CN103166752A - 选择轮函数为攻击对象进行sm4密码算法侧信道能量分析的应用 - Google Patents

Abstract

本发明公开了选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其核心在于加密/解密攻击对象为轮函数。该应用在对SM4密码算法的CPA侧信道能量分析步骤如下：(1)采集能量迹，建立采样能量消耗矩阵；(2)选择轮函数作为攻击对象；(3)确定攻击对象和模型后，猜测轮密钥，计算轮运算的中间值确定中间值矩阵；(4)中间值及中间值矩阵映射为仿真能量消耗值和仿真能量消耗矩阵；(5)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测密钥。本发明的方法提高了正确的猜测密钥与能量信息之间的相关性，增强了分析有效性和成功率。

Description

选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用

技术领域

本发明属于密码算法分析检测技术领域，具体来说是涉及在密码算法实现、侧信道能量分析、密码模块检测过程中，针对实现SM4密码算法的密码模块进行侧信道能量分析，获取受保护的密钥信息的能量分析方法，即，选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用。

背景技术

随着信息技术的发展，各种密码算法正被广泛地应用于经济、军事、行政等重要部门，保护信息的安全性。鉴于密码算法的重要性，密码算法软硬件实现(密码模块)的分析研究对保护信息安全具有重要的意义。近年来，多种对密码模块的攻击已广为人知，所有这些攻击的目的都是为了获取密码模块中的密钥。通常的攻击方式可分为侵入式攻击、半侵入式攻击和非侵入式攻击。近年来，由于非侵入式攻击中的侧信道分析实施方便、相对成本低廉而被广泛使用。侧信道分析可以细分为计时分析、能量分析和电磁分析。其中的侧信道能量分析是众多分析手段中最常用的方法之一，它突破了传统密码算法的分析模式，能力强大，实施相对容易。侧信道能量分析利用了密码模块能量消耗与数据运算和执行之间的相关性，基于密码算法实现的能量泄露函数建立能量模型，使用统计方法，猜测和验证密码模块使用的受保护密钥。侧信道能量分析方法一般包括，简单能量分析(SPA)、差分能量分析(DPA)、相关能量分析(CPA)和高阶差分能量分析(HODPA)。

其中，DPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹，这里的能量迹是指一次密码操作过程中采集到的能量消耗测量向量；对每一个猜测密钥K，产生相应的中间值(攻击对象)，根据中间值确定选择函数；通过选择函数将能量迹集划分为两个子集；分别对两个子集对应的能量消耗取平均，并对两个平均能量消耗值求差，该均值差为选择函数对应的中间值对能量迹的影响效果。根据统计理论，若K猜测不正确，当能量迹的个数N趋近无穷大时，两子集的均值差将趋近于零；若K猜测正确时，在能量迹中的某个样点，将会出现一个均值差的最大尖峰(绝对值最大值)，通过最大尖峰可确定正确的密钥。

CPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹；对每一个猜测密钥K，产生相应的中间值(攻击对象)；根据中间值建立能量模型；通过能量模型将中间值映射为仿真能量消耗；计算仿真能量消耗与能量迹之间的线性相关系数，范围在[-1，1]之间；选取相关系数中绝对值的最大值，理论上为1，但是由于采集能量迹过程中不可避免存在噪声干扰，最大值小于1，该相关系数最大值对应的猜测密钥即为正确密钥。

SM4密码算法是我国公开发布的第一个商用密码分组算法，SM4密码算法的数据分组和密钥长度均为128比特，SM4密码算法的加密算法与密钥扩展算法都采用32轮非线性迭代结构。

SM4密码算法的结构如下：

设

为加密明文，

为第i轮的算法输入，

为第i轮的轮密钥，轮函数F为：

$F(X_i,X_{i+1},X_{i+2},X_{i+3},{\mathrm{rk}}_i)=X_i\⊕T(X_{i+1}\⊕X_{i+2}\⊕X_{i+3}\⊕{\mathrm{rk}}_i)---\left(1\right)$

其中，T：是一个可逆变换，由非线性变换τ和线性变换L复合而成，即T(.)＝L(τ(.))。

τ由4个并行的S盒构成，如图1所示，设输入为

输出为 $B=(b_0,b_1,b_2,b_3)\∈{\left(Z_2^8\right)}^4,$ 则：

(b₀，b₁，b₂，b₃)＝τ(A)＝(Sbox(a₀)，Sbox(a₁)，Sbox(a₂)，Sbox(a₃))       (2)

非线性变换τ的输出是线性变换L的输入。设输入为

输出为 $C\∈Z_2^{32},$ 则：

$C=L\left(B\right)=B\&CirclePlus;(B<<<2)\&CirclePlus;(B<<<10)\&CirclePlus;(B<<<18)\&CirclePlus;(B<<<24)---\left(3\right)$

假设A_i为第i轮S盒的输入，B_i为第i轮S盒的输出、L移位的输入，C_i为第i轮L移位的输出。根据算法满足如下：

$A_i=(X_{i+1}\&CirclePlus;X_{i+2}\&CirclePlus;X_{i+3}\&CirclePlus;{\mathrm{rk}}_i)---\left(4\right)$

B_i＝τ(A_i)                                  (5)

C_i＝L(B_i)                                   (6)

$X_{i+4}=X_i\&CirclePlus;C_i---\left(7\right)$

根据上式(4)、(5)、(6)、(7)，可得第i+1轮的轮输入(X_i+1，X_i+2，X_i+3，X_i+4)，依次运算32轮，即可以得到输出密文 $Y=(Y_0,Y_1,Y_2,Y_3)=(X_{35},X_{34},X_{33},X_{32})\&Element;{\left(Z_2^{32}\right)}^4,$ 上述SM4密码算法的加密结构流程如图1所示。

