集成学习的能量分析攻击研究

在针对密码芯片的攻击中,能量分析攻击是一种行之有效的攻击方式。传统的能量分析攻击以差分能量分析攻击(Differential Power Analysis,DPA)、相关功耗分析攻击(Correlation Power Analysis,CPA)、模板攻击(Template Attacks,TA)为主。随着科技的进步,机器学习迈入时代舞台。越来越多的能量分析攻击也开始基于机器学习实现,而集成学习是机器学习中一种有效的方法。集成学习可以综合多种机器学习算法,产生效果更优的能量分析攻击。本文首先对能量分析攻击及机器学习算法进行研究;其次,实现了基于支持向量机、随机森林等多种机器学习的能量分析攻击;最后,利用集成学习投票法生成组合攻击模型,并对各种攻击模型进行测试比对。实验结果表明,集成学习效果在绝大多数情况下,优于单一机器学习攻击效果;不同的集成学习组合效果不同,当机器学习算法原理相近时,会导致集成学习效果不佳。

面向格密码的能耗分析攻击技术

量子计算的飞速发展对传统密码的安全性带来巨大挑战,Peter Shor提出的量子计算模型下分解整数和计算离散对数的多项式时间算法对基于传统数论难题的密码系统构成了威胁.美国国家标准与技术研究院(NIST)于2016年开始征集后量子公钥密码算法标准,其中,大多基于格、基于哈希、基于编码、基于多变量这四种密码体制,而基于格的密码体制在其公钥尺寸、计算效率和安全性方面具有更好的平衡性,所占比例最大.然而,格密码的实现在实际环境中易遭受能耗分析攻击(Power Analysis Attacks).能耗分析攻击是利用密码设备运行过程中产生的功耗、电磁等信息,攻击者建立这些旁路信息与密码算法中间值之间的联系从而恢复密钥等敏感信息.自从能耗分析攻击出现以来,该类攻击手段严重威胁了密码系统的安全.随着量子计算的发展,后量子密码的安全性日益成为密码研究的热点,特别地,近期NIST公布了最新轮的后量子密码算法,作为占据比例最多的格密码,其侧信道安全性也受到了学术界的广泛关注.本文针对格密码的能耗分析攻击技术从攻击模型、攻击目标、攻击条件开展研究,分析了面向格密码的攻击原理、格密码的各个算子的侧信道安全性,重点介绍了适用于NIST第三轮格密码的攻击技术,以及相应防护方案的攻击技术,最后讨论了现有面向格密码的能耗分析攻击面临的问题及未来研究方向.

RISC-V随机化过程的抗功耗分析攻击设计

提出了一种基于随机化过程来抵御功耗分析攻击的方法。该随机化过程综合采用3种手段:在指令执行过程中,随机生成并插入与上一条真实指令相似的虚拟指令,使得插入的随机功耗与上条真实指令相近以避免被准确分析功耗;在指令执行、写回阶段插入一个随机延时来混淆指令执行时间以避免被准确定位;通过4种不同频率的时钟随机切换来对系统时钟进行扰乱以混淆瞬时功耗。基于CV32E40P处理器实现了该方法并通过相关功耗分析攻击进行实验,实验结果表明得到的最高相关性系数为0.139,比原处理器低0.641,该方法大大提高了处理器的抗功耗分析攻击能力。

针对基于SM3的HMAC的能量分析攻击方法

现有基于SM3的HMAC的能量攻击方法,仅适用于同时存在汉明重量和汉明距离信息泄露的攻击对象,如果被攻击对象存在单一模型的信息泄露,则这些方法均不适用。针对该局限性,提出了一种针对SM3的HMAC的能量分析新型攻击方法,该新型攻击方法每次攻击时选择不同的攻击目标和其相关的中间变量,根据该中间变量的汉明距离模型或者汉明重量模型实施能量分析攻击,经过对SM3密码算法的前4轮多次实施能量分析攻击,将攻击出的所有结果联立方程组,对该方程组求解,即可推出最终的攻击目标。通过实验验证了该攻击方法的有效性。由于所提方法不仅可以对同时存在汉明重量和汉明距离信息泄露的对象进行攻击,而且还可以对仅存在单一信息泄露模型的对象进行攻击,所以该方法应用的攻击对象比现有的攻击方法应用更广。

