CN104811297B - 针对RSA之M-ary实现模乘余数输入侧信道攻击 - Google Patents

Abstract

本发明公开了一种针对RSA密码算法M‑ary实现的模乘余数输入侧信道能量分析攻击的方法，其核心在于模幂计算用M‑ary实现时，以模乘余数输入作为攻击对象实施CPA攻击。包括以下步骤：（1）采集信号，建立采样矩阵；（2）选择模乘余数输入作为攻击对象；（3）确定相关性模型；（4）猜测轮指数值，计算出中间值矩阵；（5）计算仿真能量消耗矩阵；（6）计算（1）中对应测量点和（5）所确定矩阵之间的线性相关系数，攻击出所有轮正确的模乘余数输入值。查找得到对应所有正确的轮指数，串接后得到完整指数。本发明的方法给出了一种新的M‑ary侧信道攻击方法，增强了RSA密码算法分析攻击的灵活性、有效性和成功率。

Description

针对RSA之M-ary实现模乘余数输入侧信道攻击

技术领域

本发明涉及密码算法分析检测领域，尤其涉及一种针对RSA密码算法M-ary实现的模乘余数输入侧信道能量分析攻击的方法。

背景技术

随着信息和分析电路技术的发展，对硬件密码电子设备的破解不再单纯的停留在协议和算法上，而是从其处理数据的过程中泄露的信息入手，进行破解。硬件密码电子设备在处理信息的工程中存在能量、电磁、错误和时间等信息的泄露，利用这些泄露的信息对密码电子设备进行攻击，就是所谓的侧信道攻击(Side Channel Attacks)，侧信道攻击可分为能量分析攻击、电磁攻击和错误攻击等，其中能量分析攻击因效率较高，成为侧信道的主要手段。

侧信道能量分析攻击是通过采集加密芯片等硬件密码电子设备在进行加、解密或签名等操作时产生的能量消耗，利用密码学和统计学原理等，分析和破译密钥信息的一种攻击方式，侧信道能量分析攻击又分为简单能量分析攻击(Simple Power Analysis，SPA)、差分能量分析攻击(Differential Power Analysis，DPA)和相关性能量分析攻击(Correlation Power Analysis，CPA)。

在侧信道能量分析攻击中，CPA和DPA相比SPA具有更强的攻击性，所以能量分析攻击中比较常用的是CPA和DPA。

其中，DPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i(i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i(t)t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l(l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)根据中间值D_i,l确定选择函数F(M_i,K_l)，根据选择函数将T_i(t)分为两个子集S₀和S₁，定义式如下：

S₀＝{T_i(t)|F(M_i,K_l)＝0}

S₁＝{T_i(t)|F(M_i,K_l)＝1}

(4)计算每个采样点上两个子集的能量平均之差，如 所示，其中|S₀|和|S₁|分别表示集合S₀和S₁中元素的个数。

若K_l选择不正确，当N比较大时，两个子集均值差S将趋近于零；若K_l选择正确，在均值差S中将会出现一个最大尖峰，通过该尖峰即可确定K_l选择正确。

CPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i(i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i(t)，t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l(l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)取中间值D_i,l的汉明距离或者汉明重量建立能量模型h_i,l，根据

式计算T_i和h_i,l相关性ρ_l。

(4)取相关系数最大值时对应的K_l，即为实际密钥。

RSA公钥算法是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(AdiShamir)和伦纳德·阿德曼(LeonardAdleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准。

RSA的公钥、私钥生成如下：

(1)选取两个质数p、q，N＝p*q，p、q保密，N可公开；

(2)寻找与的数e，则(e,N)为公钥K_u；

(3)计算d＝e^‐1(mod(p‐1)(q‐1))，则(d,N)为私钥K_r。

RSA加密/验签算法如下：

C＝m^e mod N

RSA解密/签名算法如下：

m＝C^d mod N

RSA密码算法的运算核心就是幂剩余运算，其私钥即为指数。

大整数幂剩余运算有很多快速实现算法，M-ary算法就是常用快速算法之一，其方法如下：令C＝p^kmod N，先将上式中的指数K表示为：又令式中表示的整数部分，其运算步骤如图1所示，流程图如图2所示。

在图1中，M-ary算法是先遍历所有可能的M比特指数K，用P为底数，N为模数计算余数制成余数表。然后进行S次轮循环，每个循环输入为上个循环的输出结果C_i-1，循环中先执行M次自平方运算，再将结果与轮指数对应的余数相乘，得到的乘法输出作为轮循环结果输出。

对RSA密码算法的能量分析方法主要集中在分辨平方运算和乘法运算上，运用SPA进行分析攻击。而M-ary算法在不同的指数(相同比特位)下，每轮平方运算和乘法运算次数与位置均固定，无法利用SPA等进行分析。

