CN104796250A

CN104796250A - 针对RSA密码算法M-ary实现的侧信道攻击方法

Info

Publication number: CN104796250A
Application number: CN201510168212.5A
Authority: CN
Inventors: 吴震; 杜之波; 饶金涛; 王敏; 李大为; 罗鹏; 郑晓光; 刘剑峰
Original assignee: Chengdu Xinan Youlika Information Technology Co Ltd; State Cryptography Administration Commercial Code Testing Center; Chengdu Information Technology Co Ltd of CAS; Beijing CEC Huada Electronic Design Co Ltd
Current assignee: Chengdu Xinan Youlika Information Technology Co Ltd; State Cryptography Administration Commercial Code Testing Center; Chengdu Information Technology Co Ltd of CAS; Beijing CEC Huada Electronic Design Co Ltd
Priority date: 2015-04-11
Filing date: 2015-04-11
Publication date: 2015-07-22
Anticipated expiration: 2035-04-11
Also published as: CN104796250B

Abstract

本发明公开了一种针对RSA密码算法中幂剩余计算M-ary实现时乘法输出的侧信道能量分析攻击的方法，其核心在于幂剩余计算用M-ary实现时，以乘法输出作为攻击对象实施CPA攻击。包括以下步骤：（1）采集信号，建立采样矩阵；（2）选择乘法输出作为攻击对象；（3）确定相关性模型；（4）猜测轮指数值，计算出中间值矩阵；（5）计算仿真能量消耗矩阵；（6）计算（1）和（5）所确定矩阵之间的线性相关系数，攻击出正确的轮指数。（7）重复（4）至（6），攻击得到所有正确的轮指数，串接后得到完整指数。本发明的方法给出了一种新的M-ary侧信道攻击方法，增强了RSA密码算法分析攻击的灵活性、有效性和成功率。

Description

针对RSA密码算法M-ary实现的侧信道攻击方法

技术领域

本发明涉及密码算法分析检测领域，尤其涉及一种针对RSA密码算法中幂剩余计算M-ary实现时乘法输出的侧信道能量分析攻击的方法。

背景技术

随着信息和分析电路技术的发展，对硬件密码电子设备的破解不再单纯的停留在协议和算法上，而是从其处理数据的过程中泄露的信息入手、进行破解。硬件密码电子设备在处理信息的工程中存在能量、电磁、错误和时间等信息的泄露，利用这些泄露的信息对密码电子设备进行攻击，就是所谓的侧信道攻击（Side Channel Attacks），侧信道攻击可分为能量分析攻击、电磁攻击和错误攻击等，其中能量分析攻击因效率较高，成为侧信道的主要手段。

侧信道能量分析攻击是通过采集加密芯片等硬件密码电子设备在进行加、解密或签名等操作时产生的能量消耗，利用密码学和统计学原理等，分析和破译密钥信息的一种攻击方式，侧信道能量分析攻击又分为简单能量分析攻击（Simple Power Analysis，SPA）、差分能量分析攻击（Differential Power Analysis，DPA）和相关性能量分析攻击（Correlation Power Analysis，CPA）。

在侧信道能量分析攻击中， CPA和DPA相比SPA具有更强的攻击性，所以能量分析攻击中比较常用的是CPA和DPA。

其中， DPA攻击的过程如下：

(1) 随机选择N组不相同明文或密文M_i ( i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i (t)，t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2) 选择密钥K_l(l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3) 根据中间值D_i,l确定选择函数F(M_i, K_l)，根据选择函数将T_i(t)分为两个子集S₀和S₁，定义式如下：

S₀= {T_i(t)|F(M_i, K_l)=0}

S₁= {T_i(t)|F(M_i, K_l)=1}

(4) 计算每个采样点上两个子集的能量平均之差，如S= - 所示，其中|S₀|和|S₁|分别表示集合S₀和S₁中元素的个数。

若K_l选择不正确，当N比较大时，两个子集均值差S将趋近于零；若K_l选择正确，在均值差S中将会出现一个最大尖峰，通过该尖峰即可确定K_l选择正确。

CPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i (i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i (t)，t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l (l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)取中间值D_i,l的汉明距离或者汉明重量建立能量模型h_i,l，根据

