৬ সালে Tel Aviv University-এর গবেষকরা একটি স্মার্টফোনের পাশে রাখা ম্যাগনেটিক Sensor দিয়ে ECDSA Signing Key পুনরুদ্ধার করেছিলেন।

EMA-এর জন্য বিশেষায়িত সরঞ্জাম রয়েছে—Langer ICR HH Series Near-field Probe, Riscure EM Probe Station। এসব সরঞ্জাম micrometer স্তরে আক্রমণের জায়গা নির্ণয় করতে পারে।

Smart Card শিল্প Side-channel আক্রমণের প্রথম প্রধান লক্ষ্য ছিল। ১৯৯০-এর দশকের শেষে এবং ২০০০-এর প্রথমদিকে অসংখ্য Smart Card—Banking Card, SIM Card, Pay-TV Card—DPA-এর মাধ্যমে ভেঙেছিল। এটি Common Criteria এবং EMVCo-তে কঠোর Side-channel Resistance প্রয়োজনীয়তা যুক্ত করেছিল।

Trusted Platform Module (TPM)—যা PC-তে Hardware Security প্রদান করে—একাধিকবার Side-channel আক্রমণের শিকার হয়েছে। ২০১৭ সালে Daniel Moghimi এবং তার দল STM TPM চিপে DPA-এর মাধ্যমে ECDSA Key পুনরুদ্ধার করেছিলেন—যা BitLocker এবং অন্যান্য নিরাপত্তা বৈশিষ্ট্যকে দুর্বল করেছিল।

Cryptocurrency Hardware Wallet-ও Side-channel আক্রমণের শিকার। Ledger Nano S, KeepKey, এবং Trezor সবগুলোতে গবেষকরা বিভিন্ন সময়ে Side-channel দুর্বলতা প্রদর্শন করেছেন। ২০১৮ সালে Kraken Security Labs Trezor One-এ Power Glitching-এর মাধ্যমে Seed Phrase পুনরুদ্ধার করেছিল।

IoT এবং Embedded Device-এ Side-channel ঝুঁকি ব্যাপক। এসব ডিভাইসে সাধারণত সীমিত নিরাপত্তা প্রতিরক্ষা এবং Constant-time Implementation কম। NXP, STMicroelectronics-এর কিছু পুরনো Microcontroller-এ গবেষকরা সফলভাবে AES Key পুনরুদ্ধার করেছেন।

Cloud Computing পরিবেশে Side-channel একটি নতুন উদ্বেগ। Multi-tenant Server-এ Cache Side-channel, Branch Predictor Side-channel (Spectre, Meltdown), এবং Power Side-channel (PLATYPUS attack ২০২১) আক্রমণকারীদের জন্য নতুন সুযোগ সৃষ্টি করেছে। PLATYPUS—Intel RAPL (Running Average Power Limit) ইন্টারফেস ব্যবহার করে—Software থেকেই Power Trace সংগ্রহ এবং AES-NI বা SGX থেকে গোপন পুনরুদ্ধার সম্ভব করেছিল।

Side-channel প্রতিরক্ষা একটি বহু-স্তরীয় চ্যালেঞ্জ। সবচেয়ে মৌলিক প্রতিরক্ষা হলো Constant-time Implementation—কোনো ক্রিপ্টোগ্রাফিক অপারেশনের সময় বা বিদ্যুৎ খরচ গোপন ডেটার উপর নির্ভর করবে না। RSA-তে Square-and-Multiply-এর পরিবর্তে Always Square-and-Multiply ব্যবহার, AES-এ Bitsliced Implementation—এসব Constant-time Pattern।

Masking হলো একটি গাণিতিক প্রতিরক্ষা যেখানে গোপন মান এলোমেলো Mask-এর সাথে XOR বা সংযুক্ত করা হয়। প্রতিটি অপারেশন Mask-যুক্ত মানে সম্পাদিত হয়, এবং চূড়ান্ত ফলাফলে Mask বাদ দেওয়া হয়। Boolean Masking, Arithmetic Masking, এবং উচ্চ-আদেশ Masking (Higher-order Masking) বিভিন্ন স্তরের প্রতিরক্ষা প্রদান করে। প্রতিটি অতিরিক্ত Mask Order DPA-এর জন্য Trace প্রয়োজনীয়তা exponentially বাড়িয়ে দেয়।

Hiding কৌশল Power Trace-এ Noise যোগ করে। Random Delay সন্নিবেশ, Dummy Operation, Shuffling (অপারেশনের ক্রম এলোমেলো করা)—এসব হিডিং পদ্ধতি। তবে Hiding একা যথেষ্ট নয়—এটি Masking-এর সম্পূরক হিসেবে ব্যবহৃত হওয়া উচিত।

Hardware-পর্যায়ের প্রতিরক্ষায় Dual-rail Logic ব্যবহৃত হয়—প্রতিটি Logical মান দুটি Wire দিয়ে প্রকাশিত হয় (Differential Logic), ফলে বিদ্যুৎ খরচ ডেটা-নিরপেক্ষ থাকে। Wave Dynamic Differential Logic (WDDL) এর একটি বাস্তবায়ন। Power Regulator এবং Decoupling Capacitor Power Trace Smoothing-এ সাহায্য করে।

Detection-ভিত্তিক প্রতিরক্ষায় Built-in Power Monitor চিপের অস্বাভাবিক ব্যবহার সনাক্ত করে—যেমন Probe সংযোগ। Secure Element এবং HSM-এ Tamper Detection, Light Sensor, এবং Voltage Glitch Detection প্রায় সর্বদা অন্তর্ভুক্ত।

ক্রিপ্টোগ্রাফিক অ্যালগরিদম স্তরে Side-channel-resistant অ্যালগরিদম বিবেচনা করুন। NIST-এর Lightweight Cryptography Standardization-এ Side-channel Resistance একটি মূল্যায়নের মাপকাঠি ছিল। ASCON, যা চূড়ান্ত বিজয়ী, Mask-ভিত্তিক প্রতিরক্ষার সাথে দক্ষতার সাথে সমন্বিত হতে পারে।

আপনার Hardware Design এবং Embedded সফটওয়্যারে Side-channel মূল্যায়ন প্রক্রিয়ায় অন্তর্ভুক্ত করুন। DPA-resistant Library ব্যবহার করুন—Open-source MbedTLS, BearSSL, এবং ক্রিপ্টোগ্রাফিক চিপ Vendor-এর Side-channel-protected SDK।

Common Criteria EAL4+ বা EAL5+ Certified চিপ ব্যবহার করুন সংবেদনশীল প্রয়োগে। এসব Certification Side-channel Evaluation অন্তর্ভুক্ত করে। FIPS 140-3 Level 3 এবং Level 4-এও Physical Security এবং Side-channel প্রতিরক্ষা প্রয়োজনীয়।

Software-only পরিবেশে Constant-time Cryptographic Library ব্যবহার করুন—libsodium, BoringSSL, BearSSL আধুনিক বিকল্প। OpenSSL-এর Constant-time Mode সক্রিয় রাখুন। JavaScript বা Python-এর মতো উচ্চ-স্তরের ভাষায় ক্রিপ্টোগ্রাফি Implementation এড়ান যেখানে Constant-time গ্যারান্টি নেই।

Cloud পরিবেশে Multi-tenant ঝুঁকি বিবেচনা করুন। SGX এবং অনুরূপ TEE Side-channel দুর্বলতা বহন করে। Confidential Computing-এ AMD SEV-SNP এবং Intel TDX আরো শক্তিশালী প্রতিরক্ষা প্রদান করে কিন্তু সম্পূর্ণ Side-channel-resistant নয়।

Side-channel মূল্যায়নের জন্য Test Vector Leakage Assessment (TVLA) ব্যবহার করুন। এটি একটি পরিসংখ্যানিক পদ্ধতি যা DPA চালানোর আগেই Leakage সনাক্ত করতে পারে। Riscure এবং eShard-এর মতো বিশেষায়িত মূল্যায়ন সংস্থা সংবেদনশীল প্রকল্পের জন্য বিবেচনা করুন।

বিকাশকারীদের প্রশিক্ষণে বিনিয়োগ করুন। CryptoExperts, Cryptography Services, এবং Riscure প্রশিক্ষণ প্রোগ্রাম প্রদান করে। ChipWhisperer-এর Open Educational Resource শিক্ষার্থী এবং পেশাদারদের জন্য Side-channel শেখার চমৎকার মাধ্যম।