CN106982114B - 针对sm3密码算法消息扩展的侧信道分析攻击的方法 - Google Patents

Abstract

本发明公开了一种针对SM3密码算法消息扩展的侧信道分析攻击方法，包括以下步骤：S1：选择消息扩展运算的结果为攻击中间变量，选择消息扩展运算中置换函数的输出作为攻击的目标，进行侧信道分析攻击；S2：将攻击结果联立方程组，根据逆置换函数求解方程组，即可破解最终密钥。采用上述分析方法不仅实现了针对SM3密码算法的侧信道分析攻击，而且降低了攻击时数据的搜索空间，增强了攻击灵活性、效率和成功率。

Description

针对SM3密码算法消息扩展的侧信道分析攻击的方法

技术领域

本发明涉及密码算法分析检测领域，尤其涉及一种针对SM3密码算法消息扩展的侧信道分析攻击的方法。

背景技术

随着信息和分析电路技术的发展，对硬件密码电子设备的破解不再单纯的停留在协议和算法上，而是从其处理数据的过程中泄露的信息入手，进行破解。硬件密码电子设备在处理信息的工程中存在能量、电磁、错误和时间等信息的泄露，利用这些泄露的信息，结合密码学和统计学原理等，对密码电子设备进行攻击，就是所谓的侧信道分析攻击(SideChannel Attacks)。在侧信道分析攻击中，比较常用的是差分分析攻击和相关性分析攻击。

其中，差分分析攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i(i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量或者电磁曲线T_i(t)，t∈{1,…,k}，其中k为曲线轨迹的采样点数。

(2)选择密钥K_l(l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)根据中间值D_i,l确定选择函数F(M_i,K_l)，根据选择函数将T_i(t)分为两个子集S₀和S₁，定义式如下：

S₀＝{T_i(t)|F(M_i,K_l)＝0}

S₁＝{T_i(t)|F(M_i,K_l)＝1}

(4)计算每个采样点上两个子集的能量平均之差，如

所示，其中|S₀|和|S₁|分别表示集合S₀和S₁中元素的个数。

若K_l选择不正确，当N比较大时，两个子集均值差S将趋近于零；若K_l选择正确，在均值差S中将会出现一个最大尖峰，通过该尖峰即可确定K_l选择正确。

相关性攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i(i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量或者电磁曲线T_i(t)，t∈{1,…,k}，其中k为曲线轨迹的采样点数。

(2)选择密钥K_l(l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)取中间值D_i,l的汉明距离或者汉明重量建立能量模型h_i,l，根据

式计算T_i和h_i,l相关性ρ_l。

(4)取相关系数最大值时对应的K_l，即为实际密钥。

动态令牌是动态口令系统的重要组成部分，是一种一定周期内生成一个动态口令的设备，每个口令各不相同，为用户提供身份认证。

动态令牌使用杂凑算法或分组算法，结合截位函数，根据用户密钥和时间产生动态口令，基于SM3密码算法的动态令牌实现过程如下所示。

(1)S＝F(K,ID)，其中F为SM3杂凑密码算法，S为SM3杂凑密码算法的输出，K是长度不少于128bit的运算密钥，ID是长度不少于128bit变化的信息。

(2)OD＝Truncate(S)，其中，Truncate()是截位函数，OD为截位函数的输出。

(3)P＝OD％(10^N)，N是令牌或其它终端显示口令的位数，P为最终显示的动态口令。

SM3密码杂凑算是杂凑值为256bit的国产商用密码算法，运算过程包括消息填充、消息扩展和迭代压缩。

消息扩展是将512比特的消息分组B按以下方法扩展生成132个字W₀,W₁,…,W₆₇,W′₀,W′₁,…,W′₆₃，消息扩展过程描述如下：

(1)将消息分组划分为16个字W₀,W₁,…,W₁₅。

(2)FOR j＝16 To 67

W_j<-P₁(W_j-16⊕W_j-9⊕(W_j-3<<<15))⊕(W_j-13<<<15)⊕W_j-6

END FOR

(3)FOR j＝0To 63

W′₁＝W_j⊕W_j+4

END FOR

其中，P₁为置换函数，为P₁(X)＝X⊕(X<<<15)⊕(X<<<23)

迭代压缩是利用压缩函数生成256bit杂凑值，压缩函数Vⁱ⁺¹＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾)(0＜＜i＜＜n-1)的计算过程描述如下：

ABCDEFGH<-Vⁱ

FOR j＝0To 63

SS1<-((A<<<12)+E+(Tj<<<j))<<<7

SS2<-SS1⊕(A<<<12)

TT1<-FF_j(A,B,C)+D+SS2+W′_j

TT2<-GG_j(E,F,G)+H+SS1+W_j

D<-C

C<-B<<<9

B<<<A

A<<<TT1

H<<<G

G<-F<<<19

F<<<E

E<-P₀(TT2)

