收藏 分销(赏)
立即下载 开通VIP

一种针对AES密码芯片的相关功耗分析方法_周阳.pdf

上传人:自信****多点 文档编号:472444 上传时间:2023-10-13 格式:PDF 页数:7 大小:2.61MB
下载 相关 举报
一种针对AES密码芯片的相关功耗分析方法_周阳.pdf_第1页
第1页 / 共7页
一种针对AES密码芯片的相关功耗分析方法_周阳.pdf_第2页
第2页 / 共7页
一种针对AES密码芯片的相关功耗分析方法_周阳.pdf_第3页
第3页 / 共7页
亲,该文档总共7页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、第4 3卷 第2期桂 林 电 子 科 技 大 学 学 报V o l.4 3,N o.2 2 0 2 3年4月J o u r n a l o f G u i l i n U n i v e r s i t y o f E l e c t r o n i c T e c h n o l o g yA p r.2 0 2 3收稿日期:2 0 2 0-1 1-1 6基金项目:广西重点研发计划(桂科A B 1 8 2 8 1 0 1 9);广西密码学与信息安全重点实验室基金(G C I S 2 0 1 7 0 6);桂林电子科技大学研究生科研创新计划(2 0 1 8 Y J C X 4 5)通信作者:韦

2、永壮(1 9 7 6-),男,教授,博士,研究方向为信息安全。E-m a i l:w a l k e r_w y z g u e t.e d u.c n引文格式:周阳,张海龙,韦永.壮一种针对A E S密码芯片的相关功耗分析方法J.桂林电子科技大学学报,2 0 2 3,4 3(2):1 3 5-1 4 1.一种针对A E S密码芯片的相关功耗分析方法周 阳1,张海龙2,3,韦永壮1,3(1.桂林电子科技大学 广西密码学与信息安全重点实验室,广西 桂林 5 4 1 0 0 4;2.中国科学院信息工程研究所 信息安全国家重点实验室,北京 1 0 0 0 9 3;3.密码科学技术国家重点实验室,北京

3、 1 0 0 8 7 8)摘 要:针对经典相关功耗分析过程中存在噪声等因素的影响,基于汉明重量与功耗轨迹之间存在线性相关的特性,提出一种针对A E S密码芯片的相关功耗分析方法。根据密码算法S盒输出中间值汉明重量分布不均匀的特性,利用区分比将正确密钥与错误密钥进行筛选,得到与功耗轨迹相关性较强的一组明文。在密钥恢复阶段,通过观察这组明文输入找到前2个S盒的泄漏点后,利用分别猜测法逐一找出剩余1 4个S盒的泄漏区间,而无需遍历所有功耗轨迹即可捕获剩余字节的密钥信息。A T 8 9 S 5 2芯片实验分析表明,采用此方法仅需9条明文和对应功耗轨迹即可以9 0%的成功率正确恢复出A E S的单个字节

4、密钥信息,计算复杂度仅为经典相关功耗分析的4.1%,显著提升了相关功耗分析的效率。关键词:相关功耗分析;密码芯片;汉明重量;S盒中图分类号:T N 9 1 8.1 文献标志码:A 文章编号:1 6 7 3-8 0 8 X(2 0 2 3)0 2-0 1 3 5-0 7A m e t h o d o f c o r r e l a t i o n p o w e r a n a l y s i s f o r A E S c r y p t o c h i pZ HO U Y a n g1,Z HA N G H a i l o n g2,3,WE I Y o n g z h u a n g1,3

5、(1.G u a n g x i K e y L a b o r a t o r y o f C r y p t o g r a p h y a n d I n f o r m a t i o n S e c u r i t y,G u i l i n U n i v e r s i t y o f E l e c t r o n i c T e c h n o l o g y,G u i l i n 5 4 1 0 0 4,C h i n a;2.S t a t e K e y L a b o r a t o r y o f I n f o r m a t i o n S e c u r i