针对基于SM3的HMAC的互信息能量分析攻击

提出了对应的互信息能量分析攻击,该方法结合了能量分析的基本原理和信息论的基础,利用能量泄露的中间值和能量迹计算两者的互信息大小,从而达到提取密钥的目的。利用该方法针对基于SM3的HMAC算法进行了实测攻击,实验表明,该方法可以成功恢复出SM3算法初始状态从而提取出正确的密钥,扩展了侧信道攻击的方法。

针对AES密码算法的多点联合能量分析攻击

针对AES密码算法的单个信息泄露点能量分析攻击,传统攻击方法没有尽可能多地利用算法和能量曲线中对攻击有用的信息,导致这种攻击存在所需曲线条数多、攻击信息利用率低等诸多问题。提出一种针对AES密码算法的多点联合能量分析攻击方法,并以相关性能量分析攻击为例,给出详细的攻击过程。攻击的同时选择轮密钥加和字节变换作为能量分析攻击的中间变量,构建关于该变量的联合能量泄露函数,实施多点联合的相关性能量分析攻击。针对智能卡上软实现的AES密码算法,分别进行联合能量分析攻击,针对轮密钥加和字节变换单个信息泄露点的相关性能量分析攻击实验,实验结果不仅验证了本攻击方法的有效性,而且证实联合能量分析攻击相比针对单个信息泄露点的能量分析攻击具有成功率高、所需攻击曲线条数少等优点。

针对SM4轮输出的改进型选择明文功耗分析攻击

Wang等通过攻击时引入固定数据,在2013年的CIS上提出了针对SM4密码算法选择明文功耗分析攻击,但该方法存在选择明文次数、采集功耗信号曲线次数和条数多的问题,攻击过程复杂。分析发现该固定数据和轮子密钥之间的相关性可用于恢复轮子密钥,为此提出针对SM4密码算法轮输出的改进型选择明文功耗分析攻击。攻击时选择特殊的明文采集功耗信号曲线,将固定数据作为攻击目标,利用攻击出的固定数据来破解轮子密钥,实验验证了该方法的有效性。使用此方法进行攻击,不仅可以降低选择明文次数、采集功耗信号曲线次数和条数,提高攻击效率,而且还可应用于针对SM4密码算法线性变换的选择明文攻击。

针对SMS4轮输出的选择明文能量分析攻击

提出了针对SMS4轮输出的选择明文能量分析攻击,攻击时以一定约束条件选择明文,先攻击出轮迭代函数的输出,再由轮迭代函数的输出反推出对应的轮子密钥,从而实现了以轮输出作为中间数据对SMS4的能量分析攻击,并利用该方法对无防护SMS4算法的能量曲线进行了能量分析攻击,实验表明该攻击方法是行之有效的。

Piccolo相关性功耗分析攻击技术研究

为了评测轻量级密码算法Piccolo抗功耗分析攻击的能力,提出一种针对首轮的功耗分析攻击模型,搭建了功耗模拟采集平台,对该算法进行了相关性功耗分析攻击.针对Piccolo算法首轮运算中包含白化密钥和轮置换操作的特点,将首轮相关攻击密钥(包括轮密钥RK0L、RK0R、WK0、WK1)分成6段子密钥,逐个完成各段子密钥的攻击,将80位种子密钥的搜索空间从280降低到(2×220+2×24+2×28+216),使种子密钥的恢复成为可能.攻击结果表明,只需500条功耗曲线即可恢复首轮攻击密钥,由此可见,未加任何防护措施的Piccolo硬件实现极易遭受相关性功耗分析攻击,研究并采取切实有效的防护措施势在必行.据现有资料,这是首次评估Piccolo密码算法在相关性功耗分析攻击方面的安全性.