ENDFOR

Vⁱ⁺¹＝ABCDEFGH⊕Vⁱ

在压缩函数中，FF_j(X,Y,Z)＝{X^Y^Z 0≤j≤15；(X&Y)|(X&Z)|(Y&Z)16≤j≤63}和GG_j(X,Y,Z)＝{X^Y^Z 0≤j≤15；(X&Y)|(～X&Z)16≤j≤63}，P₀(X)＝X^(X<<<9)^(X<<<17)为置换函数，T_j＝{79cc4519 0≤j≤15；7a879d8a 16≤j≤63}。

目前，尚未有选择SM3密码算法消息扩展W_j作为攻击点，选择消息扩展中置换函数的输出作为攻击的目标，针对SM3密码算法的侧信道分析攻击。

发明内容

本发明的目的是提供针对SM3密码算法消息扩展的侧信道分析攻击方法，解决置换函数P₁(X)的扩散混淆作用导致直接对SM3密码算法进行侧信道分析攻击破解密钥，存在密钥搜索空间大和攻击时间长的问题。本发明首先侧信道分析攻击出消息扩展运算中置换函数的运算结果后，将所有的攻击结果联立方程组，根据置换函数的逆置换函数，对方程组求解，即可破解出动态令牌中的密钥。从而不仅实现了针对SM3密码算法的侧信道分析攻击，而且降低了密钥的搜索空间和减少了侧信道分析攻击样本数，增强了攻击效率、灵活性、有效性和成功率。

为解决上述技术问题，本发明提供针对SM3密码算法消息扩展的侧信道分析攻击方法，具体包括以下步骤：

S1：选择消息扩展运算的结果为攻击中间变量，选择消息扩展运算中置换函数的输出作为攻击的目标，进行侧信道分析攻击；

S2：将攻击结果联立方程组，根据逆置换函数求解方程组，即可破解最终密钥。

进一步，S1具体包括以下步骤：

S11：初始化i＝16；

S12：选择SM3进行扩展运算W_i作为攻击的中间变量；

S13：根据SM3密码算法消息，进行侧信道分析攻击，如果i＝16，选择K₁＝P₁(W₀)⊕(W₃<<<7)作为攻击目标，如果i＝17，选择K₂＝P₁(W₁)作为攻击目标，如果i＝18，选择K₃＝P₁(W₂)作为攻击目标，如果i＝19，选择K₄＝P₁(W₃)⊕P₁(K₁<<<15)作为攻击目标，所述侧信道分析攻击方法采用相关性攻击方法或差分攻击方法；

S14：使i自增1，返回步骤S12继续进行攻击，直到最终攻击出K₁、K₂、K₃、K₄。

进一步，S2具体包括以下步骤：

S21：将K₁、K₂、K₃、K₄联立构建关于W₀、W₁、W₂、W₃的方程组；

S22：根据逆置换函数X＝Y⊕(Y<<<5)⊕(Y<<<13)⊕(Y<<<14)⊕(Y<<<15)⊕(Y<<<21)⊕(Y<<<23)⊕(Y<<<29)⊕(Y<<<30)，对步骤S21中的方程组求解，即可得到最终密钥字节W₀、W₁、W₂、W₃；

本发明的有益效果为：针对SM3密码算法消息扩展的侧信道分析攻击方法，创造性的引入消息扩展运算中置换函数的输出作为攻击的对象，在侧信道分析攻击时，可以选择单次攻击任意比特，经过多次攻击的方法来实施，最后将攻击结果联立方程组，根据逆置换函数求解方程组，即可破解最终密钥。本方法的密钥搜索空间可根据实际的计算能力选择任意比特，所需实验样本少，且易实现，使针对SM3密码算法消息扩展的侧信道分析攻击具有更实际的应用性，从而增强了攻击的效率、有效性和成功率。

附图说明

图1为针对SM3密码算法消息扩展的侧信道分析攻击方法的流程图；

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

针对SM3密码算法消息扩展的侧信道分析攻击方法，具体包括以下步骤：

S1：选择消息扩展运算的结果为攻击中间变量，选择消息扩展运算中置换函数的输出作为攻击的目标，进行侧信道分析攻击；

S2：将攻击结果联立方程组，根据逆置换函数求解方程组，即可破解最终密钥。

其中，S1具体包括以下步骤：

S11：初始化i＝16；

S12：选择SM3进行扩展运算W_i作为攻击的中间变量；

S13：根据SM3密码算法消息，进行侧信道分析攻击，如果i＝16，选择K₁＝P₁(W₀)⊕(W₃<<<7)作为攻击目标。如果i＝17，选择K₂＝P₁(W₁)作为攻击目标，如果i＝18，选择K₃＝P₁(W₂)作为攻击目标，如果i＝19，选择K₄＝P₁(W₃)⊕P₁(K₁<<<15)作为攻击目标，所述侧信道分析攻击方法采用相关性攻击方法或差分攻击方法；

