CN108199832B - 一种cloc认证加密算法抵御差分故障攻击的检测方法 - Google Patents

Abstract

本发明涉及一种CLOC认证加密算法抵御差分故障攻击的检测方法，首先用CLOC认证加密算法对某个输入消息进行处理，保证输出正确结果；其次在处理过程中导入故障，诱导其得到错误的输出结果，诱导次数为两次；通过计算两次的差分值来测评CLOC认证加密对差分故障攻击的抵御能力。如果检测到有故障发生，能够推导出故障发生的具体位置，进一步判断故障位置的有效性。本发明操作简单、实现快速且准确度高，对测评CLOC认证加密抵御差分故障攻击的能力提供了良好的分析依据。

Description

一种CLOC认证加密算法抵御差分故障攻击的检测方法

技术领域

本发明涉及信息安全技术领域，特别是涉及一种CLOC认证加密算法抵御差分故障攻击的检测方法。

背景技术

随着现代计算机技术的飞速发展，信息安全问题逐渐凸显出来，网络攻击、非法侵入等行为每年都在呈上升趋势，给人们在互联网的使用过程中带来了巨大的安全隐患。在2014年，CLOC密码作为一种新型认证加密算法被提出，它适用于嵌入式处理器，并能有效地处理短输入数据。

差分故障攻击针对对称密码的结构和轮函数的特性，结合差分分析，在算法执行时导入故障，分析其对输出的影响，最终获得关键信息。目前还没有公开的报告评估CLOC认证加密算法抵御差分故障攻击的能力，这给正在使用CLOC认证加密算法封装的产品留下了安全隐患。

发明内容

本发明所要解决的技术问题是提供一种CLOC认证加密算法抵御差分故障攻击的检测方法，能够对CLOC认证加密算法的有效性进行评估。

本发明解决其技术问题所采用的技术方案是：提供一种CLOC认证加密算法抵御差分故障攻击的检测方法，包括以下步骤：

(1)随机生成要处理的明文消息，记为M；

(2)利用CLOC算法处理明文消息M，得到一个正确的输出C、第一个错误输出C'和第二个错误输出C”；

(3)计算正确的输出C与第一个错误输出C'的差分值，并将结果记为ΔC'，计算正确的输出C与第二个错误输出C”的差分值，并将结果记为ΔC”；

(4)分析ΔC'和ΔC”，判断CLOC认证加密算法是否受到差分故障分析的影响，并推导出故障导入的位置，分析其有效性；

(5)通过认证所得到的一个T值，通过导入故障，求得密钥K。

所述步骤(2)具体包括以下子步骤：

(21)输入明文消息M，控制实验环境不受其他不相关事务的干扰，使得CLOC算法能够准确无误地进行，从而得到正确的输出结果，将其记为C；

(22)重新输入明文消息M，再次用CLOC算法对其进行加密处理，同时借助其他物理设备改变运行环境，诱导产生故障来干扰CLOC算法的处理过程，将导入两次故障后所输出的结果分别记为C'和C”。

所述步骤(22)中通过改变运行环境诱导产生故障的方法包括：改变时钟、电压、湿度、辐射、压力、以及光和涡电流。

所述步骤(4)中当ΔC₀至ΔC₁₅，ΔC'₀至ΔC'₁₅的差分值都不为0，且当ΔC₀，ΔC₁，ΔC₂，ΔC₃之间的比例关系不等于ΔC'₀，ΔC₁'，ΔC'₂，ΔC₃'之间的比例关系时，说明故障导入为正确故障，其中，ΔC_i表示故障导入后的第9+i轮产生的差分值，ΔC_i'表示第一个故障导入后的第9+i轮的正确的输出C与第一个错误输出C'的差分值。

