1、密码学报ISSN 2095-7025 CN 10-1195/TNJournal of Cryptologic Research,2023,10(1):209218密码学报编辑部版权所有.E-mail:http:/Tel/Fax:+86-10-82789618一种基于乘法掩码的 AES 防护方案*郭 筝1,杨正文2,张效林2,卢 岩3,原义栋41.智巡密码(上海)检测技术有限公司,上海 2016012.上海交通大学 电子信息与电气工程学院,上海 2002403.国网辽宁省电力有限公司电力科学研究院,沈阳 1100064.北京智芯微电子科技有限公司,北京 100094通信作者:郭筝,E-mail:
2、摘要:AES 通常采用掩码方法来抵御旁路攻击,其中乘法掩码方案因适用于非线性操作而备受青睐,但其也由于零值问题使得应用场景受限.本文提出了一种结合乘法掩码和伪轮防护的方案,通过设计相应的组合电路将零值映射成非零值,使得进入求逆操作的数据非零,基于有限域的同构特征优化了求逆运算.不仅能够克服零值问题,而且相比于传统乘法掩码方案,大大减少了所需的求逆操作,可以抵御二阶 DPA攻击.在 FPGA 上对其实现并进行电路优化,对采集的功耗曲线进行了 DPA 攻击,在 100 万条曲线下无发现明显泄露,可验证本掩码方案具备一定的安全性.关键词:AES;侧信道分析;DPA;乘法掩码中图分类号:TP309.7
3、文献标识码:ADOI:10.13868/ki.jcr.000590中文引用格式:郭筝,杨正文,张效林,卢岩,原义栋.一种基于乘法掩码的 AES 防护方案J.密码学报,2023,10(1):209218.DOI:10.13868/ki.jcr.000590英文引用格式:GUO Z,YANG Z W,ZHANG X L,LU Y,YUAN Y D.A side-channel countermeasurefor AES based on multiplication maskJ.Journal of Cryptologic Research,2023,10(1):209218.DOI:10.138
4、68/ki.jcr.000590A Side-channel Countermeasure for AES Based on MultiplicationMaskGUO Zheng1,YANG Zheng-Wen2,ZHANG Xiao-Lin2,LU Yan3,YUAN Yi-Dong41.Zhixun Crypto Testing and Evaluation Technology Co.Ltd.,Shanghai 201601,China2.School of Electronic Information and Electrical Engineering,Shanghai Jiao
5、Tong University,Shanghai200240,China3.Electric Power Research Institute,State Grid Liaoning Electric Power Co.Ltd.,Shenyang 110006,China4.Beijing Smart-chip Microelectronics Technology Co.Ltd.,Beijing 100094,ChinaCorresponding author:GUO Zheng,E-mail:Abstract:Masking techniques are often applied to
6、AES to resist side-channel attacks,amongwhich multiplicative mask schemes are favored because of their applicability to nonlinear operations.However,their application scenarios are limited due to the zero-value problem.This paper proposes*基金项目:国家电网有限公司总部科技项目(5100-201941446A-0-0-00)Foundation:Science
7、 and Technology Project of State Grid Corporation of China(5100-201941446A-0-0-00)收稿日期:2022-02-23定稿日期:2022-09-05210Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023a scheme combining multiplication mask and pseudoround protection.The proposed scheme uses acombinatorial circuit that converts