S14：使i自增1，返回步骤S12继续进行攻击，直到最终攻击出K₁、K₂、K₃、K₄。

进一步地，S13中采用的侧信道分析攻击方法为相关性攻击方法，具体包括以下步骤：

S1311：采集N组基于SM3密码算法的动态令牌在进行动态口令运算时的能量或者电磁曲线表示为T_n(t)，t∈{1,…,k}，其中k为轨迹的采样点数。

S1312：如果i＝16，选择K₁＝P₁(W₀)⊕(W₃<<<7)作为攻击目标；如果i＝17，选择K₂＝P₁(W₁)作为攻击目标；如果i＝18，选择K₃＝P₁(W₂)作为攻击目标；如果i＝19，选择K₄＝P₁(W₃)⊕P₁(K₁<<<15)作为攻击目标。

S1313：选择要攻击的比特长度为l，l≤32，以及当前攻击的位置为j＝1，被攻击数据表示为

S1314：猜测攻击目标

的所有可能值，表示为c∈[0,2^l-1])，根据c计算SM3密码算法的消息扩展W_i，如果攻击时选择汉明重量模型，则计算W_i的汉明重量h；如果攻击时选择汉明距离模型，则计算W_i的汉明距离h。

S1315：T_n(t)和h的相关性

S1316：最大值时对应的c，即为

攻击出的数据。

S1317：计算j＝j+l，如果j+l-1≥32，取l＝32-j+1，否则l保持不变，跳转到S1314继续攻击K_i-15剩余的比特数据，直到K_i-15的所有比特被攻击完为止。

S13中采用的侧信道分析攻击方法为差分攻击方法，具体包括以下步骤：

S1321：采集N组基于SM3密码算法的动态令牌在进行动态口令运算时的能量或者电磁曲线表示为T_n(t)，t∈{1,…,k}，其中k为轨迹的采样点数。

S1322：如果i＝16，选择K₁＝P₁(W₀)⊕(W₃<<<7)作为攻击目标；如果i＝17，选择K₂＝P₁(W₁)作为攻击目标；如果i＝18，选择K₃＝P₁(W₂)作为攻击目标；如果i＝19，选择K₄＝P₁(W₃)⊕P₁(K₁<<<15)作为攻击目标。

S1323：选择要攻击的比特长度为l，l≤32，以及当前攻击的位置为j＝1，被攻击数据表示为

S1324：如果l＝1，确定差分分析攻击选择函数

如果l不为1，确定差分分析攻击选择函数为：

根据选择函数将T_n(t)分为两个子集S₀和S₁，S₀＝{T_n(t)|F＝0}，S₁＝{T_n(t)|F＝1}。

S1325：根据

计算每个采样点上两个子集的平均之差，在均值差S中出现一个最大尖峰时对应的c，即为

攻击出的数据。

S1326：计算j＝j+l，如果j+l-1≥32，取l＝32-j+1，否则l保持不变，跳转到S1314继续攻击K_i-15剩余的比特数据，直到K_i-15的所有比特被攻击完为止。

其中，S2具体包括以下步骤：

S21：将K₁、K₂、K₃、K₄联立构建关于W₀、W₁、W₂、W₃的方程组；

S22：根据逆置换函数X＝Y⊕(Y<<<5)⊕(Y<<<13)⊕(Y<<<14)⊕(Y<<<15)⊕(Y<<<21)⊕(Y<<<23)⊕(Y<<<29)⊕(Y<<<30)，对步骤S21中的方程组求解，即可得到最终密钥字节W₀、W₁、W₂、W₃；

选择SM3密码算法中扩展运算中置换函数的运算结果作为攻击目标，再讲将所有的攻击结果联立方程组，根据置换函数的逆置换函数，对方程组求解，即可破解出动态令牌中的密钥。创造性的解决了置换函数P₁(X)的扩散混淆作用导致直接对SM3密码算法进行侧信道分析攻击破解密钥，存在密钥搜索空间大的问题，降低了密钥的搜索空间和减少了侧信道分析攻击样本数，增强了攻击效率、灵活性、有效性和成功率。

Claims (1)

1.针对SM3密码算法消息扩展的侧信道分析攻击方法，其特征在于，所述方法包括以下步骤：

S1：初始化i＝16；

S2：选择SM3进行扩展运算W_i作为攻击的中间变量；

S3：根据SM3密码算法消息，进行侧信道分析攻击，如果i＝16，选择K₁＝P₁(W₀)⊕(W₃<<<7)作为攻击目标，如果i＝17，选择K₂＝P₁(W₁)作为攻击目标，如果i＝18，选择K₃＝P₁(W₂)作为攻击目标，如果i＝19，选择K₄＝P₁(W₃)⊕P₁(K₁<<<15)作为攻击目标，所述侧信道分析攻击方法采用相关性攻击方法或差分攻击方法；

S4：使i自增1，返回步骤S2继续进行攻击，直到最终攻击出K₁、K₂、K₃、K₄；

S5：将K₁、K₂、K₃、K₄联立构建关于W₀、W₁、W₂、W₃的方程组；

S6：根据逆置换函数X＝Y⊕(Y<<<5)⊕(Y<<<13)⊕(Y<<<14)⊕(Y<<<15)⊕(Y<<<21)⊕(Y<<<23)⊕(Y<<<29)⊕(Y<<<30)，对步骤S5中的方程组求解，即可得到最终密钥字节W₀、W₁、W₂、W₃。

Images