若满足下列其中一个等式：

则故障导入在M[0,0]或M[1,1]或M[2,2]或M[3,3]；若满足下列其中一个等式：

则故障导入在M[0,1]或M[1,2]或M[2,3]或M[3,0]；若满足下列其中一个等式：

则故障导入在M[0,2]或M[1,3]或M[2,0]或M[3,1]；若满足下列其中一个等式：

则故障导入在M[0,3]或M[1,0]或M[2,1]或M[3,2]，其中，M[i,j]表示明文消息M第i行第j列的矩阵元素。

所述步骤(4)中当故障导入在第8轮之前时为无效故障；当ΔC'＝0时，说明导入故障后的值等于原先正确的值，差分值为0，导入故障没有意义；当ΔC”＝0时，说明导入故障后的值等于原先正确的值，差分值为0，导入故障没有意义；当ΔC'＝ΔC”时，说明两次故障导入的位置相同，为无效故障；当最后所得的密钥不唯一时为无效故障。

所述步骤(5)具体包括以下步骤：

(51)在认证过程中用CLOC算法处理明文消息M，随机导入一个故障；

(52)求出一个正确的值T和一个错误的值T'；

(53)再导入第二个故障，求得另一个错误的值T”；

(54)计算正确输出T与错误的T'的差分值，计算正确输出T与错误的T”的差分值；

(55)列出差分比例关系式，通过比例求得密钥K。

有益效果

由于采用了上述的技术方案，本发明与现有技术相比，具有以下的优点和积极效果：本发明首先通过CLOC算法对某一个输入消息进行处理；在处理消息阶段对执行环境实施两种控制，一种是要控制处理过程准确无误地运行，并记录其输出结果为C，另一种则是在处理同一过程中通过某些手段人为地导入故障，诱导其输出错误的结果，并记为C'和C”。通过计算C与C'的差分值和C与C”的差分值，来测评CLOC认证加密算法对差分故障攻击的抵御能力。如果检测到有故障发生，能够推导出故障发生的位置，并进一步判断故障位置的有效性。本发明的方法具有简单、快速、准确且易于实现等特点，对检测CLOC认证加密算法抵御差分故障攻击的能力提供了良好的分析依据。

附图说明

图1是本发明的流程图；

图2是CLOC认证加密算法的差分故障分析图；

图3是CLOC认证加密算法的认证分析图；

图4是实施例的实验环境示意图。

具体实施方式

下面结合具体实施例，进一步阐述本发明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

使用CLOC认证加密算法对于同一个消息使用同一个密钥进行处理时，如果实验环境(如时钟、电压、湿度、辐射、压力、光和涡电流等)不同，攻击者可以分别获得一个正确输出和两个错误输出，分别计算出正确输出跟错误输出的差分值，即

和

其中，

为异或运算，就可以推导出关键信息。攻击者可以在运行CLOC认证加密算法期间诱导故障发生，但是不知道发生故障的具体位置和具体产生的错误值。由此可知故障导入的具体位置是关键，要想从差分值中获取重要信息，则必须保证导入故障的位置是有效的，不然，导入无效故障就无法从ΔC'和ΔC”中获取到关键信息。

图1为本发明提供的检测CLOC认证加密算法抵御差分故障攻击的方法的流程图，所述的检测CLOC算法抵御差分故障攻击的方法包括如下步骤：

步骤1：随机生成要处理的消息，记为M；

步骤2：处理消息M，得到正确输出，记为C，得到错误输出，分别记为C'和C”；

步骤3：计算正确密文与错误密文的差分，结果分别记为ΔC'和ΔC”；

步骤4：分析ΔC'和ΔC”，推出导入故障的具体位置，并判断导入故障是否有；

步骤5：通过认证所得到的一个T值，通过导入故障，求得密钥K。

针对步骤2，用CLOC认证加密算法对M进行处理，实验过程中，对运行环境实施两种不同的控制，即：

(1)输入消息M，控制实验环境不受其他任何不相关事物的干扰，使得CLOC认证加密算法能够正确进行，从而得到正确的输出结果，将其记为C；

(2)重新输入消息，再次用CLOC认证加密算法对其进行处理，同时借助其他物理设备改变运行环境，诱导产生故障来干扰CLOC认证加密算法的处理过程，将输出结果记为C'；再执行一次，将输出结果记为C”。

