本發(fā)明涉及信息安全領(lǐng)域,具體是一種變?cè)纸庀揲T掩碼新方法��。
背景技術(shù):
各種安全芯片是信息安全技術(shù)不可或缺的硬件載體�����。隨著科技的發(fā)展�����,安全芯片得到了普及。安全芯片在運(yùn)行過程中泄露了多種旁路信息�����,而這些信息又與密碼算法的密鑰存在密切的相關(guān)性���。側(cè)信道攻擊就是利用這種相關(guān)性對(duì)安全芯片進(jìn)行攻擊。在側(cè)信道攻擊中�,最有效的攻擊方式就是差分功耗攻擊(DPA)。一個(gè)新的安全挑戰(zhàn)就是:在安全芯片設(shè)備開放式的環(huán)境下�,如何把安全芯片在運(yùn)行過程中泄露出的多種旁路信息與密碼算法的密鑰之間的相關(guān)性取消。針對(duì)這個(gè)問題��,比利時(shí)的魯汶大學(xué)的Svelta Nikova教授提出了TI(Threshold Implementations)技術(shù)�。該種技術(shù)時(shí)在密鑰共享,限門加密和多方安全計(jì)算協(xié)議的基礎(chǔ)上提出的��。TI技術(shù)的基本設(shè)計(jì)思想是:把加密算法在運(yùn)行過程中的中間數(shù)據(jù)利用密鑰共享的機(jī)制進(jìn)行隨機(jī)化操作���,這樣能夠使得加密過程的中間狀態(tài)數(shù)據(jù)與其功耗之間沒有直接的相關(guān)性�,從而攻擊者在提取了泄露的旁路信息之后���,無法猜測(cè)出相應(yīng)的密碼算法的密鑰����。TI這種技術(shù)的中間狀態(tài)數(shù)據(jù)是通過多個(gè)隨機(jī)數(shù)據(jù)進(jìn)行掩碼操作,因此隨著抵抗DPA的階數(shù)的增加���,該種掩碼技術(shù)需要的隨機(jī)數(shù)太多�,而且計(jì)算復(fù)雜度會(huì)很高����。Hannes Gross提出了DOM(domain-oriented masking)機(jī)制。這種掩碼方案的基本設(shè)計(jì)思想是讓每個(gè)變?cè)姆至慷荚谧约旱挠騼?nèi)進(jìn)行運(yùn)算����,這樣能夠使得所有域內(nèi)的分量都與其他域中的分量相互獨(dú)立,從而實(shí)現(xiàn)了抵抗功耗攻擊�。這種掩碼方案能夠?qū)崿F(xiàn)抵抗功耗攻擊的效果,而且它需要的芯片和隨機(jī)數(shù)很少���,并且能夠適用于任何階數(shù)的受保護(hù)電路�����,但是該種掩碼方案容易受側(cè)信道立方攻擊����。
技術(shù)實(shí)現(xiàn)要素:
針對(duì)上述技術(shù)的不足,本發(fā)明提供一種變?cè)纸庀揲T掩碼新方法����,結(jié)合TI和DOM的掩碼算法,設(shè)計(jì)出一種新的掩碼方法����,該種掩碼方法能夠抵抗差分功耗攻擊和側(cè)信道立方攻擊的同時(shí),所需的芯片資源和隨機(jī)數(shù)還比較少�����,具有安全性高����,資源消耗少的特點(diǎn)���。
實(shí)現(xiàn)本發(fā)明目的的技術(shù)方案是:
變?cè)纸庀揲T掩碼新方法�,包括如下步驟:
1)密碼算法運(yùn)行過程中S盒輸入的8比特敏感變?cè)?���,利用密鑰共享的機(jī)制對(duì)其進(jìn)行掩碼分量�����;
2)將步驟1)中的8比特的隨機(jī)掩碼分量映射到GF(24)上���,分別為X1=A1x+A0,X2=B1x+B0���,X3=C1x+C0…����;
3)在GF(24)上分別進(jìn)行乘法操作�、求逆操作和平方操作;
