An Efficient AES 32-Bit Architecture Resistant to Fault Attacks

The Advanced Encryption Standard cryptographic algorithm,named AES,is implemented in cryptographic circuits to ensure high security level to any system which required confidentiality and secure information exchange.One of the most effective physical attacks against the hardware implementation of AES is fault attacks which can extract secret data.Until now,a several AES fault detection schemes against fault injection attacks have been proposed.In this paper,so as to ensure a high level of security against fault injection attacks,a new efficient fault detection scheme based on the AES architecture modification has been proposed.For this reason,the AES 32-bit round is divided into two half rounds and input and pipeline registers are implemented between them.The proposed scheme is independent of the procedure the AES is implemented.Thus,it can be implemented to secure the pipeline and iterative architectures.To evaluate the robustness of the proposed fault detection scheme against fault injection attacks,we conduct a transient and permanent fault attacks and then we determine the fault detection capability;it is about 99.88585%and 99.9069%for transient and permanent faults respectively.We have modeled the AES fault detection scheme using VHDL hardware language and through hardware FPGA implementation.The FPGA results demonstrate that our scheme can efficiently protect the AES hardware implementation against fault attacks.It can be simply implemented with low complexity.In addition,the FPGA implementation performances prove the low area overhead and the high efficiency and working frequency for the proposed AES detection scheme.

Fault Attack on the Balanced Shrinking Generator

Fault analysis, belonging to indirect attack, is a cryptanalysis technique for the physical implementation of cryptosystem. In this paper, we propose a fault attack on the Balanced Shrinking Generator. The results show that the attacker can obtain the secret key by analyzing faulty output sequences which is produced by changing control clock of one of Linear Feedback Shift Registers （LFSR）. Therefore, the balanced shrinking generator has a trouble in hardware implementation.

一种DEFAULT密码算法抵抗差分故障攻击新方法

针对DEFAULT轻量级分组密码算法无法抵抗差分故障攻击的问题,利用横向混淆和线性码提出一种抵抗差分故障攻击的方法。该方法在算法实现冗余部分针对算法结构使用横向混淆(或纵向隐藏)的方式实现,并结合[10,4,6]线性码的1 bit纠错和4 bit检错能力对每个S盒进行防护。研究结果表明,该方法不仅提供了对算法半字节的纠错和所有比特位的检测能力,而且仅需要约25.08%的额外软件实现性能消耗。相较于已有的防护方法,该方法在通用性、故障检测效果及实现代价方面均有明显优势。

SKINNY的差分故障攻击与ForkAE的密钥恢复攻击

作为LWC竞赛的候选算法之一,ForkAE是基于叉形密码结构的一系列轻量级认证加密算法,其中使用的加密原语为轻量级可调分组密码族SKINNY.本文首先给出了一种对SKINNY族内各算法进行差分故障攻击的方法.对于SKINNY-64-64和SKINNY-64-128,在算法倒数第三轮注入随机半字节故障,理论上平均通过2.32次随机半字节故障注入即可得知连续两轮共4个半字节的信息.通过对多个位置的信息获取,理论上平均通过9.23次随机半字节故障注入即可恢复单轮的64 bit轮密钥,结合密钥扩展算法即可恢复全部64 bit的主密钥.利用类似的方法攻击SKINNY-128-128和SKINNY-128-256,在算法倒数第三轮注入随机字节故障,理论上平均通过2.4次随机字节故障注入即可得知连续两轮共4个半字节的信息,平均通过9.56次随机字节故障注入即可恢复128 bit的主密钥.攻击SKINNY-64-192或SKINNY-128-384时需要额外对倒数第五轮进行攻击,分别需要18.52次随机半字节故障注入和19.18次随机字节故障注入.在对SKINNY完成的差分故障分析的基础上,本文给出了一种对ForkAE进行密钥恢复的方法,理论上仅需要1次对故障加密机的询问即可恢复ForkAE的主密钥.