SM4密码算法的密钥扩展算法与加密算法结构类似，如图2，仅线性变换L移位函数不一致。令初始加密密钥为(MK₀，MK₁，MK₂，MK₃)。

$(K_0,K_1,K_2,K_3)=({\mathrm{MK}}_0\&CirclePlus;{\mathrm{FK}}_0,{\mathrm{MK}}_1\&CirclePlus;{\mathrm{FK}}_1,{\mathrm{MK}}_2\&CirclePlus;{\mathrm{FK}}_2,{\mathrm{MK}}_3\&CirclePlus;{\mathrm{FK}}_3)---\left(8\right)$

其中，(FK₀，FK₁，FK₂，FK₃)为已知常量。

${\mathrm{rk}}_i=K_{i+4}=K_i\&CirclePlus;T^{\&prime;}(K_{i+1}\&CirclePlus;K_{i+2}\&CirclePlus;K_{i+3}\&CirclePlus;{\mathrm{CK}}_i)=K_i\&CirclePlus;L^{\&prime;}\left(\mathrm{\&tau;}(K_{i+1}\&CirclePlus;K_{i+2}\&CirclePlus;K_{i+3}\&CirclePlus;{\mathrm{CK}}_i)\right)---\left(9\right)$

其中，τ函数与上述SM4密码算法加密结构中的τ函数一致，rk_i为第i轮的加密密钥，i＝0，1，…，31，CK_i为已知常量。

线性变换L′为：

$L^{\&prime;}\left(x\right)=x\&CirclePlus;(x<<<13)\&CirclePlus;(x<<<23)---\left(10\right)$

根据式(9)，可分别获得32轮轮密钥(rk₀，rk₁，…，rk₃₁)，长度均为32比特。

数据解密和数据加密的算法结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。解密时，使用轮密钥序(rk₃₁，rk₃₀，…，rk₀)

对SM4密码算法的能量分析方法通常选取S盒的输出、L移位的输出作为攻击对象，使用汉明重量、单比特模型，利用DPA和CPA方法进行分析。这些方法仅利用了典型的分析点，不能全面有效对SM4密码算法实施分析。此外，当上述分析点可利用的能量泄露信息很少时，将会影响对SM4密码算法分析的成功率。因此，需要提出更有效的侧信道能量分析方法。

发明内容

在SM4密码算法分析中，侧信道能量分析方法是否有效，其关键在于密码算法中的攻击对象选取和相应能量模型的选择，选取恰当的攻击对象可提高采样能量信息的信噪比和分析的成功率。

本发明的目的在于系统分析SM4密码算法的实现特征，创造性地选择包括了SM4密码算法中轮输入/输出信息和密钥信息的轮函数作为侧信道能量分析的攻击点，从而提高了正确的猜测密钥与能量信息之间的相关性，增强了分析有效性和成功率。

实现上述目的本发明的技术方案为，选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其加密/解密攻击对象为轮函数。

上述选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用时，进行加密/解密前4轮攻击时，如图3所示，选择轮函数输出为攻击点，即

作为攻击对象，这里

是输入第k组明文/密文

时，第i(i∈{0，1，2，3})轮轮密钥第j(j∈{0，1，2，3})个字节对应的攻击对象，

是第i轮轮函数的输出，L^-1(x)是对L(x)进行一个逆运算，

$L^{-1}\left(x\right)=x\&CirclePlus;(x<<<2)\&CirclePlus;(x<<<4)\&CirclePlus;(x<<<8)\&CirclePlus;(x<<<12)\&CirclePlus;(x<<<14)\&CirclePlus;(x<<<16)\&CirclePlus;$

$(x<<<18)\&CirclePlus;(x<<<22)\&CirclePlus;(x<<<24)\&CirclePlus;(x<<<30),$

为

进行L^-1移位后的第j个字节，则

$v_{i,j}^k={\left(L^{-1}{X}_{i+4}^k\right)}_j={\left(L^{-1}{X}_i^k\right)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j}),$ ${\mathrm{rk}}_{i,j}\&Element;Z_2^8$ 为第i轮轮密钥

中的第j个字节，分别为的第j个字节；进行加密/解密后4轮攻击时，相应的密文/明文为已知，如图4所示，选择选择轮函数输入为攻击点，即

(i∈{31，30，29，28})为攻击对象， $v_{i,j}^k={\left(L^{-1}{X}_i^k\right)}_j={\left(L^{-1}{X}_{i+4}^k\right)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j}).$

上述选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用中，选择轮函数为攻击对象用于对SM4密码算法的CPA/DPA侧信道能量分析。

选择轮函数为攻击对象对SM4密码算法的CPA侧信道能量分析步骤如下：

(1)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵；

(2)选择轮函数作为攻击对象；

(3)确定攻击对象和模型后，猜测轮密钥，计算轮运算的中间值确定得到中间值矩阵；

(4)利用上步的中间值及中间值矩阵映射为仿真能量消耗值和仿真能量消耗矩阵；

(5)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测密钥。

上述选择轮函数为攻击对象对SM4密码算法的CPA侧信道能量分析步骤中，利用CPA进行步骤(3)的具体方法是：猜测第i轮轮密钥rk_i中的字节rk_i，j，rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，对256个猜测密钥字节rk_i，j，s，分别进行第i轮加密/解密的轮运算，确定256个猜测密钥字节rk_i，j，s对应的中间值：

其中，

为rk_i，j等于rk_i，j，s时得到的

当对N(k∈{0，1，…，N-1})组明文/密文进行加密/解密操作时，依次计算轮密钥字节rk_i，j，s对应的中间值，得到中间值矩阵V(N×256)：

$V(N\&times;256)=\left(\begin{array}{ccc}{v}_{i,j,0}^0& ...& v_{i,j,255}^0\\ .& & .\\ .& v_{i,j,s}^k& .\\ .& & .\\ v_{i,j,0}^{N-1}& ...& v_{i,j,255}^{N-1}\end{array}\right);$ 利用CPA进行步骤(4)的具体方法是：(3)步中间值映射的仿真能量消耗为：