8、zero value to non-zero to overcome the zero-value problem.Thefinite field homomorphism is used to optimize the inverse operations.This scheme requires less modularinverse operations than the traditional schemes and can resist the second-order DPA attack.It hasbeen implemented on an FPGA with optimiz
9、ation,and DPA attacks have been tested on the collectedpower traces.In the experiments,no observable leakage was found in 1 million traces,which showsthat the proposed scheme is sufficiently secure against DPA attacks.Key words:AES;side-channel analysis;DPA;multiplication mask1引言AES 算法是国际加密标准,其因高效性和
10、高安全性而得到了广泛的关注,大量攻击以及防护掩码都针对该算法展开1,其中以 Kocher 等 1999 年提出的 DPA(differential power analysis)攻击2威胁性最大.与传统攻击不同,此类攻击针对的不是加密算法本身,而是加密算法的硬件实现方式.通过采集硬件加密过程中产生的物理信息(电磁信号、功耗等),利用统计学方法恢复密钥.随着该类分析方法的提出,有学者开始研究防护方法,攻防技术相互促进发展.随后,一些高阶 DPA 攻击方法被提出3,攻击者利用功耗曲线同一时刻的 n 个中间变量的联合泄露来进行攻击.由于攻击难度随着阶数 n 的增长呈现指数变化,所以实际中大多考虑 n
11、=1 和 n=2 的情况,目前对于实际电路的高阶分析也主要针对 n=2 的情况.旁路攻击的本质是寻找物理信息与算法过程中的中间值之间的相关性,各种防护方法的根本思路是破坏泄露信息与泄露中间值的相关性.一些防护方案,如插入伪轮计算、随机化执行时间、设计互补电路等,都能在一定程度上抵抗 DPA 攻击.但是随着攻击样本的增加和预处理操作的运用,这些方案的防护效果大大降低,甚至失效.1999 年 Chari 等4第一次提出掩码方案,其思路是将目标变量拆分成多个子分量,使得功耗与目标变量无关,而与每个子分量相关.之后一些改进方案和相应攻击方法都随之产生,Mangard 等5指出,一旦电路中出现由于组合逻
12、辑电路、路径延时、路径不平衡等导致的毛刺(glitch),则算法过程的中间值都将被探测到,这会使得掩码方案失效.后来 Prouff 等在文献 6 中和 Nikova 等在文献 7 中分别提出了基于秘密共享和基于门限电路的防护方案,并证明了这些方案可有效抵御 glitch.Bilgin 等将这些方法扩展到了高阶分析和防护技术上8.基于共享随机数的布尔掩码方案是当前的热点研究方向之一,该类研究的目标是降低布尔掩码方案的资源使用量或提升掩码方案的执行效率9,10.以上这些方案大多涉及的是布尔掩码,但是布尔掩码不适合 S 盒等非线性操作,因此有人考虑将布尔掩码和乘法掩码的方法结合起来.Akkar 和
13、Girau 在 CHES 2001 中第一次在 AES 上实现布尔掩码与乘法掩码之间的转换11,但这一方法在 CHES 2002 上就被指出存在漏洞12,Goli 和 Tymen 发现了该方法在零值攻击下是不安全的,因为零值的乘法掩码操作与非零值的乘法掩码操作在功耗特征上有明显区别,根据这个特性可以攻击密码算法的实现.后来很多防护方案提出将零值映射成非零值,以避免出现零值问题,文献 1315 中 Genelle 深入研究了将布尔掩码和乘法掩码之间的安全转换,并将其推广到高阶方案上,但是这些都是针对密码电路软件实现的方式.结合布尔掩码和乘法掩码来进行综合防护可在一定程度上弥补乘法掩码的不足16.
14、本文基于 FPGA 平台实现了抗二阶 DPA 攻击的 AES 算法,防护方法基于乘法掩码实现,设计了专门的电路结构解决了零值问题,同时添加了伪轮计算,增大了 AES 算法抵御高阶 DPA 的能力.通过 FPGA 功耗实验平台,采集了 100 万条曲线,对其进行了二阶 DPA 攻击,没有明显泄露,证明了防护方案的有效性.2预备知识2.1AES 算法AES 算法的明文长度为 128 比特,密钥长度支持 128、192、256 比特,不同的密钥长度对应不同的加密轮数.本次的研究对象是 AES-128,即密钥长度为 128 比特,对应的是 10 轮加密.其中前 9 轮的迭代过程是相同的,运算步骤包括字
