CN103259647B - 加密系统边信道攻击测试方法 - Google Patents

Abstract

加密系统边信道攻击测试方法，涉及信息安全技术。本发明包括下述步骤：在被控设备上输入特定的明文，使用被攻击密码系统加密，捕获功耗曲线，其特征在于，输入的明文为汉明重量很小的大数。本发明的有益效果是，攻击效率很高，且具有一定的普适性，用单一的屏蔽特殊数的方法无法防范，采用本发明的攻击测试有利于促进更高安全性能的信息安全系统的开发。

Description

加密系统边信道攻击测试方法

技术领域

本发明涉及信息安全技术。

背景技术

对RSA算法机制进行SPA攻击的基本思想就是区分功耗曲线中模乘运算与模平方运算的不同特征，据此破解出密钥。近年出现很多将功耗分析攻击方法与传统密码分析方法结合的攻击方法。如文献[57]将故障攻击与功耗分析结合，文献[57,58]中将选择明文与简单功耗分析结合，提取密钥。文献[59]将选择明文与时间攻击结合。文献[49,60]给出了基于中国剩余定理(Chinese Remainder theorem，CRT)的实现算法的选择明文与SPA结合的攻击。

在密码学或密码分析中，选择明文攻击是一种传统的密码分析方法。在这种攻击方法中，攻击者可以事先任意选择一定数量的明文，让被攻击的加密算法加密，并得到相应的密文。攻击者的目标是通过这一过程获得关于加密算法的一些信息，以利于攻击者以后更有效的破解由同样加密算法(以及相关钥匙)加密的信息。在最坏情况下，攻击者可以直接获得解密用的钥匙。这种攻击模式乍看起来并不现实，因为很难想像攻击者可以选择任意的信息并要求加密系统进行加密。不过，在公钥密码学中，这就是一个很现实的模式。这是因为公钥密码方案中，加密用的公钥是公开的，这样攻击者就可以直接用它来加密任意的信息。

在已知明文攻击、已知密文攻击和选择明文攻击这几种方式当中，选择明文攻击是对密码系统最有威胁的一种。一个安全的密码系统必须能抵御选择明文密码攻击。

将选择明文攻击与功耗分析攻击相结合，在被控设备上输入特定的明文或消息，运行被攻击密码系统加密或签名，得到相应密文或签名。在此过程中捕获功耗曲线，寻找其功耗特征与秘密信息的相关性，以便恢复密钥。

参见S.M.Yen,W.C.Lien,S.J.Moon,and J.C.Ha,”Power analysis byexploiting chosen message and internal collisions vulnerability of checkingmechanism for RSA-decrytion.”Mycrypt 2005,Lecture Notes in Computer Science,vol.3715,pp.183-195,sep 2005。Yen等人提出一种以N-1为特殊输入数据的选择明文SPA攻击。当以N-1这一特殊数据为明文进行SPA攻击时，S1、S2和M三种运算在整个模幂过程中出现的顺序存在着特定的规律。而且由于输入数据的特殊性，三种运算所对应的功耗差异明显，进行相同运算时，功耗接近。

以密钥“10100”为例，描述明文为N-1时运算过程中的操作特性及数据特性。明文为N-1时，从左到右BR算法所对应的运算和数据如表1所示。

表1密钥为“10100”，明文为N-1时的运算过程

由表1中得出：在以“N-1”为明文进行操作过程中，各个模乘计算结束后，只存在三种情况：第一种情况，操作数是“1”，乘数是“N-1”，结果为“N-1”；第二种情况，操作数都是“N-1”，乘数是“N-1”，结果为“1”；第三种情况，操作数都是“1”，乘数都是“1”，结果为“1”。这三种情况我们分别用M、S1和S2来表示：

在整个从左到右的BR算法的运算过程中，这些关系都是不变的。蒙哥马利算法作为一种模乘运算的快速算法，也被应用到RSA算法的SPA攻击过程中。运用蒙哥马利算法后，预处理操得到M'＝(N-1)×RmodN＝N-1和C'＝1×RmodN＝R，在上述从左到右的BR算法过程中，运算和数据结果如表2所示。