即第k组明文第i轮第j个字节第s个猜测密钥字节对应的仿真能量消耗，HW(x)为x中比特位值为1的个数，对N组明文/密文进行加密/解密操作，确定轮密钥字节rk_i，j，s对应的仿真能量消耗矩阵为：

上述选择轮函数为攻击对象对SM4密码算法的CPA侧信道能量分析步骤中，利用CPA进行步骤(5)的具体方法是：对步骤(1)的采样能量消耗矩阵 $W(N\&times;T)=\left(\begin{array}{ccc}{s}_0^0& ...& s_{T-1}^0\\ .& & .\\ .& s_t^k& .\\ .& & .\\ s_0^{N-1}& ...& s_{T-1}^{N-1}\end{array}\right)$ 和步骤(4)的仿真能量消耗矩阵H分别计算两者第s列和第t列的相关系数ρ_s，t：

${\mathrm{\&rho;}}_{s,t}\&ap;r_{s,t}=\frac{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}[h_{i,j,s}^k-\stackrel{\&OverBar;}{h_{i,j,s}^k}][s_t^k-\stackrel{\&OverBar;}{s_t^k}]}{\sqrt{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}}{[h_{i,j,s}^k-\stackrel{\&OverBar;}{h_{i,j,s}^k}]}^2\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}{[s_t^k-\stackrel{\&OverBar;}{s_t^k}]}^2}$ 其中，

表示为第k个明文/密文、第t个时间点对应的采样能量消耗值，T为能量迹中的时间点个数，

为矩阵H第s列的平均值，为矩阵W第t列的平均值，ρ_s，t表示第s个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数，r_s，t为该相关系数的近似计算值，计算所有列列之间的相关系数，得到仿真能量消耗和采样能量消耗的相关系数矩阵为 $R(256\&times;T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,0}}& ...& r_{0,T-1}\\ .& & .\\ .& r_{s,t}& .\\ .& & .\\ r_{\mathrm{255,0}}& ...& r_{255,T-1}\end{array}\right),$ 选取R中的最大值r_m，n＝max(r_s，t)，r_m，n对应的猜测密钥rk_i，j，m为正确的猜测轮密钥字节，即得到正确的第i轮轮密钥第j个字节rk_i，j；重复第(1)-(5)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i-1轮的轮输出

依次获得后4轮的加密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。

上述选择轮函数为攻击对象对SM4密码算法的DPA侧信道能量分析步骤如下：

(a)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵；

(b)选择轮函数作为攻击对象，确定DPA选择函数；

(c)猜测轮密钥，将平均能量消耗划分为两个平均能耗子集矩阵；

(d)根据(c)步得到的两个平均能耗子集求差，确定正确的猜测密钥。

上述选择轮函数为攻击对象对SM4密码算法的DPA侧信道能量分析步骤中，如图3、图4所示，采用DPA进行前/后4轮攻击时的步骤(b)中选择攻击对象为轮函数

i∈{0，1，2，3}或

i∈{31，30，29，28}后，根据攻击时每个字节输出数据的汉明重量期望值

已知

以明文/密文及猜测密钥字节rk_i，j作为参数，则确定DPA选择函数为： $D(X^k,j,{\mathrm{rk}}_{i,j})=\left\{\begin{array}{cc}1& E\left(\mathrm{HW}\left(v_{i,j}^k\right)\right)<4\\ 0& E\left(\mathrm{HW}\left(v_{i,j}^k\right)\right)>4\end{array}\right..$

上述选择轮函数为攻击对象对SM4密码算法的DPA侧信道能量分析步骤中，利用DPA进行步骤(c)的具体方法是：猜测第i轮轮密钥rk_i中的字节rk_i，j，rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，猜测轮密钥字节rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝1时，则总个数

rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝0时，则总个数对于能量迹中时间点t，得到该点两个的总能量消耗均值：

${d0}_{i,j,s}^t=\frac{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}(1-D(X^k,j,{\mathrm{rk}}_{i,j,s}))s_t^k}{n_0}$ 和 ${d1}_{i,j,s}^t=\frac{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}D(X^k,j,{\mathrm{rk}}_{i,j,s})s_t^k}{n_1},$ 其中，

为使用猜测轮密钥字节rk_i，j，s进行N组加密/解密操作时，选择函数等于0所对应时间点t的n₀组能量消耗平均值；

为选择函数等于1所对应时间点t的n₁组能量消耗平均值，n₀+n₁＝N，由上式对所有的时间点求能耗均值，得到两个能耗矩阵D₀(256×T)和D₁(256×T)，分别为：

$D_0(256\&times;T)=\left(\begin{array}{ccc}{d0}_{i,j,0}^0& ...& {d0}_{i,j,0}^{T-1}\\ .& & .\\ .& {d0}_{i,j,s}^t& .\\ .& & .\\ {d0}_{i,j,255}^0& ...& {d0}_{i,j,255}^{T-1}\end{array}\right)$ 和 $D_1(256\&times;T)=\left(\begin{array}{ccc}{d1}_{i,j,0}^0& ...& {d1}_{i,j,0}^{T-1}\\ .& & .\\ .& {d1}_{i,j,s}^t& .\\ .& & .\\ {d1}_{i,j,255}^0& ...& {d1}_{i,j,255}^{T-1}\end{array}\right);$

利用DPA进行步骤(d)的具体方法是：计算步骤(c)得到的平均能耗矩阵D₀(256×T)和D₁(256×T)的差矩阵：

$\mathrm{\&Delta;D}=D_1-D_0=\left(\begin{array}{ccc}{d1}_{i,j,0}^0-{d0}_{i,j,0}^0& ...& {d1}_{i,j,0}^{T-1}-{d0}_{i,j,0}^{T-1}\\ .& & .\\ .& {d1}_{i,j,s}^t-{d0}_{i,j,s}^t& .\\ .& & .\\ {d1}_{i,j,255}^0-{d0}_{i,j,255}^0& ...& {d1}_{i,j,255}^{T-1}-{d0}_{i,j,255}^{T-1}\end{array}\right)$

