一種對具備掩碼防護(hù)的祖沖之密碼算法進(jìn)行側(cè)信道能量分析方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于密碼算法分析檢測技術(shù)領(lǐng)域，設(shè)及在密碼算法實(shí)現(xiàn)、側(cè)信道能量分析、 密碼模塊檢測過程中，針對具備掩碼防護(hù)措施的祖沖之序列密碼算法狂UC)進(jìn)行側(cè)信道能 量分析，獲取受保護(hù)的密鑰k，即，對具備掩碼防護(hù)的祖沖之密碼算法進(jìn)行側(cè)信道能量分析 方法。
【背景技術(shù)】
[0002] 隨著信息技術(shù)的發(fā)展，各種密碼算法正被廣泛地應(yīng)用于經(jīng)濟(jì)、軍事、行政等重要部 n，保護(hù)信息的安全性。鑒于密碼算法的重要性，密碼算法軟硬件實(shí)現(xiàn)（密碼模塊）的分析 研究對保護(hù)信息安全具有重要的意義。近年來，多種對密碼模塊的攻擊已廣為人知，所有該 些攻擊的目的都是為了獲取密碼模塊中的密鑰。通常的攻擊方式可分為侵入式攻擊、半侵 入式攻擊和非侵入式攻擊。近年來，由于非侵入式攻擊中的側(cè)信道分析實(shí)施方便、相對成本 低廉而被廣泛使用。側(cè)信道分析可W細(xì)分為計(jì)時(shí)分析、能量分析和電磁分析。其中的側(cè)信 道能量分析是眾多分析手段中最常用的方法之一，它突破了傳統(tǒng)密碼算法的分析模式，能 力強(qiáng)大，實(shí)施相對容易。側(cè)信道能量分析利用了密碼模塊能量消耗與數(shù)據(jù)運(yùn)算和執(zhí)行之間 的相關(guān)性，基于密碼算法實(shí)現(xiàn)的能量泄露函數(shù)建立能量模型，使用統(tǒng)計(jì)方法，猜測和驗(yàn)證密 碼模塊使用的受保護(hù)密鑰，幾乎可被用于破解所有的對稱密碼和公鑰密碼。破解時(shí)，僅需要 數(shù)十條能量跡就可W在幾分鐘內(nèi)迅速地破解沒有防御措施的大多數(shù)智能卡。側(cè)信道能量分 析方法一般包括，簡單能量分析（SPA)、差分能量分析值PA)、相關(guān)能量分析（CPA)和高階差 分能量分析（H0DPA)。
[0003] 直接利用能量跡各尖峰形狀不同該一特性的攻擊稱為簡單能量分析攻擊 SPA (Simple Power Analysis);根據(jù)密碼設(shè)備的能量消耗依賴于算法執(zhí)行過程中所處理的 中間值分別為0和1時(shí)，所對應(yīng)的平均能量跡之間的差異進(jìn)行密鑰恢復(fù)的攻擊方法稱為差 分能量分析攻擊DPA值ifferential Power Analysis);若密碼分析者利用假設(shè)能量消耗和 真正能量消耗之間的線性相關(guān)性進(jìn)行密鑰恢復(fù)，則為相關(guān)能量分析攻擊CPA(Correlation Power Analysis);在上述DPA分析中，如果僅利用了一個(gè)中間值，稱為一階DPA攻擊，若是 利用算法運(yùn)算中的某種聯(lián)合泄漏，該聯(lián)合泄漏基于出現(xiàn)在密碼設(shè)備中的多個(gè)中間值，則稱 相應(yīng)的DPA攻擊為高階DPA分析。
[0004] 鑒于當(dāng)前對密碼算法進(jìn)行功耗分析攻擊技術(shù)的不斷發(fā)展，為應(yīng)對能量分析帶來的 挑戰(zhàn)，針對功耗分析攻擊的防御技術(shù)也不斷進(jìn)步?？构姆治龅姆烙夹g(shù)包括各種隱藏技 術(shù)和掩碼技術(shù)，任何防御技術(shù)的目標(biāo)都是使密碼設(shè)備的能量消耗不依賴于設(shè)備所執(zhí)行的密 碼算法中間值。
[0005] 隱藏技術(shù)是通過能量消耗隨機(jī)化，使所有操作具有相同能量消耗等方式切斷被處 理的中間值與設(shè)備能量消耗之間的關(guān)系。采用隱藏技術(shù)的密碼設(shè)備與未加防護(hù)的設(shè)備執(zhí)行 相同的操作，但無法從中獲取可用信息。
[0006] 掩碼技術(shù)是采用隨機(jī)化密碼設(shè)備所處理的中間值，對算法實(shí)現(xiàn)加入隨機(jī)化掩碼。 其可W在算法級實(shí)現(xiàn)，無需改變密碼設(shè)備的能量消耗特性，使設(shè)備的能量消耗與所執(zhí)行的 密碼算法的中間值之間無依賴關(guān)系。