6、 t y,I n s t i t u t e o f I n f o r m a t i o n E n g i n e e r i n g,C h i n e s e A c a d e m y o f S c i e n c e s,B e i j i n g 1 0 0 0 9 3,C h i n a;3.S t a t e K e y L a b o r a t o r y o f C r y p t o l o g y,B e i j i n g 1 0 0 8 7 8,C h i n a)A b s t r a c t:A i m i n g a t t h e i n f l u

7、 e n c e o f t h e n o i s e a n d o t h e r f a c t o r s i n t h e p r o c e s s o f c l a s s i c a l c o r r e l a t i o n p o w e r a n a l y s i s,b a s e d o n t h e l i n e a r c o r r e l a t i o n b e t w e e n H a mm i n g w e i g h t a n d p o w e r t r a c e s,a c o r r e l a t i o n p

8、o w e r a n a l y s i s m e t h o d f o r A E S c r y p t o-g r a p h i c c h i p i s p r o p o s e d.A c c o r d i n g t o t h e u n e v e n d i s t r i b u t i o n o f t h e m e d i a n H a mm i n g w e i g h t o f t h e S-b o x o u t p u t o f t h e c r y p t o g r a p h i c a l g o r i t h m,a s

9、 e t o f p l a i n t e x t s w i t h s t r o n g c o r r e l a t i o n w i t h t h e p o w e r t r a c e s i s o b t a i n e d b y f i l t e r i n g t h e c o r r e c t k e y s a n d t h e w r o n g k e y s b y u s i n g t h e d i s c r i m i n a t i o n r a t i o.I n t h e s t a g e o f k e y r e c

10、 o v e r y,t h e l e a k a g e p o i n t s o f t h e f i r s t t w o S-b o x e s a r e f o u n d b y o b s e r v i n g t h i s s e t o f p l a i n t e x t i n p u t s,a n d t h e l e a k a g e i n t e r v a l s o f t h e r e m a i n i n g 1 4 S-b o x e s a r e f o u n d o n e b y o n e b y u s i n g

11、 t h e s e p a r a t e g u e s s i n g m e t h o d,s o t h a t t h e k e y i n f o r m a t i o n o f t h e r e m a i n i n g b y t e s c a n b e c a p t u r e d w i t h-o u t t r a v e r s i n g a l l p o w e r t r a c e s.T h e e x p e r i m e n t a l a n a l y s i s o f A T 8 9 S 5 2 c h i p s h o

12、 w s t h a t t h e p r o p o s e d m e t h o d c a n c o r r e c t l y r e c o v e r t h e o n e-b y t e k e y o f A E S w i t h 9 0%s u c c e s s r a t e b y u s i n g o n l y 9 p l a i n t e x t s a n d c o r r e s p o n d i n g p o w e r t r a c e s,a n d t h e c o m p u t a t i o n a l c o m p l

13、 e x i t y i s o n l y 4.1%o f t h e c l a s s i c a l c o r r e l a t i o n p o w e r a n a l y s i s,w h i c h s i g n i f i c a n t l y i m p r o v e s t h e e f f i c i e n-c y o f t h e c o r r e l a t i o n p o w e r a n a l y s i s.K e y w o r d s:c o r r e l a t i o n p o w e r a n a l y s i

14、 s;c r y p t o c h i p;H a mm i n g w e i g h t;S-b o xDOI:10.16725/45-1351/tn.2023.02.002桂林电子科技大学学报2 0 2 3年4月 由比利时的2位密码学者J o a n D a e m e n和V i n-c e n R i j m e n共同设计完成的高级加密标准A E S,采用典型的替代/置换结构,具有较高的安全性、较快的加密解密速度及可便捷地在各种软件和硬件平台上使用等特点,目前已成为全球备受关注和广泛使用的分组密码之一。侧信道技术利用密码算法在执行过程中泄露的物理信息来恢复密钥。如通过密码算法执行

