一种针对AES密码芯片的相关功耗分析方法_周阳.pdf
《一种针对AES密码芯片的相关功耗分析方法_周阳.pdf》由会员分享,可在线阅读,更多相关《一种针对AES密码芯片的相关功耗分析方法_周阳.pdf(7页珍藏版)》请在咨信网上搜索。
1、第4 3卷 第2期桂 林 电 子 科 技 大 学 学 报V o l.4 3,N o.2 2 0 2 3年4月J o u r n a l o f G u i l i n U n i v e r s i t y o f E l e c t r o n i c T e c h n o l o g yA p r.2 0 2 3收稿日期:2 0 2 0-1 1-1 6基金项目:广西重点研发计划(桂科A B 1 8 2 8 1 0 1 9);广西密码学与信息安全重点实验室基金(G C I S 2 0 1 7 0 6);桂林电子科技大学研究生科研创新计划(2 0 1 8 Y J C X 4 5)通信作者:韦
2、永壮(1 9 7 6-),男,教授,博士,研究方向为信息安全。E-m a i l:w a l k e r_w y z g u e t.e d u.c n引文格式:周阳,张海龙,韦永.壮一种针对A E S密码芯片的相关功耗分析方法J.桂林电子科技大学学报,2 0 2 3,4 3(2):1 3 5-1 4 1.一种针对A E S密码芯片的相关功耗分析方法周 阳1,张海龙2,3,韦永壮1,3(1.桂林电子科技大学 广西密码学与信息安全重点实验室,广西 桂林 5 4 1 0 0 4;2.中国科学院信息工程研究所 信息安全国家重点实验室,北京 1 0 0 0 9 3;3.密码科学技术国家重点实验室,北京
3、 1 0 0 8 7 8)摘 要:针对经典相关功耗分析过程中存在噪声等因素的影响,基于汉明重量与功耗轨迹之间存在线性相关的特性,提出一种针对A E S密码芯片的相关功耗分析方法。根据密码算法S盒输出中间值汉明重量分布不均匀的特性,利用区分比将正确密钥与错误密钥进行筛选,得到与功耗轨迹相关性较强的一组明文。在密钥恢复阶段,通过观察这组明文输入找到前2个S盒的泄漏点后,利用分别猜测法逐一找出剩余1 4个S盒的泄漏区间,而无需遍历所有功耗轨迹即可捕获剩余字节的密钥信息。A T 8 9 S 5 2芯片实验分析表明,采用此方法仅需9条明文和对应功耗轨迹即可以9 0%的成功率正确恢复出A E S的单个字节
4、密钥信息,计算复杂度仅为经典相关功耗分析的4.1%,显著提升了相关功耗分析的效率。关键词:相关功耗分析;密码芯片;汉明重量;S盒中图分类号:T N 9 1 8.1 文献标志码:A 文章编号:1 6 7 3-8 0 8 X(2 0 2 3)0 2-0 1 3 5-0 7A m e t h o d o f c o r r e l a t i o n p o w e r a n a l y s i s f o r A E S c r y p t o c h i pZ HO U Y a n g1,Z HA N G H a i l o n g2,3,WE I Y o n g z h u a n g1,3
5、(1.G u a n g x i K e y L a b o r a t o r y o f C r y p t o g r a p h y a n d I n f o r m a t i o n S e c u r i t y,G u i l i n U n i v e r s i t y o f E l e c t r o n i c T e c h n o l o g y,G u i l i n 5 4 1 0 0 4,C h i n a;2.S t a t e K e y L a b o r a t o r y o f I n f o r m a t i o n S e c u r i
6、 t y,I n s t i t u t e o f I n f o r m a t i o n E n g i n e e r i n g,C h i n e s e A c a d e m y o f S c i e n c e s,B e i j i n g 1 0 0 0 9 3,C h i n a;3.S t a t e K e y L a b o r a t o r y o f C r y p t o l o g y,B e i j i n g 1 0 0 8 7 8,C h i n a)A b s t r a c t:A i m i n g a t t h e i n f l u
