CN104753665A - 一种针对sm4密码轮函数输出的侧信道能量攻击方法 - Google Patents

Abstract

本发明公开了一种针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，包括以下步骤：S1：选择明文或密文输入，使(X_i+1⊕X_i+2⊕X_i+3)的其中一个字节为随机数，其它字节为相同的固定数，采用侧信道能量攻击方法首先攻击出轮子密钥的字节和线性变换中的固定数，然后攻击出线性变换中的其它所有固定数，将攻击出的数据，进行相应的运算，即可获得完整的轮子密钥rk_i，其中i=0,1,2,3；S2：根据所述前四轮轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。采用上述分析方法可以降低攻击采集曲线次数和选择明文次数，增强了分析的灵活性、攻击效率和成功率。

Description

一种针对SM4密码轮函数输出的侧信道能量攻击方法

技术领域

本发明涉及密码算法分析检测领域，尤其涉及一种针对SM4密码算法轮函数输出的选择明文或密文侧信道能量分析攻击的方法。

背景技术

随着信息和分析电路技术的发展，对硬件密码电子设备的破解不再单纯的停留在协议和算法上，而是利用其处理数据的过程中泄露的信息进行破解。硬件密码电子设备在处理信息的工程中存在能量、电磁、错误和时间等信息的泄露，利用这些泄露的信息对密码电子设备进行攻击，就是所谓的侧信道攻击（Side Channel Attacks），侧信道攻击可分为能量分析攻击、电磁攻击和错误攻击等，其中能量分析攻击因效率较高，成为侧信道的主要手段。

侧信道能量分析攻击是通过采集加密芯片等硬件密码电子设备在进行加、解密或签名等操作时产生的能量消耗，利用密码学和统计学原理等，分析和破译密钥信息的一种攻击方式。侧信道能量分析攻击又分为简单能量分析攻击（Simple Power Analysis，SPA）、差分能量分析攻击（Differential Power Analysis，DPA）和相关性能量分析攻击（Correlation Power Analysis，CPA）。

在侧信道能量分析攻击中，CPA和DPA相比SPA具有更强的攻击性，所以能量分析攻击中比较常用的是CPA和DPA。

其中， DPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i(i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i (t)，t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l (l∈Ω，Ω为密钥空间)，计算在M_i和K_l条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)根据中间值D_i,l确定选择函数F(M_i,K_l)，根据选择函数将T_i (t)分为两个子集S₀和S₁，定义式如下：

S₀={T_i(t)|F(M_i,K_l)=0}

S₁={T_i(t)|F(M_i,K_l)=1}

(4)计算每个采样点上两个子集的能量平均之差，如

S= - -所示，其中和分别表示集合和中元素的个数。

若K_l选择不正确，当N比较大时，两个子集均值差S将趋近于零；若K_l选择正确，在均值差S中将会出现一个最大尖峰，通过该尖峰即可确定K_l选择正确。

CPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i(i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i (t)，t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l (l∈Ω，Ω为密钥空间)，计算在M_i和K_l条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)取中间值D_i,l的汉明距离或者汉明重量建立能量模型h_i,l，根据

=  式计算T_i和h_i,l相关性ρ_l。

 (4)取相关系数最大值时对应的K_l，即为实际密钥。

SM4算法是分组长度和密钥长度均为128bit，加密算法和解密算法均为32轮的非线性迭代密码算法，其加密算法和解密算法结构相同，只是运算时轮密钥使用的顺序相反，解密轮密钥是加密轮密钥的逆序。SM4加密算法的详细流程如图1所示。

在图1中X_i∈Z₂ ³²（Z₂ ^e表示ebit的向量集），明文输入为(X₀,X₁,X₂,X₃)∈(Z₂ ³²)⁴，密文输出为(Y₀,Y₁,Y₂,Y₃)，其中X_i、X_i+1、X_i+2和X_i+3 为轮迭代运算函数F的输入，rk_i∈Z₂ ³²为每轮的轮密钥，i∈{0,1,2,…,31}。

从加密的流程可以看出，轮迭代函数F包括的运算有异或、非线性变换τ和线性变换L，轮迭代函数的表达式为：X_i+4=F(X_i ,X_i+1 ,X_i+2 ,X_i+3,rk_i)=X_i⊕T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)。在该表达式中T表示合成置换，是由非线性变换τ和线性变换L复合而成，迭代函数F的详细的流程如图2所示，在整个SM4密码算法的加解密过程中，一共要执行32轮这样的轮迭代函数F。