15、的能量消耗1、执行时间2、电磁信息3、声音4等直接获取密码算法的密钥,与传统密码分析相比,侧信道分析更具有实效性,对密码设备的正常运作产生了严重威胁。目前国内外主流的安全测评机构均把密码设备抵抗侧信道攻击的能力作为衡量其安全性的重要指标之一。K o c h e r等1利用简单能量分析(s i m p l e p o w e r a n a l y s i s,简称S P A)和差分能量分析(d i f f e r e n t i a l p o w e r a n a l y s i s,简称D P A)成功恢复出了D E S算法的密钥信息。B r i e r等5利用功耗能量分析(c o r

16、r e l a-t i o n p o w e r a n a l y s i s,简称C P A)成功恢复出A E S算法的密钥信息。相关功耗分析通过利用密码设备泄露的物理信息与S盒输出中间值之间的统计学规律来分析密码设备密钥。该方法利用输出S盒的多比特信息建立模型恢复密钥,与S P A和D P A相比,相关功耗分析所利用的中间值信息更多,因而其攻击效果也比前2种方法更优。K i m等6利用选择功耗轨迹的方法来恢复D E S和A E S的密钥。H o s p o d a r等7将机器学习用于侧信道分析。H e u s e r等8将支持向量机(S VM)用于特征值的预处理工具和多比特汉明重量模

17、型,以恢复A E S的密钥信息,其恢复一个字节密钥需要大约5 0条功耗轨迹。文献9 将神经网络用于侧信道分析,仅需一条功耗轨迹即可恢复出A E S的密钥信息。K i m等1 0提出一种通过原始数据的主成分分析来提高相关系数的分析方法。欧长海等1 1提出了一种基于汉明重量的放大模板攻击方法,大约需要4 8条功耗轨迹即可恢复出A E S一个字节的密钥,有效提高了侧信道的攻击效率。B a r t-k e w i z等1 2引入了泄露原型学习的概念,并将其用于对A E S的差分侧信道分析,通过每次1 0 0 0条功耗轨迹的平均进行学习求解,其攻击复杂度相对于传统侧信道分析仍较大。P i c e k等1

18、 3提出了一种用于侧信道分析的分层分类方法。E l o i d e等1 4强调了互信息和成功率在侧信道分析中的重要性,但其在恢复密钥过程中的计算复杂度和存储复杂度仍较大。D i n g等1 5针对A E S提出了一种基于遗传算法的多筛法侧信道分析方法,大约需要2 8 0条功耗轨迹可成功恢复出A E S的密钥信息,与经典侧信道分析相比,其计算复杂度有了较大提高。近年来,许多学者借助机器学习对密码算法进行侧信道分析1 6-1 9。B a r t k e w i z等1 2提出的攻击方法,在攻击前需将大量的功耗轨迹信息作为学习样本,在数据样本较少时无法正确恢复密钥信息,且其计算量仍较大。D i n

19、g等1 5通过多种群遗传算法的相关功耗分析来解决传统遗传算法过早收敛的问题,但在离线恢复阶段所需计算量较大,在样本不足时易陷入局部最优解,使得攻击的成功率较低。如何减少相关功耗分析所需要的功耗轨迹数量,以提高攻击效率和成功率,是目前亟待解决的问题。鉴于此,利用S盒输出中间值汉明重量分配不均匀的性质,将输出中间值分类后,选择区分较大的汉明重量与其对应明文的功耗轨迹来进行密钥恢复。在密钥恢复阶段,结合分别猜测法进行相关系数求解。与经典相关功耗分析相比,该方法能在仅需9条功耗轨迹条件下以9 0%的成功率正确恢复出A E S一个字节的密钥信息,计算复杂度仅为经典相关功耗分析的4.1%。1 密码算法A

20、E S与经典相关功耗分析的介绍1.1 密码算法A E S简介高级加密标准A E S分组的长度为1 2 8 b i t,其密钥的长度有1 2 8、1 9 2和2 5 6 b i t三种。不同密钥长度所需迭代的轮数也不同:密钥长度为1 2 8 b i t时,需迭代的轮数为1 0轮;密钥长度为1 9 2 b i t时,需迭代的轮数为1 2轮;密钥长度为2 5 6 b i t时,需迭代的轮数为1 4轮。1 2 8 b i t的中间状态可用一个状态矩阵表示,每个状态可看作一个8 b i t的字节,则1 6个字节的编号为x0 0 x0 1x0 2x0 3x1 0 x1 1x1 2x1 3x2 0 x2 1

