[发明专利]一种基于探测集约减的掩码安全性验证方法

说明书

本发明公开了一种基于探测集约减的掩码安全性验证方法，其步骤为：1)将给定掩码防护方案解析为有向无环图G，并计算图G中每个顶点n的辅助数据结构；2)按字典序不重复地选取图G中的d个顶点组成的集合Nsubgt;d/subgt;，若仍有未被选取的组合则计算d阶探测集否则判定给定掩码方案通过安全性验证并退出；3)根据变量的掩码情况将分为两两之间不共享掩码的若干子集；4)当某一子集不服从独立均匀分布时，若其不可扩展，则输出Nsubgt;d/subgt;并退出，否则将扩展并进入步骤3)；5)当某一子集服从独立均匀分布时，从中删除子集并进入步骤3)。采用本方法使用较少的内存和处理器资源高效地验证抗侧信道掩码防护方案的安全性。

技术领域

本发明涉及抗侧信道掩码防护领域，特别涉及一种基于探测集约减的掩码安全性验证方法，可用于验证抗侧信道掩码防护的安全性。

背景技术

当今社会，密码算法和密码设备的应用十分广泛，在各个领域保护着数据的安全性。尽管密码算法有着极强的理论安全性，但在实际应用中，由于运行密码算法的密码设备会泄露敏感信息的物理特征，例如电磁辐射、声音等等。攻击者可利用这些物理信息进行差分能量分析、相关性能量分析攻击等侧信道攻击，从而将敏感信息恢复。

为了抵抗这类侧信道分析技术，不同的防护技术被提出，其中最有效的一项技术就是掩码技术。掩码技术基于秘密分割的门限思想，在理论上也有较强的安全性。对于复杂的密码算法，设计对应的抗侧信道掩码方案并非易事，由于设计者的疏忽，掩码方案可能仍然存在不安全之处。而手动对掩码方案中的每一个敌手可探测到的变量集合(探测集)进行手动分析是一项繁琐耗时且极易出错的任务，因此利用形式化等技术对掩码方案安全性进行自动化的验证具有重要的意义。

为了刻画掩码防护的安全性，不同的安全性概念被提出，其中应用最为广泛的两个安全性概念是探测安全性和强探测安全性。探测安全性可用于评估软件实现的掩码方案的安全性，敌手使用一根探针可以探测到一个变量的概率分布。相比于软件实现，掩码方案的硬件实现还需要考虑硬件电路中时钟毛刺现象的存在，因此敌手使用一根探针可以探测到一组变量的联合分布。敌手的攻击能力由其能使用的探针个数决定。敌手使用其探针所能探测到的变量集合称为探测集。对于给定掩码方案，若敌手所能探测到该掩码方案中的每一个探测集中的变量的联合分布均与秘密变量(敏感信息)统计独立，则该掩码方案是安全的。

为了证明掩码方案的强探测安全性，不同的技术被提出。Roderick Bloem等人提出了基于傅里叶展开的验证方法。该方法的原理是，若敌手所探测变量的傅里叶展开式中秘密变量集合的所有非空子集的傅里叶系数均为0，则秘密变量集合与该探测变量统计独立。由于直接计算傅里叶系数的开销较大，Roderick Bloem等人将傅里叶系数是否为0的问题编码为SAT公式，通过SAT公式是否有解来判断傅里叶系数是否为0。这种方法由于需要调用求解器，所以其开销很大。Gilles Barthe等人提出了基于程序语言和概率信息流分析的验证方法。该方法利用随机掩码与表达式之间存在的双射关系，将探测集中该表达式的每一处出现替换为该随机掩码。这种替换保留了掩码方案对应的掩码程序的语义，不会影响探测集中变量的联合分布。经过这种替换后，若最终探测集的表达式中不含有秘密变量，则这个探测集是安全的。这种方法效率较高，但是由于其使用嵌套的表达式，且在表达式替换不成功时会对表达式进行正则化，在验证某些复杂的掩码方案时会遇到栈溢出的问题从而无法完成验证。David Knichel等人提出了基于ROBDD的布尔变量集合统计独立性验证方法。该方法为探测集和秘密变量集合中的每一个变量构建ROBDD，并利用ROBDD计算探测集的任一子集和秘密变量集合的任一子集中的变量取值全部为1的概率和这两个子集中变量取值分别全部为1的概率乘积，通过验证这两个概率在不同的子集组合下总是相等来证明探测集和秘密变量集合的统计独立性。这种方法不会出现基于傅里叶展开的方法和基于程序语言和概率信息流分析的方法所出现的假阴性问题(即将安全的掩码方案判定为不安全)，但是由于其需要构建ROBDD，消耗的处理器和内存资源极大，存在性能不足的问题。

发明内容