[发明专利]一种检测AES-OTR算法抵御差分故障攻击的方法

摘要

本发明提供了一种检测AES‑OTR算法抵御差分故障攻击的方法。首先保证在一个安全、未添加任何故障的环境下进行运算并输出；然后再次对此消息进行加密，在此过程中应该在人为控制加密过程中，通过改变时钟、电压、湿度等一系列操作诱导故障产生，得出错误输出。接着，通过分析，建立关于正确输出、错误输出、密钥之间的函数关系，推导出故障可能存在的位置，以此来减少密钥的猜测空间，再通过穷举法得到子密钥，再通过密钥扩展算法得到原始密钥。该方法只需要导入一个故障便可以推导出密钥，不仅易于实现、原理简单，还可以有效的保护加密机制以防遭受破坏。该方法在评测使用了AES‑OTR算法的软硬件安全系统提供了重要的理论依据。

主权项

1.一种检测AES-OTR算法抵御差分故障攻击的方法，其特征在于：包括加密部分和认证部分；所述加密部分，包括以下步骤：步骤1：随机生成要处理的明文消息，记为M；步骤2：利用AES-OTR算法处理消息M，得到正确输出和错误输出，分别记为C和C*；步骤3：根据加密过程中存在的比例，构建关于正确输出、错误输出、密钥K之间的函数f＝g(C，C*K)；步骤4：根据构造的函数，观察方程成立的比例，推断出故障导入位置，并判断导入的故障是否有效；步骤5：利用穷举法来猜测密钥，以此来缩小猜测空间，进而破解密钥；所述认证部分，包括以下步骤：步骤1：通过在最后一轮EK中导入故障，得到正确加密结果和错误加密结果，记为TE和TE*；步骤2：令MSB|C|(X)表示取二进制串X高C位的序列，τ表示标记数，TA表示未经过认证的数据标签；用得到T；步骤3：用得到T*；步骤4：判断结果是否受到差分故障攻击的影响，并且建立差分关系式，推导出故障导入的位置分析其有效性；步骤5：通过故障差分的比例关系，以此来缩小猜测空间，然后利用穷举法来猜测密钥，进而破解密钥；认证部分的故障分析公式与加密部分相似，不同的是，根据密文数目不同，得到的差分比的公式数量不同，理论上如果τ＜32比特就无法使用该方法推测出密钥，但是在AES-OTR算法中32≤τ≤128，在这个范围内，可以通过差分比例猜测密钥；具体分析如下：计算差分其中代表异或运算，ΔC为密文输出的故障差分，表示算法的第十轮S盒输入第i个索引值，F表示索引值对应的差分比例，ΔC保存于128比特的缓存区中；然后对ΔC进行差分分析及确定故障位置，具体分析如下：①有效故障：I)当第9轮第1列的中间状态差分比例为2∶1∶1∶3且ΔC1、ΔC8、ΔC11、ΔC14均不为0时，则故障导入的位置可能为第8轮的1、6、11、16；II)当第9轮只有第1列有中间状态差分时，故障导入的位置可能为第9轮的1、6、11、16；III)当第9轮第1列的中间状态差分比例为3∶2∶1∶1且ΔC2、ΔC5、ΔC12、ΔC15均不为0时，则故障导入的位置可能为第8轮的4、5、10、15；IV)当第9轮只有第2列有中间状态差分时，故障导入的位置可能为第9轮的4、5、10、15；V)当第9轮第1列的中间状态差分比例为1∶3∶2∶1且ΔC3、ΔC6、ΔC9、ΔC16均不为0时，则故障导入的位置可能为第8轮的3、8、9、14；VI)当第9轮只有第3列有中间状态差分比例时，则故障导入的位置可能为第9轮的3、8、9、14；VII)当第9轮第1列的中间状态差分比例为1∶1∶3∶2时，且ΔC4、ΔC7、ΔC10、ΔC13均不为0时，则故障导入的位置可能为第8轮的2、7、12、13；VIII)当第9轮只有第4列有中间状态差分比例时，则故障导入的位置可能为第9轮的2、7、12、13；②无效故障：I)当ΔC＝0时，说明导入的故障值等于当前位置上的原值，相当于没有导入故障，故障无效；II)当ΔC≠0时，得到的密文无法恢复密钥，则该故障为无效故障。