[发明专利]一种优化的智能卡密码算法模板攻击方法

说明书

本发明公开了一种优化的智能卡密码算法模板攻击方法，包括模板建立阶段和模板匹配阶段；所述智能卡密码算法模板攻击方法使用四个模块，包括训练密钥读取模块A、训练密钥设置模块B、计算与结果输出模块C和趋势图作图模块D；在所述模板建立阶段，实现模板攻击，使用随机的已知密钥与随机的已知明文执行密码运算，消除了攻击结果与被测芯片密钥取值之间的相关性，有助于提高攻击结果的有效性和可信性。

技术领域

本发明涉及集成电路安全防护技术领域， 尤其涉及一种优化的智能卡密码算法模板攻击方法。

背景技术

智能卡广泛应用于二代身份证和银行卡等领域，因此对于其内部信息的安全性有很高的要求。为了使智能卡具有抵御恶意攻击，防御信息泄露的能力，需要在其密码算法的设计中加入攻击防御措施，而为了评估防御措施的有效性，则需要研究针对智能卡密码算法的攻击方法。

模板攻击是近年来比较热门的一种针对智能卡密码算法的攻击方法，该方法的攻击主要分为模板建立阶段和模板匹配阶段，执行步骤如下：

1）先使用已知的密钥值和随机数据多次重复执行密码运算，并采集运算过程中的功耗曲线信息；

2）计算这些功耗曲线的统计信息，建立描述算法运算特征的模板（模板建立）；

3）再使用未知的密钥值和已知的随机数据多次重复执行密码运算，并采集运算过程中的功耗曲线信息；

4）将这些功耗曲线与已建立的模板进行模板匹配计算，并得到每一个候选密钥事实上是正确密钥的概率值（模板匹配）；

5）在概率值最大的几个候选密钥中进行小范围的穷举，最终找到正确的密钥。（因为明文和密文数据是已知的，将概率最大的几个候选密钥分别与明文进行加密运算，运算的结果与密文相同时，则该候选密钥为正确密钥）。

模板攻击取得成功的关键是模板建立的准确性，建立的模板越能准确刻画被测芯片的功耗特征，则攻击越容易取得成功。

模板攻击的效果首先体现在攻击得到正确密钥所需的功耗曲线数量上：若攻击得到正确密钥所需的功耗曲线数量较少，则表示攻击效果较好；若攻击得到正确密钥所需的功耗曲线数量较多，则表示攻击效果较差。其次，若未能攻击得到正确密钥，则攻击效果仍体现在正确密钥的概率排名上：若正确密钥排名较靠前，则表示虽然此次攻击未成功，但正确密钥已接近被得到，攻击接近成功，效果相对较好；若正确密钥排名较靠后，则表示此次攻击距离得到正确密钥还很遥远，攻击效果很差。

因此，需要设计一个模块，能够在模板建立阶段尽可能准确地刻画被测芯片的功耗特征，同时，能够在攻击进行过程中跟踪正确密钥的概率排名，并监测正确密钥排名随攻击所使用的功耗曲线数量的变化关系，据此来评估模板攻击的效果。

如下图1所示，为现有的模板建立流程：

1）首先输入固定的已知密钥；

2）读取一条功耗曲线，并读取随机的已知明文；

3）利用固定的已知密钥和随机的已知明文执行模板建立计算；

4）大量重复执行2）、3），利用密钥、明文数据和功耗曲线，完成模板建立；

5）保存模板。

在建立模板的计算过程中，需要用到密钥（记为K）异或明文（记为P）的汉明重量（记为HW，意义为一个数的二进制表示形式中“1”的个数，例如0x56的二进制形式为01010110，其中有4个“1”，因此HW（0x56）=4），即HW（K⊕P）。由于明文P是随机取得的，因此一个字节的P的取值均匀分布于0x00~0xff，但这些取值的汉明重量分布却是不均匀的（例如：满足HW=0的数只有0x00这一个，但满足HW=4的数却有0x56（01010110），0xe4（11100100）等70个），又因为密钥K的取值是固定不变的，因此HW（K⊕P）的分布也同样是不均匀的。