專利名稱:一種密碼器件上防御零值功耗攻擊的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種密碼器件上防御差分功耗攻擊的方法�����,尤其是涉及一種密碼器件上防御零值功耗攻擊的方法。
背景技術(shù):
差分功耗攻擊(Differential Power Attack, DPA)是一種高效�����、低成本的密碼分析方法��,對密碼器件安全構(gòu)成重大威脅[1_4]���。為防御差分功耗攻擊�,近年來人們采用乘法性屏蔽技術(shù)[5]����,在加密過程中引入與實際處理數(shù)據(jù)不相關(guān)的另一個變量,從而使得密碼器件泄漏的功耗信息與實際處理數(shù)據(jù)相關(guān)性大大降低�,以犧牲芯片開銷和速度為代價,實現(xiàn)防御差分功耗攻擊的目的�。然而,以往改進的高級加密標(biāo)準(zhǔn)(Advanced EncryptionStandard���,AES)并不能抵御零值功耗攻擊[6]�����,另外隨著具有認證和保密能力的便攜式設(shè)備 的普遍應(yīng)用,芯片面積和電路速度越來越成為安全芯片設(shè)計的挑戰(zhàn)。因此�,高速、低芯片開銷的抗零值功耗攻擊電路單元設(shè)計已受到學(xué)術(shù)界的普遍重視���。字節(jié)代換(SubByte)模塊是AES中唯一的非線性轉(zhuǎn)換結(jié)構(gòu)����,其實現(xiàn)方式?jīng)Q定了 AES協(xié)處理器諸如尺寸�、速度和功耗方面的性能,成為差分功耗攻擊和零值功耗攻擊的主要對象m�,提高SubByte模塊防護密碼分析的能力對AES的安全性具有重要意義。
圖1是采用乘法性屏蔽技術(shù)改進了 GF(256)域求逆算法示意圖�����,進而依此提出一種改進型AES算法[5]�。然而實踐證明GF(256)域上乘法性屏蔽求逆算法存在安全漏洞,不能防御零值功耗攻擊[6]��。零值功耗攻擊為一種利用全零字節(jié)經(jīng)乘法性屏蔽模塊運算產(chǎn)生的功耗與其他輸入條件下的功耗存在顯著差異的特點��,進而采用差分功耗攻擊的策略分析出加密算法密鑰[9]的密碼分析技術(shù)�,以圖1所示GF(256)域乘法性屏蔽求逆算法結(jié)構(gòu)為例,輸入字節(jié)/ + 1 =����,其中P和k為AES每一輪加密算法對應(yīng)的輸入和密鑰字節(jié)����,X為隨機數(shù)���,若P=k�,那么有P = k =i> in = O =i> (in + X) *T + X * Y = O {in * Yy1 = O(I)由此得到的功耗與p#k條件下功耗有明顯差異��,攻擊者僅需使用差分功耗攻擊的策略從所有可能明文中找出滿足P=k的明文�����,即可分析出加密算法密鑰中一個字節(jié)�,進而破解算法的全部密鑰。為了防御零值功耗攻擊���,Oswald等人結(jié)合加法性和乘法性屏蔽技術(shù)����,提出了一種新型GF (256)域上求逆算法M���。具體過程如下設(shè)GF(256)域上的數(shù)據(jù)y可用GF(16)域上的線性多項式ahx+ai表示��,其中ah�,B1 e GF (16)�,為線性多項式的系數(shù),則y—1= (ahx+ax) 1=ah' x+a/(2)其中ah’=ahXd’⑶a/ = (ah+ax) X d'(4)d= (ah X P0) + (ahX S1) +S1(5)
d’=(T(6)其中Ptl根據(jù)從GF(256)域映射到GF(16)域生成多項式的不同而選取�����。在加法性屏蔽GF (256)域求逆算法中�����,操作數(shù)是y+mask�,其中mask為屏蔽因子。操作數(shù)映射到GF(16)域上可表示為(ah+mjx+k+n^),其中mh和Iii1為mask在GF(16)域線性多項式形式的系數(shù)��。該GF (256)域加法性屏蔽求逆算法過程如下所示((ah+mh) x+ (afm!)) ^1= (ah�,+mh) x+ (a/ +Hi1)(7)a h+mh= (ah+mh) (d,+Hi1) + (d�����,+Iii1) mh+ (ah+mh) Hi^mh X Hi^mh (8)a’ ���!+Iii1= (ah X d’ +mh) + (d' +mh) (a^m^ + (d' +mh) Hi1+ (a^m^ 1 +!] X1 +! +! (9) d+mh= (ah+mh)2 X p0+mh2 X p0+ (ah+mh) (afn^)+ (afm)2+(ah+mh) Iii1+(afm) 1 +!] X1 +! 2+! (10)其中C^m1=Cfkm1�����,可以通過GF(16)域加法性屏蔽求逆算法得到�����,計算過程與式(8廣式(10)類同��,唯一區(qū)別在于GF(4)域的求逆算法等價于該域上的平方運算�,即(d^m) ^1= (d^m) 2=d12+m2,其中 Cl1, m e GF ⑷。