Kryptographische Schaltungen werden in Mobilen und Eingebetteten Systemen eingesetzt, um sensitive Informationen vor unautorisiertem Zugriff und Manipulation zu schützen. Fehlerangriffe hebeln ihren Schutz aus, indem sie während der Verschlüsselung gezielt Fehler in die Hardwareimplementierung der kryptographischen Funktion injizieren und so die Berechnung kontrolliert verfälschen; aus den dabei gemachten Beobachtungen werden geschützte Daten (etwa geheime Schlüssel) hergeleitet. In den letzten Jahren wurde eine große Anzahl von Fehlerangriffen und Gegenmaßnahmen gegen solche Angriffe vorgestellt. Allerdings sind isolierte Lösungsansätze für jeden konkreten Angriff nicht länger hinreichend; eine allgemeine Schutzstrategie fehlt.Im beantragten Vorhaben soll die Klasse von algebraischen Fehlerangriffen eingehend untersucht werden. Bei diesen Angriffen werden die zur Kryptoanalyse verwendeten Informationen als Systeme von Polynomen dargestellt. Um die Tragweite von algebraischen Fehlerangriffen einordnen und gezielte Gegenmaßnahmen ergreifen zu können, werden im Rahmen des Projekts Techniken zur Durchführung von solchen Angriffen auf kryptographische Schaltungen entwickelt. Durch eine weitgehende Automatisierung soll auch eine systematische Bewertung der Anfälligkeit einer kryptographischen Funktion bzw. ihrer Hardware-Implementierung gegenüber Fehlerangriffen ermöglicht werden. Dabei werden gemischte algebraische Modelle eingesetzt, die sowohl die Spezifikation des Verfahrens als auch ihre Hardware-Umsetzung integrieren und durch Ergebnisse der Seitenkanalanalyse angereichert werden können. Zur Lösung der erzeugten algebraischen Gleichungssysteme werden die klassischen algebraischen Gröbner- und Randbasenverfahren und Reduktion auf SAT-Instanzen eingesetzt. Dabei werden Randbasen- und SAT-Algorithmen speziell auf die Eigenschaften der fehlerbasierten Kryptoanalyse hin optimiert und eine eng integrierte Kombination der beiden Verfahren erstellt. Die Angriffe werden auf einer FPGA-Plattform zur Fehlerinjektion validiert, und die dabei gewonnenen Daten werden zur Verfeinerung der Modellierung von Angriffen und Gegenmaßnahmen verwendet.Anschließend wird für einen allgemeinen, wirksamen, aber auch ressourceneffizienten Schutz gegen solche Angriffe eine ebenenübergreifende Strategie vorgeschlagen, die Fehlererkennung auf der Grundlage von neuartigen AMD Codes mit selektiver Härtung auf unteren Abstraktionsebenen kombiniert.