其中，步骤2中诱导故障产生的方法包括：改变时钟、电压、湿度、辐射、压力、光和涡电流等；

针对步骤3，计算差分

和

其中

代表异或运算，ΔC'和ΔC”都为128比特，分别代表第九轮两次输出结果的差分。

针对步骤4，对ΔC的差分分析及确定故障位置的原理如下：

CLOC是一种使用相关数据进行认证加密的分组密码的操作模式，也称为认证密码。CLOC的设计旨在保证可靠的安全，超出块密码的开销，预计算时间复杂度和内存要求。CLOC有效地处理短输入数据，适用于嵌入式处理器。CLOC的分组长度为128比特，加密和解密都可以在线方式进行处理。

通过对算法进行故障导入，从而推出密钥K。如图2所示，在第八轮中导入一个故障之后，在第九轮会产生对应的差分比例，因为第9轮加密的最后输出的等于第10轮解密完毕后的状态，通过求得的ΔC'之间的比例关系来推出故障导入的具体位置并且确定密钥的候选值，把这些候选值放入L中，L为导入第一个故障之后所推出的密钥候选值集合。采用相同的方法导入第二个故障，同理，可找到满足ΔC”比例的对应密钥候选值，把这些候选值放入S中，S为导入第二个故障之后所推出的密钥候选值集合，最后让S和L作交运算，得到唯一的密钥，即为正确密钥K。

通过分析，所得差分结果共有以下4种差分结果，如表1、表2、表3和表4所示

2β<sub>1</sub>	β<sub>4</sub>	β<sub>3</sub>	3β<sub>2</sub>
				β<sub>1</sub>	β<sub>4</sub>	3β<sub>3</sub>	2β<sub>2</sub>
β<sub>1</sub>	3β<sub>4</sub>	2β<sub>3</sub>	β<sub>2</sub>
				3β<sub>1</sub>	2β<sub>4</sub>	β<sub>3</sub>	β<sub>2</sub>

表1第一种差分比例情况

3β<sub>2</sub>	2β<sub>1</sub>	β<sub>4</sub>	β<sub>3</sub>
				2β<sub>2</sub>	β<sub>1</sub>	β<sub>4</sub>	3β<sub>3</sub>
β<sub>2</sub>	β<sub>1</sub>	3β<sub>4</sub>	2β<sub>3</sub>
				β<sub>2</sub>	3β<sub>1</sub>	2β<sub>4</sub>	β<sub>3</sub>

表2第二种差分比例情况

表3第三种差分比例情况

β<sub>4</sub>	β<sub>3</sub>	3β<sub>2</sub>	2β<sub>1</sub>
				β<sub>4</sub>	3β<sub>3</sub>	2β<sub>2</sub>	β<sub>1</sub>
3β<sub>4</sub>	2β<sub>3</sub>	β<sub>2</sub>	β<sub>1</sub>
				2β<sub>4</sub>	β<sub>3</sub>	β<sub>2</sub>	3β<sub>1</sub>

表4第四种差分比例情况

其中，β是第9轮一开始的故障值，表中的差分结果为第9轮加密后输出的差分结果，同时也是第10轮解密完毕后的状态。通过推算，得到以下结论：

若差分比例如表1所示，则说明故障导入位置为M[0,0]或M[1,1]或M[2,2]或M[3,3]；

若差分比例如表2所示，则说明故障导入位置为M[0,1]或M[1,2]或M[2,3]或M[3,0]；

若差分比例如表3所示，则说明故障导入位置为M[0,2]或M[1,3]或M[2,0]或M[3,1]；

若差分比例如表4所示，则说明故障导入位置为M[0,3]或M[1,0]或M[2,1]或M[3,2]。

以表1中的差分结果为例，则导入第一个故障之后有以下差分等式：

其中，C与C'是已知的，所以可以通过穷举的方法，可求得满足上述等式的K值，将所有候选值放入L中，其中K_i表示密钥K的第i个字节。同理，导入第二个故障后对应的差分情况为上述4个表中的其中一个，根据差分比例可推得密钥候选值，将其放入S中；若不通过比例关系式，通过穷举取得K值的可能结果有2¹²⁸种，现在根据差分关系式，每导入一个故障可以得出满足一个等式的密钥有2⁸种可能结果，共有4个等式，所以共有2¹⁰种可能。