基于SM3的动态令牌的能量分析攻击方法

提出一种针对基于SM3的动态令牌实施的能量分析攻击新方法,首次提出选择置换函数的输出作为能量分析攻击的目标,并将攻击结果联立得到方程组。根据给出的逆置换函数求解方程组,即可破解最终的密钥。通过实测攻击实验,验证了该攻击方法的有效性,这就很好地解决了直接选择密钥作为能量分析攻击目标所产生的问题,同时,引入中间变量作为能量分析攻击目标破解密钥方法,还可以应用于针对其他密码算法的能量分析攻击中。

等功耗编码算法的改进实现及抗功耗分析攻击研究

等功耗编码算法是一种既能提高算法效率,又能提高抗功耗分析攻击安全性的算法,但由于伪操作设计缺陷,原型算法在全零段时存在抗攻击弱点。经过对伪操作重新设计的优化改进,算法的安全性得到进一步加强。同时还给出了一种使用蒙哥马利算法的快速算法实现,在进一步提高算法效率的同时,并未削弱其安全性。在功耗测试平台上的实测结果也验证了该改进算法抗功耗分析攻击的有效性。

针对SM4密码算法的多点联合能量分析攻击

目前针对SM4密码算法的能量分析攻击,均属于单点能量分析攻击.由于单点能量分析攻击没有利用密码算法及单条能量信号曲线中所有和密钥相关的信息,所以单点能量分析攻击存在攻击所需样本较多、攻击信息利用率低的问题.针对单点能量分析攻击存在的问题,提出了针对SM4密码算法的多点联合能量分析攻击方法,攻击时同时选择SM4密码算法中和密钥相关的多个信息泄露点,根据泄露点对应的中间变量和能量泄露模型,构造多点联合能量泄露函数,即多点联合能量分析攻击出SM4密码算法的密钥.实验不仅验证了本攻击方法的有效性,而且验证了本攻击方法相比单点能量分析攻击方法提高了能量分析攻击成功率,减少能量分析攻击的曲线条数,提高能量分析攻击效率.根据该新方法的特点,该新型攻击能量分析攻击方法还可以用于针对其他密码算法的能量分析攻击.

功耗分析攻击中的功耗与数据相关性模型

在对密码设备进行功耗分析攻击时,攻击者需要建立密钥或者与密钥关联的数据值与被攻击设备的功耗相关性模型,藉此通过对功耗的分析破解出敏感信息。从攻击者的角度对器件功耗物理特性分析的基础上,重构了汉明距离模型和汉明重量模型,并从理论上证明了汉明重量模型的正确性,并建立起MCU功耗采集平台,验证了汉明重量模型的有效性和实用性。

基于模板的光辐射分析攻击

根据密码芯片光辐射的数据相关性,利用时间相关单光子计数技术搭建了光辐射分析实验平台,对基于模板的光辐射分析攻击进行分析。通过对光辐射迹进行模板刻画、构建策略和匹配方法的讨论,结合密码芯片光辐射的数据相关性,采用基于光辐射汉明重量模型的方法进行模板构建,并选取高级加密标准(AES)加密算法第一轮加密的S盒输出作为攻击点,结果表明基于该方法的模板匹配相较汉明距离等其他模型具有更加精确的匹配度。成功实施基于模板的光辐射分析攻击。

SM4密码算法的频域能量分析攻击

SM4算法是我国第一个公开的商用密码分组算法,自算法公布以来,国内外学者对其进行了一系列的包括侧信道攻击在内的密码分析攻击研究。目前文献研究的侧信道能量攻击主要是通过对携带敏感信息的能量信号进行时域上的分析从而恢复出密钥。但纯时域信号的分析处理有其局限性,如时域上能量信号的对齐处理就是能量分析攻击的关键因素之一,其处理结果的好坏将直接影响到侧信道攻击的成功率。为了消除能量侧信道泄露信号的时域对齐对能量分析攻击影响,文章提出了频域上的能量分析攻击。在频域上分析攻击不仅可行,还可利用其特性来消除时域上信号未对齐而对能量分析攻击成功率的影响。文章以在FPGA上硬实现的SM4算法为例,在时域、频域均无对齐处理的方式下,成功实现了对SM4密码算法的频域能量分析攻击,验证了频域上能量分析攻击的可行性。