15、节代换(SubBytes)、行移位(ShiftRows)、列混淆(Mixcolumns)和轮密钥异或(AddRoundKey).最后一轮包括字节代换、行移位和轮密钥异或.AES 运算结构如图1所示.郭筝 等:一种基于乘法掩码的 AES 防护方案211图 1 AES 运算结构Figure 1 Overall procedure of AES2.2针对 AES 的 DPA 攻击DPA,即差分功耗分析,是能量侧信道分析的重要组成部分,这一攻击方法由 Kocher 等在 1999 年首次提出2.DPA 攻击利用目标设备在运行特定密码算法时泄露功耗间的均值差,来推断所用的密钥比特.DPA 攻击能验证密码
16、算法中密钥与差分功耗信息间的关系.CPA(correlation power analysis)则是基于DPA 攻击的思想,借助皮尔森相关性系数(Pearsons correlation coefficient)等统计分析技术恢复完整的密钥字节.针对 AES 的一般 DPA 攻击步骤如下:步骤 1:选取攻击的中间值,通常选择字节代换的输入和输出.步骤 2:采集硬件实现加密算法执行过程中的功耗曲线,将功耗曲线映射为功耗矩阵.步骤 3:穷举参与单个 S 盒计算的密钥,用猜测的密钥和明文进行计算,将字节代换前后的值进行异或,再根据功耗模型,映射成中间值矩阵.步骤 4:将功耗矩阵和中间值矩阵做相关性分
17、析,相关性最大的猜测密钥即判定为真实密钥.DPA 攻击可从包含过多噪声的测量中提取秘密信息,但缺点是需要使用大量的功耗曲线.攻击者需要已知被攻击算法的明密文以对算法的特定步骤进行密钥字节的猜解.即使功耗曲线的有效泄露较少,DPA 依然可以有效识别,即 DPA 具有天然的纠错与抗干扰属性.在实际中,攻击者可以对那些易受攻击的智能卡或其他设备反复执行加密算法来实施 DPA 分析并获取密钥.2.3乘法掩码掩码技术是很常用的一种抵御旁路攻击的防护策略,其思想是通过给真实数据附加上一个掩码,随机化密码电路所处理的中间值,使得真实的中间值隐藏起来,使得攻击者获得的功耗数据无法与真实的中间值对应,从而达到抵
18、御攻击的目的.假设算法运算的中间值是 v,随机掩码为 m,v 经过掩码操作后的值记为 vm,vm=v m,其中 指的是采取的掩码策略,通常可采用异或运算、模加运算或乘法运算等方案.乘法掩码中 一般可选用模乘运算,即密码运算中间值与掩码进行乘法运算,此时有 vm=v m;而在布尔掩码方案中,一般为异或运算,即中间值与掩码进行异或,则有 vm=v m.根据 所采取运算的特点,乘法掩码与布尔掩码有不同的适用范围.密码算法中的操作通常包括线性操作和非线性操作.其中线性操作具备线性函数的特征,即 L(x y)=L(x)L(y).因此,那些由线性函数组成的密码操作更适用于布尔掩码.而对于非线性运算,则有
19、L(x y)=L(x)L(y),譬如 AES运算中 S 盒的有限域实现.此时由于 S 盒的有限域实现基于有限域元素的乘法逆,即 f(x)=x1,且有f(x y)=(x y)1=f(x)f(y),因此 S 盒运算这种非线性运算采用乘法掩码是更适合的.212Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023针对实际密码算法的传统乘法掩码方案一般要求首先将布尔掩码转换成乘法掩码的形式,然后进行非线性操作,操作完成后重新恢复成布尔掩码,再进行其余线性操作,在算法结束的时候通过异或操作便可以消除布尔掩码得到正确的密文.Akkar 等11最先
20、提出一种针对 AES 算法的 S 盒乘法掩码方案,方案的伪代码见算法1.算法 1 S 盒的乘法掩码Input:x m1 m2Output:x1 m1 m21(x m1 m2)r1(x m1 m2)r1;2(x m1 m2)r1(m1 r1)(m2 r1)x r1;3x r1 inverse x1 r11;4x1 r11(m1 r11)(m2 r11)x1 r11(m1 r11)(m2 r11);5x1 r11(m1 r11)(m2 r11)r1 x1 m1 m2.第一步 x 所带掩码为布尔型,第三步的时候所带掩码为乘法型,此时执行求逆运算后,第四步所带掩码仍然为乘法型,第六步所带掩码又还原成布
21、尔型.该算法将布尔掩码先转换成乘法掩码,完成求逆操作过后再转换成布尔掩码,很好地解决了布尔掩码和乘法掩码之间的转换问题.观察发现掩码方案有 2 个求逆操作,比不带掩码的时候增加了一个求逆操作.这种乘法掩码对比布尔掩码的优点在于轮函数的输入、输出及所有的中间结果都被有效掩盖,同时解决了 glitch 的问题,并且易于硬件实现.然而,此类方案考虑了对于明文的掩码,缺少对零值攻击的考虑,攻击者可以利用运算过程中产生的零值进行旁路攻击,就有可能获取正确的轮密钥.2.4零值问题乘法掩码虽然保证了数据在执行非线性操作部分仍然是带有掩码的,但是必须考虑到一种特殊情况,如果中间数据是 0,那么乘上任何一个掩码
22、的结果仍然是 0,意味着数据没有加上掩码.攻击者可以通过区分数据为 0 和非 0 对应的功耗信息来实施 DPA 攻击.若定义一次加密运算的功耗模型为 P=S+N(,),其中 S 是运算中间值的功耗,N 是平均值为、方差为 的高斯噪声.那么 n 次加密运算的功耗方差就是.若将功耗曲线依据假设模型的特点分成两类,分别记为 H 类和 L 类,两类的曲线数分别为 nH、nL,平均值分别记为 MH、ML.则有:MH=SH+N(H,HnH),ML=SL+N(L,LnL).(1)假设 N(H,H)和 N(L,L)是独立不相关的,则两类的平均值之差 MD=MH ML如下:MD=MH ML=SH SL+N(H,