4)在GF(24)上的乘法運(yùn)算是通過TI掩碼中的3輸入3輸出的掩碼方式實(shí)現(xiàn)����,為了滿足均勻性,需要在每個(gè)輸出的分量結(jié)果都增加一個(gè)額外的隨機(jī)數(shù)����;
5)對(duì)每個(gè)平方操作的分量和乘法結(jié)果的分量進(jìn)行異或操作,這樣就在GF(24)域中需要求逆的值����;
6)再回到步驟2)中把GF(24)中的求逆的分量Inv1��,Inv2�����,Inv3映射到GF(22)上�,分別為Inv1=Inv1ax+Inv1b��,Inv2=Inv2ax+Inv2b����,Inv3=Inv3ax+Inv3b…;
7)再利用步驟3)����、4)分別求出GF(22)域中的平方和乘法操作的結(jié)果,由于GF(22)域中的求逆操作和平方操作是相同的�����,因此可以利用平方操作來求求逆的結(jié)果���;
8)利用GF(22)域中的結(jié)果進(jìn)行逆向映射;
9)利用8)的結(jié)果進(jìn)行逆向映射求出乘法5操作和乘法6操作的輸入���,再通過乘法5和乘法6來求出GF(28)中的X的求逆結(jié)果�;
10)利用9)的結(jié)果進(jìn)行逆向映射求出掩碼分量在GF(28)中的最終結(jié)果。
所述步驟4)進(jìn)行乘法操作����,由于乘法運(yùn)算是非線性操作,又考慮到加密算法的安全性的要求����,這里的乘法操作不用有限域的乘法操作,而是采用TI掩碼實(shí)現(xiàn)的方式對(duì)其進(jìn)行乘法運(yùn)算�。由于TI限門掩碼方式在進(jìn)行乘法操作的時(shí)候需要額外的隨機(jī)數(shù)遠(yuǎn)遠(yuǎn)少于DOM掩碼算法的所需的額外的隨機(jī)數(shù),這樣就把隨機(jī)數(shù)的個(gè)數(shù)降低了���。
與現(xiàn)有技術(shù)相比��,本發(fā)明變?cè)纸庀揲T掩碼新方法����,在分組密碼的S盒置換過程中�,在GF(24)和GF(22)域中的乘法運(yùn)算應(yīng)用的是利用TI掩碼的思想實(shí)現(xiàn)乘法操作,這樣能夠減少乘法過程中額外的新的隨機(jī)數(shù)的需求����,同時(shí)還能夠達(dá)到數(shù)據(jù)之間的獨(dú)立性�。而在GF(24)和GF(22)域中的其他運(yùn)算采用的DOM掩碼的基本框架����,這樣能夠達(dá)到節(jié)省芯片資源的目的,從而有效的達(dá)到了既能夠減少隨機(jī)性���,又能夠節(jié)省芯片的使用面積����,與此同時(shí)����,本發(fā)明還能夠確保數(shù)據(jù)的保密性和安全性,能夠有效地抵抗功耗攻擊和側(cè)信道立方攻擊�����。
附圖說明
圖1為實(shí)施例變?cè)纸庀揲T掩碼新方法的流程圖�。
具體實(shí)施方式
下面結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步闡述,但不是對(duì)本發(fā)明的限定�。
實(shí)施例:
參照?qǐng)D1�,基于抵御一階DPA的AES的變?cè)纸庀揲T掩碼新方法:
1)密碼算法運(yùn)行過程中S盒輸入的8比特敏感變?cè)妹荑€共享的機(jī)制分成3個(gè)8比特的隨機(jī)掩碼分量,即為X=X1+X2+X3��;
2)將步驟1)中的3個(gè)8比特的隨機(jī)掩碼分量X1,X2��,X3映射到GF(24)上��,分別為X1=A1x+A0����,X2=B1x+B0,X3=C1x+C0�;
3)在GF(24)上進(jìn)行平方操作,圖1中平方1�����、平方2��、平方3的相應(yīng)的結(jié)果分別為
A1xorA0=(A1+A0)2 (1)
B1xorB0=(B1+B0)2 (2)
C1xorC0=(C1+C0)2 (3)