式计算T_i和h_i,l相关性ρ_l。

(4)取相关系数最大值时对应的K_l，即为实际密钥。

RSA公钥算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。RSA就是他们三人姓氏开头字母拼在一起组成的，并成为目前最有影响力的公钥加密算法。它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准。

RSA的公钥、私钥生成如下：

(1) 选取两个质数p、q，N=p*q，p、q保密，N可公开；

(2) 寻找与(p-1)*(q-1)的数e，则（e,N）为公钥K_u；

(3) 计算d=e^-1(mod(p-1)(q-1))，则（d,N）为私钥K_r。

RSA加密/验签算法：C=m^e mod N。

RSA解密/签名算法：m=C^d mod N。

RSA密码算法的运算核心就是幂剩余运算，其私钥即为指数。

大整数幂剩余运算有很多快速实现算法，M-ary算法就是常用快速算法之一，其方法如下：令C=p^k mod N，先将上式中的指数K表示为：K=[k_s-1k_s-2…k_i…k₀ ，又令M∈{2,…,n} i=0,1,..,s-1，s=，式中表示的整数部分，其运算步骤如图1所示，流程图如图2所示。

在图1中，M-ary算法是先遍历所有可能的M比特指数K，用P为底数，N为模数计算余数R_j ^l=(P_l)^j(mod N) j=0,…, 2^M-1，制成余数表。然后进行S次轮循环，每个循环输入为上个循环的输出结果C_i-1，循环中先执行M次自平方运算，再将结果与轮指数对应的余数相乘，得到的乘法输出作为轮循环结果输出。

对RSA密码算法的能量分析方法主要集中在分辨平方运算和乘法运算上，运用SPA进行分析攻击。而M-ary算法在不同的指数（相同比特位）下，每轮平方运算和乘法运算次数与位置均固定，无法利用SPA等进行分析。

M-ary的轮指数生成算法：对完整的指数K从左到右进行扫描，每M比特为一个轮指数，如图3所示。

根据轮指数生成算法，反推出密钥的方法就是将每轮的M比特轮指数均攻击出来后，按照轮循序从左到右连接起来既可。

由轮指数可以看出，对M-ary算法实施CPA或DPA侧信道能量分析攻击时，每次要攻击M比特指数，而不能是一般BR算法的任意比特例如单比特进行CPA或DPA侧信道能量分析攻击。

发明内容

在RSA密码算法分析中，CPA侧信道能量分析方法是否有效，其关键在于算法中的攻击对象选取与相应能量模型的选择，选取恰当的攻击对象可提高采样能量信息的信噪比和分析的成功率。

本发明的目的在于系统分析RSA密码算法的M-ary实现算法特征，创造性地选择M-ary算法实现中乘法输出作为侧信道能量分析的攻击点，从而提高了正确的猜测密钥和能量分析之间的相关性，增强了分析有效性和成功率。

实现上述目的的本发明的技术方案为，选择乘法输出作为M-ary算法侧信道能量分析的攻击对象对RSA算法进行攻击，RSA解密/签名算法的攻击对象是乘法输出值。

上述选择乘法输出为攻击对象进行RSA密码算法侧信道能量分析的应用，对解密/签名的M-ary实现的每一轮攻击时，如图4所示，选择乘法输出为攻击，即C= C*R_j ⁱ(mod N)作为攻击对象，这里乘法输入分别是和余数R_j ⁱ时，第i轮轮密钥k_j ⁱ对应的攻击对象。

上述选择每轮乘法输出值为对象对RSA密码算法的CPA侧信道能量分析步骤如下：

(1) 每次输入一个底数P_l，l∈{0,1,…,A-1}，共输入A组。用相同密钥(K，N)进行RSA密码运算，采集能量轨迹，即采集测量时间对应的能量样本信息，建立采样能量消耗矩阵；

