CN104753668A - 一种针对sm4密码线性变换输出的侧信道能量攻击方法 - Google Patents

Abstract

本发明公开了一种针对SM4密码算法线性变换输出的侧信道能量分析攻击方法，包括以下步骤：S1：选择两次攻击的字节，每次对应的输入为 (X_i+1⊕X_i+2⊕X_i+3) 中和要攻击的字节对应的字节为随机数，其它为固定数，采用侧信道能量攻击方法攻击出轮子密钥的字节和对应的线性变换中的固定数，将两次攻击的轮子密钥字节和固定数，进行相应的运算，即可获得完整的轮子密钥rk_i，其中，i=0,1,2,3；S2：根据所述前四轮轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。采用上述分析方法不仅实现了针对SM4线性变换输出的侧信道能量分析攻击，而且降低攻击完整密钥所需的攻击次数，增强了攻击效率和成功率。

Description

一种针对SM4密码线性变换输出的侧信道能量攻击方法

技术领域

本发明涉及密码算法分析检测领域，尤其涉及一种针对SM4密码算法线性变换输出的侧信道能量攻击的方法。

背景技术

随着信息和分析电路技术的发展，对硬件密码电子设备的破解不再单纯的停留在协议和算法上，而是从其处理数据的过程中泄露的信息入手，进行破解。硬件密码电子设备在处理信息的工程中存在能量、电磁、错误和时间等信息的泄露，利用这些泄露的信息对密码电子设备进行攻击，就是所谓的侧信道攻击（Side Channel Attacks），侧信道攻击可分为能量分析攻击、电磁攻击和错误攻击等，其中能量分析攻击效率较高，成为侧信道的主要手段。

侧信道能量分析攻击是通过采集加密芯片等硬件密码电子设备在进行加、解密或签名等操作时产生的能量消耗，利用密码学和统计学原理等分析和破译密钥信息的一种攻击方式，侧信道能量分析攻击又分为简单能量分析攻击（Simple Power Analysis，SPA）、差分能量分析攻击（Differential Power Analysis，DPA）和相关性能量分析攻击（Correlation Power Analysis，CPA）。

在侧信道能量分析攻击中， CPA和DPA相比SPA具有更强的攻击性，所以能量分析攻击中比较常用的是CPA和DPA。

其中， DPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i (i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i (t)，t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l (l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)根据中间值D_i,l确定选择函数F(M_i,K_l)，根据选择函数将T_i (t)分为两个子集S₀和S₁，定义式如下：

S₀ = {T_i(t)|F(                                                )=0}

S₁= {T_i(t)|F()=1}

    (4)计算每个采样点上两个子集的能量平均之差，如

S= -   所示，其中和分别表示集合和中元素的个数。

若K_l选择不正确，当N比较大时，两个子集均值差S将趋近于零；若K_l选择正确，在均值差S中将会出现一个最大尖峰，通过该尖峰即可确定K_l选择正确。

CPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i (i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i (t)，t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l (l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)取中间值D_i,l的汉明距离或者汉明重量建立能量模型h_i,l，根据

=  式计算T_i和h_i,l相关性ρ_l。

 (4)取相关系数最大值时对应的K_l，即为实际密钥。

SM4算法是分组长度和密钥长度均为128bit，加密算法和解密算法均为32轮的非线性迭代密码算法，其加密算法和解密算法结构相同，只是运算时轮密钥使用的顺序相反，解密轮密钥是加密轮密钥的逆序。SM4加密算法的详细流程如图1所示。

在图1中X_i∈Z₂ ³²(Z₂ ^e表示ebit的向量集（Z₂ ^e))，明文输入为(X₀，X₁，X₂，X₃)，密文输出为(Y₀，Y₁，Y₂，Y₃)，其中X_i、X_i+1、X_i+2和X_i+3为轮迭代运算函数F的输入，rk_i∈Z₂ ³² 每轮的轮密钥，i∈{ 0，1，2，…，31}。