表2密钥为“10100”，明文为N-1时的详细运算过程

三种运算形式分别变为如下三种运算：

在整个模幂运算过程中，这三种运算的顺序有着一定规律，它们的顺序排列规律如表3所示。

表3三种运算间关系

根据表3中所列，三种运算的序列存在着一定的规律。M运算只出现在第三列中，且是出现在两步运算中的第二步，这表明M运算只出现在密钥位为“1”时的运算中,表示乘法运算，而且是密钥位“1”结束时的运算。S1运算和S2运算不仅出现在第二列，而且在第三列的第一步运算中出现，这表明S1运算和S2运算不一定是某个密钥位结束时的操作。由表中第一行可知，若当前密钥位是以M运算结束的。那么，无论下一个密钥位是“0”还是“1”，都要进行S1运算。所以，M运算和S1运算总是成对出现的，而且M运算出现在S1运算之前,M运算之后绝不会直接出现S2运算；若当前密钥位是以S2运算或者S1运算结束的，无论下一个密钥位是“0”还是密钥位“1”都要进行S2运算。

因为SPA攻击主要是从M运算、S1运算、S2运算的功耗差异中估计出密钥位的值。所以，不必过多考虑关于模幂算法实现的详细信息以及电路结构。由于N-1的特殊性，在整个模幂过程中执行每种运算时，输入的数据相同而且进行的操作相同(例如，每次进行M运算时，输入的数据都是R，进行的操作都是Z＝R×(N-1)R×R^-1mod N)。因此，每种运算出现在功耗曲线中的波形都对应着一种固定的形式，而且三种波形都比较容易区分。

根据上述三种运算间顺序的排列规律以及波形特征，当给定一条RSA密码芯片的SPA功耗曲线时，只要能够确定出某一轮的运算是M运算，那么就可以将这一轮与上一轮两轮运算看作是密钥位中的“1”；当连续出现n个S2运算时，就可以将前n-1个S2运算对应n-1个密钥位“0”；其余的均对应密钥位“0”。根据上述对应方法即可破解密钥。

理论上，由于N-1的特殊性，M，S1和S2三种运算只要能够辨认出其中的一种即可破解出密钥。因为在整个的功耗曲线中，存在着三种波形，而且仅有三种，分别对应着M，S1，S2这三种运算，而且三种运算的出现次序又有着一定的规律。例如，判断出M运算所对应的波形，那么，密钥中所有的比特位“1”就找到了，其余位均为“0”，密钥就可以破解。

图1是N-1为明文的SPA攻击示意图。在图1的功耗曲线中，按照上述理论推导，M运算总是和S1运算成对出现的，将M运算与它前一个运算组合在一起标为“1”；将两个连续的S2运算中的第一个S2运算标为“0”；将其余的运算均标为“0”。根据推导可以得到此次加密的密钥为“1001010”。

以上攻击方法在真实环境中的攻击效果，Miyamoto等人在FPGA平台上实现了算法，并对攻击方法进行了验证。参见Atsushi Miyamoto,Naofumi Homma and TakafumiAoki,CHOSEN-MESSAGE SPA ATTACKS AGAINST FPGA-BASED RSA HARDWAREIMPLEMENTATIONS.FPL 2008:3-40

关于明文为N-1的SPA攻击实验与分析

明文为N-1时的SPA攻击实验方案如下：

1)随机产生一个密钥d；

2)随机产生n组模数N₀……N_n-1，并且每组明文M分别为N₀-1……N_n-1-1，输入每一组数据模数N和明文M进行实验，每组数据采集m条曲线，得到n组功耗曲线；

3)观察每一条功耗曲线的波形特征，对比算法中的运算特性，得到密钥信息；

4)随机产生x个密钥d，对于每一个密钥d，重复步骤(2)和(3)。

按照上述实验方案，对于明文为N-1时的数据，在功耗分析平台上进行了大量的实验。实验证明，N-1做明文对蒙哥马利模乘算法实现的RSA密码芯片做SPA攻击的效果是明显的。图2是实验后得到的功耗曲线图。通常选择示波器的1通道为数据通道，2通道为触发通道，二者可以互换；波特率设置为19200；带宽为20M；采样点为1M；实验所用的私钥d、模数N、明文为N-1均为1024bit的数。