21、x2 2x2 3x3 0 x3 1x3 2x3 3?。除了在首轮运算前需要先进行轮密钥加操作,末轮无需进行列混合操作外,其他轮函数的操作均由字节替换(S B)、行移位(S R)、列混淆(MC)、密钥加法(K A)四种运算构成。轮函数中唯一的非线性操作是字节替换,每个S盒由一个8 b i t输入和8 b i t输出的查找表组成,表示为yi,r=S(xi,r),i,r0,3,其中:yi,r为S盒的输出;xi,r为S盒的输入;S为S盒查表操作。行移位变换将对字节替换后的每个状态循环移631第2期周 阳等:一种针对A E S密码芯片的相关功耗分析方法位不同的位移大小。具体移位为x0 0 x0 1x0

22、2x0 3x1 0 x1 1x1 2x1 3x2 0 x2 1x2 2x2 3x3 0 x3 1x3 2x3 3?行移位操作x0 0 x0 1x0 2x0 3x1 1x1 2x1 3x1 0 x2 2x2 3x2 0 x2 1x3 3x3 0 x3 1x3 2?列混合变换是对中间状态矩阵中的每列进行操作,每个状态可视为有限域G F(28)上的一个布尔表达式。轮密钥加需将每个中间的状态xi,r与一个轮子密钥ki,r进行按位异或操作。1.2 经典相关功耗分析流程密码设备在执行加密或解密操作时产生的能量消耗t与密码算法的中间值h存在如下线性关系:t=a h+b,(1)其中:h为S盒输出中间值的汉明重

23、量;a、b为常数。采用大量的功耗轨迹分析某时刻密码设备的能量消耗,并将能量消耗视为被处理中间值的函数,可分析出密码设备的密钥信息,具体步骤如下:1)将密码算法的某个中间值y=(p,k)作为攻击点,其中:p为已知的明文;k为待恢复的正确密钥。2)采集密码设备的能量消耗:当密码设备正在运行时,利用示波器采集该设备对应的能量值消耗t。3)计算h:对于每个可能的候选密钥k i,计算该候选密钥对应的h。4)利用汉明重量模型,计算h对应的能量消耗。5)对于每个候选密钥k i,计算h与功耗轨迹中所有采样点t之间的相关性系数,所得相关系数最大的密钥即为正确密钥。相关功耗分析利用的统计学原理是:密码算法在设备中

24、执行不同的操作时,消耗的能量也不同,若候选密钥是错误的,每条明文通过计算后所得对应的中间值是随机的,与对应功耗轨迹计算所得的相关系数很小;若候选密钥正确,则每条明文与对应正确密钥运算后所得的假设能量消耗与功耗轨迹一一对应,所得相关系数最大。利用该方法可正确恢复出密码设备的完整密钥信息。相关性系数求解公式为ri,j=np=1(hp,i-hi)(tp,j-tj)np=1(hp,i-hi)2np=1(tp,j-tj)2,(2)其中:P为明文条数;hp,i为第P条明文的第i个字节的假设能量消耗;tp,j为第P条明文的第j列的真实能量消耗;hi、tj分别为列hi、tj的平均值;ri,j为列hi与tj的线

25、性关系,i=1,2,K,j=1,2,T。在步骤4)中,当采用汉明重量模型对每个字节密钥做假设能量消耗时,n条明文与所有候选密钥通过异或运算后,经过S盒并计算其汉明重量。因汉明重量只有9种,相同的n条明文与不同的候选密钥k i,i(0,1,K)计算所得的汉明重量很大程度上是相同的,这对利用统计分析计算相关系数求解正确密钥有较大的噪声干扰。鉴于此,提出如下改进的相关功耗分析方法。2 改进的相关功耗分析方法与功耗轨迹预处理2.1 改进的相关功耗分析方法性质1 假设明文Pi的第1个字节为Pi(1),而对应正确密钥k的第1个字节为k(1),通过运算y=s(Pi(1)k(1)可知,S盒的输出中间值y的区分