从加密的流程可以看出，轮迭代函数F包括的运算有异或、非线性变换τ和线性变换L，轮迭代函数的表达式为：X_i+4=F(X_i,X_i+1,X_i+2,X_i+3,rk_i)=X_i⊕T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i) ，在该表达式中，T表示合成置换，是由非线性变换τ和线性变换L复合而成，迭代函数F的详细的流程如图2所示，在整个SM4密码算法的加解密过程中，一共要执行32轮这样的轮迭代函数F。

令res_i=T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)，则：X_i+4=F(X_i,X_i+1,X_i+2,X_i+3,rk_i)= X_i⊕T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)变为：

X_i+4=F(X_i,X_i+1,X_i+2,X_i+3,rk_i)= X_i⊕res_i

非线性变换τ是由4个并行S盒子构成，每个S盒子为固定的8bit输入8bit输出的置换，记为Sbox(.)。

设输入为A_i=a_i,0||a_i,1||a_i,2||a_i,3=X_i+1⊕X_i+2⊕X_i+3⊕rk_i，其中a_i,j∈Z₂ ³²，表示第i轮第j(j∈{0,1,2,3 })个S盒子的输入，||表示两个数据bit的拼接，输出为B_i=b_i,0||b_i,1||b_i,2||b_i,3，b_i,j表示第i轮、第j个S盒子的输出，则非线性变换τ为：B_i=τ(A_i)=Sbox(a_i,0)||Sbox(a_i,1)||Sbox(a_i,2)||Sbox(a_i,3) 

线性变换L的描述如下所示，

C_i=L(B_i)=B_i⊕(B_i<<<2)⊕(B_i<<<10)⊕(B_i<<<18)⊕(B_i<<<24)

在该式中，C_i∈Z₂ ³²，B_i∈Z₂ ³²，C_i为线性变换L的输出，B_i为线性变换L的输入，同时也是非线性变换τ的输出。

对SM4密码算法的能量分析方法通常选取S盒的输出、L移位的输出作为攻击对象，使用汉明重量、单比特模型，利用DPA和CPA方法进行分析。这些方法仅利用了典型的分析点。

SM4的密钥扩展算法：轮密钥由加密密钥通过密钥扩展算法生成，其结构与加密变换类似。设加密密钥为MK=(MK₀,MK₁, MK₂, MK₃),i=0,1,2,3。令K_i∈Z₂ ³²,i=0,1,…,35，轮密钥rk_i∈Z₂ ³²,i=0,1,…,31，则轮密钥生成方法如下式所示：

(K₀,K₁, K₂, K₃)=( MK₀⊕FK₀,MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)

rk_i=K_i+4=K_i⊕T`( K_i+1⊕K_i+2⊕K_i+3⊕CK_i)

其中，T`变换与加密变换中的T变换基本相同，只是其中的线性变换L必须修改为以下L`:

L’(B)=B⊕(B<<<13)⊕(B<<<23)

系统参数FK_i(i=1,2,3)的取值，采用16进制表示为：FK₀=A3B1BAC6，FK₁=56AA3350，FK₂=677D9197，FK₃=B27022DC。

固定参数CK的取值方法为：设ck_i,j为CK_i的第j字节(i=0,1,...,31;j=0,1,2,3)，即CK_i=( ck_i,0, ck_i,1, ck_i,2, ck_i,3)∈(Z₂ ⁸)⁴，则ck_i,j=((4i+j)*7)mod 256。32个固定参数CK_i用16进制表示为：