令res_i=T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)，则：X_i+4=F(X_i ,X_i+1 ,X_i+2 ,X_i+3,rk_i)=X_i⊕T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)变为：

X_i+4= F(X_i ,X_i+1 ,X_i+2 ,X_i+3,rk_i)=X_i⊕res_i

非线性变换τ是由4个并行S盒子构成，每个S盒子为固定的8bit输入8bit输出的置换，记为Sbox(.)。

设输入为A_i=a_i,0||a_i,1||a_i,2||a_i,3= X_i+1⊕X_i+2⊕X_i+3⊕rk_i，其中a_i,j∈Z₂ ³²，表示第i轮第j(j∈[0,1,2,3])个S盒子的输入，||表示两个数据bit的拼接，输出为B_i=b_i,0||b_i,1||b_i,2||b_i,3，b_i,j表示第i轮、第j个S盒子的输出，则非线性变换τ为：B_i=τ(A_i)= Sbox(a_i,0)||Sbox(a_i,1)||Sbox(a_i,2)||Sbox(a_i,3)。

线性变换L的描述如下所示，

C_i=L(B_i)=B_i⊕(B_i<<<2)⊕(B_i<<<10)⊕(B_i<<<18)⊕(B_i<<<24)

在该式中，C_i∈Z₂ ³²，B_i∈Z₂ ³²，C_i为线性变换L的输出，B_i为线性变换L的输入，同时也是非线性变换τ的输出。

对SM4密码算法的能量分析方法通常选取S盒的输出、L移位的输出作为攻击对象，使用汉明重量、单比特模型，利用DPA和CPA方法进行分析。这些方法仅利用了典型的分析点。

SM4的密钥扩展算法：轮密钥由加密密钥通过密钥扩展算法生成，其结构与加密变换类似。设加密密钥为MK=(MK₀,MK₁,MK₂,MK₃)，i=0,1,2,3。令K_i∈Z₂ ³²，i=0,1,…,35，轮密钥rk_i∈Z₂ ³²，i=0,1,…,31，则轮密钥生成方法如下式所示：

(K₀,K₁,K₂,K₃)=(MK₀⊕FK₀,MK₁⊕FK₁,MK₂⊕FK₂,MK₃⊕FK₃)

rk_i=K_i+4=K_i⊕T’(K_i+1⊕K_i+2⊕K_i+3⊕CK_i)

其中，T’变换与加密变换中的T变换基本相同，只是其中的线性变换L必须修改为以下L’：

L’(B)=B⊕(B<<<13)⊕(B<<<23)

系统参数的取值，采用16进制表示为：FK₀=A3B1BAC6，FK₁=56AA3350，FK₂=677D9197，FK₃=B27022DC。

固定参数CK的取值方法为：设ck_i,j为CK_i的第j字节(i=0,1,...,31；j=0,1,2,3)，即CK_i=(ck_i,0,ck_i,1,ck_i,2,ck_i,3)∈Z₂ ³²，则ck_i,j=((4i+j)*7)mod256。32个固定参数CK_i用16进制表示为：

00070e15, 1c232a31, 383f464d, 545b6269,

70777e85, 8c939aa1, a8afb6bd, c4cbd2d9,

e0e7eef5, fc030a11, 181f262d, 343b4249,

50575e65, 6c737a81, 888f969d, a4abb2b9,

c0c7ced5, dce3eaf1, f8ff060d, 141b2229,

30373e45, 4c535a61, 686f767d, 848b9299,

a0a7aeb5, bcc3cad1, d8dfe6ed, f4fb0209,

10171e25, 2c333a41, 484f565d, 646b7279

根据密钥扩展算法，反推出密钥的方法如下：

a、加密运算：

对于加密运算，攻击出前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃，根据密钥扩展算法得下式：

rk₀=K₄=K₀⊕T(K₁⊕K₂⊕K₃⊕CK₀) （1）

rk₁=K₅=K₁⊕T(K₂⊕K₃⊕K₄⊕CK₁) （2）

rk₂=K₆=K₂⊕T(K₃⊕K₄⊕K₅⊕CK₂) （3）

rk₃=K₇=K₃⊕T(K₄⊕K₅⊕K₆⊕CK₃) （4）

由(1)、(2)、(3)和(4)式可得K₃，如(5)式所示。

K₃=rk₃⊕T(rk₀⊕rk₁⊕rk ₂⊕CK₃)     (5)