(2) 选择乘法输出值作为攻击对象；

(3) 确定能量消耗相关性模型；

(4) 确定攻击对象和模型后，从第1轮开始，依次猜测每轮M比特长的指数，计算轮运算中乘法输出值，确定中间值矩阵；

(5) 利用步骤(4)的中间值和中间值矩阵，根据相关性模型，求出仿真能量消耗值和仿真能量消耗矩阵；

(6) 计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测轮指数。

(7) 从第1轮到第S轮，重复步骤(4)至(6)，攻击得到所有轮的轮指数，再按二进制比特位从左到右串接起来，就得到完整的指数密钥。

上述选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，利用CPA进行步骤(4)的具体步骤如下：

（4.1）：猜测第i轮M比特的指数值k_i,j=j，j∈{0,…, 2^M-1}；

（4.2）：用P_l计算R_j ^l=(P_l)^j(mod N) j=0,…, 2^M-1；

（4.3）：用R_j ^l=(P_l)^j和第i-1轮的输出C_i-1，对2^M个指数猜测值分别进行第i轮运算，确定2^M个猜测值对应的乘法输出值C_i,j ^l，其中C_i,j ^l=*R_j ⁱ(mod N)。

（4.4）：对A组底数P进行幂剩余操作时，依次计算对应的乘法输出值，得到中间值矩阵：；

上述选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，利用CPA进行步骤(5)的具体步骤如下：

（5.1）：利用能量消耗相关性模型，可将步骤S4中所计算出的乘法输出值C_i,j ^l所对应的仿真能量消耗为：h_i,j ^l=H(C_i,j ^l)，即第l组底数第i轮第j个猜测轮指数值K_i,j ^l对应的仿真能量功耗。H(x)是汉明重量模型，即计算x中比特位值为1的个数。

（5.2）：对A组底数进行RSA密码运算，确定共2^M个轮指数猜测值对应的仿真能量消耗矩阵为：。

上述选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，利用CPA进行步骤（6）的具体步骤如下：

对步骤（1）的采样能量消耗矩阵和步骤(5)的仿真能量消耗矩阵H分别计算前者第j列和后者第t列的相关系数：。其中w_t ^l表示为第l个底数、第t个时间的对应的采样能量消耗值，T为能量轨迹中的采样时间点个数，为矩阵H第j列的平均值，为矩阵W中第t列的平均值，ρ_j,t表示第l个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数。

（6.1）：计算所有列与列之间的相关系数，则得到了仿真能量消耗和实际采样能量消耗间的相关矩阵：，选取R中的最大值r_u,v=max(r_l,t) ，r_u,v对应的第i轮猜测轮指数K_u ⁱ为正确轮指数。

本发明的技术方案具有以下优点：（1）现有对RSA密码算法实现的侧信道分析主要基于BR算法，每次攻击1bit，且对于不同指数攻击点不固定，不能很好适应M-ary实现形式的侧信道分析攻击。本发明针对RSA密码算法M-ary实现形式创新提出一个新的分析点，利用本发明提出的新方法能够跟更有效、全面地对RSA密码算法M-ary实现进行侧信道能量分析；（2）本发明提出的方法对分析点固定位置、时间点的选择，使得信号处理数据量变小，分析时间减少，提高攻击效率，也使得其他无关样本点对攻击的干扰变小，提高攻击的成功率。

附图说明

图1为幂剩余M-ary算法步骤；

图2为幂剩余M-ary算法实现流程图；

图3为幂剩余M-ary算法实现中轮密钥生成示意图；

图4为幂剩余M-ary算法乘法输出的CPA攻击点选择位置；

图5为CPA分析攻击流程图；

图6为仿真实例底数、轮指数、余数间对应关系表；

图7为第1轮4个轮指数猜测值对应的乘法输出中间值矩阵表；

图8为第1轮4个轮指数猜测值对应的仿真能量消耗矩阵表；

图9为9组底数下第1轮乘法输出相关的采样能量消耗表。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及仿真实施例对本发明做进一步地详细描述。