若推出的密钥是正确的，那他应该满足两次故障导入之后的差分比例关系，所以，当S与L作交集之后，应该有一个正确的密钥；若作交集之后为空或者不止一个密钥，则导入的故障为无效故障。

对故障分析的有效性，具体分析如下：

①有效故障：

当ΔC₀至ΔC₁₅，ΔC'₀至ΔC'₁₅差分值都不为0，且当ΔC₀，ΔC₁，ΔC₂，ΔC₃之间的比例关系不等于ΔC'₀，ΔC₁'，ΔC'₂，ΔC₃'之间的比例关系时，说明故障导入为正确故障。

1)若满足下列其中一个等式：

2ΔC₀＝ΔC₁＝ΔC₂＝3ΔC₃

ΔC₄＝ΔC₅＝3ΔC₆＝2ΔC₇

ΔC₈＝3ΔC₉＝2ΔC₁₀＝ΔC₁₁

3ΔC₁₂＝2ΔC₁₃＝ΔC₁₄＝ΔC₁₅

则可以推出故障导入在M[0,0]或M[1,1]或M[2,2]或M[3,3]。

2)若满足下列其中一个等式：

3ΔC₀＝2ΔC₁＝ΔC₂＝ΔC₃

2ΔC₄＝ΔC₅＝ΔC₆＝3ΔC₇

ΔC₈＝ΔC₉＝3ΔC₁₀＝2ΔC₁₁

ΔC₁₂＝3ΔC₁₃＝2ΔC₁₄＝ΔC₁₅

则可推出故障导入在M[0,1]或M[1,2]或M[2,3]或M[3,0]。

3)若满足下列其中一个等式：

ΔC₀＝3ΔC₁＝2ΔC₂＝ΔC₃

3ΔC₄＝2ΔC₅＝ΔC₆＝ΔC₇

2ΔC₈＝ΔC₉＝ΔC₁₀＝3ΔC₁₁

ΔC₁₂＝ΔC₁₃＝3ΔC₁₄＝2ΔC₁₅

则可推出故障导入在M[0,2]或M[1,3]或M[2,0]或M[3,1]。

4)若满足下列其中一个等式：

ΔC₀＝ΔC₁＝3ΔC₂＝2ΔC₃

ΔC₄＝3ΔC₅＝2ΔC₆＝ΔC₇

3ΔC₈＝2ΔC₉＝ΔC₁₀＝ΔC₁₁

2ΔC₁₂＝ΔC₁₃＝ΔC₁₄＝3ΔC₁₅

则可推出故障导入在M[0,3]或M[1,0]或M[2,1]或M[3,2]。

其中，M[i,j]表示明文消息M第i行第j列的矩阵元素

②无效故障：

1)当故障导入在第8轮之前时为无效故障。

2)当ΔC'＝0时，说明导入故障后的值等于原先正确的值，差分值为0，导入故障没有意义。

3)当ΔC”＝0时，说明导入故障后的值等于原先正确的值，差分值为0，导入故障没有意义。

4)当ΔC'＝ΔC”时，说明两次故障导入的位置相同，为无效故障。

5)当最后所得的密钥不唯一时为无效故障。

针对上述执行步骤，选择实验环境如图4所示，其中计算机用来产生CLOC的输入消息M以及分析输出结果；封装有CLOC算法的设备用来处理输入的消息；产生故障的设备用来改变实验执行环境，目的是干扰输入消息的处理过程，从而实现导入故障功能，产生错误的输出结果。

针对步骤5，认证过程中，对ΔT的差分分析及确定故障位置的原理与步骤4的过程类似，故障差分比例关系式相同，只是关系式的个数不同。因为T取的是前τ位，若τ小于等于32bit，那么CLOC推不出密钥K。CLOC算法中τ∈{64,72,80,88,96,104,128}，显然是可以推出密钥的。图3为CLOC认证加密算法的认证分析图，图中的V表示随机数，在C[m]≠0的情况下，若|C[m]|＝n，则执行f₁，否则执行f₂；在C[m]＝0的情况下，直接通过g1函数就可求出T；其中图中的函数的含义为：

