专利名称:一种密码器件上防御零值功耗攻击的方法
技术领域:
本发明涉及一种密码器件上防御差分功耗攻击的方法,尤其是涉及一种密码器件上防御零值功耗攻击的方法。
背景技术:
差分功耗攻击(Differential Power Attack, DPA)是一种高效、低成本的密码分析方法,对密码器件安全构成重大威胁[1_4]。为防御差分功耗攻击,近年来人们采用乘法性屏蔽技术[5],在加密过程中引入与实际处理数据不相关的另一个变量,从而使得密码器件泄漏的功耗信息与实际处理数据相关性大大降低,以牺牲芯片开销和速度为代价,实现防御差分功耗攻击的目的。然而,以往改进的高级加密标准(Advanced EncryptionStandard,AES)并不能抵御零值功耗攻击[6],另外随着具有认证和保密能力的便携式设备 的普遍应用,芯片面积和电路速度越来越成为安全芯片设计的挑战。因此,高速、低芯片开销的抗零值功耗攻击电路单元设计已受到学术界的普遍重视。字节代换(SubByte)模块是AES中唯一的非线性转换结构,其实现方式决定了 AES协处理器诸如尺寸、速度和功耗方面的性能,成为差分功耗攻击和零值功耗攻击的主要对象m,提高SubByte模块防护密码分析的能力对AES的安全性具有重要意义。
图1是采用乘法性屏蔽技术改进了 GF(256)域求逆算法示意图,进而依此提出一种改进型AES算法[5]。然而实践证明GF(256)域上乘法性屏蔽求逆算法存在安全漏洞,不能防御零值功耗攻击[6]。零值功耗攻击为一种利用全零字节经乘法性屏蔽模块运算产生的功耗与其他输入条件下的功耗存在显著差异的特点,进而采用差分功耗攻击的策略分析出加密算法密钥[9]的密码分析技术,以图1所示GF(256)域乘法性屏蔽求逆算法结构为例,输入字节/ + 1 =,其中P和k为AES每一轮加密算法对应的输入和密钥字节,X为随机数,若P=k,那么有P = k =i> in = O =i> (in + X) *T + X * Y = O {in * Yy1 = O(I)由此得到的功耗与p#k条件下功耗有明显差异,攻击者仅需使用差分功耗攻击的策略从所有可能明文中找出满足P=k的明文,即可分析出加密算法密钥中一个字节,进而破解算法的全部密钥。为了防御零值功耗攻击,Oswald等人结合加法性和乘法性屏蔽技术,提出了一种新型GF (256)域上求逆算法M。具体过程如下设GF(256)域上的数据y可用GF(16)域上的线性多项式ahx+ai表示,其中ah,B1 e GF (16),为线性多项式的系数,则y—1= (ahx+ax) 1=ah' x+a/(2)其中ah’=ahXd’⑶a/ = (ah+ax) X d'(4)d= (ah X P0) + (ahX S1) +S1(5)
d’=(T(6)其中Ptl根据从GF(256)域映射到GF(16)域生成多项式的不同而选取。在加法性屏蔽GF (256)域求逆算法中,操作数是y+mask,其中mask为屏蔽因子。操作数映射到GF(16)域上可表示为(ah+mjx+k+n^),其中mh和Iii1为mask在GF(16)域线性多项式形式的系数。该GF (256)域加法性屏蔽求逆算法过程如下所示((ah+mh) x+ (afm!)) ^1= (ah,+mh) x+ (a/ +Hi1)(7)a h+mh= (ah+mh) (d,+Hi1) + (d,+Iii1) mh+ (ah+mh) Hi^mh X Hi^mh (8)a’ !+Iii1= (ah X d’ +mh) + (d' +mh) (a^m^ + (d' +mh) Hi1+ (a^m^ 1 +!] X1 +! +! (9) d+mh= (ah+mh)2 X p0+mh2 X p0+ (ah+mh) (afn^)+ (afm)2+(ah+mh) Iii1+(afm) 1 +!] X1 +! 2+! (10)其中C^m1=Cfkm1,可以通过GF(16)域加法性屏蔽求逆算法得到,计算过程与式(8广式(10)类同,唯一区别在于GF(4)域的求逆算法等价于该域上的平方运算,即(d^m) ^1= (d^m) 2=d12+m2,其中 Cl1, m e GF ⑷。但是由于上述GF(256)域上求逆算法需要对运算过程中所有数据进行加法性屏蔽,因而其计算复杂度巨大。由式(8广式(10)可知,基于GF(256)域求逆算法的计算复杂度主要集中在GF (16)域上的乘法运算上,文献[10]提出的改进算法通过减少GF (16)域上乘法运算的次数,以增加一个平方运算的代价,达到减小面积和计算复杂度的目的,然而效果并不明显。