23、HnH)N(L,LnL).(2)当假设模型为汉明重量或汉明距离时,两类的数目和方差是相等的,即 nH=nL=n/2,H=L=.则:MD=MH ML=SH SL+N(H L,42n).(3)但是一旦选取零值模型,nH和 nL将不再相等,不失一般性的有 nH=255n256,H=L=.则:MD=MH ML=SH SL+N(H L,655362255n).(4)可明显看出,零值模型下的 MD要远大于其他模型,一旦针对乘法掩码实现方案选取零值模型进行DPA 攻击,防护方案将很容易被攻破,所以乘法掩码的零值现象是一个必须考虑的问题.郭筝 等:一种基于乘法掩码的 AES 防护方案2133AES 的防护方案
24、设计3.1抗零值电路抗零值的思想是将零值映射成非零值,这样可以避免真正零值的出现,从而保证掩码方案的有效性.本文抗零值电路也是利用了这个思想,首先构造函数(x),将 x GF(28)中的元素用(x)映射成GF(28)的元素,GF(28)中的每一个元素都是 x (x),(x)函数定义如下:(x)=1,x=00,x=0.(5)(x)的实现方式采用了组合电路网络,如图2所示,这里采用了 3 级的两输入与门结构.图中 x 代表求逆操作的 8 位数,xi(i=1,2,8)表示 x 的第 i 个比特,则(x)可以表示为(x)=x1&x2&x8.采用如上方法后,每次进行求逆操作的 x 与(x)进行异或,会将
25、 x 的值映射成一个非 0 值,保证了进入求逆操作的数据非 0.这样可有效应对基于零值模型的 DPA 攻击.值得提醒的是,在完成求逆操作后,再异或(x),运算方式为:x1=(x (x)1(x).(6)3.2有限域上的求逆Wolkerstorfer 等用有限域实现 S 盒的时候利用了 GF(28)上的求逆17.由于 GF(28)与 GF(24)是同构的,直接在 GF(28)上进行求逆操作比较复杂,所以可以将 GF(28)上的元素 a 通过 map 函数映射成二项式 ahx+al,其中 ah,al GF(24).这样,二项式求逆可以转化成若干 GF(24)上元素的乘法操作、平方操作、异或操作和求逆
26、操作.求得(ahx+al)1=ahx+al后,将 ahx+alal通过 map1函数重新映射回 GF(28)上得到 a1,至此求逆完成.运算结构如图3所示.图 2 组合电路网络Figure 2 Combinational circuit network图 3 有限域上的求逆运算结构Figure 3 Procedure of modular inverse operation on GF(28)3.3本文提出的乘法掩码方案本文提出一种新的乘法掩码方案,优势是减少了乘法掩码的求逆操作,阶数越高这种优势越明显.首先是布尔掩码转换成乘法掩码的过程,这个过程的输入是 xm1m2,x 是真实中间值,此时所
27、带掩码类型为布尔掩码,运算结构如图4所示.其中,r1,r2和 R 是随机数电路中产生的随机数,虚线部分是运算中使用寄存器存储数据阶段.由于在组合电路中路径长度不同会产生 glitch,所以信号可能会产生泄露,寄存器的设置是为了消除毛刺现象.以点 P2=m1r1 m2r1 R 为例,如果没有寄存器存储数据阶段,则异或操作可能比乘法操作提前执行,那么 P2=(m1 m2)r1 R,于是整个算法的掩码可以看作是(m1 m2),使得掩码阶数下降,导致算法实现安全性下降,所以在执行异或操作之前先设置一个寄存器阶段,可以避免这种情况的发生.在本方案中,布尔转乘法和后面的乘法转布尔结构都各加了两个寄存器阶段
28、用来抵御 glitch 的影响.随机数 R 的引入是为了避免泄露真实值 x.考虑 P1、P2两个点,P1=x m1 m2,当没有随机数R 的时候,P2=m1r1 m2r1,当 x 是 8 位值时,P2等于 0 的概率为 1/256.当 P2=0,r1取任意值时,m1m2=0,此时 P1=xm1m2=x 会泄露真实值.所以在电路结构中引入随机数 R 避免该泄露.214Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023图 4 布尔掩码转换成乘法掩码的运算结构Figure 4 Procedure of converting boolea
29、n mask to multiplication mask根据如上的运算结构,运算结果 u 如式(7)所示.u=r2(r1m2 r1m1 R)r2(r1(x m1 m2)R)u2=r2u1=r1.(7)由于 x=(x m1 m2)2i=1mi=u 2i=1u1i,至此已将布尔掩码的异或形式转为了乘法掩码的乘法形式.接下来进行求逆操作得到 x1=(u 2i=1u1i)1=u1u1u2,可将其改写成 x1=ww1w2的形式,如式(8)所示.w=u1w1=u1w2=u2.(8)整个求逆过程只需要求 u 的逆,从而减少了求逆操作.此方法可推广到更高阶数上,即使阶数更大,求逆操作也始终是一个,减少了所需