在明文为N-1的情况下，得到的功耗曲线图中，每一轮次的特征都比较明显，而且可以清晰地看到每种功耗的排列次序。根据第四章第一节中所讲述的理论，N-1做明文时，在模幂运算过程中，这三种运算M、S1和S2，每次进行计算时的操作数与操作都分别对应相同，即，在进行M运算时，输入的操作数是R，所进行的运算是R×(N-1)R×R^-1modN；在进行S1运算时，输入的数据是(N-1)R，所进行的运算是(N-1)R×(N-1)R×R^-1modN；在进行S2运算时，输入的数据是R，进行的运算是R×R×R^-1modN，相对应地，在功耗曲线中也存在三种功耗波形分别对应M，S1，S2。而且仅有这三种波形，三种功耗曲线之间的功耗差异也极容易区分。如图3所示，S2的功耗高低差异较明显，S1功耗比较整齐，基本相等，M的功耗大部分低，只有少数位置功耗高。图4所示的图形是图2中第一个S2操作和第二个S2操作，它们的功耗曲线几乎是一样的。

S1运算和M运算每次出现时，呈现的功耗图形也是相似的。图5、图6和图7分别为S2、M和S1运算对应的功耗曲线图。

由于数据的特殊性，在进行实验时，只需要判断出其中一种波形即可迅速地破解出密钥。相同实验环境中，随机产生100个密钥d，对每一个密钥，随机产生1000组模数N和相应的明文N-1，对每组数据采集200条功耗曲线。通过实验，每条曲线都可以破解出密钥，正确率为100％，表明N-1作为明文对RSA算法密码芯片进行SPA是有效的。

对于这种功耗攻击最有效的防范方法就是限制此类数据做明文。可以直接将N-1为明文的结果写在芯片里。每次操作时都检验一下明文是否是N-1。如果是N-1就不执行，去指定区域直接取结果，并不真正进行签名运算，这也就使采用这种方法的攻击者无法得到相应的功耗曲线，既而无法实施此类攻击。