00070e15, 1c232a31, 383f464d, 545b6269,

70777e85, 8c939aa1, a8afb6bd, c4cbd2d9,

e0e7eef5, fc030a11, 181f262d, 343b4249,

50575e65, 6c737a81, 888f969d, a4abb2b9,

c0c7ced5, dce3eaf1, f8ff060d, 141b2229,

30373e45, 4c535a61, 686f767d, 848b9299,

a0a7aeb5, bcc3cad1, d8dfe6ed, f4fb0209,

10171e25, 2c333a41, 484f565d, 646b7279

根据密钥扩展算法，反推出密钥的方法如下：

a、加密运算：

对于加密运算，攻击出前四轮的轮子密钥rk₀，rk₁，rk₂和rk₃，根据密钥扩展算法得下式：

rk₀=K₄=K₀⊕T(K₁⊕K₂⊕K₃⊕CK₀) （1）

rk₁=K₅=K₁⊕T(K₂⊕K₃⊕K₄⊕CK₁) （2）

rk₂=K₆=K₂⊕T(K₃⊕K₄⊕K₅⊕CK₂) （3）

rk₃=K₇=K₃⊕T(K₄⊕K₅⊕K₆⊕CK₃) （4）

由(1)、(2)、(3)和(4)式可得K₃，如(5)式所示。

K₃=rk₃⊕T(rk₀⊕rk₁⊕rk ₂⊕CK₃)     (5)

由(3)和(5)式得K₂，如(6)式所示。

K₂=rk₂⊕T(K₃⊕rk₀⊕rk₁⊕CK₂)      (6)

由(2)、(5)和(6)式得K₁，如(7)式所示。

K₁=rk₁⊕T(K₂⊕K₃⊕rk₀⊕CK₁)      (7)

由(2)、(5)和(6)式得K₀，如(8)式所示。

K₀=rk₀⊕T(K₁⊕K₂⊕K₃⊕CK₀)      (8)

又(K₀,K₁,K₂,K₃)=(MK₀⊕FK₀, MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)，所以可得密钥为MK₀= K₀⊕FK₀，MK₁= K₁⊕FK₁，MK₂= K₂⊕FK₂，MK₃= K₃⊕FK₃。

b、解密运算：

对于解密运算，攻击出前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃，根据密钥扩展算法得下式：

rk₀=K₃₅=K₃₁⊕T(K₃₂⊕K₃₃⊕K₃₄⊕CK₃₁)   （9）

rk₁=K₃₄=K₃₀⊕T(K₃₁⊕K₃₂⊕K₃₃⊕CK₃₀)   （10）

rk₂=K₃₃=K₂₉⊕T(K₃₀⊕K₃₁⊕K₃₂⊕CK₂₉)  （11）

rk₃=K₃₂=K₂₈⊕T(K₂₉⊕K₃₀⊕K₃₁⊕CK₂₉)  （12）

由(9)、（10）、（11）和(12)式子，得到K₃₂、K₃₃、K₃₄和K₃₅，i取31到0，计算K_i=K_i+4⊕T(K_i+1⊕K _i+2⊕K _i+3⊕CK_i)，即可得到K₀、K₁、K₂和K₃，又(K₀,K₁,K₂,K₃) = (MK₀⊕FK₀, MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)，所以可得密钥为MK₀= K₀⊕FK₀，MK₁= K₁⊕FK₁，MK₂= K₂⊕FK₂，MK₃= K₃⊕FK₃。

目前，尚未有选择线性变换的输出作为攻击的中间，先将线性变换中固定数和轮子密钥共同作为攻击对象实施侧信道能量攻击，然后通过攻击出的线性变换中的固定数和部分轮子密钥字节，计算出整个轮子密钥的方法。

发明内容

本发明的目的是提供一种针对SM4密码算法线性变换输出的侧信道能量攻击方法，以解决线性变换对密钥的扩散影响，导致不能以线性变换输出作为攻击中间数据直接对轮子密钥的攻击。通过选择特殊的输入，将线性变换的输出作为攻击的中间，以线性变换中固定数和轮子密钥共同作为攻击对象实施侧信道能量攻击，通过攻击出的线性变换中的固定数和部分轮子密钥字节，计算出整个轮子密钥，从而不仅实现了针对SM4密码算法线性变换输出的侧信道能量攻击，而且降低了攻击次数，增强了攻击效率、灵活性、有效性和成功率。

为解决上述技术问题，本发明提供一种针对SM4密码算法线性变换输出的侧信道能量攻击方法，具体包括以下步骤：

S1：选择两次攻击的字节，每次对应的输入为 (X_i+1⊕X_i+2⊕X_i+3) 中和要攻击的字节对应的字节为随机数，其它为固定数，采用侧信道能量攻击方法攻击出轮子密钥的字节和对应的线性变换中的固定数，将两次攻击的轮子密钥字节和固定数，进行相应的运算，即可获得完整的轮子密钥rk_i，其中i=0,1,2,3；