30、资源.接下来是将乘法掩码转换成布尔掩码,运算结构如图5所示,而从图中可得式(9).y1=w2(r3w1 R)y2=w2(r4 R)y=w2(w r3)w1 r4).(9)图 5 乘法掩码转换成布尔掩码的运算结构Figure 5 Procedure of converting multiplication mask to boolean maskr3和 r4是引入的随机数,可知 y y1 y2=w w1 w2=x1,所以可以将乘法掩码的形式转为郭筝 等:一种基于乘法掩码的 AES 防护方案215布尔掩码的形式,虚线部分同样是为了抵御 glitch 而引入的寄存器存储数据阶段.此处的随机数 R 也
31、是为了避免泄露 x1引入的,且此处的随机数可与图4中的随机数复用,可减少实现和存储资源.整个运算过程可归纳为:通过将带掩码的输入经过布尔转乘法电路结构后,再经过求逆操作,最后经过乘法转布尔电路重新恢复成布尔掩码的形式,至此完成了带布尔掩码数据的求逆操作.3.4本文提出的乘法掩码方案伪轮设计加入伪轮操作是为了在时间轴线上增加随机性.设计思路是在每一轮真正的轮操作之前和最后一轮真正的轮操作之后随机添加 X 个伪轮,X 的取值在 116 之间.譬如可在第一轮之前插入 3 个伪轮,在第二轮之前插入 2 个伪轮,依次在每一轮前加入 X 个伪轮,在最后一轮之后插入 2 个伪轮.伪轮同样执行了轮计算步骤,用
32、了不同的操作数,从而使得伪轮的功耗信息轮廓和真实轮的功耗信息轮廓大致相仿.由于伪轮的数目是随机的,所以每次 AES 计算的周期也是随机的,所以攻击者很难通过对齐功耗曲线的方式确定真正轮计算的位置.伪轮计算会增加 AES 算法的实际运行周期,在实际芯片中可设置开关电路,根据实际需要开启伪轮防护.4功能仿真及功耗曲线采集4.1功能仿真验证本文使用 verilog 硬件描述语言实现了带防护的 AES 电路,在 Xilinx 的 ISE 工具上进行功能仿真验证,仿真采用的时钟周期为 clk=20 ns.输入的密钥为 128 比特数据,16 进制下为:0123456789abcdef0123456789
33、abcdef.通过数据比对确保算法实现功能正确.4.2功耗曲线采集方案的硬件实现采用了芯片型号为 Spartan-6 LX75 的 Sakura-G 功耗采集专用的 FPGA 开发板.功耗采集的流程为:(1)PC 通过 RS232 串口向 FPGA 发送明文;(2)AES 算法运行的时候,FPGA 向示波器发送触发信号,示波器开始采集功耗并实时传输给 PC;(3)AES 算法运行结束时,FPGA 将密文通过串口传给 PC,PC 处理数据生成功耗曲线集.功耗采集环境如图6所示.图 6 功耗采集环境Figure 6 Experimental setup for power trace collec
34、tion通过上述采集环境获取足够数量的 AES 掩码实现曲线后,可对曲线实施低通滤波与对齐等预处理操作,以减少曲线噪声,提高曲线质量.之后,可编写 DPA 或高阶 DPA 攻击程序对预处理后的曲线进行分析,以验证掩码方案的防护效果.实验测试的整体分析流程如图7所示.图 7 实验流程Figure 7 Overall experimental procedure5实验结果与分析5.1曲线预处理此次实验未开启伪轮防护,采集了 100 万条数据曲线,未经预处理的曲线如图8所示.216Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.2023图 8
35、 未经处理的功耗曲线Figure 8 Collected raw tower traces首先需要对原始曲线进行低通滤波和对齐等预处理.低通可去除电路工作频率之外的噪声信号,此处采用频域变换的方式进行滤波.对齐可以使得同一位置的功耗曲线对应的是同样的操作,这里采用移位和相关性计算的方式,设置一定的阈值,低于阈值的曲线将被抛弃.经低通和对齐预处理的曲线如图9所示.图 9 经处理的功耗曲线Figure 9 Preprocessed power traces5.2曲线预处理攻击结果二阶 DPA 攻击的思想是在进行 DPA 攻击时,同时考虑一条功耗曲线上的两个点,这两个点分别对应两个不同的中间值,运用
36、组合函数将两个中间值组合成一个新的中间值.然后用经过预处理的功耗曲线对新生成的中间值进行 DPA 攻击,这样的攻击称之为二阶 DPA 攻击.攻击的时候需要选择预处理函数进行数据处理.常规的预处理函数包括两点之积、两点之差、两点之和的平方等等.文献 18 中提到如果设备泄露模型为汉明重量,则选择两点之差作为预处理函数能取得较好的攻击效果.此次实验选择的攻击位置是非线性逻辑 S 盒的输入和输出,选用的模型是汉明重量,选择的预处理函数为两点之差.表1展示了密钥第 1 个字节至第 4 个字节的攻击结果.由该表可知,猜测的密钥无明显泄露,排名在前列的密钥也并非是正确密钥.同样地,对 16 个字节进行攻击