由(3)和(5)式得K₂，如(6)式所示。

K₂=rk₂⊕T(K₃⊕rk₀⊕rk₁⊕CK₂)      (6)

由(2)、(5)和(6)式得K₁，如(7)式所示。

K₁=rk₁⊕T(K₂⊕K₃⊕rk₀⊕CK₁)      (7)

由(2)、(5)和(6)式得K₀，如(8)式所示。

K₀=rk₀⊕T(K₁⊕K₂⊕K₃⊕CK₀)      (8)

又(K₀,K₁,K₂,K₃)=(MK₀⊕FK₀, MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)，所以可得密钥为MK₀= K₀⊕FK₀，MK₁= K₁⊕FK₁，MK₂= K₂⊕FK₂，MK₃= K₃⊕FK₃。

b、解密运算： 

对于解密运算，攻击出前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃，根据密钥扩展算法得下式：

rk₀=K₃₅=K₃₁⊕T(K₃₂⊕K₃₃⊕K₃₄⊕CK₃₁)   （9）

rk₁=K₃₄=K₃₀⊕T(K₃₁⊕K₃₂⊕K₃₃⊕CK₃₀)   （10）

rk₂=K₃₃=K₂₉⊕T(K₃₀⊕K₃₁⊕K₃₂⊕CK₂₉)  （11）

rk₃=K₃₂=K₂₈⊕T(K₂₉⊕K₃₀⊕K₃₁⊕CK₂₉)  （12）

由(9)、（10）、（11）和(12)式子，得到K₃₂、K₃₃、K₃₄和K₃₅，i取31到0，计算K_i=K_i+4⊕T(K_i+1⊕K _i+2⊕K _i+3⊕CK_i)，即可得到K₀、K₁、K₂和K₃，又(K₀,K₁,K₂,K₃) =(MK₀⊕FK₀, MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)，所以可得密钥为MK₀= K₀⊕FK₀，MK₁= K₁⊕FK₁，MK₂= K₂⊕FK₂，MK₃= K₃⊕FK₃。

目前，也有选择轮函数的输出作为攻击对象的选择明文或密文能量分析攻击方法，即攻击轮子密钥时，按字节进行攻击，每次攻击都要重新选择明文或密文采集曲线，攻击获得轮子密钥的一个字节，所以攻击获取完整的轮子密钥，需重新选择明文或密文采集曲线4次，而要攻击完整密钥，则需选择明文或密文采集曲线16次，所以攻击选择明文和采集曲线次数较多，所需曲线条数较多。

发明内容

本发明的目的是提供一种针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的新方法，以解决现有针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击，所需选择明文、采集曲线次数较多和曲线条数较多等问题，本方法不仅实现了针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击，而且增强了攻击分析的效率，灵活性和有效性。

为解决上述技术问题，本发明提供一种针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，具体包括以下步骤：

1、针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，其特征在于，所述方法包括以下步骤：

S1：选择明文或密文输入，使(X_i+1⊕X_i+2⊕X_i+3)的其中一个字节为随机数，其它字节为相同的固定数，采用侧信道能量攻击方法首先攻击出轮子密钥的字节和线性变换中的固定数，然后攻击出线性变换中的其它所有固定数，将攻击出的数据，进行相应的运算，即可获得完整的轮子密钥rk_i，其中i=0,1,2,3；

S2：根据所述前四轮轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。

2、所述针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法S1具体包括以下步骤：

S11：攻击加/解密的第一轮，初始化i=0；

S12：选择明文或密文输入，使(X_i+1⊕X_i+2⊕X_i+3)的第j个字节为随机数，表示为R，其它字节为相同的固定数，表示为D，其中j∈[0,3]；

S13：采用侧信道能量攻击方法首先攻击出轮子密钥的字节rk_i,j，和线性变换中的固定数mask_i,j，然后攻击出线性变换中的其它固定字节mask_i,(j+1)mod4、mask_i,(j+2)mod4和mask_i,(j+3)mod4；

S14：根据所述rk_i,j、mask_i,j、mask_i,(j+1)mod4、mask_i,(j+2)mod4和mask_i,(j+3)mod4计算出轮子密钥rk_i；