S2：根据所述前四轮轮函数的轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。

进一步地，S1具体包括以下步骤：

S11：攻击加/解密的第一轮，初始化i=0；

S12：选择两次攻击的字节，每次对应的输入为 (X_i+1⊕X_i+2⊕X_i+3) 中和要攻击的字节对应的字节为随机数，其它为固定数，所述的两次攻击的字节为第j个字节和第(j+1) mod4个字节，或者为第j个字节和第(j+3) mod 4个字节，(j=0,1,2,3)；

S13：采用侧信道能量攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+1) mod 4个字节，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，或者采用侧信道能量攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+3) mod 4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，所述侧信道能量攻击方法采用CPA攻击方法或DPA攻击方法；

S14：如果所述的两次攻击的字节为第j个字节和第(j+1) mod 4个字节，则根据rk_i,j和rk_i,(j+1)mod4，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，计算出第i轮轮子密钥的剩余字节，获得完整的轮子密钥rk_i，如果所述的两次攻击的字节为第j个字节和第(j+3) mod 4个字节，则根据rk_i,j和rk_i,(j+3)mod4，及线性变换中第j个字节和第(j+3 ) mod 4个字节固定数，计算出第i轮轮子密钥的剩余字节，获得完整的轮子密钥rk_i；

S15：使i自增1，返回步骤S12继续攻击下一轮，直到得出加密运算或者解密运算的前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃。

进一步地，S13中采用侧信道能量攻击方法为CPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+1) mod 4个字节，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，具体包括以下步骤：

S1311：初始化攻击次数计数z=1；

S1312：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1313：获取rk_i,j的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф、mask_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为=HW(C_i,j ⊕C_i-1,j)；

S1314：根据=计算T_n(t)和的相关性；

S1315：取相关系数最大值时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1316：z=z+1;如果z==2,使j=(j+1) mod 4，跳转到步骤S1312继续攻击，否则停止攻击。

进一步地，S13中采用侧信道能量攻击方法为DPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+1) mod 4个字节，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，具体包括以下步骤：

S1321：初始化攻击次数计数z=1；

S1322：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1323：获取rk_i,j的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mas[0,])，根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为=HW(C_i,j ⊕C_i-1,j)；

S1324：确定DPA选择函数为：

F()= ；

S1325：根据选择函数将T_n(t)分为两个子集和，和定义式如下所示：

S₀={T_i(t)|F(M_i,K_l)=0}，

S₁={T_i(t)|F(M_i,K_l)=1}；

S1326：根据S= - 计算每个采样点上两个子集的能量平均之差，在均值差S中出现一个最大尖峰时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1327：z=z+1;如果z==2,使j=(j+1) mod 4，跳转到步骤S1322继续攻击，否则停止攻击。

进一步地，S13中采用侧信道能量攻击方法为CPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+3) mod 4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，具体包括以下步骤：

S1331：初始化攻击次数计数z=1；

S1332：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1333：获取rk_i,j的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为= HW(C_i,j ⊕C_i-1,j)；

S1334：根据=计算和的相关性；

S1335：取相关系数最大值时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1336：z=z+1;如果z==2,使j=(j+3) mod 4，跳转到步骤S1332继续攻击，否则停止攻击。

进一步地，S13中采用侧信道能量攻击方法为DPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+3) mod 4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，具体包括以下步骤：

S1341：初始化攻击次数计数z=1；

S1342：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1343：获取的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为= HW(C_i,j ⊕C_i-1,j)；

S1344：确定DPA选择函数为：

F() =；

S1345：根据选择函数将分为两个子集和，和定义式如下所示：

S₀={T_i(t)|F(M_i,K_l)=0}，

S₁={T_i(t)|F(M_i,K_l)=1}；

S1346：根据S= - 计算每个采样点上两个子集的能量平均之差，在均值差S中出现一个最大尖峰时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1347：z=z+1;如果z==2,使j=(j+3) mod 4，跳转到步骤S1342继续攻击，否则停止攻击。