选择最大的能耗均值差

则

对应的猜测轮密钥字节rk_i，j，m为正确密钥字节，即得到正确的第i轮轮密钥的第j个字节rk_i，j＝rk_i，j，m，重复第(a)-(d)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i-1轮的轮输出依次获得后4轮的加密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。

本发明的技术方案具有以下优点，(1)现有对SM4密码算法的能量泄露分析点单一，不能很好地适应各种类型的SM4密码算法的实现。本发明针对SM4密码算法创新地提出了一个新的分析点，使用本发明提出的新方法能够更有效、全面地对SM4密码算法实现进行侧信道能量分析；(2)本发明提出的方法通过不同的分析点选择，使能量泄露的信息包含了S盒输出信息和轮输入信息，使得P_exp值增大，增大了猜测的正确密钥仿真能量信息与采样能量信息的相关性，提高了攻击的成功率。

附图说明

图1是SM4密码算法的加密结构流程图；

图2是SM4密码算法的密钥扩展算法流程图；

图3是SM4密码算法轮函数输出的CPA前4轮攻击点选择位置；

图4是SM4密码算法轮函数输出的CPA末4轮攻击点选择位置；

图5是CPA分析流程图；

图6是DPA分析流程图；

图7是1000组加密运算的采样波形；

图8是对第1轮轮函数输出分析，正确轮轮密钥对应的相关系数波形，分别对应4个S盒；

图9是对第1轮S盒输出分析，正确轮轮密钥对应的相关系数波形，分别4个S盒；

具体实施方式

下面对本发明的技术方案进行具体描述，首先以SM4密码算法的轮函数进行CPA分析为例，说明本发明的技术方案。如图3是SM4密码算法轮函数输出的CPA前4轮攻击点选择位置，图4是SM4密码算法轮函数输出的CPA末4轮攻击点选择位置；图5是CPA分析流程图。对于SM4密码算法的加密运算，若已知加密明文，分析密码算法的前4轮。假设进行N组明文的加密运算，令第k组明文输入为 $X^k=(X_0^k,X_1^k,X_2^k,X_3^k),$ k∈{0，...，N-1}，第i轮的轮输入为 $(X_i^k,X_{i+1}^k,X_{i+2}^k,X_{i+3}^k),$ i依次为0，1，2，3，其步骤如下：

(1)采集能量迹，对每组明文进行加密运算，采集测量时间点对应的能量消耗信息，建立采样能量消耗矩阵W(N×T)：

$W(N\&times;T)=\left(\begin{array}{ccc}{s}_0^0& ...& s_{T-1}^0\\ .& & .\\ .& s_t^k& .\\ .& & .\\ s_0^{N-1}& ...& s_{T-1}^{N-1}\end{array}\right)$

其中，表示为第k个明文、第t个时间点对应的采样能量消耗值，T为能量迹中的时间点个数；

(2)选取攻击对象，确定算法攻击模型；本发明选择轮函数的输出作为新型的攻击对象，使用汉明重量(HW)模型进行建模，具体攻击对象如图3所示，根据SM4密码算法的加密结构可知，4个S盒是相互独立，且L移位运算是可逆的，则对轮密钥的4个字节的轮运算也是独立的，因此，可分别选择轮密钥的各密钥字节对应的攻击对象。当输入为第k组明文时，选择第i轮轮密钥

第j(j∈{0，1，2，3})个字节rk_i，j对应的攻击对象

应为

的第j个字节

但是经过L移位得到的

与轮密钥rk_i，j并不是对应关系，因此必须对

进行一个L^-1逆运算得到 $v_{i,j}^k={\left(L^{-1}{X}_{i+4}^k\right)}_j,$ 且 $v_{i,j}^k={\left(L^{-1}{X}_{i+4}^k\right)}_j={\left(L^{-1}{X}_i^k\right)}_j\&CirclePlus;((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j}),$ 由能量泄漏模型可知：

其中，H_i为仿真能量消耗，P_total为采样能量消耗，ρ为线性相关系数，P_total＝P_exp+P_noise，P_exp为可用于能量分析的能量消耗，

为信噪比。上式可知，信噪比与ρ(H_i，P_total)成正比。为了提高ρ(H_i，P_total)的大小，应尽可能增大信噪比，提高P_exp信息量。本发明选择轮函数输出作为攻击点，该能量消耗泄漏点包含了S盒输出状态信息和轮输入

状态信息，增大了P_exp的值，提高了信噪比，从而增大了相关系数ρ(H_i，P_total)。

(3)猜测轮密钥，计算轮运算的中间值。

确定攻击对象和模型后，猜测第i轮轮密钥rk_i第j(j∈{0，1，2，3})个字节rk_i，j，j依次为0，1，2，3。rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}。对于256个猜测密钥字节rk_i，j，s，分别进行第i轮的加密轮运算，256个猜测密钥字节rk_i，j，s对应的中间值： $v_{i,j,s}^k={\left(L^{-1}{X}_i^k\right)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j,s}),$ 其中，

为

进行L^-1移位后的第j个字节。

当对N组明文进行加密操作时，依次计算轮密钥字节rk_i，j，s对应的中间值，得到中间值矩阵V(N×256)：

$V(N\&times;256)=\left(\begin{array}{ccc}{v}_{i,j,0}^0& ...& v_{i,j,256}^0\\ .& & .\\ .& v_{i,j,s}^k& .\\ .& & .\\ v_{i,j,0}^{N-1}& ...& v_{i,j,256}^{N-1}\end{array}\right),$ 将中间值映射为仿真能量消耗值。