37、后,未发现明显泄露.在开启伪轮防护后,也未发现有正确密钥信息的泄露.郭筝 等:一种基于乘法掩码的 AES 防护方案217表 1 密钥第 1 个字节至第 4 个字节的攻击结果Table 1Attack results of first four bytes of private key密钥字节序号密钥字节取值(十六进制)实际猜测结果(前三个)相关性大小000 x2F0.003150 x000.002180 x600.0021110 xFD0.001970 x950.001840 x570.00183220 x010.001850 x160.001850 x580.00181330 xAE0.00
38、1880 x090.001780 x650.001766结束语本文提出了一种乘法掩码方案的实现方式,并且提出了综合乘法掩码和伪轮的整体 AES 算法防护方案,通过 FPGA 进行了方案实现和优化,对 100 万条曲线进行了攻击,并未发现明显泄露,验证了工作的有效性.该方案具有以下特点:(1)可以抵御高阶 DPA 攻击,且对于零值攻击有防护能力;(2)在硬件实现方面,该方案较传统方案节省了硬件资源.旁路攻击技术和旁路防护技术在不断交替发展,新的攻击方法通常会催生相应的防护方法,同样地,新的防护方法也会促进并衍生新的攻击方法.本文的研究属于旁路防护的范畴,提出的方法适用于更高阶的攻击.结合近几年发
39、展趋势,进一步的研究可围绕优化掩码算法过程和电路实现方式等方面展开.参考文献1 DAEMEN J,RIJMEN V.The Design of Rijndael:AESThe Advanced Encryption StandardM.Springer BerlinHeidelberg,2002.DOI:10.1007/978-3-662-04722-42 KOCHER P,JAFFE J,JUN B.Differential power analysisC.In:In:Advances in CryptologyCRYPTO 99.Springer Berlin Heidelberg,199
40、9:388397.DOI:10.1007/3-540-48405-1_253 AKKAR M L,GOUBIN L.A generic protection against high-order differential power analysisC.In:Fast SoftwareEncryptionFSE 2003.Springer Berlin Heidelberg,2003:192205.DOI:10.1007/978-3-540-39887-5_154 CHARI S,JUTLA C S,RAO J R,et al.Towards sound approaches to count
41、eract power-analysis attacksC.In:Advances in CryptologyCRYPTO 99.Springer Berlin Heidelberg,1999:398412.DOI:10.1007/3-540-48405-1_265 MANGARD S,POPP T,GAMMEL B M.Side-channel leakage of masked CMOS gatesC.In:Topics inCryptologyCT-RSA 2005.Springer Berlin Heidelberg,2005:351365.DOI:10.1007/978-3-540-
42、30574-3_246 PROUFF E,ROCHE T.Higher-order glitches free implementation of the AES using secure multi-party computa-tion protocolsC.In:Cryptographic Hardware and Embedded SystemsCHES 2011.Springer Berlin Heidelberg,2011:6378.DOI:10.1007/978-3-642-23951-9_57 NIKOVA S,RIJMEN V,SCHLFFER M.Secure hardwar
43、e implementation of nonlinear functions in the presenceof glitchesJ.Journal of Cryptology,2011,24(2):292321.DOI:10.1007/s00145-010-9085-78 BILGIN B,GIERLICHS B,NIKOVA S,et al.Higher-order threshold implementationsC.In:Advances inCryptologyASIACRYPT 2014,Part II.Springer Berlin Heidelberg,2014:326343