具有故障概率分析功能的故障注入攻击平台的设计与应用

针对故障攻击中数据需求量大、方法可移植性不强、抗噪性不强、计算复杂度高等问题,设计了一套具有故障概率分析功能的故障注入攻击平台。该平台由攻击目标、故障注入控制器、示波器监控模块和数据采集处理模块构成。利用该平台以MCU密码靶为攻击对象,开展了故障注入攻击教学与探索性实验。借助该平台展示各型故障注入攻击的密钥恢复过程,可以使学生更好地掌握故障攻击、泄漏测量和评估技术,培养学生的实践动手能力及知识综合运用能力。

侧信道攻击与防御技术研究进展

侧信道攻击利用密码实现的物理泄露而不是理论弱点来恢复密钥,对密码系统的安全实现有严重的现实威胁.密码设备运行时所产生的能量、电磁、缓存和故障输出等侧信息均可能导致密钥信息泄漏,攻击者通过分析侧信息中与密钥相关的特征点来获取密钥信息.为了应对侧信道攻击,侧信道防御技术和抗泄漏密码学也成为研究的热点问题.前者的总体思路在于消除侧信息泄漏或者消除秘密信息与所泄漏侧信息之间的相关性,而后者旨在准确量化密码系统执行过程中的侧信息泄漏,进而构造具有抗泄漏安全性的密码方案.本文系统地介绍了侧信道攻击与防御技术发展:首先,剖析了时序攻击、能量分析攻击、缓存攻击和故障攻击的基本原理、攻击方法、应用场景和发展现状,并提炼出每一类攻击的通用模型;其次,概括出侧信道防御技术的本质特征,并分析了侧信道防御技术的基本原理、安全模型和应用场景;之后总结了抗泄漏密码学的基本原理与发展现状,梳理了典型的抗泄漏密码方案;最后分析了现有研究工作中存在的问题,并对未来的研究方向进行了展望.

考虑针对变电站网络攻击风险的脆弱元件筛选方法

随着通信设备的广泛部署以及信息技术的不断发展,新型电力系统所面临的网络风险不可忽视。考虑攻击者从设备商提供的远程维护配置接口侵入,继而通过智能电子设备(IED)向断路器发送命令导致多条线路跳闸的过程,提出一种考虑网络风险的紧急故障筛选方法。首先,利用广义随机Petri网对变电站受到网络攻击的动态过程进行建模,计算变电站内不同异常状态的稳态概率。然后,给出电力系统所面临IED网络攻击风险的定义,并建立双层混合整数非线性模型来筛选可能被攻击的变电站、IED以及其所控制的线路。最后,基于对偶理论并结合取对数、分段线性化等线性化方法,将该双层模型转化为可由商业求解器Gurobi直接求解的单层混合整数线性优化模型。基于IEEE RTS 24节点和IEEE 118节点系统的算例分析结果验证了该方法的有效性,并证明了经典的N-K以及概率N-K双层混合整数优化模型不适用于IED网络攻击场景下的故障筛选。

PRESENT轻量级密码的中间相遇统计故障分析

PRESENT算法是于2007年在国际密码硬件与嵌入式系统会议提出的一种轻量级分组密码,2012年成为国际轻量级算法标准ISO/IEC-29192-2,适用于物联网中射频识别标签、网络传感器、智能卡等设备的数据保护.本文结合PRESENT密码的设计结构和实现特点,基于统计分析和中间相遇分析策略,提出了一种中间相遇统计故障分析方法,设计了皮尔逊相关系数-汉明重量、库尔贝克莱布勒散度-汉明重量区分器和杰卡德相似系数-汉明重量-极大似然估计等区分器,可以分别破译PRESENT密码全部版本的80比特和128比特原始密钥.该方法攻击轮数更深,故障数和耗时更少,有效地扩展了攻击范围,提升了攻击能力.结果表明,中间相遇统计故障分析对PRESENT密码构成了严重威胁.该研究为轻量级密码的实现安全研究提供了有价值的参考.