S15：使i自增1，返回步骤S12继续攻击下一轮，直到得出加密运算或者解密运算的前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃。

3、所述S13中如果采用的CPA侧信道能量攻击方法，所述CPA攻击方法包括以下步骤：

S1311：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1312：初始化k=j，攻击次数z=0；

S1313：根据汉明重量模型或汉明距离模型的攻击方式以及z的数值，取rk_i,j和mask_i,j或mask_i,k的所有可能值，并由此确定与攻击方式一致的基于汉明重量模型或汉明距离模型的汉明函数h_n,rk,mask；

S1314：根据=计算T_n(t)和h_n,rk,mask的相关性；

S1315：根据z数值和S1314计算得到的最大相关系数确定攻击结果rk_i,j和mask_i,j或mask_i,k；

S1316：z=z+1，k=(k+1)mod4,如果z＜4，跳转到步骤S1313继续攻击（循环执行4次），否则停止攻击。

4、所述S13中如采用的DPA侧信道能量攻击方法，所述DPA攻击方法包括以下步骤：

S1321：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1322：初始化k=j，攻击次数z=0；

S1323：根据汉明重量模型或汉明距离模型的攻击方式以及z的数值，取rk_i,j和mask_i,j或mask_i,k的所有可能值，并由此确定与攻击方式一致的基于汉明重量模型或汉明距离模型的汉明函数h_n,rk,mask；

S1324：确定DPA选择函数为：F()=；

S1325：根据选择函数将T_n(t)分为两个子集S₀和S₁，定义式如下所示：

S₀={T_i(t)|F(M_i,K_l)=0}，

S₁={T_i(t)|F(M_i,K_l)=1}；

S1326：根据S= - 计算每个采样点上两个子集的能量平均之差；根据不同的z值，在均值差S中出现一个最大尖峰时对应不同的rk_i,j和mask_i,j或mask_i,k即为实际的攻击结果；

S1327：z=z+1，k=(k+1)mod4,如果z＜4，跳转到步骤S1323继续攻击（循环执行4次），否则停止攻击。

本发明的有益效果为：针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，创造性地选择具有一定约束关系的明文或明文输入，以每轮线性变换中的固定数作为攻击目标，以SM4密码算法轮函数输出作为能量分析攻击的中间数据，通过将攻击出的线性变换中的固定数再计算出轮子密钥rk_i。由于攻击一轮子密钥，只需选择明文或密文一次，采集曲线一次，从而降低了选择明文或密文次数、采集曲线次数和采集曲线数量，提高了攻击效率，增强了攻击的灵活性、有效性和成功率。

附图说明

图1为SM4加密算法流程图；

图2为迭代函数F的流程图；

图3为针对SM4密码算法轮函数输出的选择明文或密文的侧信道能量攻击的方法流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，具体包括以下步骤：

S1：选择明文或密文输入，使(X_i+1⊕X_i+2⊕X_i+3)的其中一个字节为随机数，其它字节为相同的固定数。采用侧信道能量攻击方法首先攻击出轮子密钥的字节和线性变换中的固定数，然后攻击出线性变换中的其它所有固定数，将攻击出的数据，进行相应的运算，即可获得完整的轮子密钥rk_i，其中i=0，1，2，3。具体步骤分解如下：

S11：攻击加/解密的第一轮，初始化i=0；

S12：选择明文或密文输入，使(X_i+1⊕X_i+2⊕X_i+3)的第j个字节为随机数，表示为R，其它字节为相同的固定数，表示为D，其中j∈[0,3]；

S13：采用侧信道能量攻击方法首先攻击出轮子密钥的字节rk_i,j，和线性变换中的固定数mask_i,j，然后攻击出线性变换中的其它所有固定数mask_i,(j+1)mod4、mask_i,(j+2)mod4和mask_i,(j+3)mod。对应计算式如下：

(13)

 (14)

  (15)

 (16)