本发明的有益效果为：针对SM4密码算法线性变换输出的侧信道能量攻击方法，创造性地引入固定数作为攻击对象，按一定关系选择两个字节进行攻击，将两次攻击出的轮子密钥字节和固定数进行相关计算，恢复出整轮轮子密钥，从而实现以线性变换的输出作为攻击的中间，针对SM4密码算法线性变换输出的侧信道能量攻击，本方法所需攻击次数较少，且易实现，使针对SM4密码算法的能量分析攻击具有更实际的应用性，从而增强了攻击的效率、有效性和成功率。

附图说明

图1为SM4加密算法流程图；

图2为迭代函数F的流程图；

图3为针对SM4密码算法线性变换输出的侧信道能量攻击方法的流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

针对SM4密码算法线性变换输出的侧信道能量攻击方法，具体包括以下步骤：

S1：选择两次攻击的字节，每次对应的输入为 (X_i+1⊕X_i+2⊕X_i+3) 中和要攻击的字节对应的字节为随机数，其它为固定数，采用侧信道能量攻击方法攻击出轮子密钥的字节和对应的线性变换中的固定数，将两次攻击的轮子密钥字节和固定数，进行相应的运算，即可获得完整的轮子密钥rk_i，其中，i；

S2：根据所述前四轮轮函数的轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。

其中，S1具体包括以下步骤：

S11：攻击加/解密的第一轮，初始化i=0；

S12：选择两次攻击的字节，每次对应的输入为(X_i+1⊕X_i+2⊕X_i+3)中和要攻击的字节对应的字节为随机数，其它为固定数，所述的两次攻击的字节为第j个字节和第(j+1) mod 4个字节，或者为第j个字节和第(j+3) mod 4个字节，攻击第j个字节时，(j=0,1,2,3)，输入为X_i+1⊕X_i+2⊕X_i+3=Г(T^j)_i，Г(T^j)_i表示攻击第i轮轮子密钥，采集T^j曲线时X_i+1⊕X_i+2⊕X_i+3的运算结果为Г，其中Г的第j个字节为变化量，用τ表示，其它字节为固定数据，分别表示为α、β和γ，则Г(T^j)_i表示为Г(T^j)_i=τ，Г_i,,(j+1)mod4=α，Г_i,,(j+2)mod4=β，Г_i,,(j+3)mod4=γ，如果攻击第(j+1)mod4时，X_i+1⊕X_i+2⊕X_i+3=Г(T^(j+1)mod4)_i，=，Г_i,,(j+2)mod4=β，Г_i,,(j+3)mod4=γ，=，如果攻击第(j+3) mod 4时，X_i+1⊕X_i+2⊕X_i+3=Г(T^(j+3)mod4)_i，Г_i,,(j+3)mod4=τ，=，Г_i,,(j+1)mod4=α，Г_i,,(j+2)mod4=β，其中表示变化数，、、α、β和γ表示固定数，即如果选择攻击第j个字节和第(j+1)mod4个字节，则Г(T^j)_i和Г(T^(j+1)mod4)_i的第(j+2) mod4个字节和第(j+3) mod4个字节要求如下(1)式和(2)式所示。

==  (1)

==  (2)

如果选择攻击第j个字节和第(j+3)mod4个字节，Г(T^j)_i和Г(T^(j+3)mod4)_i的第个字节和第个字节要求如下(3)式和(4)式所示。

==  (3)

==  (4)

S13：采用侧信道能量攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+1) mod 4个字节，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，或者采用侧信道能量攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+3)mod4个字节，及线性变换中第j个字节和第(j+3)mod4个字节固定数，所述侧信道能量攻击方法采用CPA攻击方法或DPA攻击方法，其中每次攻击固定数mask_i,j，如（5）式所示。

 (5)

S14：如果所述的两次攻击的字节为第j个字节和第(j+1) mod 4个字节，则选择根据rk_i,j和rk_i,(j+1)mod4，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，得(6)式，根据(6)式可计算出，由可反推出S盒的输入a_i,(j+3)mod4，方法是在S盒子中确定所在的行a_r和列a_l，则a_i,(j+3)mod4=a_r||a_l。此外a_i,(j+3)mod4=γ⊕rk_i,(j+3)mod4，故为γ⊕a_i,(j+3)mod4。