发明内容

本发明所要解决的技术问题是，提供一种具有较高效率的加密系统边信道攻击测试方法。

本发明解决所述技术问题采用的技术方案是，加密系统边信道攻击测试方法，其特征在于，包括下述步骤：

1)确定选择明文由选择明文通过蒙哥马利模乘算法得到输入明文，所述选择明文的取值为以下各数之任一：

在汉明重量为1的数中：2¹⁰²³、2¹⁰²²、2¹⁰²¹、2¹⁰²⁰、2¹⁰¹⁹、2¹⁰¹⁸；

在汉明重量为2的数中：2¹⁰²³+K1、2¹⁰²²+K2、2¹⁰²¹+K1、2¹⁰²⁰+K1、2¹⁰¹⁹+K1、2¹⁰¹⁸+K1；

在汉明重量为3的数中：2¹⁰²³+K3、2¹⁰²²+K3、2¹⁰²¹+K3、2¹⁰²⁰+K3、2¹⁰¹⁹+K3；

K1、K2、K3为任意值且K1≠2¹⁰²²，K2≠2¹⁰²³；

2)在被控设备上输入步骤1)得到的输入明文，使用被攻击密码系统加密，捕获功耗曲线。

本发明的有益效果是，攻击效率很高，且具有一定的普适性，用单一的屏蔽特殊数的方法无法防范，采用本发明的攻击测试有利于促进更高安全性能的信息安全系统的开发。

附图说明

图1是功耗曲线与密钥位对应关系示意图。

图2是明文为N-1时的RSA功耗曲线图。

图3是明文为N-1时三种运算对应的功耗曲线图。

图4是明文为N-1时第一个S2运算和第二个S2运算对应的功耗曲线图。

图5是明文为N-1时S2运算对应的功耗曲线图。

图6是明文为N-1时M运算对应的功耗曲图。

图7是明文为N-1时S1运算对应的功耗曲线图。

图8是新的模幂算法选择明文SPA示意图。

图9是智能卡芯片功耗曲线图。其中(a)随机明文x_a输入；(b)选择明文x_b输入；(c)放大的图(b)。

图10是智能卡芯片选择明文2¹⁰²³功耗曲线图。

图11是智能卡芯片选择明文2¹⁰²³+2功耗曲线图。

图12是智能卡底数掩码芯片选择明文2¹⁰²³功耗曲线图。

具体实施方式

如背景技术所述，以N-1为明文的选择明文SPA攻击，攻击效果较明显。但是这种方法很容易被防范，只需直接屏蔽N-1即可。本发明提出了一种高效的选择明文SPA攻击的方法，此方法既不容易被简单屏蔽，又只需少量功耗曲线既可以的到攻击结果。

新的模幂算法选择明文SPA攻击的功耗分析模型：

在真实环境下，进行功耗曲线的采集要受到设备、环境等多方面的影响，具体的功耗的组成如下式^[61,62]：

P_total＝P_op+P_data+P_el.noise+P_const (3-1)

其中P_total为某个时刻总功耗，P_op为操作依赖分量，P_data为数据依赖分量，P_el.noise为电子噪声，P_const为恒定分量。

在给定的攻击场景中，可以将功耗P_exp定义为攻击者的目标信息所引起的功耗，P_sw.noise可以定义为无关信息所引起的功耗。那么下式(3-2)总是成立的：

P_op+P_data＝P_exp+P_sw.noise (3-2)

其中P_exp为功耗分量，P_sw.noise也可以理解为转换噪声。

在式(3-2)中的P_exp是带给攻击者最多信息的分量，在操作大致相同的各个模乘运算中，P_op基本稳定，而在有不同的操作数进行运算时P_data不同。此时，可以注意到，数据依赖分量P_data将提供更多的目标信息。

在算法1中，各个模乘或模平方运算中，参与运算的操作数有和m。其中是将明文进行预处理之后的值。文献[63]中提出的汉明重量模型，是功耗分析攻击者依据的常用模型。模型中攻击者假设功耗与被处理的数据中被置位(为1)的比特个数成正比。那么在针对特定智能卡攻击的时候，均是运行一张智能卡上的RSA算法，操作依赖分量P_op基本上是稳定的(即执行的操作基本相同)，而P_total的值的变化主要取决于数据依赖分量P_data。又由于在每轮蒙哥马利模乘中，参与运算的操作数是不同的，那么根据汉明重量模型可以将式(3-1)的模型改写为下式：

其中函数是受各个操作数的汉明重量影响产生功耗变化的函数。由于R和m均为常量，且作为攻击的主要目标：模乘和模平方中，R和m不能给攻击带来区分信息。可以将(3-3)简化成式(3-4)：

表4可见的影响仅仅出现在e_i＝1时的模乘中。那么如果可以使具有明显的区别，那么在攻击中将很快找到模乘的位置，既而将找到e_i＝1的位置，便可恢复出密钥。

表4三种情况下P_data的主要影响因素

新的选择明文SPA攻击原理：

基于前文的分析，根据汉明重量模型的基本原理，选取汉明重量较小的数参与运算，在采集的曲线中出现了非常明显的信息泄漏。由于在进行模幂运算之前对输入的明文要进行一个预处理那么如果使的值较小，需要进行计算(即算法1)反推出选择的明文x。

依据算法1，在攻击中选取x，使很小。在进行蒙哥马利运算的过程中，当e_i＝1时，执行模乘由于A在整个蒙哥马利模幂运算中是不断变化的，而的值是经过精心选取的，而且在进入模幂运算之后是一个定值。那么一般情况下，与HW(A)差别很大，根据汉明重量模型原理在功耗上对有明显的影响。公式(3-4)中可见，这种影响将体现到总的功耗P_total中，如图8所示。

图8中S为平方，M为模乘。因为蒙哥马利模乘中有汉明重量较小的参与计算，所以M呈现出较小的功耗。很容易区分出M的位置。再由算法1，M的位置便是e_i＝1出现的循环中模乘的位置。M与前一个模平方S构成e_i＝1对应的两轮模乘。其余是e_i＝0的模平方的位置，以此类推恢复出密钥e的值。

