CN103457719A - 一种对sm3密码算法hmac模式的侧信道能量分析方法 - Google Patents

Abstract

一种对SM3密码算法HMAC模式的侧信道能量分析方法，该方法分析了SM3密码算法及其HMAC模式的实现特征，基于DPA和CPA的攻击方法，结合SM3密码算法HMAC模式的特征及能量消耗泄漏点，成功地破解SM3密码算法HMAC模式，可任意伪造输出摘要。技术方案要点是：一、采集HMAC的能量迹；二、分析得到K_in，K_in为第1次杂凑运算中的中间状态值，三、分析获得K_out，K_out为第2次杂凑运算中的中间状态值，其中三中的方法与二中方法一致。本发明的技术方案为SM3密码算法的侧信道分析实施提供了解决方案。

Description

一种对SM3密码算法HMAC模式的侧信道能量分析方法

技术领域

本发明提供了一种对SM3密码算法HMAC模式的侧信道能量分析方法，涉及到密码算法实现、侧信道能量分析、密码模块检测领域。为了对实现SM3密码算法HMAC模式的密码模块进行侧信道能量分析，分析和获取受保护的密钥及敏感信息，本发明提出一种针对SM3密码算法HMAC模式的侧信道能量分析方法。 

背景技术

随着信息技术的发展，各种密码算法正被广泛地应用于经济、军事、行政等重要部门，保护信息的安全性。鉴于密码算法的重要性，对密码算法软硬件实现(密码模块)的分析研究对保护信息的安全具有重要的意义。近年来，多种对密码模块的攻击已广为人知，所有这些攻击的目标都是为了获取密码模块中的密钥。攻击可分为侵入式攻击、半侵入式攻击和非侵入式攻击。非侵入式攻击中的侧信道分析由于实施方便、相对成本低廉被广泛使用。侧信道分析包括计时分析、能量分析和电磁分析等。其中，侧信道能量分析是众多分析手段中最常用的方法之一，它突破了传统密码算法的分析模式，能力强大，实施相对容易。侧信道能量分析利用了密码模块能量消耗与运算数据和执行的操作之间的相关性，基于密码算法实现的能量泄露函数，建立能量模型，使用统计方法，猜测和验证密码模块使用的受保护密钥或敏感信息。侧信道能量分析方法一般包括：简单能量分析(SPA)、差分能量分析(DPA)、相关能量分析(CPA)和高阶差分能量分析(HODPA)。 

其中，DPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹(一次密码操作过程中采集到的能量消耗测量的一个向量)；对每一个猜测密钥或敏感信息K，产生相应的中间值(攻击对象)，根据中间值确定选择函数；通过选择函数将能量迹集划分为两个子集；分别对两个子集对应的能量消耗取平均，并对两个平均能量消耗值求差，该均值差 为选择函数对应的中间值对能量迹的影响效果。根据统计理论，若K猜测不正确，当能量迹的个数N趋近无穷大时，两子集的均值差将趋近于零；若K猜测正确时，在能量迹中的某个样点，将会出现一个均值差的最大尖峰(绝对值最大值)，通过最大尖峰可确定正确的密钥或敏感信息。CPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹；对每一个猜测密钥或敏感信息K，产生相应的中间值(攻击对象)；根据中间值建立能量模型；通过能量模型将中间值映射为仿真能量消耗；计算仿真能量消耗与能量迹之间的线性相关系数，范围在[-1，1]之间；选取相关系数中绝对值的最大值，理论上为1，但是由于采集能量迹过程中不可避免存在噪声干扰，最大值小于1，该相关系数最大值对应的猜测值即为正确密钥或敏感信息。 

对于上述两种分析方法，必须具备如下条件：必须存在W(攻击点)具有明显能量消耗特征，其中，攻击点W是由两部分因子结合运算(·)组成，一部分M为已知可变化，另一部分K为未知但是固定(即攻击获取的密钥或敏感信息)，W＝M.K。攻击者通过输入不同的M，产生不同的W能量消耗特征，结合W＝M.K，分析出K。 

基于杂凑算法的消息鉴别码(Hash-based Message Authentication code，简称HMAC)利用杂凑算法，输入一个密钥和消息，输出带认证信息的消息的摘要，用于摘要的接收方能够对摘要发送方的身份正确性和消息有效性进行验证。HMAC与普通的消息摘要的不同之处在于，摘要生成过程中密钥参与了运算。一个HMAC过程表示为： 

HMAC(K，m)＝H((K⊕opad)‖H((K⊕ipad)‖m))  (1) 

其中，H代表一个杂凑算法(如SHA-256、SHA-1，SM3等)函数，K为鉴别密钥，m代表一个不定长的消息输入。用B来表示杂凑算法输入分组的字节长度，用L来表示杂凑算法摘要输出的字节长度(如MD5中L＝16，SHA-1中L＝20)，鉴别密钥K的长度一般为小于等于B的正整数值，小于分组长度B时在密钥K后补0；若鉴别密钥K的长度比B大，则使用杂凑算法函数H对K进行摘要运算，输出的L长度字节串作为在HMAC中 实际使用的密钥。ipad为B字节重复的0x36，opad为B字节重复的0x5C。附图1描述了HMAC的处理过程， 