7、 e n c e o f t h e n o i s e a n d o t h e r f a c t o r s i n t h e p r o c e s s o f c l a s s i c a l c o r r e l a t i o n p o w e r a n a l y s i s,b a s e d o n t h e l i n e a r c o r r e l a t i o n b e t w e e n H a mm i n g w e i g h t a n d p o w e r t r a c e s,a c o r r e l a t i o n p
8、o w e r a n a l y s i s m e t h o d f o r A E S c r y p t o-g r a p h i c c h i p i s p r o p o s e d.A c c o r d i n g t o t h e u n e v e n d i s t r i b u t i o n o f t h e m e d i a n H a mm i n g w e i g h t o f t h e S-b o x o u t p u t o f t h e c r y p t o g r a p h i c a l g o r i t h m,a s
9、 e t o f p l a i n t e x t s w i t h s t r o n g c o r r e l a t i o n w i t h t h e p o w e r t r a c e s i s o b t a i n e d b y f i l t e r i n g t h e c o r r e c t k e y s a n d t h e w r o n g k e y s b y u s i n g t h e d i s c r i m i n a t i o n r a t i o.I n t h e s t a g e o f k e y r e c
10、 o v e r y,t h e l e a k a g e p o i n t s o f t h e f i r s t t w o S-b o x e s a r e f o u n d b y o b s e r v i n g t h i s s e t o f p l a i n t e x t i n p u t s,a n d t h e l e a k a g e i n t e r v a l s o f t h e r e m a i n i n g 1 4 S-b o x e s a r e f o u n d o n e b y o n e b y u s i n g
11、 t h e s e p a r a t e g u e s s i n g m e t h o d,s o t h a t t h e k e y i n f o r m a t i o n o f t h e r e m a i n i n g b y t e s c a n b e c a p t u r e d w i t h-o u t t r a v e r s i n g a l l p o w e r t r a c e s.T h e e x p e r i m e n t a l a n a l y s i s o f A T 8 9 S 5 2 c h i p s h o
12、 w s t h a t t h e p r o p o s e d m e t h o d c a n c o r r e c t l y r e c o v e r t h e o n e-b y t e k e y o f A E S w i t h 9 0%s u c c e s s r a t e b y u s i n g o n l y 9 p l a i n t e x t s a n d c o r r e s p o n d i n g p o w e r t r a c e s,a n d t h e c o m p u t a t i o n a l c o m p l
13、 e x i t y i s o n l y 4.1%o f t h e c l a s s i c a l c o r r e l a t i o n p o w e r a n a l y s i s,w h i c h s i g n i f i c a n t l y i m p r o v e s t h e e f f i c i e n-c y o f t h e c o r r e l a t i o n p o w e r a n a l y s i s.K e y w o r d s:c o r r e l a t i o n p o w e r a n a l y s i