攻击实验过程及结果

用本发明的攻击方法在真实环境中，对智能卡进行了攻击实验。实验设备及参数如下表5所示。

表5实验设备及参数

先选取随机明文x_a，进行初始化用x_a作为明文运行智能卡进行签名得到功耗曲线图9(a)，其中且R＝2¹⁰²⁴modm。在密钥与模数m均相同的情况下，取然后计算其中，由于实际参与运算的值是而根据3.2.2的分析,实现攻击要选取小的x_b参与运算。其中R＝2¹⁰²⁴modm。表6给出了实际使用的数据。

表6选择明文2¹⁰²³的实验数据(十六进制)

在图9(a)中每个模乘或模平方之间隔较明显，但无法区分出模乘与模平方的位置。而在图9(b)和(c)中，由于选用了小的x_b参与运算，那么有作为操作数进行的模乘段的功耗明显很低，可以明显区分出模平方与模乘。如图9(c)中，应用上一小节中的方法恢复出密钥。

新攻击方法可选明文统计

在背景技术中，提出的选择明文方法也可以恢复出密钥。但芯片厂商可以直接对特殊明文N-1的屏蔽抵御攻击。

类似屏蔽N-1的方法，对于选择明文功耗分析攻击，卡商常会应用对特殊明文的屏蔽来抵御选择明文攻击。先对特定的有攻击效果的明文的加解密进行预计算，当这些明文作为输入参与计算时，会自动加载预计算的结果，不会执行加密过程。这样就无法采集功耗曲线并提取密钥。而对于本发明提出的攻击方法，明文不只是一个或几个，而是一个很大的范围。如表7对部分从1到3的进行了统计。据表7的不完全统计，满足攻击条件的明文有很多个，很难采用屏蔽特殊明文的方法进行防范。如果采用预计算防御方法来防范文中提出的选择明文攻击，将有大范围明文的预计算需要进行处理，这本身又暴露了另一个功耗分析的脆弱点。

表7特殊明文部分范例在智能卡芯片上的实验验证效果

可见，用新的攻击方法对智能卡芯片的模幂算法进行攻击，如果选用汉明重量小于等于3的特殊明文参与运算，会有比较明显的攻击效果。

构造泄露密钥的最优明文：

在对可选明文的统计实验中，发现采集的功耗曲线很多都存在如图10的情况。即在功耗曲线中，在模乘开始的前端会出现T1段的功耗效果，而后面的模乘会因为选择明文的输入使平方和乘呈现明显的区别。但是由于前面T1段每一轮模乘的功耗都很低无法区分出模乘和模平方，所以使攻击密钥的成功率不能达到100％。

通过实验，对T1段的产生原因进行了详细的分析。实验数据采用了表6的m、R和的值。其中x使参与运算的为2¹⁰²³，汉明重量为1。为了方便对比结果，也给出了智能卡中的密钥e如下表8所示。

表8为2¹⁰²³实验数据(十六进制)

根据蒙哥马利模乘算法，在数学工具中实现以上算法，其中e₁→e₁₁为10101001100。在算法执行过程中设置断点，记录中间结果，得到下表9(为方便说明，下表中的中间结果用十进制表示)。由于m为1024bit的二进制数，所以表中小于1024bit的值不需要进行模m运算。

表9选择明文2¹⁰²³T1段实验中间结果

续表9选择明文2¹⁰²³T1段实验中间结果

表9中列出了以e为密钥，以x为明文的情况下，从左到右的BR算法在进行模幂运算的时候前几轮模乘的情况。表中第一轮模乘是模平方，因为参与的操作数A＝2¹⁰²⁴modm，HW(A)＝50，由公式(3-4)分析可得，这轮模平方功耗不是很低，对应于图11的第一个模乘。由于e₁＝1，第二轮是A和参与的模乘。由于其中一个操作数的汉明重量使整个模乘的功耗降得比较低。从第二轮模乘开始，A的汉明重量也变得很小HW(A)＝1，所以在前15轮模乘，因为每轮都有汉明重量很低的数出现，所以总体都呈现功耗较低的情况。直到第16轮结束之后HW(A)＝358，使得HW(A)与发生明显的差异。所以，在图10的T2阶段出现了3.2.2中描述的明显的攻击效果。