M-ary的轮指数生成算法：对完整的指数K从左到右进行扫描，每M比特为一个轮指数，如图3所示。

根据轮指数生成算法，反推出密钥的方法就是将每轮的M比特轮指数均攻击出来后，按照轮循序从左到右连接起来既可。

由轮指数可以看出，对M-ary算法实施CPA或DPA侧信道能量分析攻击时，每次要攻击M比特指数，而不能是一般BR算法的任意比特例如单比特进行CPA或DPA侧信道能量分析攻击；且针对某轮输出攻击，均需要在前若干轮攻击成功条件才能进行。

发明内容

在RSA密码算法分析中，CPA侧信道能量分析方法是否有效，其关键在于算法中的攻击对象选取与相应能量模型的选择，选取恰当的攻击对象可提高采样能量信息的信噪比和分析的成功率。

本发明的目的在于系统分析RSA密码算法的M-ary实现算法特征，创造性地选择M-ary算法实现中模乘余数输入作为侧信道能量分析的攻击点，从而提高了正确的猜测密钥和能量分析之间的相关性，增强了分析有效性和成功率。

实现上述目的的本发明的技术方案为，选择模乘余数输入作为M-ary算法侧信道能量分析的攻击对象对RSA算法进行攻击，RSA解密/签名算法的攻击对象是模乘余数输入值。

上述选择模乘余数输入为攻击对象进行RSA密码算法侧信道能量分析的应用，对解密/签名的M-ary实现的每一轮攻击时，如图4所示，选择模乘余数输入为攻击对象，即C＝C*R_j ⁱ(mod N)中余数R_j ⁱ作为攻击对象，即第i轮轮密钥K_j ⁱ对应的攻击对象。

上述选择每轮模乘余数输入为对象对RSA密码算法的CPA侧信道能量分析步骤如下：

(1)每次输入一个底数P_l，l∈{0,1,…,A‐1}，共输入A组。用密钥(K,N)进行RSA密码运算，采集能量轨迹，即采集测量时间对应的能量样本信息，建立采样能量消耗矩阵；

(2)选择模乘余数输入为攻击对象；

(3)确定能量消耗相关性模型；

(4)确定攻击对象和模型后，计算所有可能的轮指数所对应的模乘余数输入值，确定中间值矩阵；

(5)利用(4)的中间值和中间值矩阵，根据相关性模型，求出仿真能量消耗值和仿真能量消耗矩阵；

(6)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到每轮正确的模乘余数输入值，对应可得到每轮的猜测轮指数。再按轮顺序的二进制比特位将轮指数从左到右串接起来，就得到完整的指数密钥。

上述选择模乘余数输入值为攻击对象进行RSA密码算法幂剩余计算M‐ary实现的侧信道能量分析的方法，利用CPA进行步骤(4)的具体步骤如下：

(4.1)：猜测第i轮M比特的指数值K_j ⁱ＝j，j∈{0,…,2^M‐1}；

(4.2)：用P_l计算所有可能模乘余数输入值再得到中间值矩阵

上述选择模乘余数输入值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，利用CPA进行步骤(5)的具体步骤如下：

(5.1)：利用能量消耗相关性模型，可将步骤(4)中所计算出的模乘余数输入值所对应的仿真能量消耗为：即第l组底数第j个猜测轮指数值K_j＝j对应的仿真能量功耗。H(x)是汉明重量模型，即计算x中比特位值为1的个数。

对A组底数进行RSA密码运算，确定共2^M个轮指数猜测值对应的仿真能量消耗矩阵为：

上述选择模乘余数输入值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，利用CPA进行步骤(6)的具体步骤如下：

对步骤(1)的采样能量消耗矩阵和步骤(5)的仿真能量消耗矩阵H分别计算前者第j列和后者第t列的相关系数： 其中表示为第l个底数、第t个时间的对应的采样能量消耗值，T为能量轨迹中的采样时间点个数，为矩阵H第j列的平均值，为矩阵W中第t列的平均值，ρ_j,t表示第l个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数。

计算所有列与列之间的相关系数，则得到了仿真能量消耗和实际采样能量消耗间的相关矩阵选取R中的最大值r_u,v＝max(r_l,t)，r_u,v对应的第i轮猜测轮指数K_u ⁱ为正确轮指数。