S1311：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1312：初始化k=j，攻击次数z=0；

S1313：根据攻击次数不同（即z的数值），取rk_i,j和mask_i,j或mask_i,k的所有可能值，分别用rk_Ф和mask_Ф或mask_Ф来表示(rk_Ф、mask_Ф∈[0,2⁸-1])，再根据第n条曲线对应的明文或密文输入，分别计算SM4第i轮轮函数的输出X_i+4,k。X_i+4,k的计算如下。

a)          z=0时获取rk_i,j和mask_i,j的所有可能值rk_Ф和mask_Ф，X_i+4,k=X_i+4,j=X_i,j⊕mask_Ф⊕⊕(<<2)；

b)          z=1时获取mask_i,(j+1)mod4的所有可能值mask_Ф，X_i+4,k=X_{i+4,(j+1)mod4}

=X_i,(j+1)mod4⊕mask_Ф⊕⊕(>>6)；

c)           z=2时获取mask_i,(j+2)mod4的所有可能值mask_Ф，X_i+4,k=X_{i+4,(j+2)mod4}

=X_i,(j+2)mod4⊕mask_Ф⊕(<<2)⊕(>>6)；

d)         z=3时获取mask_i,(j+3)mod4的所有可能值mask_Ф，X_i+4,k=X_{i+4,(j+3)mod4}

=X_i,(j+3)mod4⊕mask_Ф⊕(<<2)⊕(>>6)；

将上述得到的X_i+4,k作为攻击的中间数据，按照攻击方式分别计算X_i+4,k的汉明重量或汉明距离。攻击方法采用汉明重量模型时，

        (19)

攻击方法采用汉明距离模型时，

     (20)

S1314：根据=计算和的相关性；

S1315：根据z数值和S1314计算得到的最大相关系数确定攻击结果。

a)   z=0，取相关系数最大值时对应的rk_Ф和mask_Ф，即为实际的攻击结果rk_i,j和mask_i,j；

b)  z=1，取相关系数最大值时对应的mask_Ф，即为实际的攻击结果mask_i,(j+1)mod4；

c)   z=2，取相关系数最大值时对应的mask_Ф，即为实际的攻击结果mask_i,(j+2)mod4；

d)  z=3，取相关系数最大值时对应的mask_Ф，即为实际的攻击结果mask_i,(j+3)mod4

S1316：z=z+1，k=(k+1)mod4,如果z＜4，跳转到步骤S1313继续攻击，否则停止攻击。

S1321：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1322：初始化攻击次数z=0;

S1323：计算方法同S1313；

S1324：确定DPA选择函数为：；

S1325：根据选择函数将T_n(t)分为两个子集和，和定义式如下所示：

S₀={T_i(t)|F(M_i,K_l)=0}，

S₁={T_i(t)|F(M_i,K_l)=1}；

S1326：根据S=计算每个采样点上两个子集的能量平均之差，根据不同的z值，在均值差S中出现一个最大尖峰时对应不同的rk_i,j和mask_i,j或mask_i,k即为实际的攻击结果。

a)   z=0，在均值差S中出现一个最大尖峰时对应的rk_Ф和mask_Ф，即为实际的攻击结果rk_i,j和mask_i,j；

b)  z=1，在均值差S中出现一个最大尖峰时对应的mask_Ф，即为实际的攻击结果mask_i,(j+1)mod4；

c)   z=2，在均值差S中出现一个最大尖峰时对应的mask_Ф，即为实际的攻击结果mask_i,(j+2)mod4；

d)  z=3，在均值差S中出现一个最大尖峰时对应的，即为实际的攻击结果mask_i,(j+3)mod4；

S1327：z=z+1，如果z＜4，取z=z+1，跳转到步骤S1323继续攻击，否则停止攻击。

S14：根据所述rk_i,j、mask_i,j、mask_i,(j+1)mod4、mask_i,(j+2)mod4和mask_i,(j+3)mod4计算出轮子密钥rk_i，方法是，式(14)、(15)和(16)等号两边分别进行异或运算，得(21)式，由该式可计算出，在S盒子中确定所在的行a_r和列a_l，则A_i+3=a_r||a_l，由于A_i+3=D⊕rk_(j+3)mod4，所以rk _(j+3)mod4=D⊕A_i+3；式(13)和式(14)等号两边分别进行异或运算，得(22)式，由该式，可计算出，在S盒子中确定所在的行a_r和列a_l，则A_i+1=a_r||a_l，由于A_i+1=D⊕rk_(j+1)mod4，所以rk _(j+1)mod4=D⊕A_i+1；根据(13)、(14)、(15)16式中任何一个式子，可计算出，在S盒子中确定所在的行a_r和列a_l，则A_i+2=a_r||a_l，由于A_i+2=D⊕rk_(j+2)mod4，所以rk _(j+2)mod4=D⊕A_i+2，攻击出的rk_i,j、rk_i,(j+1)mod4、rk_i,(j+2)mod4和rk_i,(j+3)mod4，便是rk_i每个字节的值。

