[发明专利]一种基于光汉明重量的密钥分析方法

摘要

本发明公开了一种基于光汉明重量的密钥分析方法，包括如下步骤：A‑1、建立汉明重量分析模型；A‑2、为光子数测量选取光泄漏点：选定密码芯片上字节变换的输入和输出作为两个光泄漏采集点；B‑1、对密钥k第一个字节k0进行分析；B‑2、对密钥k其他字节进行分析：通过对密钥k的其它字节重复进行步骤B‑1的操作，直至得出全部密钥。本发明的光辐射密钥分析攻击方法对AES密码芯片的解析具有很高的实际可操作性，本发明对于我国军事和民用行业均具有十分重要的现实意义。

主权项

1.一种基于光汉明重量的密钥分析方法，适用于采用4×4字节的矩阵密钥k对4×4字节的明文矩阵di进行字节替换、行移位、列混淆、轮密钥加等操作的AES加密算法，其特征在于：该方法包括如下步骤：A、基础分析A‑1、汉明重量分析：以明文分组di的第一个字节di,0为例建立如下分析模型：HW(di,0⊕k0)＝HW(Xi,0)；HW(S(di,0⊕k0))＝HW(Si,0)；其中HW()表示汉明重量，S()表示AES算法过程中的S盒变换操作；di,0表示明文分组di的第一个字节，k0表示原始密钥k的第一个字节，HW(Xi,0)表示di,0与k0异或后值的汉明重量；HW(Si,0)表示di,0与k0异或后再经S盒变换后值的汉明重量；对已知若干条明文分组di进行加密运算，分别得到该加密流程下明文字节与原始密钥字节异或操作后和S盒变换操作后输出值的汉明重量；A‑2、光泄漏点选取：与步骤A‑1的分析模型相对应，选定AES密码芯片上字节变换的输入和输出作为两个光泄漏采集点；B、密钥分析B‑1、对密钥k第一个字节k0进行分析：依据步骤A‑1的模型对m组明文进行加密并分析相应的汉明重量，同时采集步骤A‑2选定的两个光泄漏点的光子数得到m条光辐射迹，采集时对每组明文采集n遍求平均值；通过对照光子数与汉明重量的关系确定出HW(Xi,0)和HW(Si,0)的值；由于明文di已知，即可对原始密钥k第一个字节k0的可能值集合进行分析；对于8位的k0而言，所有可能的取值有256种，其中k0＝0,1,2……255，分别和明文分组di的第一个字节di,0进行异或运算，筛选出异或运算结果的汉明重量等于HW(Xi,0)的密钥，得到一个密钥可能值集合k'0；再对k0可能值即集合k0'中的各元素和di,0异或的结果进行S盒变换操作，进一步得到S盒变换后值的汉明重量与HW(Si,0)相等的密钥可能值，即得到进一步缩小范围的密钥可能值集合k'0'；通过上述两步的筛选，k0可能的密钥值数量大大减少；如果k0密钥可能值集合k0”的元素个数大于1，则继续使用其它不同的明文，重复进行上述两步操作，对得到的密钥可能值集合k0”与上条明文确定的密钥可能值集合k0”进行求交集运算，产生新的密钥可能值集合，直到密钥可能值集合的元素个数为1，得出密钥k0；B‑2、对密钥k其他字节进行分析：通过对密钥k的其它字节重复进行步骤B‑1的操作，直至得出全部密钥。