(4)中间值映射为仿真能量消耗值。

根据第(3)步所确定的能量模型，中间值映射的仿真能量消耗为：

即第k组明文第i轮第j个字节第s个猜测密钥字节对应的仿真能量消耗。

对N组明文进行加密操作，轮密钥字节rk_i，j，s对应的仿真能量消耗矩阵为：

(5)计算仿真能量消耗与能量迹的线性相关系数，得到正确的猜测密钥字节。

对步骤(1)中的采样能量消耗矩阵W和仿真能量消耗矩阵H，分别计算两者第s列和第t列的相关系数ρ_s，t：

${\mathrm{\&rho;}}_{s,t}\&ap;r_{s,t}=\frac{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}[h_{i,j,s}^k-\stackrel{\&OverBar;}{h_{i,j,s}^k}][s_t^k-\stackrel{\&OverBar;}{s_t^k}]}{\sqrt{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}}{[h_{i,j,s}^k-\stackrel{\&OverBar;}{h_{i,j,s}^k}]}^2\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}{[s_t^k-\stackrel{\&OverBar;}{s_t^k}]}^2}$

其中，

为矩阵H第s列的平均值，

为矩阵W第t列的平均值。ρ_s，t表示第s个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数，r_s，t为该相关系数的近似计算值。计算所有列列之间的相关系数，得到仿真能量消耗和采样能量消耗的相关系数矩阵为：

$R(256\&times;T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,0}}& ...& r_{0,T-1}\\ .& & .\\ .& r_{s,t}& .\\ .& & .\\ r_{\mathrm{255,0}}& ...& r_{255,T-1}\end{array}\right),$ r_s，t越大，则列s与列t的匹配度越大，对应的猜测密钥rk_i，j，s与采样能量信息的相关性越强。选取R中的最大值r_m，n＝max(r_s，t)，r_m，n对应的猜测密钥rk_i，j，m为正确的猜测轮密钥字节，即得到正确的第i轮轮密钥第j个字节。

同理，根据上述第(1)-(5)步，分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i。

对第i轮密码运算进行CPA分析结束后，使用轮密钥rk_i进行第i轮加密运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

k∈{0，1，…，N-1}。根据上述第(1)-(5)步分析方法，依次获得前四轮的轮密钥：(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)。

根据SM4密码算法的密钥扩展算法逆运算，具体如下：

$K_i=L^{\&prime;}\left(\mathrm{\&tau;}(K_{i+1}\&CirclePlus;K_{i+2}\&CirclePlus;K_{i+3}\&CirclePlus;{\mathrm{CK}}_i)\right)\&CirclePlus;K_{i+4},$

$({\mathrm{MK}}_0,{\mathrm{MK}}_1,{\mathrm{MK}}_2,{\mathrm{MK}}_3)=(K_0\&CirclePlus;{\mathrm{FK}}_0,K_1\&CirclePlus;{\mathrm{FK}}_1,K_2\&CirclePlus;{\mathrm{FK}}_2,F_3\&CirclePlus;{\mathrm{FK}}_3)$

由上两式的逆运算，得到SM4密码算法加密运算的密钥(MK₀，MK₁，MK₂，MK₃)

若已知加密密文，则分析末4轮加密操作，分析方法与前4轮大致相同，仅在选择攻击对象略有不同，如图4所示。

假设进行N组加密运算时，第k组的密文输出为令

为第i轮的SM4密码算法的轮输出，i依次为31，30，29，28，攻击对象图4所示。当输入为第k组明文时，第i轮轮密钥第j(j∈{0，1，2，3})个字节对应的攻击对象应为

同理，为了确保攻击中间值与猜测轮密钥字节rk_i，j的对应关系，需对

进行L^-1移位运算，则最后攻击的中间值为： $v_{i,j}^k={\left(L^{-1}{X}_i^k\right)}_j={\left(L^{-1}{X}_{i+4}^k\right)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j}),$ 根据上述第(1)-(5)步，依次得到末4轮正确的轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)，根据密钥扩展算法逆运算，成功分析获得SM4密码算法加密运算的密钥。

对于SM4密码算法的解密运算，同样可使用上述CPA分析方法获取解密密钥。若已知密文，分析SM4密码算法解密运算的前4轮，分析方法与分析SM4密码算法加密运算的前4轮相同，依次得到轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)，根据密钥扩展算法逆运算得到解密密钥；若已知明文，分析SM4密码算法解密运算的末4轮，攻击方法与分析SM4密码算法加密运算的末4轮相同，依次得到轮密钥(rk₀，rk₁，rk₂，rk₃)，根据密钥扩展算法逆运算得到解密密钥。

按照上述CPA分析方法，对加密运算的第1轮进行分析，分别选择轮函数的输出和S盒的输出作为攻击对象。具体实施步骤如下：

(1)采集1000组对明文加密运算的波形，即能量迹，如图7所示，共5000个时间点，其中，与SM4加密运算相关的采样能量消耗在25μs-34μs之间，与密码运算相对应的时间点共340个，则采样能量消耗矩阵W(1000×340)；

2)选择第1轮轮函数的输出作为攻击对象，建立HW模型；

3)猜测轮密钥第1个字节，得到仿真能量消耗矩阵H(1000×256)；

4)计算仿真能耗矩阵H与采样能耗矩阵W的相关系数，得到相关系数矩阵R，选择R中的最大值对应的猜测密钥字节作为轮密钥的第1字节。

5)依次分析轮密钥的其他3个字节，得到第1轮轮密钥rk₁。

分析结果如表1所示，罗列了分析每个轮密钥字节时，前10个最大的相关系数及其对应的猜测密钥字节。对于第1轮的正确轮密钥0x85 23 5C E2，正确的猜测密钥字节对应的相关系数远远大于其他9个错误的猜测密钥字节对应的相关系数。

