CN102904716A - 一种抗侧信道攻击的对策方法 - Google Patents

Abstract

本发明涉及一种抗侧信道攻击的对策方法。根据本发明，提供了一种抗侧信道攻击的对策方法，该方法包括执行分组密码算法来屏蔽中间变量，其中分组密码算法包括一个或多个非线性函数，其特征在于使用适当匹配函数来实施至少一个非线性函数。

Description

一种抗侧信道攻击的对策方法

技术领域

本发明涉及一种用于分组密码的抗侧信道攻击的对策方法，尤其，但不排他地，涉及一种使用适当匹配(match-in-place)函数的对策方法。

背景技术

现今使用的许多现有加密算法，比如最广泛使用的‘高级加密标准(AES)’的加密算法易受差分功率分析(DPA)的攻击。DPA是侧信道攻击，其主要在于，首先测量当执行密码算法时微处理器的功率消耗然后执行统计分析以便恢复在用于加密的密码算法中使用的秘密密钥。一旦秘密密钥已经确定，就可能解密经加密的信息。

微处理器的电磁放射也可以被测量并利用以确定在用于加密的密码算法中使用的秘密密钥。

为保护抗DPA的秘密密钥算法的常见技术包括利用随机掩码(mask)来屏蔽(mask)每一个中间变量。然后，屏蔽的数据和随机掩码可以被独立地处理并且最终在算法结束时重新结合。试图分析微处理器在单个点处功率消耗的攻击者会获得随机值(随机数据值和随机掩码值)；因此，这种屏蔽对于抵抗一阶DPA将是安全的。

屏蔽对策由用于保护给定的敏感变量的随机掩码的数量进行表征；具有d个随机掩码的屏蔽称作d阶屏蔽。d阶屏蔽只能通过(d+1)阶侧信道分析进行破解，即，需要同时处理d+1个变量的攻击。破解一种对策所需要的执行数量随着阶数d而指数地增长。因此，阶数d是良好的安全准则。然而，实际上最有效的对策是仅阶数d＝1。

已示出了二阶DPA攻击来对屏蔽的数据进行解密是可能的。因此，为了获得对数据的完全安全的加密，需要更好的对策。

对策中的进一步的发展已经实现；最新的抗信道攻击的对策中的一个是具有阶数d＝2的对策。

对于任何屏蔽对策来说，最主要的困难是保护算法的非线性部分；对于高级加密标准(AES)来说，算法的非线性部分实质上是SBOX函数。使用的技术包括针对每个SBOX查找在整个SBOX函数上进行迭代，利用被实施为子例程的比较算法。为每个SBOX输入调用该比较算法，可以示出该对策可以抵抗任何二阶侧信道攻击。

然而因为在执行期间需要许多操作并且在执行期间也使用许多微处理器存储器，这样的屏蔽对策效率低下。

本发明的目的是避免或减缓上述缺点的至少一些。

发明内容

根据本发明，通过一种抗侧信道攻击的对策方法来实现这些目的，该方法包括执行分组密码算法来屏蔽中间变量，其中分组密码算法包括一个或多个非线性函数，其特征在于使用适当匹配函数来实施至少一个非线性函数。

本发明的方法利用适当匹配函数来提高该方法的效率。使用适当匹配函数降低了为提供抗侧信道攻击的有效对策所需的操作的数量。另外，相比已知的方法，执行本发明的方法需要更少的存储器。

适当匹配函数可以是位随机化的(bit-randomized)适当匹配函数(MIPI(data；adr，b))。

可以将位随机化的适当匹配函数定义为：

其中adr是存储器中的地址，data是可存储在存储器中的地址处的变量，以及b是在data变量等于在存储器中地址adr处存在的实际数据的情况下返回的值；否则返回b的补数。b也可以是位值。

下述关系可以存在：

${\mathrm{MIP}}^I(\mathrm{data};\mathrm{adr};b)=\mathrm{MIP}(\mathrm{data};\mathrm{adr})\⊕\stackrel{\‾}{b}$

其中

是b的补数。

至少一个非线性函数可以包括compareb函数，其可以定义为：

其中x是compare_b函数的第一输入变量，且y是compare_b函数的第二输入变量，以及b是在x等于y的情况下返回的值，以便可以通过把变量x写入到存储器中的地址adr、执行位随机化的适当匹配函数以及返回MIP^I(y；adrb)来实施compare_b函数；所述位随机化的适当匹配函数，定义为：