参考文献[I]陈开颜,张鹏,邓高明,等.物理可观测下DES的安全性研究[J].电子学报,2009,37(11) :2389-2395.Chen K Y, Zhang P. Research on the DES Physical Observable Security[J].Acta Electronica Sinica, 2009, 37(11):2389-2395.[2]臧玉亮,韩文报.线性反馈移位寄存器的差分能量攻击[J].电子与信息学报,2009,31(10) :2406-2410.Zang Yu-1iang, Han ffen-bao. Differential Power Attack on LinerFeedback Shift Register[J]. Journal ofElectronics and Information Technology,2009,31(10):2406-2410.[3]Alioto M, Poli M, Rocchi S. A General Power Model of Differential PowerAnalysis Attacks to Static Logic Circuits[J].1EEE Transactions on Very LargeScale Integration(VLSI)Systems, 2010,18(5):711-724.[4] Wu K, Li H, Yu F. Retrieving Lost Efficiency of ScalarMultiplications for Resisting against Side-Channel Attacks[J]. Journal ofcomputers, 2010, 5(12):1878-1884. [5]Akkar M L, Giraud C. An Implementation of DES and AES, Secure AgainstSome Attacks[C]. Proceed of the 3rd International Workshop on CryptographicHardware and Embedded Systems, 2001:309-318.
[6]Golic J D,Tymen C. Multiplicative Masking and Power Analysis ofAES[C]. Proceed of the 4th International Workshop on Cryptographic Hardware andEmbedded Systems,2003:198-212.[7]Ors S B, Gurkaynak F, Oswald E,et al. Power analysis attack on an ASICAES implementation[J].1EEE Digital Object Identifier,2004,2:546-552.[8]Oswald E,Mangard S, Pramstaller. A Side channel Analysis ResistantDescription of the AES S-Box[C]. Proceed of the 12th Fast Software EncryptionWorkshop, 2005:413-423.[9]赵佳,曾晓洋,韩军,等.简化的抗零值功耗分析的AES算法及其VLSI实现[J] 计算机工程,2007,33 (16) : 220-222,233. Zhao J, Zeng X Y,Han J, et al. Simplified AES Algorithm of Resistant toZero-value Power Analysis and Its VLSI Implementation[J]. Computer Engineering,2007,33(16) :220-222, 233.[10]Trichina E,Seta D,Germani L. Simplified Adaptive MultiplicativeMasking for AES[C]. Proceed of the 4th International Workshop on CryptographicHardware and Embedded Systems, 2003:187-197.