抗差分故障攻击的两方协同EdDSA签名方案

以区块链为底层技术的比特币、Libra等密码货币掀起了数字经济的浪潮.密码货币采用数字签名保证交易的可验证性和完整性,其中签名私钥确保了货币资产的所有权.若签名私钥丢失或被盗,货币资产的安全将受到严重威胁.相比于椭圆曲线数字签名算法ECDSA,基于爱德华曲线的数字签名算法EdDSA具备运算速度更快、密钥与签名空间更小等优势,被用于Libra交易单的签名.但因其是确定性签名,容易遭受差分故障攻击,造成密钥丢失或泄漏.如何抵抗这一种攻击,并设计可证明安全的EdDSA签名是一个挑战.首先定义了抗差分故障攻击的数字签名方案需满足的安全性质,利用差分故障攻击技术对EdDSA签名算法进行了分析,提出了抗差分故障攻击的EdDSA签名方案,并证明了方案满足存在不可伪造性和抗差分故障攻击性;为了降低签名私钥泄漏风险,借助Paillier同态加密技术,设计了抗差分故障攻击的两方协同EdDSA签名方案,并基于通用可组合安全模型(universally composable,UC)证明了方案的安全性;最后,对两方协同ECDSA签名算法与抗差分故障攻击的两方协同EdDSA签名算法计算复杂度分析与算法执行效率测试,验证了方案的有效性.

基于门限和环签名的抗自适应攻击拜占庭容错共识算法

共识算法作为区块链底层关键技术,可解决决策权分散的分布式系统中的一致性难题.良好的共识算法可提升系统健壮性,但大多数方案在网络故障或主动攻击下存在鲁棒性不可控、活性表现差、可扩展性不足等问题.针对上述问题,提出一种抗自适应攻击的健壮拜占庭容错共识算法(Robust Byzantine fault tolerance,RBFT).该算法利用环签名的无条件强匿名性构造排序选主算法,隐匿选举每一轮共识中的提案者,进而达到模糊敌手攻击对象、有效抵抗自适应攻击的目的.同时,通过在多轮投票中合成代表法定人数投票意愿的门限签名,将网络划分为众多最小连通性网络,以保证在最小连通性网络环境中实现低延迟、高鲁棒性的拜占庭容错共识算法.分析表明,系统在提升可扩展性、减少视图更换、降低签名验证开销的同时,能够有效保证系统活性.

旁路攻击与故障攻击的关联性研究综述

旁路攻击与故障攻击是当前应用较广泛的攻击方式。文中分析比对了其泄漏模型,并从算法层面和物理层面阐述了二者本质上的一致性。最后,从如何构建统一的物理泄漏函数模型,提出统一的物理安全测评标准,设计通用防御策略等角度分析了当前研究热点,这对从二者的关联性角度出发继续做好深入研究具有重要意义。

基于未知故障模型的多重持续故障分析

持续故障分析是2018年提出的一种新型故障分析技术,该技术引起了国内外学者的广泛关注。目前虽然已经提出了各种针对不同密码系统的相关分析方法,但针对未知故障数量的故障模型的研究仍然一片空白。然而这是一种更为实际的攻击条件,尤其在多故障时,攻击者难以控制原始值集合与故障值集合没有重合。基于此,文章提出一种相对宽松的故障模型下的多重持续故障分析模型。攻击者无需知道任何关于故障值、位置,甚至数量的信息。充分利用持续故障在所有加密过程中保持不变的特性,利用密文不同字节的结果缩小故障值范围,最终达到恢复密钥的目的。理论证明和仿真实验验证了分析模型的有效性。以AES-128算法为例,在仅密文的条件下仅使用150条密文就可以将候选密钥数量控制在很小的范围内,攻击成功率为99%以上,有效减少了所需密文数量。当频繁更换密钥后,成功通过增加循环轮数恢复密钥,显著降低了攻击难度。

