[发明专利]一种基于多推断利用的分组密码容错代数旁路分析方法

说明书

本发明提供一种基于多推断利用的分组密码容错代数旁路分析方法，其包括：在密钥已知时依据受控制密码芯片执行分组密码加密过程中的多条功耗轨迹，构建加密中间状态的汉明重候选值对应的功耗轨迹模板；利用该功耗轨迹模板以及要攻击的密码芯片执行分组密码加密过程中的一条功耗轨迹得到加密中间状态的汉明重多推断值集合；将分组密码算法和汉明重多推断值集合使用代数方程表示；使用解析器对代数方程进行求解，恢复加密主密钥。可以看出，对于微控制器上的AES分组密码实现，本发明使用一条功耗轨迹即实现主密钥恢复。而且，由于在实际攻击中一条功耗轨迹对应的汉明重推断值存在多个，利用多个推断值可大幅提高代数旁路攻击的容错能力。

技术领域

涉及通信与信息安全领域，尤其涉及一种针对分组密码密码的密钥进行容错代数旁路分析技术。

背景技术

密码算法的设计安全性不等价于密码芯片的实现安全性，由于芯片的物理特性会产生额外信息泄露，其在密码芯片上实现过程中会泄露出诸如执行时间、功率消耗、电磁辐射、运行故障等旁路信息，利用这些旁路信息可以推断中间状态的相关值(如汉明重)，在此基础上以较低代价实现秘密信息提取，此类攻击称为旁路攻击。

在实际攻击中，受目标密码平台自身噪声、测试计量技术及仪器影响，根据旁路泄露得到的关于加密中间状态的一个推断(如汉明重信息)往往存在一定的误差。由于代数旁路攻击需要将这些推断转化为严格的代数方程组并进行密钥求解，推断中一比特的错误存在都会使得方程组无解，从而导致攻击失败。现有代数旁路攻击研究大都在汉明重无错误的前提条件下开展，存在容错性差的问题。

发明内容

针对现有技术的不足，本发明提供了一种基于多推断利用的分组密码容错代数旁路分析方法，通过本发明，能够提高代数旁路攻击的容错能力。

本发明通过如下技术方案实现：

本发明提供一种基于多推断利用的分组密码容错代数旁路分析方法，其包括：

在密钥已知时依据受控密码芯片执行分组密码加密过程中的多条功耗轨迹，构建加密过程中所有汉明重泄露点对应的所有汉明重候选值的功耗轨迹模板；

将所构建的所有汉明重候选值的功耗轨迹模板与要攻击的目标密码芯片执行分组密码加密过程中的一条功耗轨迹中的每个汉明重泄露点对应的功耗轨迹之间进行匹配，并将所有汉明重候选值的匹配度进行归一化处理，使得所有汉明重推断值的匹配度之和等于1；

提取匹配度之和大于匹配度阈值的前n个汉明重候选值，并将其计入汉明重值多推断集合；

使用代数方程表示分组密码加密过程，使用代数方程表示要攻击的目标密码芯片一条功耗轨迹的所有汉明重泄露点的前n个的候选值多推断集合；

通过解析器对建立的分组密码和汉明重多推断集合的代数方程进行求解恢复分组密码主密钥。

更进一步地，在密钥已知时所述依据受控密码芯片执行分组密码加密过程中的多条功耗轨迹，构建加密过程中所有汉明重泄露点对应的所有汉明重候选值的功耗轨迹模板的过程，包括：

使用一个可控制密钥的密码芯片，选取设定数量的明文发送给密码芯片；

采集芯片执行分组密码加密过程中的功耗轨迹；对所述功耗轨迹进行切割，获得多个汉明重量泄露点对应的功耗轨迹；

根据明文和控制的密钥值，将每个泄露点对应的密码运行中间状态的汉明重值计算出来，并计算出所述汉明重值对应的功耗均值轨迹作为二维模板；

依据该二维模板构建出所有汉明重泄露点对应的所有汉明重候选值的功耗轨迹模板。

更进一步地，所述将所构建的所有汉明重候选值的功耗轨迹模板与要攻击的目标密码芯片执行分组密码加密过程中的一条功耗轨迹中的每个汉明重泄露点对应的功耗轨迹之间进行匹配的过程，包括：