(6)

在已经攻击出rk_i,j、rk_i,(j+1)mod4和rk_i,(j+3)mod4基础上，由（5）式，可得(7)式，根据该式可计算出，可反推出S盒的输入a_i,(j+2)mod4 ，方法是在S盒子中确定所在的行a_r和列a_l，则a_i,(j+2)mod4= a_r||a_l。此外a_i,(j+2)mod4=β⊕rk_i,(j+2)mod4，故rk_i,(j+2)mod4为β⊕a_i,(j+2)mod4。

   (7)

由rk_i,j、rk_i,(j+1)mod4、rk_i,(j+2)mod4和rk_i,(j+3)mod4，获得完整的轮子密钥rk_i。

如果所述的两次攻击的字节为第j个字节和第(j+3) mod 4个字节，则根据rk_i,j和rk_i,(j+3)mod4，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，得(8)式，根据(8)式可计算出，由可反推出S盒的输入a_i,(j+2)mod4，方法是在S盒子中确定所在的行a_r和列a_l，则a_i,(j+2)mod4= a_r||a_l。此外a_i,(j+2)mod4=β⊕rk_i,(j+2)mod4，故rk_i,(j+2)mod4为β⊕a_i,(j+2)mod4。

(8)

在已经攻击出rk_i,j、rk_{i,（j+2）mod4}和rk_{i,（j+3）mod4}基础上，由（5）式，可得(9)式，根据该式可计算出，可反推出S盒的输入a_i,(j+1)mod4，方法是在S盒子中确定所在的行a_r和列a_l，则a_i,(j+1)mod4=a_r||a_l。此外a_i,(j+1)mod4=α⊕rk_i,(j+1)mod4，故rk_i,(j+1)mod4为α⊕a_i,(j+1)mod4。

(9)

由rk_i,j、rk_{i,（j+1）mod4}、rk_{i,（j+2）mod4}和rk_{i,（j+3）mod4}，即获得完整的轮子密钥rk_i；

S15：使i自增1，返回步骤S12继续攻击下一轮，直到得出加密运算或者解密运算的前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃。

进一步地，S13中采用侧信道能量攻击方法为CPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+1)mod4个字节，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，具体包括以下步骤：

S1311：初始化攻击次数计数z=1；

S1312：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1313：获取rk_i,j的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为=HW(C_i,j⊕C_i-1,j)；

S1314：根据=计算和的相关性；

S1315：取相关系数最大值时对应的rk_Ф和mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1316：z=z+1;如果z==2,使j=(j+1) mod 4，跳转到步骤S1312继续攻击，否则停止攻击。

S13中采用侧信道能量攻击方法为DPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+1)mod4个字节，及线性变换中第j个字节和第(j+1)mod4个字节固定数，具体包括以下步骤：

S1321：初始化攻击次数计数z=1；

S1322：采集SM4密码设备上加/解密时的能量曲线表示为；

S1323：获取的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为=HW(C_i,j⊕C_i-1,j)；

S1324：确定DPA选择函数为：

F() =；

S1325：根据选择函数将分为两个子集和，和定义式如下所示：

  ={ T_i (t)|F(M_i,K_l)=0}，

  ={ T_i (t)|F(M_i,K_l)=1}；

S1326：根据S= - 计算每个采样点上两个子集的能量平均之差，在均值差S中出现一个最大尖峰时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1327：z=z+1;如果z==2,使j=(j+1) mod 4，跳转到步骤S1322继续攻击，否则停止攻击。；

S13中采用侧信道能量攻击方法为CPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+3) mod 4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，具体包括以下步骤：

S1331：初始化攻击次数计数z=1；

S1332：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1333：获取rk_i,j的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为= HW(C_i,j⊕C_i-1,j)；

S1334：根据=计算T_n(t)和的相关性；

S1335：取相关系数最大值时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1336：z=z+1;如果z==2,使j=(j+3) mod 4，跳转到步骤S1332继续攻击，否则停止攻击。