IV为杂凑函数H的初始状态值，f为H中压缩函数， 

为输入的消息分组，K_in，h₁，h₂，...，h_n-1，h_n，K_out为每次杂凑运算的中间状态。 

目前，对杂凑算法HMAC模式的DPA/CPA能量分析已有一定的理论成果。由图1可知，K⊕ipad为第1组输入消息分组，是固定未知，K⊕ipad经过压缩运算后仍得到固定未知值K_in＝f(K⊕ipad，IV)，而第2组输入消息分组m₁为已知可变，K_in参与f函数中的大功耗运算，满足DPA/CPA分析条件，因此根据已知可变输入消息分组m₁，可分析出K_in，同理，若分析出K_in，h_n的值则为已知可变，K_out＝f(K⊕opad，IV)为固定未知，K_out参与f函数中的大功耗运算，满足DPA/CPA分析条件，可分析出K_out。通过K_in和K_out，攻击者可伪造出任意消息的消息鉴别码。 

SM3密码算法是我国公开发布的第一个密码杂凑算法。SM3算法分组输入长度512比特，摘要输出长度256比特。初始向量IV＝7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e。 

SM3算法的运算步骤分为三步： 

1、填充消息 

假设消息m的长度为L比特。首先将比特“1”添加到消息的末尾，再添加K个“0”，K是满足L+1+K＝448 mod 512的最小负整数，然后再添加一个64位的比特串，该比特串是长度L的二进制表示。填充后的消息后m′ 的比特长度为512的整倍数，并可以用消息分组M⁽ⁱ⁾来表示。 

2、迭代压缩 

将填充后的消息m′按512比特进行分组：m′＝M⁽⁰⁾M⁽¹⁾…M^(n-1)，其中n＝(L+K+65)/512。对m′按下列方式迭代： 

for i＝0 to n-1 

V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾，M⁽ⁱ⁾)  (2) 

endfor 

其中CF是压缩函数，V⁽⁰⁾为256比特初始值IV，分别为字M⁽ⁱ⁾为填充后的消息分组，迭代压缩的结果为V⁽ⁿ⁾。 

2.1 消息扩展 

将消息分组M⁽ⁱ⁾按以下方法扩展生成132个字W₀，W₁，…，W₆₇，W₀′，W₁′，…，W₆₃′，用于压缩函数CF： 

(1)将消息分组M⁽ⁱ⁾划分为16个字W₀，W₁，…，W₁₅； 

for j＝16 to 67 

(2)W_j＝P₁(W_j-16⊕W_j-9⊕(W_j-3＜＜＜15))⊕(W_j-13＜＜＜7)⊕W_j-6  (3) 

end 

for j＝0 to 63 

(3)W_j′＝W_j⊕W_j+4  (4) 

end 

其中，P₁(X)＝X⊕(X＜＜＜15)⊕(X＜＜＜23)，X为字。 

2.2 压缩 

令A，B，C，D，E，F，G，H为字寄存器，存放A_j，B_j，C_j，D_j，E_j，F_j，G_j，H_j(j∈{0，…，64})，SS1_j，SS2_j，TT1_j，TT2_j(j∈{1，…，64})为中间变量，压缩函数V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾，M⁽ⁱ⁾)(0≤i≤n-1)的计算过程如下： 

A₀B₀C₀D₀E₀F₀G₀H₀←V⁽ⁱ⁾    (5) 

for j＝1 to 64 

1.SS1_j←((A_j-1＜＜＜12)+E_j-1+(T_j-1＜＜＜(j-1))＜＜＜7 

2.SS2_j←SS1_j⊕(A_j-1＜＜＜12) 

3.TT1_j←FF_j-1(A_j-1，B_j-1，C_j-1)+D_j-1+SS2_j+W_j-1′ 

4.TT2_j←GG_j-1(E_j-1，F_j-1，G_j-1)+H_j-1+SS1_j+W_j-1

5.D_j←_j-1

6.C_j←B_j-1＜＜＜9 

7.B_j←A_j-1

8.A_j←TT1_j

9.H_j←G_j-1

10.G_j←F_j-1＜＜＜19 

11.F_j←E_j-1

12.E_j←P₀(TT2_j) 

end    (6) 

V⁽ⁱ⁺¹⁾←A₆₄B₆₄C₆₄D₆₄E₆₄F₆₄G₆₄G₆₄⊕V⁽ⁱ⁾  (7) 

其中， $T_j=\left\{\begin{array}{cc}79\mathrm{cc}4519& 0\≤j\≤15\\ 7a879d8a& 16\≤j\≤63\end{array}\right.,$

P₀(X)＝X⊕(X＜＜＜9)⊕(X＜＜＜17)，X，Y，Z为字。 

3 杂凑值 

ABCDEFGH←V⁽ⁿ⁾，输出256比特的杂凑值y＝ABCDEFGH。 

对于SM3密码算法HMAC模式，尚未有相关具体的能量分析方法，本发明结合现有对杂凑算法HMAC的能量分析理论，创造性地提出对SM3密码算法HMAC模式的能量分析方法。 