非线性函数可以包括在SubByte(字节代替)操作中。非线性函数可以包括在AES算法的SubByte操作中。

分组密码算法可以进一步包括一个或多个线性函数。一个或多个线性函数的至少一个可以通过对函数的变量进行异或(XOR)来屏蔽。

分组密码算法可以是高级加密标准(AES)算法。

根据本发明的另一方面，提供了一种包括计算机程序的计算机可读介质，该计算机程序被配置为实施根据之前提到的方法任何之一的方法。

根据本发明的另一方面，提供一种从二阶屏蔽输入计算二阶屏蔽Sbox函数的方法，包括的步骤为：

(i)b←rand(1)

(ii)for a＝0to2ⁿ-1 do

$\left(a\right)\mathrm{write}(r_1\⊕a;\mathrm{adr})$

(b)cmp←MIP^l(r₂；adr；b)

$\left(c\right)\mathrm{Rcmp}\←(S(\tilde{x}\⊕a)\⊕s_1)\⊕s_2$

(iii)Return R_b

其中，b是表示对寄存器进行索引的随机位的变量，并且a是表示定义步骤(a)-(c)应被执行的次数的指数的变量，r₁、r₂是一对输入掩码，

是屏蔽值，其中

以及s₁、s₂是一对输出掩码，并且adr是空闲存储器地址，cmp是对寄存器进行索引的位变量并且是函数MIP^I(r₂；adr；b)的输出，R_cmp是微处理器的寄存器的寄存器地址。典型地，微处理器中至少两个寄存器R₀和R₁被使用(即，cmp可以是0或l；如果cmp＝0则第一寄存器R₀被索引/寻址，且如果cmp＝l则第二寄存器R₁被索引/寻址)。R_b是微处理器的寄存器的寄存器地址。典型地，微处理器中至少两个寄存器R₀和R₁被使用(即，b可以是0或1；如果b＝0则寄存器R₀被索引/寻址，如果b＝l则寄存器R₁被索引/寻址)。MIP^I(r₂；adr；b)是位随机化的适当匹配函数，其定义为：

根据本发明的另一方面，提供一种包括计算机程序的计算机可读介质，该计算机程序被配置为执行在前提及的计算二阶屏蔽Sbox函数的方法。

附图说明

在通过举例给出的以及附图所说明的实施例的描述的帮助下，可以更好地理解本发明，其中：

图1示出AES加密的伪代码；

图2示出AES解密的伪代码；

图3示出表格，其包括compare_b函数的原始实施和根据本发明的compare_b函数的实施所需的存储器、转储(memory transfer)的数量(预处理阶段)、XOR和转储的数量(主要阶段)，以及；

图4示出表格，其包括完全第二Rivain-Dottax-Rrouff(RDP2)算法实施所需的存储器、XOR的数量、转储的数量，其利用本发明的方法来实施compare_b函数。

具体实施方式

将详细描述在AES加密算法中本发明方法的使用。然而，应该理解本发明方法并不限于供AES加密算法使用；本发明方法可以在任何分组密码算法中使用。

AES加密算法对字节s_i，j的4×4阵列起作用，称为‘状态’(state)。对于加密，AES加密算法的每个子部分(除最后子部分外)包括以下四个阶段：

1.AddRoundKey(轮密钥加)：状态的每个字节与轮密钥k_i.j进行异或，从密钥编排得出：

$s_{i,j}\←s_{i,j}\⊕k_{i,j}$

2.SubBytes：状态的每个字节使用8位S-box函数进行更新：

s_i，i←S(s_i，i)

S-box函数被定义为：

S(x)＝Aff(Inv(x))

其中Aff是关于GF(2^R)的仿射函数，并且

Inv(x)＝x²⁵⁴

是关于GF(2⁸)的逆函数(其中0→0)。

3.ShifRows(行移位)：状态的字节以特定的偏移量在每一行中循环地移位；第一行保持不变。

4.MixColumns(列混淆)：状态的字节被逐行修改，如下：

${s^I}_{0,c}\←(02\·s_{0,c})\⊕(03\·s_{1,c})\⊕s_{2,c}\⊕s_{3,c}$

${s^I}_{1,c}\←s_{0,c}\⊕(02\·s_{1,c})\⊕(03\·s_{2,c})\⊕s_{3,c}$

${s^I}_{2,c}\←s_{0,c}\⊕s_{1,c}\⊕(02\·s_{2,c})\⊕(03\·s_{3,c})$

${s^I}_{3,c}\←(03\·s_{0,c})\⊕s_{1,c}\⊕s_{2,c}\⊕(02\·s_{3,c})$

图1中给出了用于具有128位密钥的AES加密的伪代码。字阵列‘w’包含轮密钥(k_i，i)，其是通过密钥编排算法产生的。

对于解密，每一轮(除最后一轮)包括以下操作：

1.InvShiffRows(逆行移位)：是行移位操作的逆操作(加密第3阶段)。状态的字节(在AES加密中使用的一组中间变量，如在上文第4页第18行至第5页第8行中定义的)以特定的偏移量在每一行中循环地移位；字节的第一行保持不变。

