一种抗能量分析攻击的混沌密码系统

研究表明很多密码系统虽然通过了常规安全性能测试,但是被证明可通过侧信道攻击破解,从而破获密码系统的敏感信息.为了抵抗侧信道攻击,设计了一种基于混沌的密码系统.该密码算法用两个混沌映射分别生成轮密钥和随机序列数,中间数据由明文、轮密钥和随机序列数三者通过异或操作生成,从而达到扩大密钥空间的目的.此外,随机序列数还控制随机化操作,通过随机化操作,将中间数据与能量消耗的关系进行隐藏,减少侧信道信息的泄露,以此达到抵抗能量分析攻击的目的.为了评估设计的密码系统的安全性,首先对其进行了常规测试,例如字符频率测试、信息熵测试和依赖性测试等,实验结果表明该系统具有良好的安全性能.其次,将该加密算法在AtmelXMEGA128芯片上实现,并对其进行了相关能量分析,结果表明所提出的密码系统可以防御相关能量分析攻击.

仿真功耗采集平台下的AES能量分析攻击

理论上安全的密码算法,其算法实现也容易遭受侧信道攻击,需要评估密码算法的侧信道泄露并且加以防护。系统介绍以Primepower为核心的能量分析攻击仿真功耗采集平台的搭建过程,使用该平台采集AES密码算法加密多组不同明文的动态瞬时功耗,并使用这些功耗对AES算法成功实施了相关能量分析攻击。

针对基于SM3的HMAC的能量分析攻击方法

现有基于SM3的HMAC的能量攻击方法,仅适用于同时存在汉明重量和汉明距离信息泄露的攻击对象,如果被攻击对象存在单一模型的信息泄露,则这些方法均不适用。针对该局限性,提出了一种针对SM3的HMAC的能量分析新型攻击方法,该新型攻击方法每次攻击时选择不同的攻击目标和其相关的中间变量,根据该中间变量的汉明距离模型或者汉明重量模型实施能量分析攻击,经过对SM3密码算法的前4轮多次实施能量分析攻击,将攻击出的所有结果联立方程组,对该方程组求解,即可推出最终的攻击目标。通过实验验证了该攻击方法的有效性。由于所提方法不仅可以对同时存在汉明重量和汉明距离信息泄露的对象进行攻击,而且还可以对仅存在单一信息泄露模型的对象进行攻击,所以该方法应用的攻击对象比现有的攻击方法应用更广。

针对SM4密码算法的多点联合能量分析攻击

目前针对SM4密码算法的能量分析攻击,均属于单点能量分析攻击.由于单点能量分析攻击没有利用密码算法及单条能量信号曲线中所有和密钥相关的信息,所以单点能量分析攻击存在攻击所需样本较多、攻击信息利用率低的问题.针对单点能量分析攻击存在的问题,提出了针对SM4密码算法的多点联合能量分析攻击方法,攻击时同时选择SM4密码算法中和密钥相关的多个信息泄露点,根据泄露点对应的中间变量和能量泄露模型,构造多点联合能量泄露函数,即多点联合能量分析攻击出SM4密码算法的密钥.实验不仅验证了本攻击方法的有效性,而且验证了本攻击方法相比单点能量分析攻击方法提高了能量分析攻击成功率,减少能量分析攻击的曲线条数,提高能量分析攻击效率.根据该新方法的特点,该新型攻击能量分析攻击方法还可以用于针对其他密码算法的能量分析攻击.

针对AES密码算法的多点联合能量分析攻击

针对AES密码算法的单个信息泄露点能量分析攻击,传统攻击方法没有尽可能多地利用算法和能量曲线中对攻击有用的信息,导致这种攻击存在所需曲线条数多、攻击信息利用率低等诸多问题。提出一种针对AES密码算法的多点联合能量分析攻击方法,并以相关性能量分析攻击为例,给出详细的攻击过程。攻击的同时选择轮密钥加和字节变换作为能量分析攻击的中间变量,构建关于该变量的联合能量泄露函数,实施多点联合的相关性能量分析攻击。针对智能卡上软实现的AES密码算法,分别进行联合能量分析攻击,针对轮密钥加和字节变换单个信息泄露点的相关性能量分析攻击实验,实验结果不仅验证了本攻击方法的有效性,而且证实联合能量分析攻击相比针对单个信息泄露点的能量分析攻击具有成功率高、所需攻击曲线条数少等优点。

Grain-128同步流密码的选择初始向量相关性能量攻击

不同于分组密码,序列密码构造相对简单且大量使用线性运算,因此攻击点功耗与其他功耗成分之间往往存在较强的相关性,使得能量分析攻击难以实施。针对上述现状,提出了一种面向Grain-128同步流密码的选择初始向量(IV)相关性能量攻击方案。首先对Grain-128的输出函数h(x)进行了分析,并基于此确定了攻击点表达式;其次通过选取特定的初始向量,消除了攻击点功耗和其他功耗成分之间的相关性,从而解决了能量攻击所面临的关键问题;最后基于功耗分析工具PrimeTimePX对攻击方案进行了验证。结果表明,该方案仅需736个IV样本即可实施23轮攻击,恢复46比特密钥。

结合EDCA和CPA的容错双向选择攻击

当所设计的攻击方案带有容错功能时,往往需要在非常大的候选空间中挑出正确的密钥。如何有效地实现这个目标是侧信道攻击中非常重要且具有挑战性的问题。针对这一问题,以AES-128为目标研究了结合欧式距离增强碰撞攻击(EDCA)和相关能量分析攻击(CPA)的容错双向选择攻击。为了提高碰撞检测的成功率,提出了EDCA,与传统的相关增强碰撞攻击(CCA)相比,EDCA利用欧式距离来区分两组能量迹之间的相似性,其碰撞检测的成功率更高,从而使优化更加实用和有意义。除此之外,结合EDCA和CPA,将密钥以及对应的碰撞对做分组处理,然后进行双向筛选,得到最优的碰撞链,大大减少了候选空间,从而降低了密钥枚举的复杂性,有效地恢复密钥。实验结果表明,在低信噪比SNR=-3 dB和SNR=-6 dB的条件下,设置碰撞对的阈值ThΔ=5,所提出的方案在3000条能量迹时成功率达到98.78%和80.25%,均优于现有方案。

掩码方案中的最优预处理技术

本文旨在说明优化处理技术攻击带掩码实现的密码算法的有效性。在攻击者拥有一块可自由操控的、与待攻击密码设备硬件实现完全相同而密钥不同的设备的条件下,本文给出了利用高阶相关能量分析攻击和碰撞攻击破解密码算法掩码实现方案时的最优化处理技术。本文在接触式智能卡芯片上实现了Herbst等人提出的掩码AES算法,对于待攻击的硬件采集了5000条能耗波形,证实了两种预处理技术的有效性。

Correlation power attack on a message authentication code based on SM3

Hash-based message authentication code(HMAC)is widely used in authentication and message integrity.As a Chinese hash algorithm,the SM3 algorithm is gradually winning domestic market value in China.The side channel security of HMAC based on SM3(HMAC-SM3)is still to be evaluated,especially in hardware implementation,where only intermediate values stored in registers have apparent Hamming distance leakage.In addition,the algorithm structure of SM3 determines the difficulty in HMAC-SM3 side channel analysis.In this paper,a skillful bit-wise chosen-plaintext correlation power attack procedure is proposed for HMAC-SM3 hardware implementation.Real attack experiments on a field programmable gate array(FPGA)board have been performed.Experimental results show that we can recover the key from the hypothesis space of 2256 based on the proposed procedure.