ZUC序列密码算法的选择IV相关性能量分析攻击

为了分析ZUC序列密码算法在相关性能量分析攻击方面的免疫能力,该文进行了相关研究。为了提高攻击的针对性,该文提出了攻击方案的快速评估方法,并据此给出了ZUC相关性能量分析攻击方案。最后基于ASIC开发环境构建仿真验证平台,对攻击方案进行了验证。实验结果表明该方案可成功恢复48 bit密钥,说明ZUC并不具备相关性能量分析攻击的免疫力,同时也证实了攻击方案快速评估方法的有效性。相比Tang Ming等采用随机初始向量进行差分能量攻击,初始向量样本数达到5000时才能观察到明显的差分功耗尖峰,该文的攻击方案只需256个初始向量,且攻击效果更为显著。

功耗分析攻击中机器学习模型选择研究

根据密码芯片功耗曲线的特性,对支持向量机、随机森林、K最近邻、朴素贝叶斯4种机器学习算法进行分析研究,从中选择用于功耗分析攻击的最优算法。对于机器学习算法的数据选取问题,使用多组数量相同但组成元素不同的数据集的十折交叉验证结果进行模型选择,提高测试公平性及测试结果的泛化能力。为避免十折交叉验证过程中出现测试集误差不足以近似泛化误差的问题,采用Friedman检验及Nemenyi后续检验相结合的方法对4种机器学习算法进行评估,结果表明支持向量机是适用于功耗分析攻击的最优机器学习算法。

基于滑动平均的能量分析攻击研究与实现

在能量分析攻击中,为了提高攻击效率,减少噪声的影响,越来越多的预处理方法被使用,取得了很多显著的效果。该文以在ATmega16上运行的AES-128算法作为攻击目标,对采集的原始能量曲线进行滑动平均滤波,再通过相关能量分析(Correlation Power Analysis,CPA)攻击确定滑动平均滤波的最优参数。通过与原始数据和经过Hanning窗低通滤波器滤波后的数据对比,可以看出经过滑动平均滤波处理后,使用正确密钥所得的CPA相关系数较原始数据或低通滤波处理后所得系数大,而错误密钥所得相关系数小。经过滑动平均处理后,不仅可以发现AES-128的10轮加密过程,而且经过差分能量分析攻击所得的尖峰较原始的更为明显。实验结果表明经过滑动平均滤波预处理后,能量分析攻击的效率可明显提高。

ECC抗功率分析攻击的等功耗编码算法

可以抵抗功率分析攻击的椭圆曲线密码算法往往效率较低。针对该问题,将等功耗编码的思想应用到椭圆曲线密码标量乘法运算过程中,通过消除标量乘运算中的功耗差异,掩盖相关密钥信息,达到抵抗功率分析攻击的目的。理论分析结果表明,与二元法抗功耗攻击算法和NAF窗口法抗功耗攻击算法相比,改进算法的执行效率较高。

基于Hamming weight和泄漏光子数的高级加密标准密码芯片光辐射分析攻击

通过研究密码芯片运行时的光辐射迹及其数据依赖性,建立了操作数汉明重量与泄漏光子数的对应关系,提出了一种简单有效的针对高级加密标准(AES)加密算法的密码芯片光辐射分析方法.根据密码芯片运行时的光泄漏特性,利用时间相关单光子计数技术搭建了光辐射分析攻击实验平台,在AES加密算法执行第一次的轮密钥加操作后和字节替换操作后分别进行光泄露信号采集,对基于操作数Hamming weight和AES密码芯片泄漏光子数对应关系的密钥分析攻击方法的有效性进行了实验验证,通过选择几组明文成功地破解了AES加密算法的密钥.实验结果表明,当密码芯片的泄露光子数与操作数的汉明重量呈近似线性关系时,该种光辐射密钥分析攻击方法对AES密码芯片的安全性构成了严重的威胁.