2.InvSubBytes(逆字节代替)：是字节代替操作的逆操作(加密第2阶段)。逆S-box(S^-1)应用于状态的每个字节，具有：

S^-1(x)＝Inv(Aff¹(x))

3.AddRoundKey(轮密钥加)：此操作等同于它自己的逆操作。

4.InvMixColumns(逆列混淆)：是列混淆操作的逆操作(加密第4阶段)。状态的字节被逐列地修改，如下：

${s^I}_{0,c}\←(0e\·s_{0,c})\⊕(0b\·s_{1,c})\⊕(0d\·s_{2,c})\⊕(09\·s_{3,c})$

${s^I}_{1,c}\←(09\·s_{0,c})\⊕(0e\·s_{1,c})\⊕(0b\·s_{2,c})\⊕(0d\·s_{3,c})$

${s^I}_{2,c}\←(0d\·s_{0,c})\⊕(09\·s_{1,c})\⊕(0e\·s_{2,c})\⊕(0b\·s_{3,c})$

${s^I}_{3,c}\←(0b\·s_{0,c})\⊕(0d\·s_{1,c})\⊕(09\·s_{2,c})\⊕(0e\·s_{3,c})$

逆密码的伪代码在图2中给出。

最终，轮密钥编排(k_i，j)基于下述操作：

1.SubWord(字代替)：取四字节输入字并对四个字节中的每一个应用S-box(S(x))。

2.RotWord(字旋转)：取字[a₀；a₁；a₂；a₃]作为输入并执行循环排列来返回[a₁；a₂；a₃；a₀]。

3.Xor with Rcon(与Rcon异或)：取32位字作为输入并且将其与轮常数字阵列Rcon[i]＝[(02)^i-1；00；00；00]进行异或，其中轮l≤i≤10。参考[5]来获得密钥编排的完整描述。

正如在介绍中讨论的一样，屏蔽对策的原理是利用一个或多个随机掩码来屏蔽每个中间变量。在具有阶数d＝2的屏蔽对策的情况下，可以使用两个掩码，其提供了总共三个份额(share)。更精确地，任何状态变量p(表示为AES中的字节)被分到三个份额(p₀；p₁；p₂)中，其中：

$p=p_0\⊕p_1\⊕p_2$

其中份额p₁和p₂被称为掩码。

三个份额p₀、p₁和p₂必须以通过加密算法的执行来保存在前关系的方式进行处理。注意：轮密钥的每个字节k同样地必须分到三个份额(k₀；k₁；k₂)中使得 $k=k_0\⊕k_1\⊕k_2.$

分组密码的线性部分很容易处理。当下述情况时，函数f可称为线性的：

$f(x\⊕y)=f\left(x\right)\⊕f\left(y\right)$ 等式(1)

于是对于这种线性函数，当给出三个份额(p₀；p₁；p₂)作为输入时，使得：

$p=p_0\⊕p_1\⊕p_2$

其足够分别地计算f(p₀)，f(p₁)和f(p₂)，并且形成等式(1)获得：

$f\left(p\right)=f\left(p_0\right)\⊕f\left(p_1\right)\⊕f\left(p_2\right)$

因此，三个输出份额f(p₀)，f(p₁)和f(p₂)是输出f(p)的有效份额。对于AES加密，AddRoundKey、ShifRows和MixColumns操作是线性函数，并且因此能够以这种方式进行处理。然而，SubBytes操作(例如在AES情况中的S-box函数)是非线性的并且必须以不同方式进行处理。

为了处理非线性操作，例如在AES情况中的S-box函数，可以如下定义算法：

S：{0；l}ⁿ→{0；1}^m

注意：对于AES来说n＝m＝8。该算法优选地包括屏蔽函数compare_b，如下进行定义：

其中x和y是compare_b函数的输入变量。

从二阶屏蔽输入计算二阶屏蔽S-box函数可以如下进行：

Input(输入)：屏蔽值

其中r₁；r₂是一对输入掩码，以及s₁；s₂∈F^m ₂是一对输出掩码。

Output(输出)：屏蔽S-box函数输出

1.b←rand(1)