26、比是不同的,其中区分比表示在Pi(1)及其输出值汉明重量WH(y)固定时,所有满足y=s(Pi(1)k*(1)的候选密钥k*(1)个数之和的倒数。以8 b i t S盒为例,明文Pi的第1个字节Pi(1)与正确密钥k的第1个字节k(1)经S盒运算后,输出值的汉明重量只有0,1,2,3,4,5,6,7,8 九种,分别对应1,8,2 8,3 5,7 0,3 5,2 8,8,1 九种候选密钥值。因此,Pi(1)与正确密钥k(1)在密码设备中运算得到的汉明重量在0或8区间的区分比为R(0,8)=1/1;在1或7区间的区分比为R(1,7)=1/8;同理,R(2,6)=1/2 8;R(3,5)=1/3 5

27、;R(4)=1/7 0。由以上分析可知,当正确密钥在汉明重量为0或8区域时,将正确密钥k(1)从候选密钥k*(1)中筛选出来的概率为R(0,8)=1/1;同理,R(1,7)=1/8,R(2,6)=1/2 8,R(3,5)=1/3 5,R(4)=1/7 0。因此,在相关功耗分析阶段,尽可能选择区分比大的明文与其对应的功耗轨迹进行密钥恢复,能够使正确密钥更容易从候选密钥中被筛选出。以A E S-1 2 8第1字节为例,说明采用区分比最小的明文与其对应功耗轨迹恢复密钥时的局限性。当输入相同明文与不同候选密钥并经过S盒运算后,得到的汉明重量如表1所示。从表1可看出,对于猜测一个字节的密钥,n N条明文

28、已知且固定,功耗轨迹与明文一一对应且固定。当候选密钥为0 X 1 1时,上述n 条明文经过S盒操作,输出中间值的汉明重量为4;当候选密钥为0 X 1 7时,n 条明文经过S盒输出的汉明重量也为4。其2列假设能量消耗h相同,用相同的汉明重量列向731桂林电子科技大学学报2 0 2 3年4月量h n 与相同的功耗轨迹列向量tj计算相关系数,则无法判断正确密钥的唯一性。仅采用汉明重量为4的明文和功耗轨迹攻击结果如图1所示。表1 输入相同明文与不同候选密钥得到的汉明重量输入的随机明文一个字节候选密钥为0 X 1 1时所得汉明重量候选密钥为0 X 1 7时所得汉明重量0 X D D440 X 4 144

29、0 X 2 C440 X 2 2440 X D 044图1 仅采用汉明重量为4的明文和功耗轨迹攻击结果此外,明文每个字节的所有可能只有2 5 6种,当侧信道分析需要采集大量功耗轨迹时,会产生大量明文字节重复的可能性,其中经过S盒输出汉明重量为4的可能性最多,存在汉明重量分配不均匀的现象,这大大影响了相关系数的求解,进而影响相关功耗分析的效率。鉴于此,提出一种相关功耗分析方法,具体步骤如下:1)将密码算法的某个中间值h=(p,k)作为攻击点。2)采集密码设备的能量消耗:当密码设备正在执行加密或解密时,利用示波器采集该设备对应的能量消耗。3)计算h:对于每个可能的候选密钥k i,计算该候选密钥对应

30、的h。4)计算h的假设能量消耗:对每个候选密钥k i计算经过S盒输出的汉明重量。将每个候选密钥k i输出的汉明重量为0和8的对应明文作为一类,汉明重量为1和7的对应明文作为一类,汉明重量为4的对应明文作为一类,以此类推。5)对于每个候选密钥k i,通过区分较大的明文与其对应功耗轨迹计算相关性系数,所得相关系数最大的密钥为正确密钥。2.2 分别猜测法的功耗轨迹预处理经上述明文选择后,采用经典相关功耗进行分析,通过计算所得的汉明重量矩阵与所采集的功耗轨迹的所有采样点来计算皮尔逊相关系数,从而恢复正确密钥。此过程计算量相当大,因为每条明文都需与候选密钥异或后,经S盒运算,再与采集的功耗轨迹的所有采样

