一種密碼實現(xiàn)側信道安全性快速檢測方法
【技術領域】
[0001] 本發(fā)明提出了一種側信道區(qū)分器MPC-KSA(MultiplicationofP-valuesand CumulativepartitionbasedKolmogorov-SmirnovAnalysis)針對密碼實現(xiàn)的安全性 快速檢測方法�����,安全監(jiān)測用人員可應用該方法對密碼設備中的密碼實現(xiàn)方案實施側信道分 析��,根據是否可W檢測到私密信息�,判斷該設備的安全性�����,屬于信息安全技術領域,主要用 于分析信息安全設備相關的密碼方案設計與實現(xiàn)����。
【背景技術】
[0002] 傳統(tǒng)的密碼分析中,分析人員僅利用密碼算法的輸入����、輸出信息恢復密碼算法所 使用的密鑰?;謴兔荑€的過程中分析人員通常借助密碼算法的數學性質。然而��,隨著電子半 導體技術的發(fā)展��,密碼算法在實際應用中往往W硬件邏輯或者軟件程序的形式存在于密碼 設備中��,密碼設備在運行過程中存在不同形式關于敏感中間值的泄露信息����,如能量分析中, 通過測量能量跡作為泄露信息���,電磁分析中W電磁福射作為泄露信息����。
[0003] 在側信道分析中,分析人員可W通過差分能量分析���、相關系數能量分析等方法�,利 用待檢測設備中的某個敏感中間值和設備泄露信息之間的線性依賴關系恢復密碼所用密 鑰����。然而隨著密碼設備生產工藝的精細化����,密碼設備泄露信息與中間值之間的線性關系提 取減弱,二者之間更多的出現(xiàn)了一種非線性關系����。KSA化olmogorov-SmirnovAnalysis)是 一種基于K-S檢測化olmogorov-SmirnovTest),通過分析密碼設備泄露信息的分布特性�, 利用密碼設備泄露信息與中間值之間的線性關系與非線性關系,恢復出密碼設備所使用的 密鑰的側信道分析方法����。
[0004] 在統(tǒng)計學領域,K-S檢測是一種用于檢測兩個分布相似性大小的非參數檢測方法, 既可W用于檢測一個經驗分布于一個參考分布之間的相似性�,也可W檢測兩個經驗分布之 間的相似性。令F"(x)表示樣本容量為n時隨機變量X的經驗累積分布函數�,則F"(x)具有 如下形式:
[0005]
【主權項】
1. 一種密碼實現(xiàn)側信道安全性快速檢測方法,其步驟為: 1) 加載實際泄露值向量L����,并計算該實際泄露值向量L的經驗累積分布函數CDF;在設 定設備上運行待測加密算法對每一明文加密時產生該實際泄露值向量L中的一個實際泄 露值; 2) 按照步驟1)所述實際泄露值的排列順序對每一明文Msg進行計算�,即計算當前明文 Msg與每一密鑰猜測值k對應的假設能耗p,然后根據p和k值將該明文的序號歸入到一實 際泄露值下標分組G中第k+1行第p+1列中����; 3) 對于每一密鑰猜測值k,從該實際泄露值下標分組G中提取假設能耗非空的實際 泄露值下標分組元素G[k+1] [p+1]��,然后根據所提取元素從該實際泄露值向量L中提取對 應實際泄露值組成實際泄露值向量£���,計算該實際泄露值向量Z對應的經驗累積分布函數 CDFt;然后根據經驗累積分布函數CDF與CDFt的最大差異對應的假設機率P-value確定當 前密鑰猜測值k的得分Score[k+1]; 4) 將步驟3)中所有得分的最小值對應的k值與該待測加密算法的密鑰字節(jié)數值比較���, 判斷該設定設備上實現(xiàn)該待測加密算法是否安全。
2. 如權利要求1所述的方法���,其特征在于����,計算所述經驗累積分布函數CDF的方法為: 21) 首先對實際泄露值向量L進行排序,OrderecLUi]為排序后第i個實際泄露值的 序號�; 22) 設置一字典Die,初始下標為idx= 0,鍵Lk=Ordered_L[l]��,計數值為C= 1 ; 23) 對i= 2, 3,…�,size(L):如果Lk=Ordered_L[i],則C=C+1 ;否則在字典Dic中 加入鍵為Lk�����,值為idx的一個鍵值對���,同時Q)F[idx] =C/m,并更新Lk=Ordered_L[i]�����, idx=idx+1 ;完成對每個i的遍歷后��,在Die中加入鍵為Lk����,值為idx的一個鍵值對Die. Add(Lk�����,idx) 〇
3. 如權利要求2所述的方法����,其特征在于��,計算所述經驗累積分布函數CDFt的方法 為:
33)令CDFt[1] =Ct[1]/Num;對于ci= 2, 3,…��,size(CDF)�����,執(zhí)行CDFt[ci]=CDFt[ci_l]+Ct[ci]/Num0
4. 如權利要求1或2或3所述的方法�,其特征在于,得到所述實際泄露值向量£的方法 為: 41) 設置實際泄露值下標集合Gt并初始化為空���; 42) 對所述實際泄露值下標分組G中每一所述假設能耗p的取值�,執(zhí)行步驟43); 43) 取實際泄露值下標分組G[k+1] [p+1]��,如果不為空��,則將其歸入Gt中�����,如果G[k+1] [P+1]為空,則返回步驟42); 44) 取出Gt中對應的實際泄露值組成實際泄露值向量L�。
5. 如權利要求1或2或3所述的方法,其特征在于�����,所述假設能耗p的計算方法為:p =P(A(Msg,k))��,和P(x)為泄露值函數����,A(Msg,k)為加密過程計算中間值的算法。
6. 如權利要求1所述的方法����,其特征在于,所述實際泄露值為設定設備上實現(xiàn)待測加 密算法產生的能量泄露值或者電磁輻射值���。
7. 如權利要求1所述的方法,其特征在于�����,所述密鑰猜測值k的取值范圍為O~255。
【專利摘要】本發(fā)明公開了一種密碼實現(xiàn)側信道安全性快速檢測方法��。本方法為:1)計算實際泄露值向量L的函數CDF�,以及下標字典Dic;2)對每一明文�����,計算其與每一密鑰猜測值k對應的假設能耗p�����,根據p和k值將該明文的序號歸入到一下標分組G中第k+1行第p+1列中��;3)對于每一密鑰猜測值k���,從G中提取集合假設能耗非空的實際泄露值能量跡下標分組元素�����,然后將對應實際泄露值組成向量�,根據Dic計算對應的函數CDFt�����;然后根據CDF與CDFt的最大差異對應的假設機率確定k的得分;4)將得分最小值對應的k值與加密算法的密鑰字節(jié)數值比較�,判斷該設備上實現(xiàn)該加密算法是否安全。本發(fā)明可快速檢測設備上實現(xiàn)所測加密算法的安全性�。
【IPC分類】H04L9-06
【公開號】CN104717054
【申請?zhí)枴緾N201510075958
【發(fā)明人】周永彬, 鄭超, 鄭英顯, 高旭, 李大為, 羅鵬
【申請人】中國科學院信息工程研究所, 國家密碼管理局商用密碼檢測中心
【公開日】2015年6月17日
【申請日】2015年2月12日