2.for a＝0 to 2n-1 do

$\left(a\right)\mathrm{cmp}\←{\mathrm{compare}}_b(r_1\⊕a;r_2)$

$\left(b\right)\mathrm{Rcmp}\←(S(\tilde{x}\⊕a)\⊕s_1)\⊕s_2$

3.Return R_b

其中

r₂是compare_b函数的输入变量，于是 $\mathrm{cmp}=$ ${\mathrm{compare}}_b(r_1\⊕a,r_2)={\mathrm{compare}}_b(r_2;r_2)=b,$ 其根据需要给出 $R_b=(S(\tilde{x}\⊕r_1$ $\⊕r_2)\⊕s_1)\⊕s_2=S\left(x\right)\⊕s_1\⊕s_2.$

在该特定实施例中，当执行compare_b函数时应该注意。换句话说，compare_b(x；y)函数优选不应该通过直接计算来实施，由于在以上算法中这将等同于计算其与

相结合以给出二阶泄露。

现在将要描述实施compare_b函数以防止对

的任何一阶侧信道泄露的方法：

可想起将函数compare_b定义为：

实施的方法需要RAM中的2ⁿ位的表T。表T是如下进行预处理：

1.r₃←{0；1}ⁿ

$2.\mathrm{Fori}=0\mathrm{to}{2}^n-1\mathrm{doT}\left[i\right]\←\stackrel{\‾}{b}$

3.T[r₃]←b

这完成了预处理步骤。

在这个预处理步骤结束时，表T满足：

然后compareb函数可以如下实施：

$\mathrm{returnT}[(x\⊕r_3)\⊕y]$

在这个情况中，在计算中的所有中间变量都独立于这防止对

的任何一阶侧信i直泄露。

上述提到的compare_b的实施在本领域是已知的。不利的是，上述提到的compare_b的实施是低效的；compare_b算法需要RAM的2ⁿ个位；然而，实际上，使用RAM的2ⁿ个字节会更方便，因为原本必须使用的位访问技术对于安全的实施是麻烦的。预处理需要2ⁿ+1个转储；这种预处理必须在对RDP2算法的每次调用之前完成。然后，对compare_b的每次调用需要两个异或操作和一个转储。对于具有n＝8的AES，从而，compare_b函数在预处理期间需要RAM的256个字节和257个转储。于是，RDP2算法总共需要6·2ⁿ个异或操作，3·2ⁿ+1个转储和n+1个随机位的产生。

根据本发明的方法基于compare_b函数的不同实施，特别是使用适当匹配函数的实施。

任何处理器都具有常见指令，data←read(adr)和write(data；adr)，其在存储器中某地址adr处读取和写入某数据。在适当匹配技术中，处理器具有如下的工作的附加函数MIP(data；adr)：

换句话说，数据与在存储器位置adr处相匹配，并且地址adr处的值从未离开存储器。

在本发明中，提供了附加函数MlP^I，其是MIP函数的位随机化版本，其如下进行定义：

优选地存在下述关系：

${\mathrm{MIP}}^I(\mathrm{data};\mathrm{adr};b)=\mathrm{MIP}(\mathrm{data};\mathrm{adr})\⊕\stackrel{\‾}{b}$

使用MIP^I函数，compare_b函数可以简单地如下实施，其中adr是存储器中的空闲地址。

compare_b(x；y)：

1.Write(x；adr)

2.Return MIP^I(y；adr；b)

一旦x已经在存储器中的地址adr被写入，根据compare_b函数的需要，如果x＝y，则MIP^I(y，adr；b)函数返回b，否则返回

使用MIP^I函数，从二阶屏蔽输入计算二阶屏蔽S-box函数将变为如下所述：

Input(输入)：屏蔽值

一对输出掩码s₁；

空闲存储器地址adr。

Output(输出)：屏蔽S-box函数输出

1.b←rand(1)

2.for a＝0 to 2ⁿ-1 do

$\left(a\right)\mathrm{write}(r_1\⊕a;\mathrm{adr})$

(b)cmp←MIp^I(r₂；adr；b)