其中，

利用上述分析方法，本发明在Intel(R)Core(TM)i3-2350M CPU 2.30GHz 4GB内存的计算机上，在Eclipse开发工具下采用Java语言编程来模拟故障导入和消息处理过程，重复执行3000次，实验结果表明上述检测方法准确无误。该方法为评估CLOC认证加密算法的安全性提供了充分的理论依据，而且此方法操作简单，计算结果准确。

Claims (6)

1.一种CLOC认证加密算法抵御差分故障攻击的检测方法，其特征在于，包括以下步骤：

(1)随机生成要处理的明文消息，记为M；

(2)利用CLOC算法处理明文消息M，得到一个正确的输出C、第一个错误输出C'和第二个错误输出C”；

(3)计算正确的输出C与第一个错误输出C'的差分值，并将结果记为ΔC'，计算正确的输出C与第二个错误输出C”的差分值，并将结果记为ΔC”；

(4)分析ΔC'和ΔC”，判断CLOC认证加密算法是否受到差分故障分析的影响，并推导出故障导入的位置，分析其有效性；具体为：当ΔC₀至ΔC₁₅，ΔC'₀至ΔC'₁₅的差分值都不为0，且当ΔC₀，ΔC₁，ΔC₂，ΔC₃之间的比例关系不等于ΔC'₀，ΔC'₁，ΔC'₂，ΔC'₃之间的比例关系时，说明故障导入为正确故障，其中，ΔC_i表示故障导入后的第9+i轮产生的差分值，ΔC'_i表示第一个故障导入后的第9+i轮的正确的输出C与第一个错误输出C'的差分值；

(5)通过认证所得到的一个T值，通过导入故障，求得密钥K。

2.根据权利要求1所述的CLOC认证加密算法抵御差分故障攻击的检测方法，其特征在于，所述步骤(2)具体包括以下子步骤：

(21)输入明文消息M，控制实验环境不受其他不相关事务的干扰，使得CLOC算法能够准确无误地进行，从而得到正确的输出结果，将其记为C；

(22)重新输入明文消息M，再次用CLOC算法对其进行加密处理，同时借助其他物理设备改变运行环境，诱导产生故障来干扰CLOC算法的处理过程，将导入两次故障后所输出的结果分别记为C'和C”。

3.根据权利要求2所述的CLOC认证加密算法抵御差分故障攻击的检测方法，其特征在于，所述步骤(22)中通过改变运行环境诱导产生故障的方法包括：改变时钟、电压、湿度、辐射、压力、以及光和涡电流。

4.根据权利要求1所述的CLOC认证加密算法抵御差分故障攻击的检测方法，其特征在于，若满足下列其中一个等式：

则故障导入在M[0,0]或M[1,1]或M[2,2]或M[3,3]；若满足下列其中一个等式：

则故障导入在M[0,1]或M[1,2]或M[2,3]或M[3,0]；若满足下列其中一个等式：

则故障导入在M[0,2]或M[1,3]或M[2,0]或M[3,1]；若满足下列其中一个等式：

则故障导入在M[0,3]或M[1,0]或M[2,1]或M[3,2]，其中，M[i,j]表示明文消息M第i行第j列的矩阵元素。

5.根据权利要求1所述的CLOC认证加密算法抵御差分故障攻击的检测方法，其特征在于，所述步骤(4)中当故障导入在第8轮之前时为无效故障；当ΔC'＝0时，说明导入故障后的值等于原先正确的值，差分值为0，导入故障没有意义；当ΔC”＝0时，说明导入故障后的值等于原先正确的值，差分值为0，导入故障没有意义；当ΔC'＝ΔC”时，说明两次故障导入的位置相同，为无效故障；当最后所得的密钥不唯一时为无效故障。

6.根据权利要求1所述的CLOC认证加密算法抵御差分故障攻击的检测方法，其特征在于，所述步骤(5)具体包括以下步骤：

(51)在认证过程中用CLOC算法处理明文消息M，随机导入一个故障；

(52)求出一个正确的值T和一个错误的值T'；

(53)再导入第二个故障，求得另一个错误的值T”；

(54)计算正确输出T与错误的T'的差分值，计算正确输出T与错误的T”的差分值；

(55)列出差分比例关系式，通过比例求得密钥K。

Images