基于减轮故障的SM2解密算法选择密文组合攻击

SM2系列算法是由我国自主设计的商用椭圆曲线密码算法.目前,对SM2解密算法的实现安全性分析通常遵循对椭圆曲线通用组件的研究成果,缺乏结合算法本身结构和特点而进行的实现安全性研究.同时,SM2解密算法中的哈希和验证步骤,使大部分需要利用错误输出的故障攻击方式对于SM2解密算法并不适用.针对该现状,本文根据SM2解密算法本身的特点,结合安全错误类故障攻击思想,提出了一种减轮故障与侧信道相结合的选择密文组合攻击.攻击的核心是通过故障注入改变标量乘循环的轮数,然后由侧信道分析确定故障轮数的具体取值.根据部分密钥猜测结合明文、正确密文等构建选择密文,并将其输入至具有特定故障效果的解密设备,最后通过解密设备输出验证部分密钥猜测是否正确,逐步恢复私钥.此外,文中分析了攻击对不同标量乘法以及常见防护对策的适用性.最后,本文在基于ARM Cortex M4核心的STM32F303微控制器芯片上,使用时钟毛刺注入和简单能量分析的方式对SM2解密算法进行了实际攻击实验并成功恢复出了私钥.实验结果表明,该攻击方法具有可行性和实用性.

一种抗弱曲线故障攻击的SM2数字签名算法设计

SM2数字签名算法是中国版的椭圆曲线数字签名算法,尽管该算法的设计在数学理论是安全的,但在算法的具体实现时却容易遭受物理攻击。因此,加强SM2数字签名算法在实现过程中的抗攻击性具有重要意义。本文基于故障感染思想提出了一个针对SM2数字签名算法的抗故障攻击策略,通过改变算法中的标量运算操作,使得算法遭受攻击后故障将在签名过程中扩散,从而破坏攻击者利用错误签名快速检索签名私钥的条件。实验结果表明,此防御策略不仅可以抵御弱曲线故障攻击,还可以防御弱曲线故障和二次故障注入的结合攻击。此外,本文还将椭圆曲线算法中常用点检测抗故障攻击策略和本文提出的故障感染防御策略都在现场可编程逻辑列阵上实现,对两种策略的硬件面积开销、单次签名时间开销进行比较,结果显示,本文提出的策略在硬件性能上比基于点检测的策略更优越。

A Secure Hardware Implementation for Elliptic Curve Digital Signature Algorithm

Since the end of the 1990s,cryptosystems implemented on smart cards have had to deal with two main categories of attacks:side-channel attacks and fault injection attacks.Countermeasures have been developed and validated against these two types of attacks,taking into account a well-defined attacker model.This work focuses on small vulnerabilities and countermeasures related to the Elliptic Curve Digital Signature Algorithm(ECDSA)algorithm.The work done in this paper focuses on protecting the ECDSA algorithm against fault-injection attacks.More precisely,we are interested in the countermeasures of scalar multiplication in the body of the elliptic curves to protect against attacks concerning only a few bits of secret may be sufficient to recover the private key.ECDSA can be implemented in different ways,in software or via dedicated hardware or a mix of both.Many different architectures are therefore possible to implement an ECDSA-based system.For this reason,this work focuses mainly on the hardware implementation of the digital signature ECDSA.In addition,the proposed ECDSA architecture with and without fault detection for the scalar multiplication have been implemented on Xilinxfield programmable gate arrays(FPGA)platform(Virtex-5).Our implementation results have been compared and discussed.Our area,frequency,area overhead and frequency degradation have been compared and it is shown that the proposed architecture of ECDSA with fault detection for the scalar multiplication allows a trade-off between the hardware overhead and the security of the ECDSA.