附图说明

图1为本发明的一种对SM3密码算法HMAC模式的侧信道能量分析方 法的杂凑算法HMAC的计算过程； 

图2为本发明的一种对SM3密码算法HMAC模式的侧信道能量分析方法的DPA/CPA分析流程图； 

图3为本发明的一种对SM3密码算法HMAC模式的侧信道能量分析方法的CPA分析原理； 

图4为本发明的一种对SM3密码算法HMAC模式的侧信道能量分析方法的DPA分析原理。 

发明内容

一种对SM3密码算法HMAC模式的侧信道能量分析方法，所述方法包括以下步骤： 

步骤一、采集HMAC的能量迹 

基于DPA及CPA分析方法，根据需求采集N组不同明文消息输入的SM3算法HMAC运算的能量迹，并分析SM3杂凑算法的HMAC模式特征， 

HMAC(K，m)＝H((K⊕opad)‖H((K⊕ipad)‖m))  式(1) 

式(1)中：H代表一个杂凑算法函数；K为鉴别密钥；m代表一个不定长的消息输入；在HMAC处理过程中，定义K⊕ipad，m₁，m₂，…，m_n，K⊕opad为输入的消息分组，分别为M⁽⁰⁾M⁽¹⁾…M^(n-1)，K⊕ipad、K⊕opad分别为第1、2次杂凑运算的第1组输入消息分组，是固定未知，经过压缩运算后仍得到固定未知值K_in＝f(K⊕ipad，IV)、K_out＝f(K⊕opad，IV)，K_in，h₁，h₂，…，h_n-1，h_n，K_out为每次杂凑运算的中间状态；第2组输入消息分组m₁为已知可变，_SM3算法的压缩函数V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾，M⁽ⁱ⁾)(0≤i≤n-1)的计算过程如下： 

A₀B₀C₀D₀E₀F₀G₀H₀←V⁽ⁱ⁾  式(5) 

for j＝1 to 64 

1.SS1_j←((A_j-1＜＜＜12)+E_j-1+(T_j-1＜＜＜(j-1))＜＜＜7 

2.SS2_j←SS1_j⊕(A_j-1＜＜＜12) 

3.TT1_j←FF_j-1(A_j-1，B_j-1，C_j-1)+D_j-1+SS2_j+W_j-1′ 

4.TT2_j←GG_j-1(E_j-1，F_j-1，G_j-1)+H_j-1+SS1_j+W_j-1

5.D_j←C_j-1

6.C_j←B_j-1＜＜＜9 

7.B_j←A_j-1

8.A_j←TT1_j

9.H_j←G_j-1

10.G_j←F_j-1＜＜＜19 

11.F_j←E_j-1

12.E_j←P₀(TT2_j) 

end    式(6) 

由于K_in、K_out固定未知，且压缩函数中存在明显能量消耗泄漏，分别选择杂凑运算第2组消息分组m₁、H((K⊕ipad)‖m)即h_n、在式(6)压缩函数运算中第j＝1，2轮迭代中的第1、2、3、4步运算的能量消耗作为分析部分； 

步骤二、分析得到K_in

选择压缩函数CF(.)中的能量消耗泄漏点，不断改变第2组消息分组m₁的输入值，一层层地分析出K_in，见式(6)；由式(6)压缩函数可知，当对第2组输入消息分组输入m₁进行压缩运算时，K_in为压缩函数CF(.)的初始状态(A₀，B₀，C₀，D₀，F₀，G₀，H₀)，是固定值，若想得到完整的K_in，必须分别分析获得(A₀，B₀，C₀，D₀，F₀，G₀，H₀)各自的值，根据式(6)的压缩步骤，分析如下： 

当j＝1时，由K_in固定可知SS1₁＝((A₀＜＜＜12)+E₀+T₀)＜＜＜7、SS2₁＝SS1₁⊕(A₀＜＜＜12)均为固定值； 

步骤二一、分析得到TT1₁、X(j＝1) 

对于式(6)中的第3步，由SM3算法的消息扩展中的式(4)可知， 

for j＝0 to 63 

W_j′＝W_j⊕W_j+4  式(4) 

end 

W′_j-1为已知变量，其余均未知；设TT1₁＝FF₀(A₀，B₀，C₀)+D₀+SS2₁+W₀′中的FF₀(A₀，B₀，C₀)+D₀+SS2₁为X，易知X值固定，W₀′根据攻击者的输入改变，且TT1₁存在能量消耗泄漏，满足DPA/CPA分析条件，改变输入W₀′，采集能量迹，使用DPA/CPA分析得到X，并推出TT1₁； 

步骤二二、分析得到TT2₁、Y(j＝1) 

同理，对于式(6)中的第4步，W_j-1为已知可变输入，其余均未知；设TT2₁＝GG₀(E₀，F₀，C₀)+H₀+SS1₁+W₀中的GG₀(E₀，F₀，C₀)+H₀+SS1₁为Y，易知Y值固定，W₀根据攻击者的输入改变，且TT2₁存在能量消耗泄漏，满足DPA/CPA分析条件，改变输入W₀，采集能量迹，使用DPA/CPA分析得到Y，并推出TT2₁； 

步骤二三、分析得到A₁、E₁、A₀、E₀(j＝1) 

当j＝1时，由式(6)中的第8步和第12步，可分别得到A₁，E₁；由于TT1₁和TT2₁为已知变量，A₀、E₀为固定未知值，且A₀和A₁、E₀和E₁的寄存器比特转换时存在能量消耗泄漏，体现在能量迹上，满足DPA/CPA分析，使用汉明距离模型hd(TT1₁，A₀)、hd(P₀(TT2₁)，E₀)，进行DPA/CPA分析可得到A₀，E₀；其中，hd(x，y)表示为x⊕y中比特为1的个数； 

