CN106385412A

CN106385412A - 一种针对sm4密码算法前4轮的约减轮故障分析的方法

Info

Publication number: CN106385412A
Application number: CN201610816830.0A
Authority: CN
Inventors: 吴震; 王敏; 杜之波; 饶金涛; 凌杭; 姚艳丽
Original assignee: Chengdu Xinan Youlika Information Technology Co Ltd; Chengdu University of Information Technology
Current assignee: Chengdu Xinan Youlika Information Technology Co Ltd; Chengdu University of Information Technology
Priority date: 2016-09-12
Filing date: 2016-09-12
Publication date: 2017-02-08

Abstract

本发明公开了一种针对SM4密码算法前4轮的约减轮故障分析的攻击方法，包括以下步骤：S1：对SM4密码算法前4轮的轮输出进行故障注入来减少迭代的轮数，获取SM4密码算法前4轮的轮输出；S2：根据SM4密码算法前4轮的轮输出推出前4轮的轮密钥，根据SM4密钥扩展算法，逆向计算出初始密钥。采用上述分析方法不仅实现了针对SM4约减轮故障分析，而且降低了攻击完整密钥所需的攻击次数，增强了攻击效率和成功率。

Description

一种针对SM4密码算法前4轮的约减轮故障分析的方法

技术领域

本发明涉及密码算法分析检测领域，尤其涉及一种针对SM4密码算法前4轮的约减轮故障分析的方法。

背景技术

一般情况下，运行密码算法的硬件设备或软件程序都能够正确的执行各种密码算法运算，但是在有干扰的情况下，密码运算的单元模块可能会出现一些故障，比如运算异常或者寄存器故障。利用这些故障引起的错误信息来攻击恢复出密钥的方法称为密码故障分析。

目前密码设备的接口和实现对故障注入的防护措施都有欠缺，一般都比较容易受到攻击。1996年，Boneh等首先将故障注入的方法引入到密码算法的分析中，从此针对智能芯片的故障注入技术开始飞速发展。

根据攻击者侵入密码设备的程度，可以将故障注入分为3种，包括非侵入式故障注入、半侵入式故障注入和侵入式故障注入。顾名思义，后两种方式需要在物理上接触密码芯片，因此需要用于剖片处理的设备、化学用品以及用于注入故障的特殊设备。非侵入式的故障注入主要通过外界干扰的方式，如电压、时钟、磁场等，因此不需要这些昂贵的设备。

故障注入攻击通常由两个部分构成，即故障注入和错误数据利用。故障注入是在某些适合的时间诱导密码运行中的某些中间状态发生故障，这种攻击的实施方式和实际产生的效果依赖于攻击者使用的设备和工作环境。错误利用主要是利用故障注入所产生的结果即错误数据信息，并使用与其对应的分析方法来恢复出部分甚至全部密钥，攻击能否成功一般既依赖于密码系统的设计和实现，也依赖于其算法规范。

故障注入攻击的执行可以分为4个步骤：

（1）选定故障模型

攻击者在进行故障注入前需要明确给出错误注入时机、位置、动作和效果模型。典型的故障模型为：在加密过程中某中间轮发生单字节的瞬时故障。

（2）故障注入

根据故障模型，攻击者选定故障注入的手段，如电流、时钟、激光、射线等干扰方式进行错误注入。常用的诱导故障发生的方法分为3类：

1.直接从外部加入非正常信息，如异常的时钟、电压、温度等；

2.结合探测攻击，从内部引入错误；

3.Skorobogatov和Anderson发明的半入侵攻击属于错误攻击，可在去除钝化层之后，使用激光或重粒子辐照芯片制定区域，引入错误。

（3）错误样本筛选

在故障注入完成后，攻击者根据故障模型，参考密码运行最终输出中的错误宽度、错误位置、错误值，甚至从错误注入后密码运行的时间长短来筛选理想的错误样本，该步骤对于错误分析效率具有较大影响。

（4）密钥分析

在筛选出理想的错误样本后，攻击者分析密码运行正确输出和错误输出之间的关系，使用一定的错误分析方法结合密码算法设计分析出相关密钥值。

SM4算法是分组长度和密钥长度均为128bit，加密算法和解密算法均为32轮的非线性迭代密码算法，其加密算法和解密算法结构相同，只是运算时轮密钥使用的顺序相反，解密轮密钥是加密轮密钥的逆序。SM4加密算法的详细流程如图1所示。

在图1中X_i∈Z₂ ³²(Z₂ ^e表示ebit的向量集(Z₂ ^e))，明文输入为(X₀，X₁，X₂，X₃) ∈(Z₂ ³²)⁴，密文输出为(Y₀，Y₁，Y₂，Y₃)，其中X_i、X_i+1、X_i+2和X_i+3为轮迭代运算函数F的输入，rk_i∈Z₂ ³²为每轮的轮密钥，i∈{ 0，1，2，…，31}。