表1：对加密运算第1轮轮函数输出进行CPA分析结果

同样，对图5能量迹，选择S盒的输出作为攻击对象，建立汉明重量模型，依照上述(1)-(5)步分析第1轮轮密钥0x 85 23 5C E2，分析结果见表2。从表2可知，前10个最大的相关系数值差别微小，相邻两者均小于0.01，无法判断正确的轮密钥，分析得到错误的轮密钥0x 10 F8 E2 EA；而表1中正确密钥对应的相关系数比其他猜测密钥对应的相关系数大约为0.3，从而很容易区分出正确的轮密钥。

表2：对加密运算第1轮S盒输出进行CPA分析结果

此外，图8、图9分别为对轮函数的输出、S盒的输出进行分析时，正确轮密钥字节对应所有时间点的相关系数图。由图8可知，采样点对应相关系数出现一个明显的尖峰，该尖峰表明：当轮密钥猜测正确时，与采样能耗泄露点的相关性远大于其他的时间点；而图9无明显的尖峰，当轮密钥猜测正确时，无法区分真正的能耗泄露点，且所有时间点对应的相关系数远小于图8的尖峰值。因此，当SM4密码算法运算的能量消耗泄露点为轮函数的输出，采用对轮函数的侧信道能量分析方法要优于对S盒的侧信道能量分析方法。

下面以SM4密码算法的轮函数进行DPA分析说明本发明的技术方案。DPA分析与CPA分析在采集能量迹、选择攻击对象的操作是一致的。本发明对SM4密码算法的轮函数进行DPA分析的具体方法如图6：

对于SM4密码算法的加密运算，若已知加密明文，分析密码算法的前4轮。假设进行N组明文的加密运算，令第k组明文输入为 $X^k=(X_0^k,X_1^k,X_2^k,X_3^k),$ k∈{0，...，N-1}，第i轮的轮输入为

i依次为0，1，2，3。

(a)采集能量迹，对每组明文进行加密运算，采集测量时间点对应的能量消耗信息(能量迹)，建立采样能量消耗矩阵W(N×T)。

(b)同样选择轮函数的输出

作为攻击对象，使用汉明重量模型进行建模，根据攻击时每个字节输出数据的汉明重量期望值已知

以明文/密文及猜测密钥字节rk_i，j作为参数，则确定DPA选择函数为： $D(X^k,j,{\mathrm{rk}}_{i,j})=\left\{\begin{array}{cc}1& \mathrm{HW}\left(v_{i,j}^k\right)<4\\ 0& \mathrm{HW}\left(v_{i,j}^k\right)>4\end{array}.\right.$

(c)猜测轮密钥，将平均能量消耗划分为两个子集。确定攻击对象和选择函数后，依次猜测第i轮轮密钥第j个字节

j依次为0，1，2，3，rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}。

对于256个猜测密钥rk_i，j，s，分别经过第i轮的加密运算，得到256个相应的攻击中间值： $v_{i,\mathrm{js}}^k={\left(L^{-1}{X}_i^k\right)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j,s}),$ 得到相应的选择函数D(X^k，j，rk_i，j，s)，依次对N组明文进行加密运算，猜测轮密钥字节rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝1时，则总个数

rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s＝0时，则总个数

依据选择函数，对于能量迹中时间点t，得到该点两个的总能量消耗均值：

${d0}_{i,j,s}^t=\frac{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}(1-D(X^k,j,{\mathrm{rk}}_{i,j,s}))s_t^k}{n_0}$ 和 ${d1}_{i,j,s}^t=\frac{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}D(X^k,j,{\mathrm{rk}}_{i,j,s})s_t^k}{n_1}$

其中，

为使用猜测轮密钥字节rk_i，j，s进行N组加密操作，选择函数等于0时，对应时间点t的n₀组能量消耗平均值；

为选择函数等于1时，对应时间点t的n₁组能量消耗平均值，n₀+n₁＝N。对所有的时间点求能耗均值，得到两个能耗矩阵D₀(256×T)和D₁(256×T)，分别为：

$D_0(256\&times;T)=\left(\begin{array}{ccc}{d0}_{i,j,0}^0& ...& {d0}_{i,j,0}^{T-1}\\ .& & .\\ .& {d0}_{i,j,s}^t& .\\ .& & .\\ {d0}_{i,j,255}^0& ...& {d0}_{i,j,255}^{T-1}\end{array}\right)$ 和 $D_1(256\&times;T)=\left(\begin{array}{ccc}{d1}_{i,j,0}^0& ...& {d1}_{i,j,0}^{T-1}\\ .& & .\\ .& {d1}_{i,j,s}^t& .\\ .& & .\\ {d1}_{i,j,255}^0& ...& {d1}_{i,j,255}^{T-1}\end{array}\right).$

(d)计算两平均能耗子集差，得到正确的猜测密钥。计算平均能耗矩阵D₀(256×T)和D₁(256×T)的差，得到矩阵ΔD＝D₁-D₀。

若rk_i，j，s猜测错误，则对于N组明文输入的加密运算，选择函数为0和1的概率各约为

对应的平均能量消耗差随着N的增大趋近0；若rk_i，j，s猜测正确，则对于N组明文输入的加密运算，选择函数为0或为1的概率应为1，对应的平均能量消耗差随着N的增大趋向于能耗的实际影响。综上所述，选择最大的能耗均值差则

对应的猜测轮密钥字节rk_i，j，m为正确密钥字节，即得到正确的第i轮轮密钥的第j个字节。

同理，根据上述第(a)至(d)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_j。

对第i轮密码运算进行DPA分析结束后，得到正确的轮密钥rk_i，使用轮密钥rk_i进行第i轮加密运算，得到第i轮的N组轮输出，即第i+1轮的轮输入k∈{0，1，…，N-1)。根据上述第(a)至(d)步分析方法，依次获得前四轮的轮密钥：(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)。