31、点来计算相关系数。这些采样点高达几千甚至几十万,大大影响了相关功耗分析的攻击效率。未经数据预处理的原始功耗轨迹如图2所示。图2 未经预处理的原始功耗轨迹利用分别猜测法对功耗轨迹进行预处理,具体操作如下:1)采用经典相关功耗分析,分别找到第1、2个S盒的泄漏点D1、D2,如图3、4所示。将第1个泄漏点的位置到第2个泄漏点的距离记为x,由于同一算法在同一台设备上执行相同操作,选择A E S-1 2 8算法第1轮的每个S盒的输出作为攻击点,则其在执行该算法时整个功耗轨迹可看作一轮的1 6个S盒的全部泄露。2)找到第1、2个S盒的泄露位置后,采用分别猜测法,通过泄漏点公式Dn=D1+(n-1)x,3n

32、1 6计算剩余1 4个S盒的泄漏点位置,而无需通过每次都遍历所有采集功耗轨迹的采样点来寻找泄漏点,从而恢复该字节的密钥。3)找到映射后的对应泄漏点后,为提高实验的成功率,以该点为中心,左右2边各选取5个采样点,共1 1个采样点,组成一个泄露小区间,作为该S盒的泄831第2期周 阳等:一种针对A E S密码芯片的相关功耗分析方法露区间,而无需再遍历所有采样区间,进而通过求相关系数来恢复密钥。利用上述方法成功找到A E S的1 6个S盒的泄漏点,如图5所示。图3 第1个S盒的泄漏点图4 第1、2个S盒的泄漏点图5 1 6个字节S盒的全部密钥泄漏点3 实验与分析3.1 模拟实验在W i n d o

33、w s平台下,采用C语言对A E S算法的功耗轨迹进行仿真实验。在仿真实验中,通过添加标准差分别为=3.0和=5.0的2种噪声来模拟S-b o x操作的功耗。在2种噪声情况下,使用相同的功耗轨迹,分别利用经典相关功耗分析和相关功耗分析方法来恢复密钥信息。功耗轨迹数从1 0增加到1 0 0 0,间隔为1 0,每组实验取1 0 0 0次实验的平均结果。忽略排序操作的计算代价,计算成本被估算为相关系数的平均计算次数,实验结果如图6、7所示。表2为在成功率分别为5 0%、9 0%时,2种方法所需要的功耗轨迹数和相应的计算量。图6 噪声为=3.0时攻击效率图7 噪声为=5.0时攻击效率实验结果表明,当=

34、3.0时,相关功耗分析方法仅需1 1 0条功耗轨迹就可达到9 0%的成功率,而经931桂林电子科技大学学报2 0 2 3年4月 表2 不同噪声下成功率与功耗轨迹条数和计算量攻击方案成功率/%=3.0=5.0功耗轨迹计算量功耗轨迹计算量正确k对应相关系数文献5本研究5 03 5 01.1 4 7 1 01 04 7 01.5 4 1 1 01 00.5 69 53.9 3 0 1 081 5 06.2 0 3 1 080.6 3文献5本研究9 05 1 01.6 7 1 1 01 07 5 02.4 5 8 1 080.6 71 1 04.5 9 4 1 083 1 01.2 8 2 1 080

35、.7 8典相关功耗分析则需要5 1 0条;当=5.0时,相关功耗分析方法仅需3 1 0条功耗轨迹就可达到9 0%的成功率,而经典相关功耗分析则需要7 5 0条,且相关功耗分析方法计算复杂度远低于经典相关功耗分析方法。本方案的另一个优点是正确密钥对应的相关系数更大,更有利于正确密钥的恢复。图8 第1字节密钥相关系数与能量数量关系3.2 单片机上的实验真实功耗轨迹是在A T 8 9 S 5 2单片机运行时采集而得,其时钟频率为1 2 MH z,时钟每微秒震荡1 2个周期。选用P I C O T e c h n o l o g y示波器,采样频率为1 G S/s。将A E S-1 2 8算法烧入单片