S13中采用侧信道能量攻击方法为DPA攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+3) mod 4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，具体包括以下步骤：

S1341：初始化攻击次数计数z=1；

S1342：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1343：获取的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)。将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为=HW(C_i,j ⊕C_i-1,j)；

S1344：确定DPA选择函数为：

F() =；

S1345：根据选择函数将分为两个子集和，和定义式如下所示：

  ={ T_i (t)|F(M_i,K_l)=0}，

  ={ T_i (t)|F(M_i,K_l)=1}；

S1346：根据S= - 计算每个采样点上两个子集的能量平均之差，在均值差S中出现一个最大尖峰时对应的rk_Ф,、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1347：z=z+1;如果z==2,使j=(j+3) mod 4，跳转到步骤S1342继续攻击，否则停止攻击。

将线性变换中的固定数和轮子密钥部分字节一起攻击，通过攻击出的固定数和轮子密钥，经过相关的公式计算，推导出轮子密钥，创造性的解决了线性变换对密钥的扩散作用对攻击的影响，不仅实现了以线性变换输出作为攻击中间数据的侧信道能攻击，而且轮子密钥的攻击，仅需两次攻击，即可完成轮子密钥的破解，降低了攻击次数，提高了攻击效率。

Claims (6)

1.针对SM4密码算法线性变换输出的侧信道能量分析攻击方法，其特征在于，所述方法包括以下步骤：

S1：选择两次攻击的字节，每次对应的输入为 (X_i+1⊕X_i+2⊕X_i+3) 中和要攻击的字节对应的字节为随机数，其它为固定数，采用侧信道能量攻击方法攻击出轮子密钥的字节和对应的线性变换中的固定数，将两次攻击的轮子密钥字节和固定数，进行相应的运算，即可获得完整的轮子密钥rk_i，其中，i=0,1,2,3；

S2：根据所述前四轮轮函数的轮子密钥rk₀、rk₁、rk₂和rk₃，通过密钥扩展算法，逆向计算出初始密钥。

2.根据权利要求1所述的针对SM4密码算法线性变换输出的侧信道能量分析攻击方法，其特征在于，所述S1具体包括以下步骤：

S11：攻击加/解密的第一轮，初始化i=0；

S12：选择两次攻击的字节，每次对应的输入为 (X_i+1⊕X_i+2⊕X_i+3) 中和要攻击的字节对应的字节为随机数，其它为固定数，所述的两次攻击的字节为第j个字节和第(j+1) mod 4个字节，或者为第j个字节和第(j+3) mod 4个字节，(j=0,1,2,3)；

S13：采用侧信道能量攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+1) mod 4个字节，及线性变换中第j个字节和第(j+1) mod 4个字节固定数，或者采用侧信道能量攻击方法攻击出第i轮轮子密钥的第j个字节和第(j+3) mod 4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，所述侧信道能量攻击方法采用CPA攻击方法或DPA攻击方法；

S14：如果所述的两次攻击的字节为第j个字节和第(j+1) mod 4个字节，则根据rk_i,j和rk_i,(j+1)mod4及线性变换中第j个字节和第(j+1) mod 4个字节固定数，计算出第i轮轮子密钥的剩余字节，获得完整的轮子密钥rk_i，如果所述的两次攻击的字节为第j个字节和第(j+3) mod 4个字节，则根据rk_i,j和rk_i,(j+3)mod4，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，计算出第i轮轮子密钥的剩余字节，获得完整的轮子密钥rk_i；

S15：使i自增1，返回步骤S12继续攻击下一轮，直到得出加密运算或者解密运算的前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃。

3.所述S13中如果采用CPA攻击方法实现侧信道能量攻击，包括以下步骤：

S1311：初始化攻击次数计数z=1；

S1312：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1313：获取rk_i,j和mask_i,j的所有可能值，用rk_Ф、mask_Ф表示（rk_Ф、mask_Ф∈[0,2⁸-1]）；根据rk_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)；根据攻击方式不同，将线性变换的输出C_i,j为攻击的中间数据，计算C_i,j的汉明重量或汉明距离；

h_{n, rkФ, maskФ}=                                                ；

S1314：根据=计算T_n(t)和的相关性；

S1315：取相关系数最大值时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1316：z=z+1;如果z==2,使j=(j+1) mod 4，跳转到步骤S1312继续攻击，否则停止攻击。