对密码算法密钥扩展的逆运算，得到SM4密码算法加密运算的密钥(MK₀，MK₁，MK₂，MK₃)。

若已知加密密文，则分析SM4密码算法的末4轮加密操作，攻击对象的选择与CPA末4轮是相同的。

假设进行N组加密运算时，第k组的密文输出为令

为第i轮的SM4密码算法轮输出，i依次为31，30，29，28。

根据上述第(a)至(d)步，依次得到末4轮正确的轮密钥(rk₃1，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)，根据密钥扩展算法逆运算式成功分析得到SM4密码算法加密运算的密钥。

对于SM4密码算法的解密运算，同样可使用上述DPA分析方法获取解密密钥。若已知密文，分析SM4密码算法解密运算的前4轮，分析方法与分析SM4密码算法加密运算的前4轮相同，依次得到轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)，根据密钥扩展算法逆运算得到解密密钥；若已知明文，分析SM4密码算法解密运算的末4轮，攻击方法与分析SM4密码算法加密运算的末4轮相同，依次得到轮密钥(rk₀，rk₁，rk₂，rk₃)，根据密钥扩展算法逆运算得到解密密钥。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。

Claims (9)

1.选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，加密/解密攻击对象为轮函数。

2.根据权利要求1所述的选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，进行加密/解密前4轮攻击时，选择轮函数输出为攻击点，即

作为攻击对象，这里

是输入第k组明文/密文

时，第i轮轮密钥第j个字节对应的攻击对象，i∈{0，1，2，3}，j∈{0，1，2，3}，

是第i轮轮函数的输出，L^-1(x)是对L(x)进行一个逆运算，

$\begin{array}{c}{L}^{-1}\left(x\right)=x\&CirclePlus;(x<<<2)\&CirclePlus;(x<<<4)\&CirclePlus;(x<<<8)\&CirclePlus;(x<<<12)\&CirclePlus;(x<<<14)\&CirclePlus;(x<<<16)\&CirclePlus;\end{array}$

$(x<<<18)\&CirclePlus;(x<<<22)\&CirclePlus;(x<<<24)\&CirclePlus;(x<<<30),$

为

进行L^-1移位后的第j个字节，则 $v_{i,j}^k={\left(L^{-1}{X}_{i+4}^k\right)}_j={\left(L^{-1}{X}_i^k\right)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j}),$ ${\mathrm{rk}}_{i,j}\&Element;Z_2^8$ 为第i轮轮密钥

中的第j个字节，

分别为

的第j个字节；进行加密/解密后4轮攻击时，相应的密文/明文

为已知，选择选择轮函数输入为攻击点，即

(i∈{31，30，29，28})为攻击对象， $v_{i,j}^k={\left(L^{-1}{X}_i^k\right)}_j={\left(L^{-1}{X}_{i+4}^k\right)}_j\&CirclePlus;\mathrm{\&tau;}((X_{i+1,j}^k\&CirclePlus;X_{i+2,j}^k\&CirclePlus;X_{i+3,j}^k)\&CirclePlus;{\mathrm{rk}}_{i,j}).$

3.根据权利要求1或2所述的选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，选择轮函数为攻击对象用于对SM4密码算法的CPA/DPA侧信道能量分析。

4.根据权利要求3所述的选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，选择轮函数为攻击对象对SM4密码算法的CPA侧信道能量分析步骤如下：

(1)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵；

(2)选择轮函数作为攻击对象；

(3)确定攻击对象和模型后，猜测轮密钥，计算轮运算的中间值确定中间值矩阵；

(4)利用上步的中间值及中间值矩阵映射为仿真能量消耗值和仿真能量消耗矩阵；

(5)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测密钥。

5.根据权利要求4选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，利用CPA进行步骤(3)的具体方法是：猜测第i轮轮密钥rk_i中的字节rk_i，j，rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，对256个猜测密钥字节rk_i，j，s，分别进行第i轮加密/解密的轮运算，确定256个猜测密钥字节rk_i，j，s对应的中间值：

其中，

为rk_i，j等于rk_i，j，s时得到的

当对N(k∈{0，1，…，N-1})组明文/密文进行加密/解密操作时，依次计算轮密钥字节rk_i，j，s对应的中间值，得到中间值矩阵V(N×256)：

$V(N\&times;256)=\left(\begin{array}{ccc}{v}_{i,j,0}^0& ...& v_{i,j,255}^0\\ .& & .\\ .& v_{i,j,s}^k& .\\ .& & .\\ v_{i,j,0}^{N-1}& ...& v_{i,j,255}^{N-1}\end{array}\right);$ 利用CPA进行步骤(4)的具体方法是：(3)步中间值映射的仿真能量消耗为：

即第k组明文第i轮第j个字节第s个猜测密钥字节对应的仿真能量消耗，HW(x)为x中比特位值为1的个数，对N组明文/密文进行加密/解密操作，确定轮密钥字节rk_i，j，s对应的仿真能量消耗矩阵为：

6.根据权利要求4选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，利用CPA进行步骤(5)的具体方法是：对步骤(1)的采样能量消耗矩阵 $W(N\&times;T)=\left(\begin{array}{ccc}{s}_0^0& ...& s_{T-1}^0\\ .& & .\\ .& s_t^k& .\\ .& & .\\ s_0^{N-1}& ...& s_{T-1}^{N-1}\end{array}\right)$ 和步骤(4)的仿真能量消耗矩阵H分别计算两者第s列和第t列的相关系数ρ_s，t： ${\mathrm{\&rho;}}_{s,t}\&ap;r_{s,t}=\frac{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}[h_{i,j,s}^k-\stackrel{\&OverBar;}{h_{i,j,s}^k}][s_t^k-\stackrel{\&OverBar;}{s_t^k}]}{\sqrt{\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}}{[h_{i,j,s}^k-\stackrel{\&OverBar;}{h_{i,j,s}^k}]}^2\underset{k=0}{\overset{N-1}{\mathrm{\&Sigma;}}}{[s_t^k-\stackrel{\&OverBar;}{s_t^k}]}^2}$ 其中，表示为第k个明文/密文、第t个时间点对应的采样能量消耗值，T为能量迹中的时间点个数，

