嵌入式與網(wǎng)絡(luò)計(jì)算湖南省重點(diǎn)實(shí)驗(yàn)室

一類加密算法功耗分析

及其防御研究學(xué)生：章競競導(dǎo)師：曾慶光、李仁發(fā)教授12一月2025提綱研究背景及選題意義研究內(nèi)容及成果工作展望研究背景及選題意義隨著信息科技的飛速發(fā)展，信息技術(shù)已廣泛應(yīng)用于社會(huì)生活的各個(gè)領(lǐng)域，且極大地影響著人們的生活、學(xué)習(xí)和工作方式。在給人們帶來巨大便利的同時(shí)，信息技術(shù)的發(fā)展也帶來了一個(gè)極為嚴(yán)峻的問題即信息安全問題。信息安全的核心是密碼學(xué)，密碼學(xué)的核心又是密碼算法，作為密碼算法實(shí)現(xiàn)的重要載體之一，嵌入式加密芯片，已被廣泛應(yīng)用于電子商務(wù)，稅收，生物特征認(rèn)證卡等。嵌入式加密芯片在各領(lǐng)域中的主要作用包括用戶關(guān)鍵數(shù)據(jù)的安全存儲(chǔ)，數(shù)據(jù)加解密，數(shù)字簽名認(rèn)證以及身份鑒別等，加密芯片自身的安全性對于整個(gè)系統(tǒng)來說非常重要，起著安全控制核心的作用。研究背景研究背景傳統(tǒng)的密碼分析中，人們對算法的數(shù)學(xué)結(jié)構(gòu)進(jìn)行研究，輔以關(guān)于算法輸入/輸出的某些假設(shè)，結(jié)合統(tǒng)計(jì)測試進(jìn)行分析，然而，這種方法對安全強(qiáng)度高的密碼算法中密鑰的恢復(fù)已經(jīng)遠(yuǎn)遠(yuǎn)不夠。近年來，出現(xiàn)了一種新型密碼分析方法—旁路攻擊。當(dāng)密碼模塊進(jìn)行密碼運(yùn)算時(shí)，密碼模塊的運(yùn)算時(shí)間、功耗和電磁場等旁路泄漏信息與密碼模塊中的密鑰有一定的相關(guān)性。旁路攻擊則是對上述旁路信息進(jìn)行分析從而獲得密碼算法中密鑰的一種密碼分析技術(shù)。功耗分析攻擊是通過對密碼模塊的功耗信息進(jìn)行分析來獲取密鑰值的一種有效攻擊方法。研究意義自2000年以來國際上產(chǎn)生了大量的極具科研和社會(huì)價(jià)值的論文和研究成果。這些成果為密碼芯片的安全性分析開闊了視野并提供了嶄新的研究思路，但由于信息安全原因，公開發(fā)表的論文并沒有給出關(guān)鍵技術(shù)細(xì)節(jié)和實(shí)驗(yàn)參數(shù)。國內(nèi)科技工作者于2002年前后也逐漸開始了該領(lǐng)域的研究，具有代表性的研究成果主要體現(xiàn)在旁路分析技術(shù)的理論應(yīng)用和簡單防御方法設(shè)計(jì)上。究其原因，我國在芯片的設(shè)計(jì)制造領(lǐng)域方面與國際上尚有一些距離，一些重要領(lǐng)域如新一代居民身份證都使用了國外的技術(shù)，并且我們無法獲得國際上先進(jìn)的安全芯片及其相關(guān)技術(shù)

研究意義為了增強(qiáng)我國嵌入式加密芯片自身的安全性，自主研究新型功耗分析方法，各類芯片防御技術(shù)的高性能算法、新型電路結(jié)構(gòu)等工作十分重要，這也正是本文選擇這個(gè)方向進(jìn)行探討和研究的意義之所在。本課題的研究得到了國家自然科學(xué)基金(60673061,60706026)，國家863計(jì)劃資助項(xiàng)目(2007AA01Z104)的支持。

研究內(nèi)容及成果設(shè)計(jì)一種新的簡潔有效的功耗模型，提出功耗分析攻擊方案和D函數(shù)的選擇原則，通過實(shí)例，驗(yàn)證模型和攻擊方案的可行性和有效性。被《計(jì)算機(jī)工程與應(yīng)用》雜志錄用。提出一種隨機(jī)化和固定值擴(kuò)展相結(jié)合的掩碼防御方法，設(shè)計(jì)改進(jìn)后的AES算法IP核，驗(yàn)證其可抗二階差分功耗分析的安全性。設(shè)計(jì)功耗分析仿真軟件總體架構(gòu)，并自主開發(fā)功耗分析仿真實(shí)驗(yàn)平臺(tái)PASP研究內(nèi)容—功耗模型功耗分析的物理特性：