36、机,算法在执行“MO V A,R 0”时,利用间接寻址将S-b o x的输出值写入A寄存器,该MO V指令泄露了S-b o x输出值的汉明重量信息。随机加密1 0 0个随机明文,并采集1 0 0条功耗轨迹。在进行恢复密钥时,对于每个可能的候选密钥,基于相关功耗分析方法,通过含有噪声较小的明文与其对应的功耗轨迹计算皮尔逊相关系数,仅需9条功耗轨迹就可正确恢复出A E S-1 2 8算法第1轮第1字节的密钥0 X 1 1,如图8所示,同理可恢复第2个字节密钥0 X 2 2。在恢复剩余1 4个字节密钥时,采用分别猜测法,无需与采集功耗轨迹的所有采样点进行一一遍历,仅利用映射后的采样区间进行求解。在恢

37、复第1个字节密钥时,对本方法与经典相关功耗分析方法做对比,结果如图9所示。本方法成功恢复出了A E S-1 2 8第1轮的1 6个字节的正确密钥,如图1 0所示。图9 3种攻击方案攻击效率图1 0 成功恢复出的1 6个字节密钥真实环境下不同攻击方案的攻击效率如表3所示,真实功耗轨迹环境下恢复出的密钥与模拟环境下一致,表明本方法是有效的。当成功率相同时,本方法所需的功耗轨迹数更少,计算复杂度更低,正确密钥对应的相关系数更大,更有利于对其进行侧信道分析。041第2期周 阳等:一种针对A E S密码芯片的相关功耗分析方法表3 不同攻击方案的攻击效率攻击方案 成功率/%功耗轨迹数计算量正确k对应的相关

38、系数文献5文献6本研究5 02 06.9 6 1 080.8 61 86.2 7 1 0883.5 1 1 070.9 7文献5文献6本研究9 02 89.7 5 1 080.8 53 51.2 2 1 0993.9 5 1 070.9 54 结束语利用汉明重量模型,针对仅泄露汉明重量的密码芯片A T 8 9 S 5 2提出了一种相关功耗分析方法。利用S盒输出中间值汉明重量分配不均匀的性质,将中间值的汉明重量进行分类。对每个候选密钥选择区分较大的一组汉明重量与其对应功耗轨迹,再结合分别猜测法对功耗轨迹进行预处理来恢复密钥信息。实验结果表明,通过本方法仅需9条功耗轨迹即可以9 0%的成功率恢复出

39、A E S一字节的密钥信息,其计算量仅为经典相关功耗分析的4.1%。参考文献:1 K O C H E R P,J A F F E J,J U N B.D i f f e r e n t i a l p o w e r a n a l-y s i sC/A n n u a l I n t e r n a t i o n a l C r y p t o l o g y C o n f e r e n c e.B e r l i n,H e i d e l b e r g:S p r i n g e r,1 9 9 9:3 8 8-3 9 7.2 K O C H E R P C.T i m i n

40、g a t t a c k s o n i m p l e m e n t a t i o n s o f D i f f i e-H e l l m a n,R S A,D S S,a n d o t h e r s y s t e m sC/P r o c e e d i n g s o f t h e 1 6 t h A n n u a l I n t e r n a t i o n a l C r y p t o l o-g y C o n f e r e n c e o n A d v a n c e s i n C r y p t o l o g y.B e r l i n,H e

41、 i-d e l b e r g:S p r i n g e r,1 9 9 6:1 0 4-1 1 3.3 A G R AWA L D,A R C HAM B E A U L T B,R A O J R,e t a l.T h e E M s i d e-c h a n n e l(s)C/I n t e r n a t i o n a l W o r k-s h o p o n C r y p t o g r a p h i c H a r d w a r e a n d E m b e d d e d S y s-t e m s.B e r l i n,H e i d e l b e r