但是由于上述GF(256)域上求逆算法需要對運算過程中所有數(shù)據(jù)進行加法性屏蔽���,因而其計算復(fù)雜度巨大��。由式(8廣式(10)可知�����,基于GF(256)域求逆算法的計算復(fù)雜度主要集中在GF (16)域上的乘法運算上����,文獻[10]提出的改進算法通過減少GF (16)域上乘法運算的次數(shù)�����,以增加一個平方運算的代價,達到減小面積和計算復(fù)雜度的目的���,然而效果并不明顯����。參考文獻[I]陳開顏��,張鵬���,鄧高明,等.物理可觀測下DES的安全性研究[J].電子學(xué)報��,2009�,37(11) :2389-2395.Chen K Y, Zhang P. Research on the DES Physical Observable Security[J].Acta Electronica Sinica, 2009, 37(11):2389-2395.[2]臧玉亮,韓文報.線性反饋移位寄存器的差分能量攻擊[J].電子與信息學(xué)報��,2009����,31(10) :2406-2410.Zang Yu-1iang, Han ffen-bao. Differential Power Attack on LinerFeedback Shift Register[J]. Journal ofElectronics and Information Technology,2009,31(10):2406-2410.[3]Alioto M, Poli M, Rocchi S. A General Power Model of Differential PowerAnalysis Attacks to Static Logic Circuits[J].1EEE Transactions on Very LargeScale Integration(VLSI)Systems, 2010,18(5):711-724.[4] Wu K, Li H, Yu F. Retrieving Lost Efficiency of ScalarMultiplications for Resisting against Side-Channel Attacks[J]. Journal ofcomputers, 2010, 5(12):1878-1884. [5]Akkar M L, Giraud C. An Implementation of DES and AES, Secure AgainstSome Attacks[C]. Proceed of the 3rd International Workshop on CryptographicHardware and Embedded Systems, 2001:309-318.
[6]Golic J D��,Tymen C. Multiplicative Masking and Power Analysis ofAES[C]. Proceed of the 4th International Workshop on Cryptographic Hardware andEmbedded Systems�,2003:198-212.[7]Ors S B, Gurkaynak F, Oswald E�����,et al. Power analysis attack on an ASICAES implementation[J].1EEE Digital Object Identifier,2004,2:546-552.[8]Oswald E��,Mangard S, Pramstaller. A Side channel Analysis ResistantDescription of the AES S-Box[C]. Proceed of the 12th Fast Software EncryptionWorkshop, 2005:413-423.[9]趙佳��,曾曉洋��,韓軍��,等.簡化的抗零值功耗分析的AES算法及其VLSI實現(xiàn)[J] 計算機工程���,2007,33 (16) : 220-222�,233. Zhao J, Zeng X Y,Han J, et al. Simplified AES Algorithm of Resistant toZero-value Power Analysis and Its VLSI Implementation[J]. Computer Engineering,2007���,33(16) :220-222, 233.[10]Trichina E�����,Seta D�����,Germani L. Simplified Adaptive MultiplicativeMasking for AES[C]. Proceed of the 4th International Workshop on CryptographicHardware and Embedded Systems, 2003:187-197.