[0007] 在掩碼防御方案中，算法運(yùn)算的中間值V都基于一個(gè)稱為掩碼的隨機(jī)數(shù)m進(jìn)行變 換，即Vm=v*m。掩碼產(chǎn)生于密碼設(shè)備內(nèi)部，并且在每一次執(zhí)行過程中各不相同，因此攻擊 者不能獲知掩碼。運(yùn)算*通常根據(jù)密碼算法所使用的操作進(jìn)行定義。因此，運(yùn)算*多為布 爾異或運(yùn)算、模加運(yùn)算或模乘運(yùn)算。在模加運(yùn)算和模乘運(yùn)算的情況下，模數(shù)根據(jù)密碼算法進(jìn) 行選擇。通常，掩碼直接應(yīng)用于明文或密鑰。為了能夠處理掩碼型中間值W及對掩碼進(jìn)行 跟蹤，需要對算法進(jìn)行修改。加密的結(jié)果也是掩碼型的，為了獲得密文，需要在計(jì)算結(jié)束時(shí) 消除掩碼。要保持每一個(gè)中間值在計(jì)算過程中始終處于被掩碼狀態(tài)，該一點(diǎn)非常重要。即 使某一個(gè)中間值是基于它之前的中間值計(jì)算得到，保持上述性質(zhì)仍然很重要。由于上述原 因，對不同的中間值，往往需要分別采用不同的掩碼。處于對實(shí)現(xiàn)性能的考慮，對每一個(gè)中 間值采用一個(gè)新掩碼并不合算。因此，為了獲得合適的性能，需要仔細(xì)選擇掩碼的數(shù)量。
[0008] 在算法一個(gè)執(zhí)行路徑中所疊加的掩碼數(shù)量，稱為算法掩碼防御方案的階數(shù)，對相 應(yīng)階數(shù)的掩碼進(jìn)行能量分析的方法，稱為高階能量能量分析。一階掩碼可W防御一階的能 量分析，但不能防御二階能量分析；二階掩碼可W防御二階能量分析，但不能防御立階能量 分析。通常考慮到防御和分析的指數(shù)遞增運(yùn)算量增加，W及算法結(jié)構(gòu)上可利用的能量泄露 的點(diǎn)的限制，通常分組算法實(shí)現(xiàn)只能做到二階能量分析，相應(yīng)的防御措施也一般只做到二 階掩碼防御即可。
[0009] 下面對DPA和CPA的原理進(jìn)行簡單介紹。DPA原理是：對于N組明文/密文數(shù)據(jù) 的加/解密運(yùn)算，獲取N條能量跡，該里的能量跡是指一次密碼操作過程中采集到的能量消 耗測量向量；對每一個(gè)猜測密鑰K，產(chǎn)生相應(yīng)的中間值（攻擊對象），根據(jù)中間值確定選擇函 數(shù)；通過選擇函數(shù)將能量跡集劃分為兩個(gè)子集；分別對兩個(gè)子集對應(yīng)的能量消耗取平均， 并對兩個(gè)平均能量消耗值求差，該均值差為選擇函數(shù)對應(yīng)的中間值對能量跡的影響效果。 根據(jù)統(tǒng)計(jì)理論，若K猜測不正確，當(dāng)能量跡的個(gè)數(shù)N趨近無窮大時(shí)，兩子集的均值差將趨近 于零；若K猜測正確時(shí)，在能量跡中的某個(gè)樣點(diǎn)，將會出現(xiàn)一個(gè)均值差的最大尖峰（絕對值 最大值），通過最大尖峰可確定正確的密鑰。CPA原理是：對于N組明文/密文數(shù)據(jù)的加/解 密運(yùn)算，獲取N條能量跡；對每一個(gè)猜測密鑰K，產(chǎn)生相應(yīng)的中間值（攻擊對象）；根據(jù)中間 值建立能量模型；通過能量模型將中間值映射為仿真能量消耗；計(jì)算仿真能量消耗與能量 跡之間的線性相關(guān)系數(shù)，范圍在[-1,1]之間；選取相關(guān)系數(shù)中絕對值的最大值，理論上為 1，但是由于采集能量跡過程中不可避免存在噪聲干擾，最大值小于1，該相關(guān)系數(shù)最大值對 應(yīng)的猜測密鑰即為正確密鑰。
[0010] 二階DPA/CPA分析、除了可能需要對能量跡進(jìn)行預(yù)處理，利用中間值的個(gè)數(shù)不一 樣，原理和方法與一階側(cè)信道能量分析的完全一致。一階側(cè)信道分析僅利用算法結(jié)構(gòu)中的 一個(gè)中間值，相應(yīng)地，二階側(cè)信道分析利用密碼設(shè)備所處理的兩個(gè)中間值相關(guān)的聯(lián)合泄漏。
[0011] 二階能量分析的步驟一般包括如下：選擇兩個(gè)中間值U和V，因采用了掩碼技術(shù)， 僅是掩碼型中間值^。，=1，?^知^/" =^?^出現(xiàn)在設(shè)備操作中；記錄能量跡，并對能量跡進(jìn) 行預(yù)處理；計(jì)算假設(shè)中間