diamond_full diamond diamond_half diamond_euro search-icon menu chat-icon close-icon envelope-icon smartphone-call-icon
Blog & News

Seitenkanalangriffe: Langer EM-Messsonden und CPA

Evaluation und Vergleich verschiedener Langer EM-Messsonden für CPA-basierte Seitenkanalangriffe zur Extraktion kryptografischer Schlüssel

2. März, 2026

#EMBEDDED SECURITY #ATTACKS #RESEARCH
preview-image for Probesetup.jpg

Seitenkanalangriffe: Langer EM-Messsonden und CPA

In der Hardware-Sicherheitsforschung spielen Seitenkanalangriffe eine zentrale Rolle – anders als klassische Software-Angriffe nutzen sie physikalische Messungen, um sensible Daten zu extrahieren. Ziel ist es, das “Flüstern” des Chips zu messen und dann mit verschiedenen Analysemethoden die Geheimnisse zu extrahieren.

Neben Stromverbrauchsmessungen gehören elektromagnetische Messsonden (EM-Probes) zu den wichtigsten Werkzeugen, um die Abstrahlungen von Chips zu erfassen und Schwachstellen in kryptografischen Implementierungen aufzudecken. Dieser Beitrag zeigt, wie eine Evaluation mit EM-Messsonden abläuft, welche Erkenntnisse sie liefert und warum sie für die Sicherheitsbewertung unverzichtbar ist.

Hierbei werden verschiedene Messsonden von Langer EMV-Technik mit ihren Eigenschaften für ein nicht gehärtetes Ziel verglichen. Langer EMV-Technik ist ein etablierter Hersteller für Messsonden und Werkzeuge zur Messung von elektromagnetischen Feldern. In erster Linie sollen die in der Evaluation gewonnenen Erkenntnisse eingesetzt werden, um eine schnelle Beurteilung für ein Testgerät durchzuführen, was in der Praxis als einfacher Test für die Preisgabe von Geheimnissen verwendet werden kann.

Im Fokus der Evaluation stand der Einsatz verschiedener Nah-Feld-Sonden und eines Vorverstärkers von Langer EMV-Technik. Damit wurde eine Correlation Power Analysis (CPA) – eine statistische Methode zur Extraktion kryptografischer Schlüssel – mittels ChipWhisperer® durchgeführt. Als Testziel diente ein ATxmega128D4-Mikrocontroller (128 KB Flash, 32 MHz, 8-Bit), wie er in vielen einfachen Konsumenten-Geräten eingesetzt wird. Außerdem ist hier anzumerken, dass es sich um einen relativ langsamen Mikrocontroller handelt. Das Ziel wurde bewusst nicht gehärtet, um einen möglichst einfachen Aufbau für die Vergleichbarkeit der Messergebnisse zu erhalten.

Versuchsaufbau und Durchführung

Der Testaufbau setzt sich aus den folgenden Komponenten zusammen:

  • Langer EMV-Technik Near-field probes RF 30 MHz - 3 GHz:
  • Langer EMV-Technik Preamplifier PA 306 SMA set zur Signalverstärkung
  • ChipWhisperer® CW1200 (Oszilloskop/Aufnahmegerät)
  • ChipWhisperer® CW308 UFO Board (Adapter)
  • CW308T‑XMEGA Target Board (Zielgerät)
    • Target Device: ATXmega128D4-AU
      • 128 KB Flash Memory
      • Clock Speed: 32 MHz
    • Target Architecture: 8-bit Harvard
    • Versorgungsspannung 3.3 V

Ziel war es, mit den drei unterschiedlichen H-Field-Sonden (RF-B 0.3-3, RF-B 3-2, RF-B 50-1), mit verschiedenen Spulendurchmessern sowie einem Vorverstärker PA 306 SMA mittels des ChipWhisperer®-Stacks (CW1200, CW308 UFO, CW308T-XMEGA Target) erfolgreich eine Correlation Power Analysis (CPA) durchzuführen, Messdaten aufzuzeichnen und zu vergleichen. Dafür wurde das im ChipWhisperer-Jupyter-GitHub verfügbare Notebook für H-Field Messsonde Demo 1 (mit CPA) .ipynb verwendet. Der Vorverstärker hat eine Verstärkung von 30 dB und operiert in einem Frequenzbereich von 100 kHz bis 6 GHz. Für das hier verwendete Target mit einer Taktfrequenz von 32 MHz ist er daher sehr gut geeignet. Besonders die Verwendung von verschieden großen Messsonden sollte evaluiert werden, und zwar im Hinblick auf die Anwendung an einem Target mit geschlossenem Package (Plastikgehäuse) und manueller Platzierung auf dem Target.

output

Die Idee dahinter war herauszufinden, wie einfach es ist, auf einem unbekannten Testgerät eine Sonde manuell zu platzieren und den Schlüssel aus dem Chip zu lesen. Die orthogonale Position der Spule zum Sondenkörper erleichtert dabei die Positionierung.

Für jede der drei H-Feld-Sonden wurde das CPA-Skript ausgeführt, um jeweils den Seitenkanalangriff zu realisieren. Die Messungen wurden über den ChipWhisperer® aufgenommen, um synchrones Abtasten zum Prozessortakt zu ermöglichen. Die Anzahl der benötigten Traces wurde so gering wie möglich gehalten, dabei wurden jeweils konstante 5.000 Samples aufgenommen. Bei einer Sample-Dauer von ca. 33,85 ns beträgt die ADC-Auflösung 10 Bit.

Für bestmögliche Ergebnisse wurden die Sonden senkrecht und möglichst nah auf dem Target platziert. Die Platzierung erfolgte manuell mit einem Probenhalter und wurde anhand von Ergebnissen aus dem t-Test-Verfahren angepasst, um eine gute Position zu finden. Das Setup wurde nicht zusätzlich geschirmt.

Ergebnisse

Mit allen getesteten Sonden war es möglich, erfolgreich eine Schlüsselextraktion mit der CPA-Methode zu erreichen, wobei die CPA bei allen durchgeführten Messreihen eine statistische Signifikanz der Ergebnisse aufwies. Dafür haben die jeweiligen Sonden folgende Anzahl an Traces über alle Bytes benötigt (siehe Diagramme 1-3):

  • RF-B 0_3-3: 550 Traces
  • RF-B 3-2: 250 Traces
  • RF-B 50-1: 100 Traces

Diagram 1: Korrelationsverlauf für Byte 0 mit RF-B 0.3-3

Diagram 1

Diagram 2: Korrelationsverlauf für Byte 0 mit RF-B 3-2

Diagram 2

Diagram 3: Korrelationsverlauf für Byte 0 mit RF-B 50-1

Diagram 3

Die statistische Signifikanz lässt sich exemplarisch für das Byte 0 in den Diagrammen ablesen. Dabei stellt die dicke rote Linie die Korrelation des korrekten Key Bytes dar. Sobald dieser Wert deutlich über den Korrelationen der anderen Werte steht, ist die Mindestanzahl an Traces für eine zuverlässige Aussage erreicht.

Hierbei ist zu erkennen, dass mit der Größe des Messradius die Anzahl der notwendigen Traces geringer ausfällt. Dies ist darauf zurückzuführen, dass bei größerem Messbereich eine höhere Toleranz bei der manuellen Platzierung besteht und die Messsonde nicht exakt an der besten Position auf dem Target platziert werden muss. Es ist zu erwarten, dass hier eine automatisierte Positionierung bei den kleineren Sonden, insbesondere bei schwächeren Signalen ein besseres Ergebnis liefern könnte. Durch den größeren Messradius wird auch das aufgezeichnete Rauschen erhöht, allerdings besitzen die Langer EMV-Technik-Messsonden ein sehr gutes Signal-zu-Rausch-Verhältnis, was dies ausgleicht.

Zum Vergleich benötigt der Angriff – gemessen über einen Shunt-Widerstand in der Spannungsversorgung desselben Targets – ca. 100 Traces, da hier ein sehr starkes Signal vorhanden ist und mit der beim ChipWhisperer® enthaltenen EM Messsonde mit Vorverstärker ca. 250 Traces. Die Messung über einen Shunt-Widerstand gestaltet sich allerdings in der Praxis sehr schwierig, da sich in vielen Fällen mehrere Spannungsversorgungen und Kapazitäten im System befinden und auch eine Manipulation der Hardware häufig erforderlich ist. Daher ist es in diesen Fällen deutlich einfacher, eine Messsonde über dem Target zu platzieren. Da es sich in diesem Fall um ein nicht gehärtetes Target handelte, konnte das Signal bereits gut mithilfe eines Oszilloskops erkannt werden.

Fazit

Aus den Ergebnissen lassen sich folgende Erkenntnisse ableiten:

  • Der eingesetzte Hardware-Stack (CW1200, CW308 UFO, Target Board) bot eine zuverlässige Plattform für die Evaluation der Seitenkanalanalysen.
  • Die Kombination aus Langer EMV-Technik Nah-Feld-Sonden und Vorverstärker erwies sich als äußerst funktional und war entscheidend für den Erfolg der Angriffe.
  • Die Durchführung des Angriffs ist bereits nach einfacher manueller Anpassung des Setups möglich.
  • Eine Übertragbarkeit auf gehärtete oder schneller operierende Targets ist machbar und die Messsonden können daher für eine schnelle Überprüfung von Seitenkanal-Lecks verwendet werden.
  • Das von ChipWhisperer® bereitgestellte Jupyter Notebook ermöglichte eine einfache Option, die Durchführung der CPA-Analyse auf dem XMEGA-Target zu evaluieren.
  • Trotz unterschiedlicher Sondendesigns war die CPA mit allen Sonden sehr zuverlässig. Hierbei war es nicht nötig, ein automatisiertes und zeitaufwendiges Testen der exakten Platzierung der Messsonden durchzuführen.
  • Große Messsonden eignen sich zur schnellen Identifikation von Seitenkanal-Lecks, insbesondere bei geschlossenem Package, da hier eine größere Toleranz für die Platzierung besteht.
  • Es ist anzunehmen, dass die kleineren Messsonden gegen gehärtete Targets und durch eine exakte Platzierung besser verwendet werden können und insbesondere bei größeren Störeinflüssen eine höhere Präzision bieten. Hierzu sind weitere Tests erforderlich.

Die Verwendung von größeren Messsonden kann in Kombination mit einem guten Signal-zu-Rausch-Verhältnis und wenig Vorkenntnissen für eine schnelle Analyse verwendet werden. Mit kleineren Messsonden besteht ebenfalls die Möglichkeit, viele erweiterte Anforderungen abdecken zu können. Die einfache Handhabung, vor allem durch die Möglichkeit zum senkrechten Platzieren der Messsonde, ist hierbei ebenfalls von Vorteil, wenn eine mechanische automatisierte Platzierung verwendet werden soll.

Kostenfreies Erstgespräch