从加密的流程可以看出，轮迭代函数F包括的运算有异或、非线性变换τ和线性变换L，轮迭代函数的表达式为：X_i+4=F(X_i，X_i+1，X_i+2，X_i+3，rk_i)=X_i⊕T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i) ，在该表达式中，T表示合成置换，是由非线性变换τ和线性变换L复合而成，迭代函数F的详细的流程如图2所示，在整个SM4密码算法的加解密过程中，一共要执行32轮这样的轮迭代函数F。

令res_i=T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)，则：X_i+4= F(X_i，X_i+1，X_i+2，X_i+3，rk_i)= X_i⊕T(X_i+1⊕X_i+2⊕X_i+3⊕rk_i)变为：

X_i+4= F(X_i，X_i+1，X_i+2，X_i+3，rk_i)= X_i⊕res_i

非线性变换τ是由4个并行S盒子构成，每个S盒子为固定的8bit输入8bit输出的置换，记为Sbox(.)。

设输入为A_i=a_i,0||a_i,1||a_i,2||a_i,3=X_i+1⊕X_i+2⊕X_i+3⊕rk_i，其中a_i,j∈Z₂ ³²，表示第i轮第j(j∈{0,1,2,3 })个S盒子的输入，||表示两个数据bit的拼接，输出为B_i=b_i,0||b_i,1||b_i,2||b_i,3，b_i,j表示第i轮、第j个S盒子的输出，则非线性变换τ为：B_i=τ(A_i)=Sbox(a_i,0)||Sbox(a_i,1)||Sbox(a_i,2)||Sbox(a_i,3)

线性变换L的描述如下所示：

C_i=L(B_i)=B_i⊕(B_i<<<2)⊕(B_i<<<10)⊕(B_i<<<18)⊕(B_i<<<24)

在该式中，C_i∈Z₂ ³²，B_i∈Z₂ ³²，C_i为线性变换L的输出，B_i为线性变换L的输入，同时也是非线性变换τ的输出。

SM4的密钥扩展算法：轮密钥由加密密钥通过密钥扩展算法生成，其结构与加密变换类似。设加密密钥为MK=(MK₀，MK₁，MK₂，MK₃)，i=0,1,2,3。令K_i∈Z₂ ³²，i=0,1,…,35，轮密钥rk_i∈Z₂ ³²，i=0,1,…,31，则轮密钥生成方法如下式所示：

(K₀,K₁, K₂, K₃)=( MK₀⊕FK₀,MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)

rk_i=K_i+4=K_i⊕T`( K_i+1⊕K_i+2⊕K_i+3⊕CK_i)

其中，T`变换与加密变换中的T变换基本相同，只是其中的线性变换L必须修改为以下L`：

L＇(B)=B⊕(B<<<13)⊕(B<<<23)

系统参数FK_i(i=1,2,3)的取值，采用16进制表示为：FK₀=A3B1BAC6，FK₁=56AA3350，FK₂=677D9197，FK₃=B27022DC。

固定参数CK的取值方法为：设ck_i,j为CK_i的第j字节(i=0,1,...,31;j=0,1,2,3)，即CK_i=( ck_i,0, ck_i,1, ck_i,2, ck_i,3)∈(Z₂ ⁸)⁴，则ck_i,j=((4i+j)*7)mod 256。32个固定参数CK_i用16进制表示为：

00070e15， 1c232a31， 383f464d， 545b6269；

70777e85， 8c939aa1， a8afb6bd， c4cbd2d9；

e0e7eef5，fc030a11， 181f262d， 343b4249；

50575e65， 6c737a81，888f969d，a4abb2b9；

c0c7ced5， dce3eaf1， f8ff060d， 141b2229；

30373e45， 4c535a61，686f767d， 848b9299；

a0a7aeb5， bcc3cad1， d8dfe6ed，f4fb0209；

10171e25， 2c333a41， 484f565d，646b7279。

根据密钥扩展算法，反推出密钥的方法如下：

a、加密运算：

对于加密运算，攻击出前四轮的轮子密钥rk₀，rk₁，rk₂和rk₃，根据密钥扩展算法得下式：

rk₀=K₄=K₀⊕T(K₁⊕K₂⊕K₃⊕CK₀) （1）

rk₁=K₅=K₁⊕T(K₂⊕K₃⊕K₄⊕CK₁) （2）

rk₂=K₆=K₂⊕T(K₃⊕K₄⊕K₅⊕CK₂) （3）

rk₃=K₇=K₃⊕T(K₄⊕K₅⊕K₆⊕CK₃) （4）

由(1)、(2)、(3)和(4)式可得K₃，如(5)式所示。

K₃=rk₃⊕T(rk₀⊕rk₁⊕rk₂⊕CK₃) (5)

由(3)和(5)式得K₂，如(6)式所示。

K₂=rk₂⊕T(K₃⊕rk₀⊕rk₁⊕CK₂) (6)

由(2)、(5)和(6)式得K₁，如(7)式所示。

K₁=rk₁⊕T(K₂⊕K₃⊕rk₀⊕CK₁) (7)