当j＝2时，由于A₁、E₁为已知变量，由式(6)中第1步和第2步可知，SS1₂＝((A₁＜＜＜12)+E₁+(T₁＜＜＜1)＜＜＜7，SS2₂＝SS1₂⊕(A₁＜＜＜12)为已知变量； 

步骤二四、分析得到C₁，G₁，B₀，F₀(j＝2) 

分别对式(6)的第3、4步中存在能耗泄漏的函数FF₁和GG₁进行分析，由上述可知，B₁＝A₀为已知固定值，A₁为已知变量，C₁＝B₀＞＞＞9为固定未知，利用DPA/CPA分析对式(6)中的第3步中的函数FF₁进行分析，得出C₁，推导出FF₁，进而可恢复出B₀；F₁＝E₀为已知固定值，E₁为已知变量，G₁＝F₀＜＜＜19为未知常量，同理对函数GG₁进行DPA/CPA分析，恢复出G₁，推导出GG₁，进而恢复出F₀； 

步骤二五、分析得到D₁、H₁、C₀、G₀(j＝2) 

再次分别对存在能耗泄漏的式(6)中的第3、4步进行分析，由上可知，SS1₂、SS2₂、W₁、W₁′、FF₁(A₁，B₁，C₁)和GG₁(E₁，F₁，G₁)均为已知变量，D₁和H₁为固定未知值，满足DPA/CPA分析条件，分别使用DPA/CPA分析得到D₁和H₁，进而由式(6)中的第5步和第9步得到C₀和G₀； 

步骤二六、推算得到D₀、H₀(j＝1)，从而获得K_in

当j＝1时，由于等式X＝FF₀(A₀，B₀，C₀)+D₀+SS2₁和Y＝GG₀(E₀，F₀，C₀)+H₀+SS1₁中除D₀、H₀外均为已知值，从而可推算得到D₀和H₀，从而得到K_in； 

三、同步骤二中方法分析获得K_out

通过改变输入的消息分组m₁，可得到不同的h_n，则h_n为已知可变，K_out为h_n进行压缩运算时的初始状态(A₀，B₀，C₀，D₀，F₀，G₀，H₀)，为未知固定，不断改变第2组消息分组m₁的输入值，进而改变h_n的值，一层层地分析出K_out，具体的分析步骤与K_in一致； 

对于K_in和K_out，分别使用了8次DPA/CPA分析，即可恢复出K_in和K_out，从而成功分析出SM3密码算法HMAC模式的敏感信息。 

具体实施方式

下面结合实施例对本发明做进一步地说明： 

本发明以CPA方法分析K_in为例，CPA分析K_out、DPA分析K_in/K_out实施方式与本方案一致。 

一、采集能量迹 

输入N次不同的消息W＝(m₁，…，m_n)，令每次输入的m₁值都不相同，分别采集HMAC运算时的能量迹，选择K_in＝A₀B₀C₀D₀E₀F₀G₀H₀参与运算的能耗部分，得到能量迹矩阵 $E(N\×T)=\left(\begin{array}{ccc}{e}_1^1& ...& e_T^1\\ .& & .\\ .& e_t^n& .\\ .& & .\\ e_1^N& ...& e_T^N\end{array}\right),$ 其中，T为运算所用的时间， 

为第n次HMAC运算，在时刻t产生的能量消耗值。 

二、CPA分析K_in＝A₀B₀C₀D₀E₀F₀G₀H₀

1、当j＝1(压缩函数第1轮)时，对压缩步骤3进行CPA分析，获得X＝FF₀(A₀，B₀，C₀)+D₀+SS2₁、TT1₁。 

已知m₁为可变输入，进行消息扩展后得到W₀，W₁，…，W₆₇，W₀′，W₁′，…，W₆₃′，DPA分析仅使用了W₀，W′₀，W₁，W′₁，对于N次不同的m₁输入，分别得到消息向量 $W_0={(W_0^1,\·\·\·,W_0^n,\·\·\·,W_0^N)}^T,$ ${W^{\′}}_0={(W_0^{\′1},\·\·\·,W_0^{\′n},\·\·\·,W_0^{\′N})}^T,$ $W_1={(W_1^1,\·\·\·,W_1^n,\·\·\·,W_1^N)}^T,$ 此外，由上可知，SS1₁＝((A₀＜＜＜12)+E₀+T₀)＜＜＜7、SS2₁＝SS1₁⊕(A₀＜＜＜12)均为固定值。 

1)对于压缩步骤(式(6))的第3步，运算的能耗特征表现在能量迹E(N×T)上，

分别猜测X＝FF₀(A₀，B₀，C₀)+D₀+SS2₁的2³²个不同值X＝(0，1，…，x，…，2³²-1)^T，代入TT1₁中得到相应的中间矩阵 $V(N\×2^{32})=\left(\begin{array}{ccc}{v}_0^1& ...& v_{2^{32}-1}^1\\ .& & .\\ .& v_x^n& .\\ .& & .\\ v_0^N& ...& v_{2^{32}-1}^N\end{array}\right),$ 其中 $v_x^n=x+W_0^{\′n}.$