基于以上分析，如果可以缩短HW(A)降低的过程，尽快使HW(A)与的明显差异表现出来，就会缩短T1段，提高攻击成功率。

在实验中构造的明文x，使其在遇到第一个“1”功耗下落后，以最快速度使功耗提升，即使图10的T1段情况最短。取其功耗曲线如图11所示。在遇“1”下落后，在第二个模乘的功耗便提升上来，由图11可直接攻击出100％密钥。

表10选择明文2¹⁰²³+2T1段实验中间结果

由表10，经过第二轮模乘，A＝2¹⁰²³+2这使得HW(A)＝2，根据功耗分析攻击模型，此轮呈现较低功耗。但是在后面的所有轮中，每轮均有A出现，而且，HW(A)均表现的比较平稳，没有大起大落。这使得HW(A)与的明显差异表现出来。所以在图11中，可以区分出模平方与模乘，进而凭借单条曲线可以恢复出100％的密钥。

新方法与已知方法的效率对比

因为每个密码芯片本身都有其自身的生命周期，所以攻击效率成为衡量攻击方法的一个重要因素。也就是说在密码芯片的生命周期内尽快取得攻击结果，才能取得实际的攻击意义。

功耗分析攻击一般包括CPA(Correlation Power Analysis)、DPA和SPA等。CPA和DPA是基于统计特性的方法，一般需要采集上万条曲线^[23]。且被用来对样本曲线进行分析处理的工作站需要具有比较高的配置，攻击成功率一般在90％左右^[65]。而本文提出的方法，只需采集单条曲线和应用普通PC机处理，就可以恢复99％以上的密钥。

与现有的选择明文SPA攻击相比，优势在于本文提出攻击方法无法用屏蔽特殊明文的方法进行抵御。

表11各种功耗分析攻击方法攻击效率对比

由表11可以看出本文提出选择明文功耗分析攻击方法在效率上占有明显优势。DPA与CPA本质在通过统计特性总结出密钥相关性，所以需要大量功耗曲线，因为计算量很大，那么需要的处理设备的性能也有所提高。Yen等人提出的以N-1为明文的方法Miyamoto等人在文献^[58]在FPAG上进行了实验验证，效果比较明显但是很容易被屏蔽。

防御对策：

由于可选明文数量很大，卡商难以用屏蔽特殊明文的方法防御此种攻击。但是由于此种攻击方法依赖于操作数的汉明重量，所以可以考虑用伪乘法(DummyMultiplication)防御方法来进行防御。

下面算法2给出经过优化的蒙哥马利模幂算法。

在伪乘操作中，无论指数是“1”或是“0”都要进行平方和乘。只有当e_i＝1时，乘积的值才会被赋到A中。因为每次都有一高一低功耗出现，所以无法区分平方和乘。

在底数掩码的算法中，对底数做了随机，选择的明文在随机数的作用下无法控制实际参与模乘的操作数的汉明重量，也就无法与密钥相对应，所以攻击无效，效果如图12所示。防范文中提出的攻击也可以采用底数掩码的方法进行防御。

Claims (1)

1.加密系统边信道攻击测试方法，其特征在于，包括下述步骤：

1)确定选择明文由选择明文通过蒙哥马利模乘算法得到输入明文，所述选择明文的取值为以下各数之任一：

在汉明重量为1的数中：2¹⁰²³、2¹⁰²²、2¹⁰²¹、2¹⁰²⁰、2¹⁰¹⁹、2¹⁰¹⁸；

在汉明重量为2的数中：2¹⁰²³+K1、2¹⁰²²+K2、2¹⁰²¹+K1、2¹⁰²⁰+K1、2¹⁰¹⁹+K1、2¹⁰¹⁸+K1；

在汉明重量为3的数中：2¹⁰²³+K3、2¹⁰²²+K3、2¹⁰²¹+K3、2¹⁰²⁰+K3、2¹⁰¹⁹+K3；

K1、K2、K3为任意值且K1≠2¹⁰²²，K2≠2¹⁰²³；

2)在被控设备上输入步骤1)得到的输入明文，使用被攻击密码系统加密，捕获功耗曲线。