一種對具備掩碼防護的祖沖之密碼算法進行側信道能量分析方法
【技術領域】
[0001] 本發(fā)明屬于密碼算法分析檢測技術領域,設及在密碼算法實現(xiàn)��、側信道能量分析�����、 密碼模塊檢測過程中���,針對具備掩碼防護措施的祖沖之序列密碼算法狂UC)進行側信道能 量分析�����,獲取受保護的密鑰k���,即,對具備掩碼防護的祖沖之密碼算法進行側信道能量分析 方法��。
【背景技術】
[0002] 隨著信息技術的發(fā)展���,各種密碼算法正被廣泛地應用于經(jīng)濟�����、軍事�����、行政等重要部 n�,保護信息的安全性。鑒于密碼算法的重要性�,密碼算法軟硬件實現(xiàn)(密碼模塊)的分析 研究對保護信息安全具有重要的意義。近年來��,多種對密碼模塊的攻擊已廣為人知�����,所有該 些攻擊的目的都是為了獲取密碼模塊中的密鑰��。通常的攻擊方式可分為侵入式攻擊���、半侵 入式攻擊和非侵入式攻擊�����。近年來���,由于非侵入式攻擊中的側信道分析實施方便�、相對成本 低廉而被廣泛使用��。側信道分析可W細分為計時分析����、能量分析和電磁分析����。其中的側信 道能量分析是眾多分析手段中最常用的方法之一,它突破了傳統(tǒng)密碼算法的分析模式��,能 力強大����,實施相對容易。側信道能量分析利用了密碼模塊能量消耗與數(shù)據(jù)運算和執(zhí)行之間 的相關性�����,基于密碼算法實現(xiàn)的能量泄露函數(shù)建立能量模型��,使用統(tǒng)計方法�����,猜測和驗證密 碼模塊使用的受保護密鑰,幾乎可被用于破解所有的對稱密碼和公鑰密碼����。破解時,僅需要 數(shù)十條能量跡就可W在幾分鐘內迅速地破解沒有防御措施的大多數(shù)智能卡�����。側信道能量分 析方法一般包括��,簡單能量分析(SPA)����、差分能量分析值PA)、相關能量分析(CPA)和高階差 分能量分析(H0DPA)�。
[0003] 直接利用能量跡各尖峰形狀不同該一特性的攻擊稱為簡單能量分析攻擊 SPA (Simple Power Analysis);根據(jù)密碼設備的能量消耗依賴于算法執(zhí)行過程中所處理的 中間值分別為0和1時,所對應的平均能量跡之間的差異進行密鑰恢復的攻擊方法稱為差 分能量分析攻擊DPA值ifferential Power Analysis);若密碼分析者利用假設能量消耗和 真正能量消耗之間的線性相關性進行密鑰恢復�����,則為相關能量分析攻擊CPA(Correlation Power Analysis);在上述DPA分析中��,如果僅利用了一個中間值����,稱為一階DPA攻擊���,若是 利用算法運算中的某種聯(lián)合泄漏,該聯(lián)合泄漏基于出現(xiàn)在密碼設備中的多個中間值�,則稱 相應的DPA攻擊為高階DPA分析�����。
[0004] 鑒于當前對密碼算法進行功耗分析攻擊技術的不斷發(fā)展����,為應對能量分析帶來的 挑戰(zhàn),針對功耗分析攻擊的防御技術也不斷進步�����?��?构姆治龅姆烙夹g包括各種隱藏技 術和掩碼技術���,任何防御技術的目標都是使密碼設備的能量消耗不依賴于設備所執(zhí)行的密 碼算法中間值。
[0005] 隱藏技術是通過能量消耗隨機化��,使所有操作具有相同能量消耗等方式切斷被處 理的中間值與設備能量消耗之間的關系��。采用隱藏技術的密碼設備與未加防護的設備執(zhí)行 相同的操作,但無法從中獲取可用信息��。
[0006] 掩碼技術是采用隨機化密碼設備所處理的中間值����,對算法實現(xiàn)加入隨機化掩碼。 其可W在算法級實現(xiàn)�,無需改變密碼設備的能量消耗特性,使設備的能量消耗與所執(zhí)行的 密碼算法的中間值之間無依賴關系�。