2)采用汉明重量模型将中间矩阵V(N×2³²)映射为仿真能耗矩阵  $H(N\×2^{32})=\left(\begin{array}{ccc}{h}_0^1& ...& h_{2^{32}-1}^1\\ .& & .\\ .& h_x^n& .\\ .& & .\\ h_0^N& ...& h_{2^{32}-1}^N\end{array}\right)=\left(\begin{array}{ccc}\mathrm{hw}\left(v_0^1\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^1\right)\\ .& & .\\ .& \mathrm{hw}\left(v_x^n\right)& .\\ .& & .\\ \mathrm{hw}\left(v_0^N\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^N\right)\end{array}\right),$ 其中，

表示

(32比特)中比特值为1的个数。 

3)计算仿真能耗矩阵H(N×2³²)与实测能耗矩阵E(N×T)之间的相关系数，得到相关系数矩阵 $R(2^{32}\×T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,1}}& ...& r_{0,T}\\ .& & .\\ .& r_{x,t}& .\\ .& & .\\ r_{2^{32}-\mathrm{1,1}}^1& ...& r_{2^{32}-1,T}\end{array}\right),$ 其中， 

为矩阵H第x列的平均值，为矩阵E第t列的平均值。 

4)选取R中的最大值r_p，q＝max(r_x，t)，r_p，q对应X的猜测值p即为分析得到的正确值，X＝p。 

最后，由TT1₁＝X+W′₀可推导出N维向量 

${\mathrm{TT}1}_1={(W_0^{\′1}+X,\·\·\·,W_0^{\′n}+X,\·\·\·,W_0^{\′N}+X)}^T.$

2、当j＝1时，对压缩步骤4进行CPA分析，分别获得Y＝GG₀(E₀，F₀，C₀)+H₀+SS1₁，、

对于不同的

输入，猜测Y的2³²个不同值Y＝(0，1，…，x，…，2³²-1)^T，使用汉明重量模型，同样采用上述1)-4)步进行CPA分析方法。具体如下： 

1)对于压缩步骤(式(6))的第4步，TT2₁＝GG₀(E₀，F₀，C₀)+H₀+SS1₁+W₀运算的能耗特征表现在能量迹E(N×T)上，

分别猜测Y的2³²个不同值Y＝(0，1，…，x，…，2³²-1)^T，代入TT2₁中得到相应的中间矩阵  $V(N\×2^{32})=\left(\begin{array}{ccc}{v}_0^1& ...& v_{2^{32}-1}^1\\ .& & .\\ .& v_x^n& .\\ .& & .\\ v_0^N& ...& v_{2^{32}-1}^N\end{array}\right),$ 其中 $v_x^n=x+W_0^n.$

2)采用汉明重量模型将中间矩阵V(N×2³²)映射为仿真能耗矩阵 

$H(N\×2^{32})=\left(\begin{array}{ccc}{h}_0^1& ...& h_{2^{32}-1}^1\\ .& & .\\ .& h_x^n& .\\ .& & .\\ h_0^N& ...& h_{2^{32}-1}^N\end{array}\right)=\left(\begin{array}{ccc}\mathrm{hw}\left(v_0^1\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^1\right)\\ .& & .\\ .& \mathrm{hw}\left(v_x^n\right)& .\\ .& & .\\ \mathrm{hw}\left(v_0^N\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^N\right)\end{array}\right).$

3)计算仿真能耗矩阵H(N×2³²)与实测能耗矩阵E(N×T)之间相关系数，得到相关系数矩阵 $R(2^{32}\×T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,1}}& ...& r_{0,T}\\ .& & .\\ .& r_{x,t}& .\\ .& & .\\ r_{2^{32}-\mathrm{1,1}}^1& ...& r_{2^{32}-1,T}\end{array}\right),$ 其中， 

为矩阵H第x列的平均值，

为矩阵E第t列的平均值。 

4)选取R中的最大值r_p，q＝max(r_x，t)，r_p，q对应Y的猜测值p即为分析得到的正确值，即Y＝p。 

最后，由TT2₁＝Y+W′₀可推导出N维向量  ${\mathrm{TT}2}_1={(W_0^1+Y,\·\·\·,W_0^n+Y,\·\·\·,W_0^N+Y)}^T.$

3、当j＝1时，对压缩步骤8和12进行CPA分析，获得A₁、E₁、A₀、E₀。 

由上述1、2步可知，

为已知N维向量，且易知A₁＝TT1₁、E₁＝P₀(TT2₁)，则汉明距离模型hd(A₁，A₀)、hd(E₁，E₀)分别转化成汉明重量模型为hw(TT1₁⊕A₀)、hw(P₀(TT2₁)⊕E₀)。 

1)对于压缩步骤(式(6))的第8步，A₀、A₁的寄存器比特转换时存在能量消耗泄漏，体现在能量迹E(N×T)上，TT1₁为N维向量，分别猜测A₀的2³²个不同值A₀＝(0，1，…，x，…，2³²-1)^T，代入TT1₁⊕A₀中得到相应的 中间矩阵 $V(N\×2^{32})=\left(\begin{array}{ccc}{v}_0^1& ...& v_{2^{32}-1}^1\\ .& & .\\ .& v_x^n& .\\ .& & .\\ v_0^N& ...& v_{2^{32}-1}^N\end{array}\right),$ 其中 $v_x^n=x+W_0^{\′n}+X.$