 (21)

  (22)

S15：使i自增1，返回步骤S12继续攻击下一轮，直到得出加密运算或者解密运算的前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃。

S2：根据所述前四轮轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。

由于线性变换中的固定数和密钥之间具有一定的相关性，所以选择线性变换中的固定数作为攻击对象，侧信道能量攻击出线性变换中的固定数，再由固定数计算出轮子密钥，不仅实现了针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击，而且创造性的将线性变换中的固定数作为攻击对象，将固定数通过所述运算方式计算出轮子密钥字节，实现了降低选择明文次数、采集曲线次数和采集曲线数量的目的。

Claims (4)

1.针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，其特征在于，所述方法包括以下步骤：

S1：选择明文或密文输入，使(X_i+1⊕X_i+2⊕X_i+3)的其中一个字节为随机数，其它字节为相同的固定数，采用侧信道能量攻击方法首先攻击出轮子密钥的字节和线性变换中的固定数，然后攻击出线性变换中的其它所有固定数，将攻击出的数据，进行相应的运算，即可获得完整的轮子密钥rk_i，其中i=0,1,2,3；

S2：根据所述前四轮轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。

2.根据权利要求1所述的针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，其特征在于，所述S1具体包括以下步骤：

S11：攻击加/解密的第一轮，初始化i=0；

S12：选择明文或密文输入，使(X_i+1⊕X_i+2⊕X_i+3)的第j个字节为随机数，表示为R，其它字节为相同的固定数，表示为D，其中j∈[0,3]；

S13：采用侧信道能量攻击方法首先攻击出轮子密钥的字节rk_i,j，和线性变换中的固定数mask_i,j，然后攻击出线性变换中的其它固定字节mask_i,(j+1)mod4、mask_i,(j+2)mod4和mask_i,(j+3)mod4；

S14：根据所述rk_i,j、mask_i,j、mask_i,(j+1)mod4、mask_i,(j+2)mod4和mask_i,(j+3)mod4计算出轮子密钥rk_i；

S15：使i自增1，返回步骤S12继续攻击下一轮，直到得出加密运算或者解密运算的前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃。

3.所述S13中如果采用CPA攻击方法实现侧信道能量攻击，包括以下步骤：

S1311：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1312：初始化k=j，攻击次数z=0；

S1313：根据汉明重量模型或汉明距离模型的攻击方式以及z的数值，取rk_i,j和mask_i,j或mask_i,k的所有可能值，并由此确定与攻击方式一致的基于汉明重量模型或汉明距离模型的汉明函数h_n,rk,mask；

S1314：根据 =计算T_n(t)和h_n,rk,mask的相关性；

S1315：根据z数值和S1314计算得到的最大相关系数确定攻击结果rk_i,j和mask_i,j或mask_i,k；

S1316：z=z+1，k=(k+1)mod4,如果z＜4，跳转到步骤S1313继续攻击（循环执行4次），否则停止攻击。

4.所述S13中采用DPA攻击方法实现侧信道能量攻击，包括以下步骤：

S1321：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1322：初始化k=j，攻击次数z=0；

S1323：根据汉明重量模型或汉明距离模型的攻击方式以及z的数值，取rk_i,j和mask_i,j或mask_i,k的所有可能值，并由此确定与攻击方式一致的基于汉明重量模型或汉明距离模型的汉明函数h_n,rk,mask；

S1324：确定DPA选择函数为：F()=；

S1325：根据选择函数将T_n(t)分为两个子集S₀和S₁，定义式如下所示：

S₀={T_i(t)|F(M_i,K_l)=0}，

S₁={T_i(t)|F(M_i,K_l)=1}；

S1326：根据S= - 计算每个采样点上两个子集的能量平均之差；根据不同的z值，在均值差S中出现一个最大尖峰时对应不同的rk_i,j和mask_i,j或mask_i,k即为实际的攻击结果；

S1327：z=z+1，k=(k+1)mod4,如果z＜4，，跳转到步骤S1323继续攻击（循环执行4次），否则停止攻击。