为矩阵H第s列的平均值，

为矩阵W第t列的平均值，ρ_s，t表示第s个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数，r_s，t为该相关系数的近似计算值，计算所有列列之间的相关系数，得到仿真能量消耗和采样能量消耗的相关系数矩阵为 $R(256\&times;T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,0}}& ...& r_{0,T-1}\\ .& & .\\ .& r_{s,t}& .\\ .& & .\\ r_{\mathrm{255,0}}& ...& r_{255,T-1}\end{array}\right),$ 选取R中的最大值r_m，n＝max(r_s，t)，r_m，n对应的猜测密钥rk_i，j，m为正确的猜测轮密钥字节，即得到正确的第i轮轮密钥第j个字节rk_i，j＝rk_i，j，m；重复第(1)-(5)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i-1轮的轮输出

依次获得后4轮的加密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₃₅，K₃₄，K₃₃，K₃₂)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。

7.根据权利要求3所述的选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，选择轮函数为攻击对象对SM4密码算法的DPA侧信道能量分析步骤如下：

(a)采集能量迹，具体是进行每组明文/密文进行加密/解密运算，采集测量时间点对应的能量消耗信息，即为能量迹，建立采样能量消耗矩阵；

(b)选择轮函数作为攻击对象，确定DPA选择函数；

(c)猜测轮密钥，将平均能量消耗划分为两个平均能耗子集矩阵；

(d)根据(c)步得到的两个平均能耗子集求差，确定正确的猜测密钥。

8.根据权利要求7所述的选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，采用DPA进行前/后4轮攻击时的步骤(b)中选择轮函数攻击对象

i∈{0，1，2，3}或

i∈{31，30，29，28}后，根据攻击时每个字节输出数据的汉明重量期望值已知

以明文/密文及猜测密钥字节rk_i，j作为参数，则确定DPA选择函数为： $D(X^k,j,{\mathrm{rk}}_{i,j})=\left\{\begin{array}{cc}1& E\left(\mathrm{HW}\left(v_{i,j}^k\right)\right)<4\\ 0& E\left(\mathrm{HW}\left(v_{i,j}^k\right)\right)>4\end{array}\right..$

9.根据权利要求7所述的选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其特征在于，利用DPA进行步骤(c)的具体方法是：猜测第i轮轮密钥rk_i中的字节rk_i，j，rk_i，j的猜测值分别为rk_i，j，s＝s，s∈{0，...，255}，猜测轮密钥字节rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝1时，则总个数

rk_i，j，s对应的选择函数D(X^k，j，rk_i，j，s)＝0时，则总个数

对于能量迹中时间点t，得到该点两个的总能量消耗均值：

知其中，

为使用猜测轮密钥字节rk_i，j，s进行N组加密/解密操作时，选择函数等于0所对应时间点t的n₀能能量消耗平均值；

为选择函数等于1所对应时间点t的n₁组能量消耗平均值，n₀+n₁＝N，由上式对所有的时间点求能耗均值，得到两个能耗矩阵D₀(256×T)和D₁(256×T)，分别为：

$D_0(256\&times;T)=\left(\begin{array}{ccc}{d0}_{i,j,0}^0& ...& {d0}_{i,j,0}^{T-1}\\ .& & .\\ .& {d0}_{i,j,s}^t& .\\ .& & .\\ {d0}_{i,j,255}^0& ...& {d0}_{i,j,255}^{T-1}\end{array}\right)$ 和 $D_1(256\&times;T)=\left(\begin{array}{ccc}{d1}_{i,j,0}^0& ...& {d1}_{i,j,0}^{T-1}\\ .& & .\\ .& {d1}_{i,j,s}^t& .\\ .& & .\\ {d1}_{i,j,255}^0& ...& {d1}_{i,j,255}^{T-1}\end{array}\right);$

利用DPA进行步骤(d)的具体方法是：计算步骤(c)得到的平均能耗矩阵D₀(256×T)和D₁(256×T)的差矩阵：

$\mathrm{\&Delta;D}=D_1-D_0=\left(\begin{array}{ccc}{d1}_{i,j,0}^0-{d0}_{i,j,0}^0& ...& {d1}_{i,j,0}^{T-1}-{d0}_{i,j,0}^{T-1}\\ .& & .\\ .& {d1}_{i,j,s}^t-{d0}_{i,j,s}^t& .\\ .& & .\\ {d1}_{i,j,255}^0-{d0}_{i,j,255}^0& ...& {d1}_{i,j,255}^{T-1}-{d0}_{i,j,255}^{T-1}\end{array}\right)$

选择最大的能耗均值差

则

对应的猜测轮密钥字节rk_i，j，m为正确密钥字节，即得到正确的第i轮轮密钥的第j个字节，重复第(a)-(d)步，可分别获得轮密钥的其他3个密钥字节，从而得到第i轮正确的轮密钥rk_i，对于前4轮，使用轮密钥rk_i进行第i轮密码运算，得到第i轮的N组轮输出，即第i+1轮的轮输入

依次获得前4轮的加密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₄，K₅，K₆，K₇)或解密轮密钥(rk₀，rk₁，rk₂，rk₃)＝(K₃₅，K₃₄，K₃₃，K₃₂)；对于后4轮，使用轮密钥rk₁进行第i轮密码运算，得到第i-1轮的轮输出

依次获得后4轮的加密轮密钥(rk₃1，rk3_0，rk₂9，rk₂8)＝(K₃5，K₃4，K₃3，K₃2)或解密轮密钥(rk₃₁，rk₃₀，rk₂₉，rk₂₈)＝(K₄，K₅，K₆，K₇)；根据密钥扩展算法逆运算得到加/解密密钥。

Images