2)采用汉明重量模型将中间矩阵V(N×2³²)映射为仿真能耗矩阵  $H(N\×2^{32})=\left(\begin{array}{ccc}{h}_0^1& ...& h_{2^{32}-1}^1\\ .& & .\\ .& h_x^n& .\\ .& & .\\ h_0^N& ...& h_{2^{32}-1}^N\end{array}\right)=\left(\begin{array}{ccc}\mathrm{hw}\left(v_0^1\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^1\right)\\ .& & .\\ .& \mathrm{hw}\left(v_x^n\right)& .\\ .& & .\\ \mathrm{hw}\left(v_0^N\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^N\right)\end{array}\right).$

3)计算仿真能耗矩阵H(N×2³²)与实测能耗矩阵E(N×T)，得到相关系数矩阵 $R(2^{32}\×T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,1}}& ...& r_{0,T}\\ .& & .\\ .& r_{x,t}& .\\ .& & .\\ r_{2^{32}-\mathrm{1,1}}^1& ...& r_{2^{32}-1,T}\end{array}\right),$ 其中， 

为矩阵H第x列的平均值，

为矩阵E第t列的平均值。 

4)选取R中的最大值r_p，q＝max(r_x，t)，r_p，q对应A₀的猜测值p为分析得到的正确值，即A₀＝p。 

同理，根据1)-4)对压缩步骤12进行CPA分析，可得到E₀。 

4、当j＝2时(即压缩函数第2轮)，对压缩步骤3和4中的FF₁(A₁，B₁，C₁)和GG₁(E₁，F₁，G₁)函数进行CPA分析，获得C₁，G₁，B₀，F₀。 

1)对于压缩步骤(式(6))3，已知A₁＝TT1₁＝(A_1，1，…，A_1，n，…，A_1，N)为N维向量，由步骤7可知B₁＝A₀为已知固定值，FF₁(A₁，B₁，C₁)存在能量消耗泄漏，体现在能量迹E(N×T)上，分别猜测C₁的2³²个不同值C₁＝(0，1，…，x，…，2³²-1)^T，代入FF₁(A₁，B₁，C₁)中得到相应的中间矩阵  $V(N\×2^{32})=\left(\begin{array}{ccc}{v}_0^1& ...& v_{2^{32}-1}^1\\ .& & .\\ .& v_x^n& .\\ .& & .\\ v_0^N& ...& v_{2^{32}-1}^N\end{array}\right),$ 其中 $v_x^n={\mathrm{FF}}_1(A_{1,n},A_0,x).$

2)采用汉明重量模型将中间矩阵V(N×2³²)映射为仿真能耗矩阵  $H(N\×2^{32})=\left(\begin{array}{ccc}{h}_0^1& ...& h_{2^{32}-1}^1\\ .& & .\\ .& h_x^n& .\\ .& & .\\ h_0^N& ...& h_{2^{32}-1}^N\end{array}\right)=\left(\begin{array}{ccc}\mathrm{hw}\left(v_0^1\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^1\right)\\ .& & .\\ .& \mathrm{hw}\left(v_x^n\right)& .\\ .& & .\\ \mathrm{hw}\left(v_0^N\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^N\right)\end{array}\right).$

3)计算仿真能耗矩阵H(N×2³²)与实测能耗矩阵E(N×T)之间的相关系数，得到相关系数矩阵 $R(2^{32}\×T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,1}}& ...& r_{0,T}\\ .& & .\\ .& r_{x,t}& .\\ .& & .\\ r_{2^{32}-\mathrm{1,1}}^1& ...& r_{2^{32}-1,T}\end{array}\right),$ 其中， 

为矩阵H第x列的平均值，

为矩阵E第t列的平均值。 

4)选取R中的最大值r_p，q＝max(r_x，t)，r_p，q对应C₁的猜测值p为分析得到的正确值，即C₁＝p。 

已知C₁，从而可推导出FF₁，并由压缩步骤6可获得B₀＝C₁＞＞＞9。 

同理，已知E₁为N维向量，由步骤11可知F₁＝E₀为已知固定值，根据上述1)-4)对压缩步骤4中的GG₁(E₁，F₁，G₁)进行CPA分析，可得到G₁，从而可推导出GG₁，并由压缩步骤6可获得F₀＝G₁＞＞＞19。 

5、当j＝2时(即压缩函数第2轮)，对压缩步骤3和4进行CPA分析，获得D₁、H₁、C₀、G₀。 

由上可知，A₁(N维向量)、E₁(N维向量)、T₁(固定参数值)为已知值，则SS1₂＝((A₁＜＜＜12)+E₁+(T₁＜＜＜1)＜＜＜7、SS2₂＝SS1₂⊕(A₁＜＜＜12)也为已知N维向量；此外，由4可知，FF₁(A₁，B₁，C₁)和GG₁(E₁，F₁，G₁)均为为已知N维向量；且 ${W^{\′}}_1={(W_1^{\′1},\·\·\·,W_1^{\′n},\·\·\·,W_1^{\′N})}^T,$ $W_1={(W_1^1,\·\·\·,W_1^n,\·\·\·,W_1^N)}^T;$ 则P＝FF₁(A₁，B₁，C₁)+SS2₂+W₁′、Q＝GG₁(E₁，F₁，C₁)+SS1₁+W₁为已知N维向量。 