嵌入式加密系統(tǒng)中使用的微處理器一般采用靜態(tài)互補(bǔ)CMOS工藝實(shí)現(xiàn)，功耗分析能夠成功攻擊密碼系統(tǒng)的前提是：電路運(yùn)行時(shí)產(chǎn)生的功耗與所處理的數(shù)據(jù)(如密鑰)存在相關(guān)性。加密系統(tǒng)在運(yùn)行時(shí)，系統(tǒng)中有數(shù)據(jù)進(jìn)行運(yùn)算，電源端有功耗產(chǎn)生。功耗的影響與所處理的數(shù)據(jù)直接相關(guān)，這種關(guān)系在電路級表現(xiàn)為負(fù)載電容充放電；在寄存器級表現(xiàn)為寄存器內(nèi)部觸發(fā)器狀態(tài)的翻轉(zhuǎn)；在指令級則是指令在執(zhí)行前后數(shù)據(jù)的漢明距離。研究內(nèi)容—功耗模型漢明重量功耗模型：

表示采樣功耗，表示寄存器的狀態(tài)字節(jié)，表示漢明距離函數(shù)，是漢明重量與功耗之間的線性增益；是與處理數(shù)據(jù)無關(guān)的其他部分的功耗，是一個(gè)常量，是熱噪聲。漢明距離功耗模型：

其中，表示寄存器字節(jié)原有狀態(tài)，表示寄存器字節(jié)現(xiàn)有狀態(tài)。研究內(nèi)容—功耗模型一種改進(jìn)的簡潔有效的功耗模型漢明重量功耗模型建模：要考慮寄存器中數(shù)據(jù)從

和狀態(tài)的功耗，而狀態(tài)下沒有負(fù)載電容充放電過程，幾乎不產(chǎn)生功耗；漢明距離建立功耗模型：要考慮寄存器從的功耗，從1到0翻轉(zhuǎn)時(shí)，電場能置換為熱能，不消耗電源能耗。本文提出一種簡潔有效的靜態(tài)CMOS門實(shí)現(xiàn)的寄存器功耗模型，即只考慮寄存器從0到1翻轉(zhuǎn)時(shí)產(chǎn)生的功耗：

基于改進(jìn)后的功耗模型的差分功耗分析

以DES功耗分析為例，采用本文所提出的功耗模型建模，進(jìn)行差分功耗分析：1）原始數(shù)據(jù)收集攻擊目標(biāo)為DES加密密鑰，針對真實(shí)密鑰，輸入足夠多的明文如：（1000條）執(zhí)行加密運(yùn)算，得到一組功耗樣本。2）數(shù)據(jù)分析

D函數(shù)的選擇取，即第一輪運(yùn)算后右半部分比特的第一位的值，此時(shí)，D值時(shí)刻是一個(gè)功耗點(diǎn)時(shí)刻，已知：則：

基于改進(jìn)后的功耗模型的差分功耗分析D值功耗點(diǎn)時(shí)刻，當(dāng)取邏輯0或邏輯1時(shí)會(huì)有不同的功耗，利用D值來估計(jì)實(shí)際情況中的取值，采用統(tǒng)計(jì)分析中基于均值檢驗(yàn)的方法，即將不同的明文輸入所對應(yīng)的功耗曲線，劃分為兩個(gè)集合，對兩組值取算術(shù)平均值后作差。

當(dāng)輸入明文N足夠大，基于數(shù)學(xué)統(tǒng)計(jì)相關(guān)性，△[j]功耗分析攻擊有三種情況：選取時(shí)刻密鑰猜測結(jié)果分析非D值時(shí)刻正確等于用一個(gè)隨機(jī)函數(shù)對集合進(jìn)行劃分，當(dāng)D值時(shí)刻不正確等于用一個(gè)隨機(jī)函數(shù)對集合進(jìn)行劃分，當(dāng)D值時(shí)刻正確將處理不同數(shù)據(jù)時(shí)的功耗差異體現(xiàn)出來，基于改進(jìn)后的功耗模型的差分功耗分析采用1000條明文，其原始子密鑰為：subkey=‘h0123456789ab，通過本文所提出的功耗模型建模，猜測第一輪6比特子密鑰的攻擊結(jié)果，D取值為，對應(yīng)的子密鑰為，解空間為64，用橫坐標(biāo)表示，縱坐標(biāo)代表用D值區(qū)分后，兩組功耗曲線的偏差，可發(fā)現(xiàn)在正確密鑰位置即6比特子密鑰的值為000101處有明顯的尖鋒出現(xiàn)。同時(shí)，也驗(yàn)證了本文所提出的功耗模型是有效的。如下圖：研究內(nèi)容—改進(jìn)的AES掩碼算法固定值掩碼方法介紹：事先計(jì)算q套隨機(jī)掩碼值和相應(yīng)的改進(jìn)的S盒，并存儲(chǔ)在ROM中。在加密運(yùn)算開始之前隨機(jī)選擇一個(gè)來掩碼輸入數(shù)據(jù)和中間變量，加密過程中根據(jù)當(dāng)時(shí)使用的掩碼集合選擇對應(yīng)的S盒集。與“隨機(jī)值掩碼”相比，“固定值掩碼”不需要在每輪加密時(shí)產(chǎn)生隨機(jī)掩碼并用掩碼更新S盒，只要選擇與掩碼對應(yīng)的S盒并將它讀入RAM中即可，而“隨機(jī)值掩碼”每輪加密運(yùn)算更新一次S盒集，如果直接用預(yù)先計(jì)算好的S盒替換這些實(shí)時(shí)計(jì)算的S盒，這樣極大地減少了運(yùn)算負(fù)荷。