(6.1)：每一轮均可攻击出一个轮指数，S轮共攻击出S个轮指数。将这S个轮指数按照轮顺序用二进制从左到右链接起来，即获得完整指数。

本发明的技术方案具有以下优点：(1)现有对RSA密码算法实现的侧信道分析主要基于BR算法，每次攻击1bit，对于不同指数攻击点不固定，不能很好适应M-ary实现形式的侧信道分析攻击。本发明针对RSA密码算法M-ary实现形式创新提出一个新的分析点，利用本发明提出的新方法能够跟更有效、全面地对RSA密码算法M-ary实现进行侧信道能量分析；(2)本发明提出的方法对分析点固定位置、时间点的选择，使得信号处理数据量变小，分析时间减少，提高攻击效率，也使得其他无关样本点对攻击的干扰变小，提高攻击的成功率。(3)针对M-ary轮输出的攻击某轮指数时，需要之前若干轮的指数均被正确攻击出来。这意味着只要有一轮指数未攻击出来，后面的指数均无法攻击。本发明提出的方法对每轮指数的攻击都是独立的，无须其他轮的数据配合，极大的提高了攻击成功率。

附图说明

图1为幂剩余M-ary算法步骤；

图2为幂剩余M-ary算法实现流程图；

图3为幂剩余M-ary算法实现中轮密钥生成示意图；

图4为幂剩余M-ary算法模乘余数输入的CPA攻击点选择位置；

图5为CPA分析攻击流程图；

图6为仿真实例底数、轮指数、余数间对应关系表；

图7为第1轮4个轮指数猜测值对应的模乘余数输入中间值矩阵表；

图8为第1轮4个轮指数猜测值对应的仿真能量消耗矩阵表；

图9为9组底数下第1轮模乘余数输入相关的采样能量消耗表。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图及仿真实施例对本发明做进一步地详细描述，详细攻击流程图如图5。

令幂剩余的底数、指数和模数均为4比特，窗口宽度M为2比特，测试案例输入9组，使用相同的指数、模数，不同的底数。指数值为(11)₁₀＝(1011)₂，模数值为(15)₁₀。根据幂剩余M-ary算法的实现可知，在本例中：1、共需执行2轮操作；2、轮指数可能取值为K₀＝0，K₁＝1，K₂＝2，K₃＝3；3、在执行中需要用输入的底数P生成4个分别对应余数R₀、R₁、R₂、R₃；

针对RSA密码算法中幂剩余计算M-ary实现时模乘余数输入的侧信道能量分析攻击的方法，具体包括以下步骤：

(1)每次输入一个底数P_l，l∈{0,1,…,A‐1}，本例中共输入A＝9组,底数值如图6所示。用相同密钥(K,N)进行RSA密码运算，本例中为(11,15)。采集能量轨迹，即采集测量时间对应的能量样本信息，建立采样能量消耗矩阵；

(2)选择模乘余数输入为攻击对象；如图4所示。则采样能量消耗矩阵也可简化到2列，分别对应第1轮和第2轮的模乘余数输入时刻。

(3)确定能量消耗相关性模型；本例中能量消耗相关性模型为汉明重量模型，汉明重量就是计算某个二进制数串中比特位值为1的个数。能量消耗相关性为汉明重量模型即某二进制数串在实际参与运算时产生的能量消耗与其汉明重量存在相关性。

(4)确定攻击对象和模型后，从第1轮开始，依次猜测每轮M比特长的指数，计算轮运算中模乘余数输入值，确定中间值矩阵；具体步骤如下：

(4.1)：猜测第i轮M比特的指数值K_i,j＝j，j∈{0,…,2^M‐1}；本例中K₀＝0，K₁＝1，K₂＝2，K₃＝3。

(4.2)：用计算所有可能模乘余数输入值，如图6，即得到中间值矩阵 本实例中计算结果如图7所示。

(5)利用步骤(4)的中间值和中间值矩阵，根据相关性模型，求出仿真能量消耗值和仿真能量消耗矩阵；具体步骤如下：

(5.1)：利用能量消耗相关性模型，可将步骤(4)中所计算出的模乘余数输入值所对应的仿真能量消耗为h_j ^l＝H(R_j ^l)，即第l组底数第i轮第j个猜测轮指数值K_i,j ^l对应的仿真能量功耗。H(x)是汉明重量模型，即计算x中比特位值为1的个数。

(5.2)：对A组底数进行RSA密码运算，确定共个轮指数猜测值对应的仿真能量消耗矩阵为本例中，对第1轮进行攻击，根据M‐ary算法，第1轮4个轮指数猜测值对应的仿真能量消耗矩阵如图8所示。

(6)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测轮指数。具体步骤如下：

对步骤(1)的采样能量消耗矩阵和步骤(5)的仿真能量消耗矩阵H分别计算前者第j列和后者第t列的相关系数 其中表示为第l个底数、第t个时间的对应的采样能量消耗值，T为能量轨迹中的采样时间点个数，为矩阵H第j列的平均值，为矩阵W中第t列的平均值，ρ_j,t表示第l个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数。

计算所有列与列之间的相关系数，则得到了仿真能量消耗和实际采样能量消耗间的相关矩阵选取R中的最大值r_u,v＝max(r_l,t)，r_u,v对应的第i轮猜测轮指数K_u ⁱ为正确轮指数。在本例中，第1轮模乘运算输入相关的采样能量消耗如图9所示。第1轮仿真能量消耗和实际采样能量消耗间的相关系数最大值为1，对应轮指数K₁＝(2)₁₀＝(10)₂。