1)对于第2轮压缩步骤(式(6))的第3步，TT1₂＝P+D₁运算的能耗特征表现在能量迹E(N×T)上，已知P＝(P₁，…，P_n，…，P_N)为N维向量，分别猜测D₁的2³²个不同值D₁＝(0，1，…，x，…，2³²-1)^T，代入TT1₂＝P+D₁中得到相应的中间矩阵 $V(N\×2^{32})=\left(\begin{array}{ccc}{v}_0^1& ...& v_{2^{32}-1}^1\\ .& & .\\ .& v_x^n& .\\ .& & .\\ v_0^N& ...& v_{2^{32}-1}^N\end{array}\right),$ 其中 $v_x^n=P_n+x.$

2)采用汉明重量模型将中间矩阵V(N×2³²)映射为仿真能耗矩阵  $H(N\×2^{32})=\left(\begin{array}{ccc}{h}_0^1& ...& h_{2^{32}-1}^1\\ .& & .\\ .& h_x^n& .\\ .& & .\\ h_0^N& ...& h_{2^{32}-1}^N\end{array}\right)=\left(\begin{array}{ccc}\mathrm{hw}\left(v_0^1\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^1\right)\\ .& & .\\ .& \mathrm{hw}\left(v_x^n\right)& .\\ .& & .\\ \mathrm{hw}\left(v_0^N\right)& ...& \mathrm{hw}\left(v_{2^{32}-1}^N\right)\end{array}\right).$

3)计算仿真能耗矩阵H(N×2³²)与实测能耗矩阵E(N×T)之间的相关系数，得到相关系数矩阵 $R(2^{32}\×T)=\left(\begin{array}{ccc}{r}_{\mathrm{0,1}}& ...& r_{0,T}\\ .& & .\\ .& r_{x,t}& .\\ .& & .\\ r_{2^{32}-\mathrm{1,1}}^1& ...& r_{2^{32}-1,T}\end{array}\right),$ 其中， 

为矩阵H第x列的平均值，

为矩阵E第t列的平均值。 

4)选取R中的最大值r_p，q＝max(r_x，t)，r_p，q对应D₁的猜测值p为分析得到的正确值，即D₁＝p。 

已知D₁，由压缩步骤5可获得C₀＝D₁。 

同理，已知Q为N维向量，由步骤10可知H₁＝G₀为已知固定值，根据上述1)-4)对压缩步骤4TT2₂＝Q+H₁进行CPA分析，可得到H₁，从而获得G₀。 

6、由1-5中的已知值，推导出D₀、H₀. 

1-5步分别获得A₀(3步)、B₀(4步)、C₀(5步)，E₀(3步)、F₀(4 步)、G₀(5步)的值，则SS1₁＝((A₀＜＜＜12)+E₀+T₀)＜＜＜7、SS2₁＝SS1₁⊕(A₀＜＜＜12)、FF₀(A₀，B₀，C₀)、GG₀(E₀，F₀，C₀)均为已知固定值，且1步中获得的X＝FF₀(A₀，B₀，C₀)+D₀+SS2₁和Y＝GG₀(E₀，F₀，C₀)+H₀+SS1₁也为已知值，从而可推导出D₀和H₀。 

总之，通过上述1-5步，分别获得A₀E₀B₀F₀C₀G₀D₀H₀，即为中间状态K_in。 

Claims (1)

1.一种对SM3密码算法HMAC模式的侧信道能量分析方法，其特征在于：所述方法包括以下步骤：

步骤一、采集HMAC的能量迹

基于DPA及CPA分析方法，根据需求采集N组不同明文消息输入的SM3算法HMAC运算的能量迹，并分析SM3杂凑算法的HMAC模式特征，

HMAC(K，m)＝H((K⊕opad)‖H((K⊕ipad)‖m))  式(1)

式(1)中：H代表一个杂凑算法函数；K为鉴别密钥；m代表一个不定长的消息输入；在HMAC处理过程中，定义K⊕ipad，m₁，m₂，…，m_n，K⊕opad为输入的消息分组，分别为M⁽⁰⁾M⁽¹⁾…M^(n-1)，K⊕ipad、K⊕opad分别为第1、2次杂凑运算的第1组输入消息分组，是固定未知，经过压缩运算后仍得到固定未知值K_in＝f(K⊕ipad，IV)、K_out＝f(K⊕opad，IV)，K_in，h₁，h₂，…，h_n-1，h_n，K_out为每次杂凑运算的中间状态；第2组输入消息分组m₁为已知可变，SM3算法的压缩函数V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾，M⁽ⁱ⁾)(0≤i≤n-1)的计算过程如下：

A₀B₀C₀D₀E₀F₀G₀H₀←V⁽ⁱ⁾   式(5)

for j＝1 to 64

1.SS1_j←((A_j-1＜＜＜12)+E_j-1+(T_j-1＜＜＜(j-1))＜＜＜7

2.SS2_j←SS1_j⊕(A_j-1＜＜＜12)

3.TT1_j←FF_j-1(A_j-1，B_j-1，C_j-1)+D_j-1+SS2_j+W_j-1′

4.TT2_j←GG_j-1(E_j-1，F_j-1，G_j-1)+H_j-1+SS1_j+W_j-1

5.D_j←C_j-1

6.C_j←B_j-1＜＜＜9

7.B_j←A_j-1

8.A_j←TT1_j

9.H_j←G_j-1

10.G_j←F_j-1＜＜＜19

11.F_j←E_j-1

12.E_j←P₀(TT2_j)

end    式(6)