K.Itoh提出兩種類型的固定值掩碼方法，在第一種方法中，每輪所用的掩碼值是相同的但對狀態(tài)中不同的字節(jié)用不同的掩碼值；在第二種方法中，每輪和狀態(tài)中的每個(gè)字節(jié)都用相同的掩碼值。研究內(nèi)容—改進(jìn)的AES掩碼算法固定值掩碼方法安全性：固定值掩碼I方法只對密鑰作掩碼處理，輪密鑰加的結(jié)果為，并且在每輪運(yùn)算時(shí)都使用相同的S盒加密明文分組。因此，可選擇中間值變量輪密鑰加后的值和S盒變換后的值進(jìn)行分析；所以，在算法實(shí)驗(yàn)過程中的過程變量滿足：，根據(jù)公設(shè)4，即可成功實(shí)施二階DPA攻擊。固定值掩碼方法II只是簡單地減少S盒的數(shù)量，減少對ROM空間的需求，提高執(zhí)行性能，其它運(yùn)算與固定值掩碼I相同，因此它同樣具有二階DPA攻擊弱點(diǎn)，此外，如果S盒的集合數(shù)q=2，使用固定值掩碼II的加密設(shè)備仍然可能受到一階DPA攻擊。

研究內(nèi)容—改進(jìn)的AES掩碼算法固定值掩碼II二階功耗分析結(jié)果：研究內(nèi)容—改進(jìn)的AES掩碼算法改進(jìn)的掩碼算法基于固定值掩碼II，選擇，不是加密每個(gè)明文分組時(shí)都使用這一組固定值掩碼，而用某種隨機(jī)決定是否使用這組固定值掩碼或是它們的反碼值；并且在固定值選擇中，加入特定兩組固定值全0或全1，即參與輪密鑰加運(yùn)算時(shí)，不是每次加密運(yùn)算一定都使用掩碼，而有很小的隨機(jī)概率決定是否使用掩碼參與輪密鑰加運(yùn)算。有三種類型的掩碼值，是AES加密系統(tǒng)中的輪數(shù)，用于掩碼輪密鑰，這些掩碼值可以由和導(dǎo)出

:

研究內(nèi)容—改進(jìn)的AES掩碼算法研究內(nèi)容—改進(jìn)的AES掩碼算法改進(jìn)算法的二階功耗分析結(jié)果：研究內(nèi)容—功耗分析仿真軟件研究內(nèi)容—功耗分析仿真軟件用硬件描述語言實(shí)現(xiàn)加密算法。完成模擬智能卡芯片從數(shù)據(jù)輸入到數(shù)據(jù)輸出的全過程操作。代碼仿真模塊主要是建立在大量的實(shí)驗(yàn)基礎(chǔ)上，完成密碼算法過程中中間值與功耗數(shù)值之間的工作，功耗數(shù)據(jù)采集工作。功耗分析模塊是整個(gè)仿真軟件架構(gòu)的核心,本文自主設(shè)計(jì)開發(fā)出一個(gè)功耗分析仿真實(shí)驗(yàn)平臺(tái)PASP(PowerAnalysisandSimulationPlatform)，完成功耗分析模塊的處理工作。

研究內(nèi)容—功耗分析仿真軟件功耗分析模塊流程圖：研究內(nèi)容—功耗分析仿真軟件數(shù)據(jù)預(yù)處理是指對加密算法IP核經(jīng)Modelism仿真后，收集到與明文和部分密鑰(或密文和部分密鑰)相關(guān)的中間變量的值進(jìn)行處理，以實(shí)現(xiàn)從硬件描述語言到高級語言設(shè)計(jì)的接口。功耗分析處理又是功耗分析模塊的核心部分，它主要包括兩個(gè)部分：功耗統(tǒng)計(jì)和功耗分類處理。數(shù)據(jù)后處理，將得到的功耗偏差作為縱坐標(biāo)，子密鑰解空間的值作為橫坐標(biāo)，畫出一條直觀的功耗分析波形圖。研究內(nèi)容—功耗分析仿真軟件一個(gè)完整的功耗分析仿真軟件工作流程圖

研究內(nèi)容—功耗分析仿真軟件本文初步完成一個(gè)功耗分析平臺(tái)PASP的編寫工作，以AES的一階功耗分析和FVMAES二階功耗分析為例，展示本文所開發(fā)的PASP平臺(tái)。

研究內(nèi)容—功耗分析仿真軟件功耗分析：研究內(nèi)容—功耗分析仿真軟件研究內(nèi)容—功耗分析仿真軟件研究內(nèi)容—功耗分析仿真軟件研究內(nèi)容—功耗分析