针对AKCN-MLWE算法的故障攻击

随着量子计算技术的飞速发展以及Shor算法的提出,未来成型的量子计算机将轻易求解大整数分解问题以及离散对数求解问题.由于传统公钥算法如RSA、椭圆曲线问题等其安全性均基于这些数学问题,因此该类算法面临的安全威胁也日益突出.后量子密码算法是为对抗量子计算破解而设计的一类加密算法,在近年来成为密码学研究热点.其中,基于格的后量子密码算法最为学术界广泛研究与评估.目前,密码学已经达成共识,密码算法不仅仅需要考虑算法理论安全性,同时需要考虑实现安全性,包括旁路攻击和故障攻击安全性.本文针对中国密码学会征集的第二轮后量子密码算法AKCN-MLWE提出了一种嵌入式环境下的故障攻击方法.AKCN-MLWE算法是一种基于格的公钥密码算法.本文提出的故障攻击向该算法中使用的数论转换模块(NTT)中的旋转因子注入故障并影响其输出结果.在分别针对密钥生成环节和加密环节进行故障注入后,利用有效的错误输出结果可以分别进行私钥的还原以及密文的解密.同时该故障注入并不会影响生成的公私钥对在后续通信中的使用.但是在对加密环节进行故障注入后,攻击者需要使用中间人攻击方法来维持该次通信.本文也对如何在真实环境下进行故障注入进行了讨论与实用性评估.本文所提出的故障攻击方法,在算法执行过程中仅需一次故障注入即可恢复整体私钥.最后,本文同时提出一种针对性的防御方法,在不影响实现效率的情况下可有效防止该类故障攻击的生效.

虚假数据注入攻击下多无人机韧性容错协同控制

针对同时具有虚假数据注入(false data injection,FDI)攻击与执行器故障下的多无人系统编队协同跟踪问题,提出了一种基于FDI攻击检测机制与故障观测器的韧性容错协同控制新方法。首先,以二阶非线性固定翼无人机模型作为多无人系统研究对象;其次,构建了带有概率约束的贝叶斯概率检测模型对FDI攻击进行检测,作为韧性容错协同控制器的辅助系统;之后,设计了包含执行器故障补偿的韧性容错协同跟踪控制器,并利用Lyapunov稳定性理论证明系统的渐进稳定;最后,通过仿真验证了设计的控制器针对FDI攻击与执行器故障的安全性与可靠性以及编队跟踪能力。

一种抗错误注入攻击的S盒的构造

分组密码是现代密码学的重要组成部分,而S盒又是分组密码中必不可少的非线性组件,为密码算法提供了很好的混淆作用.无论是传统分组密码中的S盒还是轻量级分组密码中的S盒都非常容易受到错误注入攻击.本文通过具有线性或非线性邻域函数的元胞自动机设计了一种可以检测两个字节错误并纠正一个字节错误的S盒,以抵抗错误注入攻击.对比Advanced Encryption Standard(AES)中的S盒,虽然密码性能有所下降,但是可以抵抗错误注入攻击.并且,本文还考虑了回旋镖均匀度这个密码安全性指标,用于衡量S盒抗回旋镖攻击的能力.

轻量级密码LEA的唯密文故障分析

基于唯密文假设,利用故障注入后中间状态值的分布特性,使用平方欧氏不平衡、汉明重量、极大似然和拟合优度等现有区分器,以及比例距离、比例距离-汉明重量和比例距离-极大似然等新型区分器对轻量级密码LEA的原始密钥的恢复进行了试验。结果表明,LEA密码不能抵御唯密文故障分析,新型区分器仅需396个故障即可破译LEA密码,成功率达99%及以上,此方法不仅有效减少了故障数,而且提高了攻击效率。研究结果可为物联网环境中具有相同结构的轻量级密码的安全设计与实现提供参考。

网络攻击下动态供应链系统数据驱动容错控制

研究了受到虚假数据注入攻击的多输入多输出非线性供应链系统(supply chain system, SCS)的无模型自适应容错控制问题。首先,对SCS生产过程进行分析,并基于等价动态线性化方法为其建立具有未知需求扰动与网络攻击输入的数据模型。其次,利用径向基函数神经网络(radial basis function neural network, RBFNN)对未知非线性函数的逼近能力,针对一个包含网络攻击的组合信号进行在线拟合,并基于优化准则技术对不确定需求及等价数据模型中时变参数进行估计。最后,设计了一种无模型自适应容错控制(model free adaptive fault tolerant control, MFAFTC)策略,并通过一个算例仿真验证了容错控制器的收敛性和有效性。