[0007] 在掩碼防御方案中,算法運算的中間值V都基于一個稱為掩碼的隨機數(shù)m進行變 換�,即Vm=v*m。掩碼產(chǎn)生于密碼設備內部�����,并且在每一次執(zhí)行過程中各不相同���,因此攻擊 者不能獲知掩碼���。運算*通常根據(jù)密碼算法所使用的操作進行定義。因此�,運算*多為布 爾異或運算、模加運算或模乘運算���。在模加運算和模乘運算的情況下�,模數(shù)根據(jù)密碼算法進 行選擇。通常�,掩碼直接應用于明文或密鑰。為了能夠處理掩碼型中間值W及對掩碼進行 跟蹤��,需要對算法進行修改��。加密的結果也是掩碼型的����,為了獲得密文�,需要在計算結束時 消除掩碼。要保持每一個中間值在計算過程中始終處于被掩碼狀態(tài)��,該一點非常重要�����。即 使某一個中間值是基于它之前的中間值計算得到�����,保持上述性質仍然很重要���。由于上述原 因����,對不同的中間值,往往需要分別采用不同的掩碼���。處于對實現(xiàn)性能的考慮�����,對每一個中 間值采用一個新掩碼并不合算��。因此����,為了獲得合適的性能�����,需要仔細選擇掩碼的數(shù)量���。
[0008] 在算法一個執(zhí)行路徑中所疊加的掩碼數(shù)量����,稱為算法掩碼防御方案的階數(shù),對相 應階數(shù)的掩碼進行能量分析的方法�,稱為高階能量能量分析。一階掩碼可W防御一階的能 量分析�,但不能防御二階能量分析;二階掩碼可W防御二階能量分析�����,但不能防御立階能量 分析����。通?��?紤]到防御和分析的指數(shù)遞增運算量增加�,W及算法結構上可利用的能量泄露 的點的限制�,通常分組算法實現(xiàn)只能做到二階能量分析,相應的防御措施也一般只做到二 階掩碼防御即可�。
[0009] 下面對DPA和CPA的原理進行簡單介紹。DPA原理是:對于N組明文/密文數(shù)據(jù) 的加/解密運算���,獲取N條能量跡�����,該里的能量跡是指一次密碼操作過程中采集到的能量消 耗測量向量�;對每一個猜測密鑰K,產(chǎn)生相應的中間值(攻擊對象)���,根據(jù)中間值確定選擇函 數(shù)����;通過選擇函數(shù)將能量跡集劃分為兩個子集�����;分別對兩個子集對應的能量消耗取平均����, 并對兩個平均能量消耗值求差,該均值差為選擇函數(shù)對應的中間值對能量跡的影響效果����。 根據(jù)統(tǒng)計理論,若K猜測不正確�,當能量跡的個數(shù)N趨近無窮大時,兩子集的均值差將趨近 于零���;若K猜測正確時����,在能量跡中的某個樣點,將會出現(xiàn)一個均值差的最大尖峰(絕對值 最大值)�����,通過最大尖峰可確定正確的密鑰�。CPA原理是:對于N組明文/密文數(shù)據(jù)的加/解 密運算,獲取N條能量跡����;對每一個猜測密鑰K,產(chǎn)生相應的中間值(攻擊對象)�;根據(jù)中間 值建立能量模型;通過能量模型將中間值映射為仿真能量消耗��;計算仿真能量消耗與能量 跡之間的線性相關系數(shù)��,范圍在[-1,1]之間���;選取相關系數(shù)中絕對值的最大值,理論上為 1���,但是由于采集能量跡過程中不可避免存在噪聲干擾��,最大值小于1���,該相關系數(shù)最大值對 應的猜測密鑰即為正確密鑰����。
[0010] 二階DPA/CPA分析�、除了可能需要對能量跡進行預處理,利用中間值的個數(shù)不一 樣��,原理和方法與一階側信道能量分析的完全一致�。一階側信道分析僅利用算法結構中的 一個中間值,相應地�����,二階側信道分析利用密碼設備所處理的兩個中間值相關的聯(lián)合泄漏���。
[0011] 二階能量分析的步驟一般包括如下:選擇兩個中間值U和V����,因采用了掩碼技術�����, 僅是掩碼型中間值^。�����,=1����,?^知^/" =^?^出現(xiàn)在設備操作中;記錄能量跡����,并對能量跡進 行預處理;計算假設中間