(7)对第2轮，重复步骤(4)到(6)，可攻击出第2轮指数K₂＝(3)₁₀＝(11)₂。然后将两轮指数按从左到右的顺序串接起来，得到完整的指数K＝K₁||K₂＝10||11＝(1011)₂＝(11)₁₀，完成整个攻击，结果正确。

以上所述仅为本发明的简单实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换以及改进等，均应包含在本发明的保护范围之内。

Claims (4)

1.针对RSA密码算法M-ary实现的模乘余数输入侧信道能量分析攻击的方法，其特征在于，对使用M-ary实现的RSA密码算法实施侧信道能量分析过程中，攻击对象为模乘余数输入值，即C＝C*R_j ⁱ(modN)中模乘余数输入R_j ⁱ作为攻击对象，其中R_j ⁱ是当第i轮时，轮指数K_j ⁱ长度为M bit时对应的攻击对象，有C为M-ary算法每轮循环的输出结果，N为模数，i表示M-ary算法的轮索引，i＝0,1,2,…,s-1，M为二进制轮指数的位数，也为要攻击指数的比特位数，j为轮指数猜测值，P_l为底数，选择每轮模乘余数输入值为对象对RSA密码算法的相关性能量分析攻击CPA侧信道能量分析，其步骤如下：

(1)每次输入一个底数P_l，l∈{0,1,…,A‐1}，共输入A组；用密钥(K,N)进行RSA密码运算，K为RSA密码算法中的密钥指数，采集能量轨迹，即采集测量时间对应的能量样本信息，建立采样能量消耗矩阵；

(2)选择模乘余数输入值作为攻击对象；

(3)确定能量消耗相关性模型；

(4)确定攻击对象和模型后，计算所有可能的轮指数所对应的模乘余数输入值，确定中间值矩阵；

(5)利用(4)的中间值和中间值矩阵，根据相关性模型，求出仿真能量消耗值和仿真能量消耗矩阵；

(6)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到每轮正确的模乘余数输入值，对应可得到每轮的猜测轮指数；再按轮顺序的二进制比特位将轮指数从左到右串接起来，就得到完整的指数密钥。

2.根据权利要求1所述针对RSA密码算法M-ary实现的模乘余数输入侧信道能量分析攻击的方法选择模乘余数输入值为攻击对象进行RSA密码算法M-ary实现的侧信道能量分析的方法，其特征在于，利用CPA进行步骤(4)的具体步骤如下：

(1)猜测第i轮M比特的指数值K_j ⁱ＝j,j∈{0,…,2^M‐1}；

(2)用P_l计算所有可能模乘余数输入具体值 再得到中间值矩阵

3.根据权利要求1所述针对RSA密码算法M-ary实现的模乘余数输入侧信道能量分析攻击的方法选择模乘余数输入值为攻击对象进行RSA密码算法M-ary实现的侧信道能量分析的方法，其特征在于，利用CPA进行步骤(5)的具体步骤如下：

(5.1)利用能量消耗相关性模型，可将步骤(4)中所计算出的模乘余数输入值所对应的仿真能量消耗为：即第l组底数第j个猜测轮指数值K_j ⁱ＝j对应的仿真能量功耗，H(x)是汉明重量模型，即计算x中比特位值为1的个数；

(5.2)对A组底数进行RSA密码运算，确定共2^M个轮指数猜测值对应的仿真能量消耗矩阵为：

4.根据权利要求1所述针对RSA密码算法M-ary实现的模乘余数输入侧信道能量分析攻击的方法选择模乘余数输入值为攻击对象进行RSA密码算法幂剩余计算M-ary实现的侧信道能量分析的方法，其特征在于，利用CPA进行步骤(6)的具体步骤如下：

(6.1)对步骤(1)的采样能量消耗矩阵和步骤(5)的仿真能量消耗矩阵H分别计算前者第j列和后者第t列的相关系数 其中表示为第l个底数、第t个时间的对应的采样能量消耗值，T为能量轨迹中的采样时间点个数，为矩阵H第j列的平均值，为矩阵W中第t列的平均值，ρ_j,t表示第l个猜测密钥对应的仿真能量消耗与第t个时间点采样能量消耗之间的线性相关系数；

(6.2)计算所有列与列之间的相关系数，则得到了仿真能量消耗和实际采样能量消耗间的相关矩阵其中r_l,t为相关系数，选取R中的最大值对应的第i轮猜测轮指数为正确轮指数；

(6.3)每一轮均可攻击出一个轮指数，S轮共攻击出S个轮指数；将这S个轮指数按照轮顺序用二进制从左到右链接起来，即获得完整指数。