由于K_in、K_out固定未知，且压缩函数中存在明显能量消耗泄漏，分别选择杂凑运算第2组消息分组m₁、H((K⊕ipad)‖m)即h_n、在式(6)压缩函数运算中第j＝1，2轮迭代中的第1、2、3、4步运算的能量消耗作为分析部分；

步骤二、分析得到K_in

选择压缩函数CF(.)中的能量消耗泄漏点，不断改变第2组消息分组m₁的输入值，一层层地分析出K_in，见式(6)；由式(6)压缩函数可知，当对

第2组输入消息分组输入m₁进行压缩运算时，K_in为压缩函数CF(.)的初始状态(A₀，B₀，C₀，D₀，F₀，G₀，H₀)，是固定值，若想得到完整的K_in，必须分别分析获得(A₀，B₀，C₀，D₀，F₀，G₀，H₀)各自的值，根据式(6)的压缩步骤，分析如下：

当j＝1时，由K_in固定可知SS1₁＝((A₀＜＜＜12)+E₀+T₀)＜＜＜7、SS2₁＝SS1₁⊕(A₀＜＜＜12)均为固定值；

步骤二一、分析得到TT1₁、X(j＝1)

对于式(6)中的第3步，由SM3算法的消息扩展中的式(4)可知，for j＝0 to 63

W_j′＝W_j⊕W_j+4  式(4)

end

W′_j-1为已知变量，其余均未知；设TT1₁＝FF₀(A₀，B₀，C₀)+D₀+SS2₁+W₀′中的FF₀(A₀，B₀，C₀)+D₀+SS2₁为X，易知X值固定，W₀′根据攻击者的输入改变，且TT1₁存在能量消耗泄漏，满足DPA/CPA分析条件，改变输入W₀′，采集能量迹，使用DPA/CPA分析得到X，并推出TT1₁；

步骤二二、分析得到TT2₁、Y(j＝1)

同理，对于式(6)中的第4步，W_j-1为已知可变输入，其余均未知；设TT2₁＝GG₀(E₀，F₀，C₀)+H₀+SS1₁+W₀中的GG₀(E₀，F₀，C₀)+H₀+SS1₁为Y，易知Y值固定，W₀根据攻击者的输入改变，且TT2₁存在能量消耗泄漏，满足DPA/CPA分析条件，改变输入W₀，采集能量迹，使用DPA/CPA分析得到Y，并推出TT2₁；

步骤二三、分析得到A₁、E₁、A₀、E₀(j＝1)

当j＝1时，由式(6)中的第8步和第12步，可分别得到A₁，E₁；由于TT1₁和TT2₁为已知变量，A₀、E₀为固定未知值，且A₀和A₁、E₀和E₁的寄存器比特转换时存在能量消耗泄漏，体现在能量迹上，满足DPA/CPA分析，使用汉明距离模型hd(TT1₁，A₀)、hd(P₀(TT2₁)，E₀)，进行DPA/CPA分析可得到A₀，E₀；其中，hd(x，y)表示为x⊕y中比特为1的个数；

当j＝2时，由于A₁、E₁为已知变量，由式(6)中第1步和第2步可知，SS1₂＝((A₁＜＜＜12)+E₁+(T₁＜＜＜1)＜＜＜7，SS2₂＝SS1₂⊕(A₁＜＜＜12)为已知变量；

步骤二四、分析得到C₁，G₁，B₀，F₀(j＝2)

分别对式(6)的第3、4步中存在能耗泄漏的函数FF₁和GG₁进行分析，由上述可知，B₁＝A₀为已知固定值，A₁为已知变量，C₁＝B₀＞＞＞9为固定未知，利用DPA/CPA分析对式(6)中的第3步中的函数FF₁进行分析，得出C₁，推导出FF₁，进而可恢复出B₀；F₁＝E₀为已知固定值，E₁为已知变量，G₁＝F₀＜＜＜19为未知常量，同理对函数GG₁进行DPA/CPA分析，恢复出G₁，推导出GG₁，进而恢复出F₀；

步骤二五、分析得到D₁、H₁、C₀、G₀(j＝2)

再次分别对存在能耗泄漏的式(6)中的第3、4步进行分析，由上可知，SS1₂、SS2₂、W₁、W₁′、FF₁(A₁，B₁，C₁)和GG1(E₁，F₁，G₁)均为已知变量，D₁和H₁为固定未知值，满足DPA/CPA分析条件，分别使用DPA/CPA分析得到D₁和H₁，进而由式(6)中的第5步和第9步得到C₀和G₀；

步骤二六、推算得到D₀、H₀(j＝1)，从而获得K_in

当j＝1时，由于等式X＝FF₀(A₀，B₀，C₀)+D₀+SS2₁和Y＝GG₀(E₀，F₀，C₀)+H₀+SS1₁中除D₀、H₀外均为已知值，从而可推算得到D₀和H₀，从而得到K_in；

三、同步骤二中方法分析获得K_out

通过改变输入的消息分组m₁，可得到不同的h_n，则h_n为已知可变，K_out为h_n进行压缩运算时的初始状态(A₀，B₀，C₀，D₀，F₀，G₀，H₀)，为未知固定，不断改变第2组消息分组m₁的输入值，进而改变h_n的值，一层层地分析出K_out，具体的分析步骤与K_in一致；

对于K_in和K_out，分别使用了8次DPA/CPA分析，即可恢复出K_in和K_out，从而成功分析出SM3密码算法HMAC模式的敏感信息。

Images