14、 s;c r y p t o c h i p;H a mm i n g w e i g h t;S-b o xDOI:10.16725/45-1351/tn.2023.02.002桂林电子科技大学学报2 0 2 3年4月 由比利时的2位密码学者J o a n D a e m e n和V i n-c e n R i j m e n共同设计完成的高级加密标准A E S,采用典型的替代/置换结构,具有较高的安全性、较快的加密解密速度及可便捷地在各种软件和硬件平台上使用等特点,目前已成为全球备受关注和广泛使用的分组密码之一。侧信道技术利用密码算法在执行过程中泄露的物理信息来恢复密钥。如通过密码算法执行
15、的能量消耗1、执行时间2、电磁信息3、声音4等直接获取密码算法的密钥,与传统密码分析相比,侧信道分析更具有实效性,对密码设备的正常运作产生了严重威胁。目前国内外主流的安全测评机构均把密码设备抵抗侧信道攻击的能力作为衡量其安全性的重要指标之一。K o c h e r等1利用简单能量分析(s i m p l e p o w e r a n a l y s i s,简称S P A)和差分能量分析(d i f f e r e n t i a l p o w e r a n a l y s i s,简称D P A)成功恢复出了D E S算法的密钥信息。B r i e r等5利用功耗能量分析(c o r
16、r e l a-t i o n p o w e r a n a l y s i s,简称C P A)成功恢复出A E S算法的密钥信息。相关功耗分析通过利用密码设备泄露的物理信息与S盒输出中间值之间的统计学规律来分析密码设备密钥。该方法利用输出S盒的多比特信息建立模型恢复密钥,与S P A和D P A相比,相关功耗分析所利用的中间值信息更多,因而其攻击效果也比前2种方法更优。K i m等6利用选择功耗轨迹的方法来恢复D E S和A E S的密钥。H o s p o d a r等7将机器学习用于侧信道分析。H e u s e r等8将支持向量机(S VM)用于特征值的预处理工具和多比特汉明重量模
17、型,以恢复A E S的密钥信息,其恢复一个字节密钥需要大约5 0条功耗轨迹。文献9 将神经网络用于侧信道分析,仅需一条功耗轨迹即可恢复出A E S的密钥信息。K i m等1 0提出一种通过原始数据的主成分分析来提高相关系数的分析方法。欧长海等1 1提出了一种基于汉明重量的放大模板攻击方法,大约需要4 8条功耗轨迹即可恢复出A E S一个字节的密钥,有效提高了侧信道的攻击效率。B a r t-k e w i z等1 2引入了泄露原型学习的概念,并将其用于对A E S的差分侧信道分析,通过每次1 0 0 0条功耗轨迹的平均进行学习求解,其攻击复杂度相对于传统侧信道分析仍较大。P i c e k等1
18、 3提出了一种用于侧信道分析的分层分类方法。E l o i d e等1 4强调了互信息和成功率在侧信道分析中的重要性,但其在恢复密钥过程中的计算复杂度和存储复杂度仍较大。D i n g等1 5针对A E S提出了一种基于遗传算法的多筛法侧信道分析方法,大约需要2 8 0条功耗轨迹可成功恢复出A E S的密钥信息,与经典侧信道分析相比,其计算复杂度有了较大提高。近年来,许多学者借助机器学习对密码算法进行侧信道分析1 6-1 9。B a r t k e w i z等1 2提出的攻击方法,在攻击前需将大量的功耗轨迹信息作为学习样本,在数据样本较少时无法正确恢复密钥信息,且其计算量仍较大。D i n
19、g等1 5通过多种群遗传算法的相关功耗分析来解决传统遗传算法过早收敛的问题,但在离线恢复阶段所需计算量较大,在样本不足时易陷入局部最优解,使得攻击的成功率较低。如何减少相关功耗分析所需要的功耗轨迹数量,以提高攻击效率和成功率,是目前亟待解决的问题。鉴于此,利用S盒输出中间值汉明重量分配不均匀的性质,将输出中间值分类后,选择区分较大的汉明重量与其对应明文的功耗轨迹来进行密钥恢复。在密钥恢复阶段,结合分别猜测法进行相关系数求解。与经典相关功耗分析相比,该方法能在仅需9条功耗轨迹条件下以9 0%的成功率正确恢复出A E S一个字节的密钥信息,计算复杂度仅为经典相关功耗分析的4.1%。1 密码算法A