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種滿足所有秘密數(shù)據(jù)均被屏蔽的前提下���,整個密碼器件的芯片開銷顯著減小�����,系統(tǒng)實現(xiàn)復(fù)雜度明顯降低本發(fā)明解決上述技術(shù)問題所釆用的技術(shù)方案為一種密碼器件上防御零值功耗攻擊的方法����,其特征在于將字節(jié)代換模塊中的GF (28)有限域上的求逆運算用GF (28)域加法性屏蔽求逆運算替代�,具體過程如下首先在GF (28)有限域上進行求逆運算����,用上標(biāo)-1表示求逆運算,具體為將GF(28)域上的信號數(shù)據(jù) y 定義為{y7, y6, y5, y4, y3, Y2, Yi, yQ}���,其中 (0 彡 i 彡 7)為十進制的I轉(zhuǎn)換為8位二進制對應(yīng)第i位的系數(shù)�;將GF (24)域上的信號數(shù)據(jù)a定義為{a3, a2, a” aQ},其中a! (0彡i彡3)為十進制的a轉(zhuǎn)換為4位二進制時對應(yīng)第i位的系數(shù)���;將GF(28)域上的信號數(shù)據(jù)y用GF(24)域上的變量x表示����,記為線性多項式ahx+ai,其中ah�����,B1 G 6 (24)���,為7在6 (24)域上的線性多項式的系數(shù)����,則求逆運算y-1= (ahx+ax) _1=ah' x+a/ ,其中ah�����,=ahXd�����,, a/ = (ah+ax) Xd����,, d= (ah2Xp0) + (ahX ax) +ax2,d’ =Cf1,式中Ptl是常數(shù),根據(jù)從GF(28)域映射到GF(24)域生成的多項式計算得到�����,通過以下轉(zhuǎn)換公式將G(28)域上的信號數(shù)據(jù)映射到GF(24)域上
權(quán)利要求
1.一種密碼器件上防御零值功耗攻擊的方法,其特征在于將字節(jié)代換模塊中的GF(28) 有限域上的求逆運算用GF(28)域加法性屏蔽求逆運算替代�����,具體過程如下首先在GF(28)有限域上進行求逆運算��,用上標(biāo)-1表示求逆運算�,具體為將GF(28)域上的信號數(shù)據(jù)y定義為{y7, y6, y5, y4, y3, y2, h, yQ},其中yi (0≤i≤7)為 十進制的1轉(zhuǎn)換為8位二進制對應(yīng)第i位的系數(shù)�����;將GF(24)域上的信號數(shù)據(jù)a定義為{a3, a2, a1����; a���。},其中ai (0≤i≤3)為十進制的a 轉(zhuǎn)換為4位二進制時對應(yīng)第i位的系數(shù)�;將GF (28)域上的信號數(shù)據(jù)y用GF (24)域上的變量x表示���,記為線性多項式 ahx+ai��,其中ah�����,ax G GF (24)���,為y在GF (24)域上的線性多項式的系數(shù)�,則求逆運算 y_1= (ahx+ax) _1=ah' x+a/ ,其中ah�����,=ahXd���,, a/ = (ah+ax) Xd�,, d= (ah2Xp0) + (ahX ax) +ax2, d’ =(!'式中P(l是常數(shù)����,根據(jù)從GF(28)域映射到GF(24)域生成的多項式計算得到,通過以下 轉(zhuǎn)換公式將G(28)域上的信號數(shù)據(jù)映射到GF(24)域上
2.如權(quán)利要求1所述的一種密碼器件上防御零值功耗攻擊的方法�,其特征在于在 GF(24)域上加法性屏蔽求逆過程為將GF (24)域內(nèi)d’ +mi映射到GF (22)域上,對應(yīng)的線性多項式為V+bp其中bh���, bx G GF(22);同時將GF(24)域內(nèi)ml映射到GF(22)域上���,同理可得的線性多項式形式為 dhX+屯�����,其中 dh����,di G GF(22)��,((bh+dh) x+ (bi+di)) _1= (bh���,+dh) x+ (b/ +c)��,其中 b’ h+dh= (bh+dh) (d/ +dh) + (d/ +dh) mh+ (bh+dh) dh+dh2+dh, b’:(bh+dh) (d/ +dh) + (d/ +d)(t+dh) + (t^+dh) (bh+dh) dh+d” dx+d^ (bh+dh)2 X P+dh2 X p:+ (bh+c)(bx+dj + (t^+dh) 2+ (bh+dh) dh+ (bx+dj 其中dX���。
全文摘要
本發(fā)明公開了一種密碼器件上防御零值功耗攻擊的方法,特點是將字節(jié)代換模塊中的GF(28)有限域上的求逆運算用GF(28)域加法性屏蔽求逆運算替代�����,具體過程如下先在GF(28)有限域上進行求逆運算����,然后進行GF(28)域加法性屏蔽求逆運算,在分析傳統(tǒng)改進型高級加密標(biāo)準(zhǔn)的基礎(chǔ)上�,采用關(guān)鍵模塊復(fù)用方法,提出一種更加簡單的GF(256)域加法性屏蔽求逆算法���,優(yōu)點在于本發(fā)明的方法在保持良好抗零值功耗攻擊性能的同時��,面積開銷和電路速度更為合理�,可廣泛應(yīng)用于協(xié)處理器等對面積和速度要求苛刻同時對保密性要求較高的領(lǐng)域�。
文檔編號H04L9/06GK103001762SQ201210486450
公開日2013年3月27日 申請日期2012年11月25日 優(yōu)先權(quán)日2012年11月25日
發(fā)明者汪鵬君, 郝李鵬 申請人:寧波大學(xué)