[发明专利]一种检测AES-OTR算法抵御差分故障攻击的方法

权利要求书

1.一种检测AES-OTR算法抵御差分故障攻击的方法，其特征在于：包括加密部分：

所述加密部分，包括以下步骤：

步骤1：随机生成要处理的明文消息矩阵，记为M；

步骤2：利用AES-OTR算法处理明文消息矩阵M，得到正确输出和错误输出，分别为C和C^*；

所述步骤2中，使用AES-OTR算法处理明文消息矩阵M的过程中，控制出两种实验环境，具体步骤如下：

1)输入明文消息矩阵M，控制实验环境不受时钟、电压、湿度、辐射、压力、光和涡电流的干扰，使得AES-OTR算法能够正确无误地进行，从而得到正确的输出结果C；

2)重新输入明文消息矩阵M，再次用AES-OTR算法对其进行处理，同时借助产生故障的设备改变运行环境，诱导产生故障来干扰AES-OTR算法的处理过程，输出结果为C^*；

步骤3：使用AES-OTR算法处理明文消息矩阵M的过程中，根据加密过程中存在的差分比例，构建关于正确输出、错误输出、密钥K之间的函数f为加入故障前后两个中间状态的异或运算结果；

步骤4：根据所述步骤3构造的函数f＝g(C,C^*,K)，观察基于函数f得到的方程的差分比例关系，推断出故障导入位置，并判断导入的故障是否有效；

推断故障导入位置的方法包括：

应用AES-OTR算法对明文消息矩阵M进行加密时，在AES-OTR算法第8轮行位移状态中第一个字节处导入故障，通过AES-OTR算法第10轮推出来的正确密文和错误密文倒推导第9轮第一列的差分比例关系：

其中，f₁、K₁、K₈、K₁₄、K₁₁都是未知的值，K_i表示密钥第i个字节，1≤i≤16；S^-1表示字节替换的逆向操作；C_i表示正确输出中密文的第i个字节，其中1≤i≤16；C*_i表示错误输出中密文的第i个字节，其中1≤i≤16；代表异或运算；通过这个关系式利用穷举法推测出符合该关系式的K₁、K₈、K₁₄、K₁₁，为了获得其他的K值根据以下三个关系式：

根据该差分比例的顺序可以推测出四个故障可能存在的位置：

其中，判断导入的故障是否有效具体分析如下：

①有效故障：

I)当第9轮第1列的差分比例关系为2:1:1:3且ΔC₁、ΔC₈、ΔC₁₁、ΔC₁₄均不为0时，则故障导入的位置为第8轮的字节1、字节6、字节11或字节16处；

II)当第9轮只有第1列有差分比例关系时，故障导入的位置为第9轮的字节1、字节6、字节11或字节16处；

III)第9轮第1列的差分比例关系为3:2:1:1且ΔC₂、ΔC₅、ΔC₁₂、ΔC₁₅均不为0时，则故障导入的位置为第8轮的字节4、字节5、字节10或字节15处；

IV)当第9轮只有第2列有差分比例关系时，故障导入的位置为第9轮的字节4、字节5、字节10或字节15处；

V)当第9轮第1列的差分比例关系为1:3:2:1且ΔC₃、ΔC₆、ΔC₉、ΔC₁₆均不为0时，则故障导入的位置为第8轮的字节3、字节8、字节9或字节14处；

VI)当第9轮只有第3列有差分比例关系时，则故障导入的位置为第9轮的字节3、字节8、字节9或字节14处；

VII)当第9轮第1列的差分比例关系为1:1:3:2时，且ΔC₄、ΔC₇、ΔC₁₀、ΔC₁₃均不为0时，则故障导入的位置为第8轮的字节2、字节7、字节12或字节13处；

VIII)当第9轮只有第4列有差分比例关系时，则故障导入的位置为第9轮的字节2、字节7、字节12或字节13处；

其中C_i和ΔC_i分别表示密文的第i个字节和第i个字节的故障差分，1≤i≤16；

②无效故障：

I)当ΔC＝0时，说明导入的故障值等于当前位置上的原值，即没有导入故障，故障无效；

II)当ΔC≠0，且得到的密文无法恢复密钥时，则该故障为无效故障；

步骤5：利用穷举法来猜测密钥，以此来缩小猜测空间，进而破解密钥，包括：

进行第9轮故障分析，该轮利用在第10轮预测的密钥，通过密钥编排由第10轮预测的密钥得到第9轮的密钥，利用密文C来预测第9轮S盒的四个差分故障，进一步降低AES-OTR的密钥搜索空间；

其中第9轮的密钥用第10轮的密钥表示如下，CH为密钥扩展过程中给定的常数：

第9轮的S盒的四个差分故障为：

其中K^j和分别表示第j轮子密钥和第j轮子密钥第i个字节，1≤j≤10且1≤i≤16。

2.如权利要求1所述的一种检测AES-OTR算法抵御差分故障攻击的方法，其特征在于：所述借助产生故障的设备改变运行环境的方法包括：改变时钟、电压、湿度、辐射、压力、光和涡电流，将故障导入AES-OTR算法第8轮行位移状态中第一个字节处，以得到错误的输出结果C^*。