4.所述S13中如果采用DPA攻击方法实现侧信道能量攻击，包括以下步骤：

S1321：初始化攻击次数计数z=1；

S1322：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1323：获取rk_i,j和mask_i,j的所有可能值，用rk_Ф、mask_Ф表示（rk_Ф、mask_Ф∈[0,2⁸-1]）；根据rk_Ф、mask_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)；将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为=HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为= HW(C_i,j⊕C_i-1,j)；

S1324：确定DPA选择函数为：

F(X_i,rk_Ф,mask_Ф,) =；

S1325：根据选择函数将分为两个子集和，和定义式如下所示：

  ={T_i(t)|F(M_i,K_l)=0}，

  ={ T_i(t)|F(M_i,K_l)=1}；

S1326：根据S= - 计算每个采样点上两个子集的能量平均之差，在均值差S中出现一个最大尖峰时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1327：z=z+1；如果z==2,使j=(j+1)mod4，跳转到步骤S1322继续攻击，否则停止攻击。

5.所述S13中如采用CPA攻击方法实现侧信道能量攻击方法，攻击出第i轮轮子密钥的第j个字节和第(j+3) mod4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，具体包括以下步骤：

S1331：初始化攻击次数计数z=1；

S1332：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1333：获取rk_i,j的所有可能值，表示为rk_Ф∈[0,2⁸-1]，mask_i,j的所有可能值，表示为mask_Ф∈[0,2⁸-1]，根据rk_Ф、mask_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)；将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为= HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为= HW(C_i,j⊕C_i-1,j)；

S1334：根据=计算T_n(t)和的相关性；

S1335：取相关系数最大值时对应的rk_Ф、mask_Ф，即为rk_i,j和mask_i,j对应的实际数据；

S1336：z=z+1;如果z==2,使j=(j+3) mod 4，跳转到步骤S1332继续攻击，否则停止攻击。

6.所述S13中如果采用DPA攻击方法实现侧信道能量攻击方法，攻击出第i轮轮子密钥的第j个字节和第(j+3) mod 4个字节，及线性变换中第j个字节和第(j+3) mod 4个字节固定数，具体包括以下步骤：

S1341：初始化攻击次数计数z=1；

S1342：采集SM4密码设备上加/解密时的能量曲线表示为T_n(t)；

S1343：获取rk_i,j和mask_i,j的所有可能值，用rk_Ф、mask_Ф表示（rk_Ф、mask_Ф∈[0,2⁸-1]）；根据rk_Ф、mask_Ф和第n条曲线对应的明文或密文输入计算SM4第i轮线性变换输出的第j个字节为C_i,j=mask_Ф⊕S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)⊕(S(rk_Ф⊕X_i+1,j⊕X_i+2,j⊕X_i+3,j)<<2)；将线性变换的输出C_i,j为攻击的中间数据，如果攻击时选择汉明重量模型，则计算C_i,j的汉明重量，表示为= HW(C_i,j)；如果攻击时选择汉明距离模型，则计算C_i,j的汉明距离，表示为= HW(C_i,j⊕C_i-1,j)；

S1344：确定DPA选择函数为：

F(X_i,rk_Ф, mask_Ф,) =；

S1345：根据选择函数将T_n(t)分为两个子集S₀和S₁，S₀和S₁定义式如下所示：

  ={T_i(t)|F(M_i,K_l)=0}，

  ={T_i(t)|F(M_i,K_l)=1}；

S1346：根据S= - 计算每个采样点上两个子集的能量平均之差，在均值差S中出现一个最大尖峰时对应的rk_Ф、mask_Ф，即为rk_i,j 和mask_i,j对应的实际数据；

S1347：z=z+1;如果z==2,使j=(j+3) mod 4，跳转到步骤S1342继续攻击，否则停止攻击。