由(2)、(5)和(6)式得K₀，如(8)式所示。

K₀=rk₀⊕T(K₁⊕K₂⊕K₃⊕CK₀) (8)

又(K₀,K₁,K₂,K₃)=(MK₀⊕FK₀, MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)，所以可得密钥为MK₀=K₀⊕FK₀，MK₁= K₁⊕FK₁，MK₂= K₂⊕FK₂，MK₃= K₃⊕FK₃。

b、解密运算：

对于解密运算，攻击出前四轮的轮子密钥rk₀、rk₁、rk₂和rk₃，根据密钥扩展算法得下式：

rk₀=K₃₅=K₃₁⊕T(K₃₂⊕K₃₃⊕K₃₄⊕CK₃₁) （9）

rk₁=K₃₄=K₃₀⊕T(K₃₁⊕K₃₂⊕K₃₃⊕CK₃₀) （10）

rk₂=K₃₃=K₂₉⊕T(K₃₀⊕K₃₁⊕K₃₂⊕CK₂₉) （11）

rk₃=K₃₂=K₂₈⊕T(K₂₉⊕K₃₀⊕K₃₁⊕CK₂₉) （12）

由(9)、（10）、（11）和(12)式子，得到K₃₂、K₃₃、K₃₄和K₃₅，i取31到0，计算K_i=K_i+4⊕T(K_i+1⊕K_i+2⊕K_i+3⊕CK_i)，即可得到K₀、K₁、K₂和K₃，又(K₀,K₁,K₂,K₃)=(MK₀⊕FK₀, MK₁⊕FK₁, MK₂⊕FK₂, MK₃⊕FK₃)，所以可得密钥为MK₀= K₀⊕FK₀，MK₁= K₁⊕FK₁，MK₂= K₂⊕FK₂，MK₃= K₃⊕FK₃。

目前，尚未有针对SM4密码算法前4轮的约减轮故障分析的攻击方法。该方法先利用故障注入的技术使SM4密码执行的时候提前跳出正常的32轮迭代，然后利用该故障情况下生成的输出得到前4轮中某一轮输出，接着有计划的重复上述操作直至获取前4轮的全部轮输出并结合明文信息计算出前4轮的轮密钥，最后根据前4轮的轮密钥计算出整个算法的初始密钥。

发明内容

本发明的目的是提供一种针对SM4密码算法前4轮的约减轮故障分析的攻击方法，以解决对SM4算法进行攻击时方法复杂，样本量大的问题。通过注入故障的技术使SM4密码运行时提前跳出轮函数的迭代过程从而获取前4轮中某轮的轮输出，然后重复上述操作以获取前4轮的全部轮输出，然后结合明文信息推断出前4轮的轮密钥，最后结合密钥扩展算法利用前4轮的轮密钥计算出初始密钥，从而不仅实现了针对SM4密码算法线性变换输出的侧信道能量攻击，而且降低了攻击次数，增强了攻击效率、灵活性、有效性和成功率。

为解决上述技术问题，本发明提供一种针对SM4密码算法前4轮的约减轮故障分析的攻击方法，具体包括以下步骤：

S1：对SM4密码算法前4轮的轮输出进行故障注入来减少迭代的轮数，获取SM4密码算法前4轮的轮输出；

S2：根据SM4密码算法前4轮的轮输出推出前4轮的轮密钥，根据SM4密钥扩展算法，逆向计算出初始密钥。

进一步地，S1具体包括以下步骤：

S11：选择故障注入整体的位置为前4轮，选择完成之后设定sum=4，集合R={2,3,4,5}；

S12：开始执行SM4密码算法，进行故障注入，若提前跳出加解密的迭代轮且轮数属于集合R中的元素，记该运算的轮数为r，若未成功则重复本步骤；

S13：判断r是否已在R＇中，如果是则跳转到步骤S12，如果不是则将其添加到集合 R＇中，根据步骤S12中的输出利用反序变化推出该运算的轮输出，Count自增；

S14：判断Count是否等于sum，如果不是则跳转到S12继续执行，反之则故障注入完毕，根据明文信息和步骤S13中记录的前4轮的轮输出推断第2轮、第3轮、第4轮的轮输入。

附图说明

图1为SM4加密算法流程图。

图2为迭代函数F的流程图。

图3为对前4轮的轮输出进行故障注入的位置示意图。

图4为针对SM4密码算法前4轮的约减轮故障分析攻击方法的流程图。

Claims

1.针对SM4密码算法前4轮的约减轮故障分析的攻击方法，其特征在于，所述方法包括以下步骤：

2.根据权利要求1所述的针对SM4密码算法前4轮的约减轮故障分析的攻击方法，其特征在于，所述S1具体包括以下步骤：

S13：判断r是否已在R＇中，如果是则跳转到步骤S12，如果不是则将其添加到集合R＇中，根据步骤S12中的输出利用反序变化推出该运算的轮输出，Count自增；