$\left(c\right)\mathrm{Rcmp}\←(S(\tilde{x}\⊕a)\⊕s_1)\⊕s_2$

3.Return R_b

基于MIP^I函数的compare_b函数的实施，满足与原始compare_b函数实施相同的特性；也就是说所有的中间变量都独立于

注意，随机化函数MIP^I(y；adr；b)更可取。如果使用函数MIP(y；adr)作为代替(通过首先计算MIP(y；adr)然后返回M[P

那么实施将不安全，因为中间变量MIP(y；adr)并不是独立于

图3示出比较compare_b函数的原始实施与根据本发明的compare_b函数的实施的效率(即，使用MIp^I函数)的表。很明显，根据本发明需要更少的操作和更少的RAM来实施compare_b函数。

图4示出比较原始实施的屏蔽算法和根据本发明实施的屏蔽算法的效率(即，使用MlP^I函数)的表。对于具有n＝8的AES，本发明需要RAM的1个字节(而不是2n)，1024个异或(而不是1536)和512个转储(而不是769)。如果异或和转储具有相同的成本，则本发明的变体比原始实施快了33％。因此，对于相同的安全等级，本发明提供需要更少RAM的更快的对策。

对于描述的本发明实施例的各种修改和变化对本领域的技术人员是显而易见的而不背离附加权利要求中所定义的本发明的范围。尽管已经结合特定的优选实施例描述了本发明，可以理解，所要求的发明不应该过度地限制于这样特定的实施例。

Claims (11)

1.一种抗侧信道攻击的对策方法，该方法包括执行分组密码算法来屏蔽中间变量，其中分组密码算法包括一个或多个非线性函数，其特征在于使用适当匹配函数来实施至少一个非线性函数。

2.根据权利要求1的方法，其中所述适当匹配函数是位随机化的适当匹配函数(MIP^I(data；adr，b))。

3.根据权利要求2的方法，其中将位随机化的适当匹配函数定义为：

其中adr是存储器中的地址，data是可存储在存储器中地址处的变量，以及b是在data变量等于在存储器中地址adr处存在的实际数据的情况下返回的值；否则返回b的补数。

4.根据权利要求3的方法，其中 ${\mathrm{MIP}}^I(\mathrm{data};\mathrm{adr};b)=\mathrm{MIP}(\mathrm{data};\mathrm{adr})\⊕\stackrel{\‾}{b}$ 其中

是b的补数。

5.根据权利要求2的方法，其中至少一个非线性函数包括compare_b函数，其定义为：

其中x是compare_b函数的第一输入变量，且y是compare_b函数的第二输入变量，以及b是在x等于y的情况下返回的值，且

是在x不等于y的情况下返回的值，以使得可以通过把变量x写入到存储器中的地址adr、执行位随机化的适当匹配函数以及返回MIP^I(y，adr，b)来实施compare_b函数；所述位随机化的适当匹配函数定义为：

6.根据权利要求1的方法，其中，非线性函数包括在SubByte操作中。

7.根据权利要求1的方法，其中所述分组密码算法进一步包括一个或多个线性函数，其中所述一个或多个线性函数中的至少一个通过对函数的变量进行异或来加密。

8.根据权利要求1的方法，其中所述分组密码算法是高级加密标准(AES)算法。

9.一种包括计算机程序的计算机可读介质，该计算机程序被配置来实施根据权利要求1的方法。

10.一种从二阶屏蔽输入计算二阶屏蔽Sbox函数的方法，包括如下的步骤：

(i)b←rand(1)

(ii)for a＝0 to 2ⁿ-1 do

$\left(a\right)\mathrm{write}(r_1\⊕a;\mathrm{adr})$

(b)cmp←MIP^I(r₂；adr；b)

$\left(c\right)\mathrm{Rcmp}\←(S(\tilde{x}\⊕a)\⊕s_1)\⊕s_2$

(iii)Return R_b

其中，b是表示对寄存器进行索引的随机位的变量，并且a是表示定义步骤(a)-(c)应被执行的次数的指数的变量，r₁、r₂是一对输入掩码，

是屏蔽值，其中

并且s₁、s₂是一对输出掩码，且acr是空闲存储器地址，cmp是对寄存器进行索引的位变量并且是函数MIP^I(r₂；adr；b)的输出，且R_cmp和R_b均是微处理器的寄存器的寄存器地址，并且其中，MIP^I(r₂；adr；b)是位随机化的适当匹配函数，定义为：

11.一种包括计算机程序的计算机可读介质，该计算机程序被配置来执行根据权利要求10的方法。

Images