令幂剩余的底数、指数和模数均为4比特，窗口宽度M为2比特，测试案例输入9组，使用相同的指数、模数，不同的底数。指数值为(11)₁₀，模数值为(15)₁₀。根据幂剩余M-ary算法的实现可知，在本例中：1、共需执行2轮操作；2、轮指数可能取值为K₀=0，K₁=1，K₂=2，K₃=3；3、在执行中需要用输入的底数P生成4个分别对应余数R₀、R₁、R_2、、R₃；

针对RSA密码算法中幂剩余计算M-ary实现时乘法输出的侧信道能量分析攻击的方法，具体包括以下步骤：

(1) 每次输入一个底数P_l，l∈{0,1,…,A-1}，本例中共输入A=9组,底数值如图6所示。用相同密钥(K,N)进行RSA密码运算，本例中为(11,15)。采集能量轨迹，即采集测量时间对应的能量样本信息，建立采样能量消耗矩阵；

(2) 选择乘法输出值为攻击对象；如图4所示。则采样能量消耗矩阵也可简化到2列，分别对应第1轮和第2轮的乘法输出时刻。

(3) 确定能量消耗相关性模型；本例中能量消耗相关性模型为汉明重量模型，汉明重量就是计算某个二进制数串中比特位值为1的个数。能量消耗相关性为汉明重量模型即某二进制数串在实际参与运算时产生的能量消耗与其汉明重量存在相关性。

(4) 确定攻击对象和模型后，从第1轮开始，依次猜测每轮M 比特长的指数，计算轮运算中乘法输出值，确定中间值矩阵，具体步骤如下：

（4.1）：猜测第i轮M比特的指数值K_i,j=j，j∈{0,1,…,2^M-1}；本例中K₀=0，K₁=1，K₂=2，K₃=3。

（4.2）：用P_l计算R_j ^l=(P_l)^j(mod N) j=0,…, 2^M-1；本实例中计算结果如图6所示。

（4.4）：对A组底数P进行幂剩余操作时，依次计算K_i,j对应的乘法输出值，得到中间值矩阵：，本例中对第1轮进行攻击，根据M-ary算法，第1轮4个轮指数猜测值对应的乘法输出中间值矩阵如图7所示。

(5) 利用步骤（4）的中间值和中间值矩阵，根据相关性模型，求出仿真能量消耗值和仿真能量消耗矩阵；具体步骤如下：

(5.1)：利用能量消耗相关性模型，可将步骤S4中所计算出的乘法输出值C_i,j ^l所对应的仿真能量消耗为：h_i,j ^l=H(C_i,j ^l)，即第l组底数第i轮第j个猜测轮指数值K_i,j ^l对应的仿真能量功耗。H(x)是汉明重量模型，即计算x中比特位值为1的个数。

(5.2)：对A组底数进行RSA密码运算，确定共2^M个轮指数猜测值对应的仿真能量消耗矩阵为：。本例中，对第1轮进行攻击，根据M-ary算法，第1轮4个轮指数猜测值对应的仿真能量消耗矩阵如图8所示。

(6) 计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测轮指数。具体步骤如下：

（6.1）：计算所有列与列之间的相关系数，则得到了仿真能量消耗和实际采样能量消耗间的相关矩阵：，选取R中的最大值r_u,v=max(r_l,t) ，r_u,v对应的第i轮猜测轮指数K_u ⁱ为正确轮指数。在本例中，第1轮乘法输出相关的采样能量消耗如图9所示。第1轮仿真能量消耗和实际采样能量消耗间的相关系数最大值为1，对应轮指数K₁=(2)₁₀=(10)₂。

(7) 对第2轮，重复步骤（4）到（6），可攻击出第2轮指数K₂=(3)₁₀=(11)₂。然后将两轮指数按从左到右的顺序串接起来，得到完整的指数K=K₁||K₂=10||11 =(1011)₂=(11)₁₀，完成整个攻击，结果正确。

以上所述仅为本发明的简单实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应包含在本发明的保护范围之内。