发明内容
本发明所要解决的技术问题是提供一种满足所有秘密数据均被屏蔽的前提下,整个密码器件的芯片开销显著减小,系统实现复杂度明显降低本发明解决上述技术问题所釆用的技术方案为一种密码器件上防御零值功耗攻击的方法,其特征在于将字节代换模块中的GF (28)有限域上的求逆运算用GF (28)域加法性屏蔽求逆运算替代,具体过程如下首先在GF (28)有限域上进行求逆运算,用上标-1表示求逆运算,具体为将GF(28)域上的信号数据 y 定义为{y7, y6, y5, y4, y3, Y2, Yi, yQ},其中 (0 彡 i 彡 7)为十进制的I转换为8位二进制对应第i位的系数;将GF (24)域上的信号数据a定义为{a3, a2, a” aQ},其中a! (0彡i彡3)为十进制的a转换为4位二进制时对应第i位的系数;将GF(28)域上的信号数据y用GF(24)域上的变量x表示,记为线性多项式ahx+ai,其中ah,B1 G 6 (24),为7在6 (24)域上的线性多项式的系数,则求逆运算y-1= (ahx+ax) _1=ah' x+a/ ,其中ah,=ahXd,, a/ = (ah+ax) Xd,, d= (ah2Xp0) + (ahX ax) +ax2,d’ =Cf1,式中Ptl是常数,根据从GF(28)域映射到GF(24)域生成的多项式计算得到,通过以下转换公式将G(28)域上的信号数据映射到GF(24)域上
权利要求
1.一种密码器件上防御零值功耗攻击的方法,其特征在于将字节代换模块中的GF(28) 有限域上的求逆运算用GF(28)域加法性屏蔽求逆运算替代,具体过程如下首先在GF(28)有限域上进行求逆运算,用上标-1表示求逆运算,具体为将GF(28)域上的信号数据y定义为{y7, y6, y5, y4, y3, y2, h, yQ},其中yi (0≤i≤7)为 十进制的1转换为8位二进制对应第i位的系数;将GF(24)域上的信号数据a定义为{a3, a2, a1; a。},其中ai (0≤i≤3)为十进制的a 转换为4位二进制时对应第i位的系数;将GF (28)域上的信号数据y用GF (24)域上的变量x表示,记为线性多项式 ahx+ai,其中ah,ax G GF (24),为y在GF (24)域上的线性多项式的系数,则求逆运算 y_1= (ahx+ax) _1=ah' x+a/ ,其中ah,=ahXd,, a/ = (ah+ax) Xd,, d= (ah2Xp0) + (ahX ax) +ax2, d’ =(!'式中P(l是常数,根据从GF(28)域映射到GF(24)域生成的多项式计算得到,通过以下 转换公式将G(28)域上的信号数据映射到GF(24)域上
2.如权利要求1所述的一种密码器件上防御零值功耗攻击的方法,其特征在于在 GF(24)域上加法性屏蔽求逆过程为将GF (24)域内d’ +mi映射到GF (22)域上,对应的线性多项式为V+bp其中bh, bx G GF(22);同时将GF(24)域内ml映射到GF(22)域上,同理可得的线性多项式形式为 dhX+屯,其中 dh,di G GF(22),((bh+dh) x+ (bi+di)) _1= (bh,+dh) x+ (b/ +c),其中 b’ h+dh= (bh+dh) (d/ +dh) + (d/ +dh) mh+ (bh+dh) dh+dh2+dh, b’:(bh+dh) (d/ +dh) + (d/ +d)(t+dh) + (t^+dh) (bh+dh) dh+d” dx+d^ (bh+dh)2 X P+dh2 X p:+ (bh+c)(bx+dj + (t^+dh) 2+ (bh+dh) dh+ (bx+dj 其中dX。
全文摘要
本发明公开了一种密码器件上防御零值功耗攻击的方法,特点是将字节代换模块中的GF(28)有限域上的求逆运算用GF(28)域加法性屏蔽求逆运算替代,具体过程如下先在GF(28)有限域上进行求逆运算,然后进行GF(28)域加法性屏蔽求逆运算,在分析传统改进型高级加密标准的基础上,采用关键模块复用方法,提出一种更加简单的GF(256)域加法性屏蔽求逆算法,优点在于本发明的方法在保持良好抗零值功耗攻击性能的同时,面积开销和电路速度更为合理,可广泛应用于协处理器等对面积和速度要求苛刻同时对保密性要求较高的领域。
文档编号H04L9/06GK103001762SQ201210486450
公开日2013年3月27日 申请日期2012年11月25日 优先权日2012年11月25日
发明者汪鹏君, 郝李鹏 申请人:宁波大学