20、E S与经典相关功耗分析的介绍1.1 密码算法A E S简介高级加密标准A E S分组的长度为1 2 8 b i t,其密钥的长度有1 2 8、1 9 2和2 5 6 b i t三种。不同密钥长度所需迭代的轮数也不同:密钥长度为1 2 8 b i t时,需迭代的轮数为1 0轮;密钥长度为1 9 2 b i t时,需迭代的轮数为1 2轮;密钥长度为2 5 6 b i t时,需迭代的轮数为1 4轮。1 2 8 b i t的中间状态可用一个状态矩阵表示,每个状态可看作一个8 b i t的字节,则1 6个字节的编号为x0 0 x0 1x0 2x0 3x1 0 x1 1x1 2x1 3x2 0 x2 1
21、x2 2x2 3x3 0 x3 1x3 2x3 3?。除了在首轮运算前需要先进行轮密钥加操作,末轮无需进行列混合操作外,其他轮函数的操作均由字节替换(S B)、行移位(S R)、列混淆(MC)、密钥加法(K A)四种运算构成。轮函数中唯一的非线性操作是字节替换,每个S盒由一个8 b i t输入和8 b i t输出的查找表组成,表示为yi,r=S(xi,r),i,r0,3,其中:yi,r为S盒的输出;xi,r为S盒的输入;S为S盒查表操作。行移位变换将对字节替换后的每个状态循环移631第2期周 阳等:一种针对A E S密码芯片的相关功耗分析方法位不同的位移大小。具体移位为x0 0 x0 1x0
22、2x0 3x1 0 x1 1x1 2x1 3x2 0 x2 1x2 2x2 3x3 0 x3 1x3 2x3 3?行移位操作x0 0 x0 1x0 2x0 3x1 1x1 2x1 3x1 0 x2 2x2 3x2 0 x2 1x3 3x3 0 x3 1x3 2?列混合变换是对中间状态矩阵中的每列进行操作,每个状态可视为有限域G F(28)上的一个布尔表达式。轮密钥加需将每个中间的状态xi,r与一个轮子密钥ki,r进行按位异或操作。1.2 经典相关功耗分析流程密码设备在执行加密或解密操作时产生的能量消耗t与密码算法的中间值h存在如下线性关系:t=a h+b,(1)其中:h为S盒输出中间值的汉明重
23、量;a、b为常数。采用大量的功耗轨迹分析某时刻密码设备的能量消耗,并将能量消耗视为被处理中间值的函数,可分析出密码设备的密钥信息,具体步骤如下:1)将密码算法的某个中间值y=(p,k)作为攻击点,其中:p为已知的明文;k为待恢复的正确密钥。2)采集密码设备的能量消耗:当密码设备正在运行时,利用示波器采集该设备对应的能量值消耗t。3)计算h:对于每个可能的候选密钥k i,计算该候选密钥对应的h。4)利用汉明重量模型,计算h对应的能量消耗。5)对于每个候选密钥k i,计算h与功耗轨迹中所有采样点t之间的相关性系数,所得相关系数最大的密钥即为正确密钥。相关功耗分析利用的统计学原理是:密码算法在设备中
24、执行不同的操作时,消耗的能量也不同,若候选密钥是错误的,每条明文通过计算后所得对应的中间值是随机的,与对应功耗轨迹计算所得的相关系数很小;若候选密钥正确,则每条明文与对应正确密钥运算后所得的假设能量消耗与功耗轨迹一一对应,所得相关系数最大。利用该方法可正确恢复出密码设备的完整密钥信息。相关性系数求解公式为ri,j=np=1(hp,i-hi)(tp,j-tj)np=1(hp,i-hi)2np=1(tp,j-tj)2,(2)其中:P为明文条数;hp,i为第P条明文的第i个字节的假设能量消耗;tp,j为第P条明文的第j列的真实能量消耗;hi、tj分别为列hi、tj的平均值;ri,j为列hi与tj的线
25、性关系,i=1,2,K,j=1,2,T。在步骤4)中,当采用汉明重量模型对每个字节密钥做假设能量消耗时,n条明文与所有候选密钥通过异或运算后,经过S盒并计算其汉明重量。因汉明重量只有9种,相同的n条明文与不同的候选密钥k i,i(0,1,K)计算所得的汉明重量很大程度上是相同的,这对利用统计分析计算相关系数求解正确密钥有较大的噪声干扰。鉴于此,提出如下改进的相关功耗分析方法。2 改进的相关功耗分析方法与功耗轨迹预处理2.1 改进的相关功耗分析方法性质1 假设明文Pi的第1个字节为Pi(1),而对应正确密钥k的第1个字节为k(1),通过运算y=s(Pi(1)k(1)可知,S盒的输出中间值y的区分
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一种 针对 AES 密码 芯片 相关 功耗 分析 方法 周阳
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。