44、.DOI:10.1007/978-3-662-45608-8_189 WANG W J,GUO C,YU Y,et al.Side-channel masking with common sharesJ.IACR Transactions on Cryp-tographic Hardware and Embedded Systems,2022,2022(3):290329.DOI:10.46586/tches.v2022.i3.290-32910 CORON J S,GREUET A,ZEITOUN R.Side-channel masking with pseudo-random gener
45、atorC.In:Advancesin CryptologyEUROCRYPT 2020,Part III.Springer Cham,2020:342375.DOI:978-3-030-45727-3_12218Journal of Cryptologic Research 密码学报 Vol.10,No.1,Feb.202311 AKKAR M L,GIRAUD C.An implementation of DES and AES,secure against some attacksC.In:CryptographicHardware and Embedded SystemsCHES 20
46、01.Springer Berlin Heidelberg,2001:309318.DOI:10.1007/3-540-44709-1_2612 GOLI J D,TYMEN C.Multiplicative masking and power analysis of AESC.In:Cryptographic Hardware andEmbedded SystemsCHES 2002.Springer Berlin Heidelberg,2002:198212.DOI:10.1007/3-540-36400-5_1613 GENELLE L,PROUFF E,QUISQUATER M.Sec
47、ure multiplicative masking of power functionsC.In:AppliedCryptography and Network SecurityACNS 2010.Springer Berlin Heidelberg,2010:200217.DOI:10.1007/978-3-642-13708-2_1314 GENELLE L,PROUFF E,QUISQUATER M.Montgomerys trick and fast implementation of masked AESC.In:Progress in CryptologyAFRICACRYPT
48、2011.Springer Berlin Heidelberg,2011:153169.DOI:10.1007/978-3-642-21969-6_1015 GENELLE L,PROUFF E,QUISQUATER M.Thwarting higher-order side channel analysis with additive andmultiplicative maskingsC.In:Cryptographic Hardware and Embedded SystemsCHES 2011.Springer BerlinHeidelberg,2011:240255.DOI:10.1
49、007/978-3-642-23951-9_1616 MATHIEU-MAHIAS A,QUISQUATER M.Mixing additive and multiplicative masking for probing secure poly-nomial evaluation methodsJ.IACR Transactions on Cryptographic Hardware and Embedded Systems,2018,2018(1):175208.DOI:10.13154/tches.v2018.i1.175-20817 WOLKERSTORFER,J,OSWALD E,L
50、AMBERGER M,et al.An ASIC implementation of the AES SBoxesC.In:Topics in CryptologyCT-RSA 2002.Springer Berlin Heidelberg,2002:6778.DOI:10.1007/3-540-45760-7_618 DUAN X Y,WANG S X,CUI Q,et al.A high-order differential power analysis attack scheme with masked AESalgorithmJ.Computer Engineering,2017,43
浙ICP备2021020529号-1 | 浙B2-20240490 