Claims

1.针对RSA密码算法中幂剩余计算M-ary实现时乘法输出的侧信道能量分析攻击的方法，其特征在于，对使用M-ary实现的RSA密码算法实施侧信道能量分析过程中，攻击对象为乘法输出值。

2.根据权利要求1所述的选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现侧信道能量分析的方法，其特征在于，对幂剩余计算M-ary实现的每轮攻击时，选择乘法输出（轮输出）作为攻击点，即C_i= C_i * R_j ⁱ(mod N)的返回值作为攻击对象，这里的乘法输出值C_i是当第i轮时，轮输入值为C_i-1，轮指数K_j ⁱ长度为M bit时对应的攻击对象，有C_i= *R_j ⁱ(mod N)。

3.根据权利要求1或2所述的选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，其特征在于，选择每轮乘法输出值为对象对RSA密码算法的CPA侧信道能量分析。

4.根据权利要求3所述的选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，其特征在于，选择每轮乘法输出值为对象对RSA密码算法的CPA侧信道能量分析步骤如下：

(1)每次输入一个底数P_l，l∈{0,1,…,A-1}，共输入A组；用密钥（K，N）进行RSA密码运算，采集能量轨迹，即采集测量时间对应的能量样本信息，建立采样能量消耗矩阵；

(2)选择乘法输出值作为攻击对象；

(3)确定能量消耗相关性模型；

(4)确定攻击对象和模型后，从第一轮开始，依次猜测每轮M 比特长的指数，计算轮运算中乘法输出值，确定中间值矩阵；

(5)利用（4）的中间值和中间值矩阵，根据相关性模型，求出仿真能量消耗值和仿真能量消耗矩阵；

(6)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测轮指数；

(7)从第1轮到第S轮，重复步骤（4）至（6），攻击得到所有轮的轮指数，再按二进制比特位从左到右串接起来，就得到完整的指数密钥。

5.根据权利要求4选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，其特征在于，利用CPA进行步骤（4）的具体步骤如下：

(1)猜测第i轮M比特的指数值k_i,j=j，j∈{0,1,…,2^M-1}；

(2)用P_l计算R_j ^l=(P_l)^j(mod N) j=0,…, 2^M-1；

(3)用R_j ^l=(P_l)^j和第i-1轮的输出C_i-1，对2^M个指数猜测值分别进行第i轮运算，确定2^M个猜测值对应的乘法输出C_i,j ^l，其中C_i,j ^l= *R_j ⁱ(mod N)；

对A组底数P进行幂剩余操作时，依次计算k_i,j对应的乘法输出值，得到中间值矩阵：。

6.根据权利要求4选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，其特征在于，利用CPA进行步骤（5）的具体步骤如下：

(1)利用能量消耗相关性模型，可将步骤（4）中所计算出的乘法输出值C_i,j ^l所对应的仿真能量消耗为：h_i,j ^l=H(C_i,j ^l)，即第l组底数第i轮第j个猜测轮指数值K_j ⁱ对应的仿真能量功耗；H(x)是汉明重量模型，即计算x中比特位值为1的个数；

(2)对A组底数进行RSA密码运算，确定共2^M个轮指数猜测值对应的仿真能量消耗矩阵为：。

7.根据权利要求4选择乘法输出值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，其特征在于，利用CPA进行步骤（6）的具体步骤如下：

对步骤（1）的采样能量消耗矩阵和步骤(5)的仿真能量消耗矩阵H分别计算前者第j列和后者第t列的相关系数：；其中w_t ^l表示为第l个底数、第t个时间的对应的采样能量消耗值，T为能量轨迹中的采样时间点个数，为矩阵H第j列的平均值，为矩阵W中第t列的平均值，ρ_j,t表示第l个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数。

8.计算所有列与列之间的相关系数，则得到了仿真能量消耗和实际采样能量消耗间的相关矩阵：，选取R中的最大值r_u,v=max(r_l,t)，r_u,v对应的第i轮猜测轮指数K_u ⁱ为正确轮指数。