42、 g:S p r i n g e r,2 0 0 2:2 9-4 5.4 S HAM I R A,T R OM E R E.A c o u s t i c c r y p t a n a l y s i sJ.J o u r n a l o f C r y p t o l o g y,2 0 1 7,3 0(2):3 9 2-4 4 3.5 B R I E R E,C L A V I E R C,O L I V I E R F.C o r r e l a t i o n p o w-e r a n a l y s i s w i t h a l e a k a g e m o d e lC/I

43、 n t e r n a t i o n a l W o r k s h o p o n C r y p t o g r a p h i c H a r d w a r e a n d E m b e d d e d S y s t e m s.B e r l i n,H e i d e l b e r g:S p r i n g e r,2 0 0 4:1 6-2 9.6 K I M Y,S U G AWA R A T,HOMMA N,e t a l.B i a s i n g p o w e r t r a c e s t o i m p r o v e c o r r e l a t i

44、 o n i n p o w e r a n a l y s i s a t t a c k sC/F i r s t I n t e r n a t i o n a l W o r k s h o p o n C o n-s t r u c t i v e S i d e C h a n n e l A n a l y s i s a n d S e c u r e D e s i g n.B e r l i n,H e i d e l b e r g:S p r i n g e r,2 0 1 0:7 7-8 0.7 HO S P O D A R G,MU L D E R E,G I E

45、R L I C H S B,e t a l.L e a s t s q u a r e s s u p p o r t v e c t o r m a c h i n e s f o r s i d e-c h a n-n e l a n a l y s i sJ.J o u r n a l o f C r y p t o g r a p h i c E n g i n e e r i n g,2 0 1 1,1(4):2 9 3-3 0 2.8 H E U S E R A,Z OHN E R M.I n t e l l i g e n t m a c h i n e h o m i-c i

46、d eC/I n t e r n a t i o n a l W o r k s h o p o n C o n s t r u c t i v e S i d e-C h a n n e l A n a l y s i s a n d S e c u r e D e s i g n.B e r l i n,H e i-d e l b e r g:S p r i n g e r,2 0 1 2:2 4 9-2 6 4.9 MA R T I N A S E K Z,Z E MA N V.I n n o v a t i v e m e t h o d o f t h e p o w e r a n

47、 a l y s i sJ.R a d i o E n g i n e e r i n g,2 0 1 3,2 2(2):5 8 6-5 9 4.1 0 K I M Y,K O H.U s i n g p r i n c i p a l c o m p o n e n t a n a l y s i s f o r p r a c t i c a l b i a s i n g o f p o w e r t r a c e s t o i m p r o v e p o w e r a-n a l y s i s a t t a c k sC/I n t e r n a t i o n a

48、l C o n f e r e n c e o n I n f o r-m a t i o n S e c u r i t y a n d C r y p t o l o g y.C h a m:S p r i n g e r,2 0 1 3:1 0 9-1 2 0.1 1 欧长海,王竹,黄伟庆,等.基于汉明重量模型的密码芯片放大模板攻击J.密码学报,2 0 1 5,2(5):4 7 7-4 8 6.1 2 B A R T K EW I T Z T.L e a k a g e p r o t o t y p e l e a r n i n g f o r p r o-f i l e d d i

49、 f f e r e n t i a l s i d e-c h a n n e l c r y p t a n a l y s i sJ.I E E E T r a n s a c t i o n s o n C o m p u t e r s,2 0 1 5,6 5(6):1 7 6 1-1 7 7 4.1 3 P I C E K S,H E U S E R A,J O V I C A,e t a l.C l i m b i n g d o w n t h e h i e r a r c h y:h i e r a r c h i c a l c l a s s i c a t i o n

50、 f o r m a c h i n e l e a r n i n g s i d e-c h a n n e l a t t a c k sC/I n t e r n a t i o n a l C o n-f e r e n c e o n C r y p t o l o g y i n A f r i c a.B e r l i n,H e i d e l b e r g:S p r i n g e r,2 0 1 7:6 1-7 8.1 4 D E C H R I S E Y E,G U I L L E Y S,R I O U L O,e t a l.B e s t i n f o

展开阅读全文
相似文档                                   自信AI助手自信AI助手
猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 品牌综合 > 临存文档

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服