4)在GF(24)上進(jìn)行乘法操作���,由于乘法運(yùn)算是非線性操作��,又考慮到加密算法的安全性的要求��,在這里的乘法操作不用有限域的乘法操作���,而是采用TI實(shí)現(xiàn)的方式對(duì)其進(jìn)行乘法運(yùn)算���。為了實(shí)現(xiàn)TI的性質(zhì)中的均勻性,我們?cè)诿總€(gè)分量函數(shù)都增加一個(gè)隨機(jī)掩碼����。由于TI限門掩碼方式在進(jìn)行乘法操作的時(shí)候需要額外的隨機(jī)數(shù)遠(yuǎn)遠(yuǎn)少于DOM掩碼算法的所需的額外的隨機(jī)數(shù),這樣就把隨機(jī)數(shù)的個(gè)數(shù)降低了���。圖1中乘法1操作的具體計(jì)算公式如下:
Qmul1=B1B0+B1C0+C1B0+Z0 (4)
Qmul2=C1C0+A1C0+C1A0+Z1 (5)
Qmul3=A1A0+A1B0+B1A0+Z0+Z1 (6)
5)將步驟3)�、4)的輸出作為本步驟中的輸入�,對(duì)每個(gè)平方操作的分量和乘法結(jié)果的分量進(jìn)行異或操作,這樣就在GF(24)域中需要求逆的值����,具體的計(jì)算公式如下:
Inv1=A1xorA0+Qmul1 (7)
Inv2=B1xorB0+Qmul2 (8)
Inv3=C1xorC0+Qmul3 (9)
6)再回到步驟2)中把GF(24)中的3個(gè)求逆的分量Inv1,Inv2�����,Inv3映射到GF(22)上����,分別為Inv1=Inv1ax+Inv1b���,Inv2=Inv2ax+Inv2b��,Inv3=Inv3ax+Inv3b�����;
7)再利用步驟3)����、4)分別求出GF(22)域中的平方和乘法操作的結(jié)果,由于GF(22)域中的求逆操作和平方操作是相同的����,因此可以利用平方操作來求求逆的結(jié)果,具體表達(dá)式分別為:
平方4�、平方5、平方6操作的具體計(jì)算公式為:
Inv1axorInv1b=(Inv1a+Inv1b)2 (10)
Inv2axorInv2b=(Inv2a+Inv2b)2 (11)
Inv3axorInv3b=(Inv3a+Inv3b)2 (12)
乘法2操作的結(jié)果:
Q1=Inv2aInv2b+Inv2aInv3b+Inv3aInv2b+Z0 (13)
Q2=Inv3aInv3b+Inv1aInv3b+Inv3aInv1b+Z1 (14)
Q3=Inv1aInv1b+Inv1aInv2b+Inv2aInv1b+Z0+Z1 (15)
求逆1�����、求逆2�、求逆3操作的具體計(jì)算公式為:
8)利用GF(22)域中的結(jié)果進(jìn)行逆向映射,從而求出GF(24)求逆的結(jié)果��,由于在求Al21,Al22,Al23的時(shí)候,異或的操作能將敏感數(shù)據(jù)裸露出來�����,因此需要增加一個(gè)額外的隨機(jī)數(shù)來掩蓋該敏感數(shù)據(jù)�,其相應(yīng)的結(jié)果為:
乘法3操作的相應(yīng)的結(jié)果為:
乘法4操作的相應(yīng)的結(jié)果為:
9)利用8)的結(jié)果進(jìn)行逆向映射求出乘法5操作和乘法6操作的輸入,再通過乘法5和乘法6來求出GF(28)中的X的求逆結(jié)果����,同樣,在求Al41���,Al42�,Al43需要額外的隨機(jī)數(shù)來掩蓋敏感數(shù)據(jù)�,其相應(yīng)的結(jié)果如下:
乘法5和乘法6操作的輸入為:
乘法5操作的相應(yīng)的結(jié)果為:
乘法6操作的相應(yīng)的結(jié)果為:
10)利用9)的結(jié)果進(jìn)行逆向映射求出掩碼分量在GF(28)中的最終結(jié)果,具體表達(dá)式如下: