CN104811295A - 一种对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法 - Google Patents

Abstract

本发明公开了一种对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，该方法包括：(1)建立能耗矩阵E并进行预处理获得能耗矩阵E’；(2)选择左右两边S盒输出异或值S_XorOut_r作为攻击点获得中间矩阵V或分别用汉明重量、单比特确定DPA区分函数D；(3)计算仿真能耗矩阵H及两个平均能耗矩阵D₀和D₁；(4)计算H与E′之间的相关系数矩阵R，选取最大r_p，q对应的猜测值获得正确秘钥；或通过ΔD＝D₁-D₀，选择最大Δd_pq对应的猜测值确定正确的秘钥；(5)依次进行5轮运算，反复(2)-(4)的步即可获得所有秘钥信息。本申请的技术方案解决了当前对具有掩码防护措施的ZUC密码算法没有具体的攻击方法的缺陷，创新地提出了新的二阶能量分析方法，开拓了ZUC密码算法攻击局面，扩展了侧信道能量分析手段。

Description

一种对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法

技术领域

本发明属于密码算法分析检测技术领域，涉及在密码算法实现、侧信道能量分析、密码模块检测过程中，针对具备掩码防护措施的祖冲之序列密码算法(ZUC)进行侧信道能量分析，获取受保护的密钥k，即，对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法。

背景技术

随着信息技术的发展，各种密码算法正被广泛地应用于经济、军事、行政等重要部门，保护信息的安全性。鉴于密码算法的重要性，密码算法软硬件实现(密码模块)的分析研究对保护信息安全具有重要的意义。近年来，多种对密码模块的攻击已广为人知，所有这些攻击的目的都是为了获取密码模块中的密钥。通常的攻击方式可分为侵入式攻击、半侵入式攻击和非侵入式攻击。近年来，由于非侵入式攻击中的侧信道分析实施方便、相对成本低廉而被广泛使用。侧信道分析可以细分为计时分析、能量分析和电磁分析。其中的侧信道能量分析是众多分析手段中最常用的方法之一，它突破了传统密码算法的分析模式，能力强大，实施相对容易。侧信道能量分析利用了密码模块能量消耗与数据运算和执行之间的相关性，基于密码算法实现的能量泄露函数建立能量模型，使用统计方法，猜测和验证密码模块使用的受保护密钥，几乎可被用于破解所有的对称密码和公钥密码。破解时，仅需要数十条能量迹就可以在几分钟内迅速地破解没有防御措施的大多数智能卡。侧信道能量分析方法一般包括，简单能量分析(SPA)、差分能量分析(DPA)、相关能量分析(CPA)和高阶差分能量分析(HODPA)。

直接利用能量迹各尖峰形状不同这一特性的攻击称为简单能量分析攻击SPA(Simple Power Analysis)；根据密码设备的能量消耗依赖于算法执行过程中所处理的中间值分别为0和1时，所对应的平均能量迹之间的差异进行密钥恢复的攻击方法称为差分能量分析攻击DPA(Differential Power Analysis)；若密码分析者利用假设能量消耗和真正能量消耗之间的线性相关性进行密钥恢复，则为相关能量分析攻击CPA(Correlation Power Analysis)；在上述DPA分析中，如果仅利用了一个中间值，称为一阶DPA攻击，若是利用算法运算中的某种联合泄漏，该联合泄漏基于出现在密码设备中的多个中间值，则称相应的DPA攻击为高阶DPA分析。

鉴于当前对密码算法进行功耗分析攻击技术的不断发展，为应对能量分析带来的挑战，针对功耗分析攻击的防御技术也不断进步。抗功耗分析的防御技术包括各种隐藏技术和掩码技术，任何防御技术的目标都是使密码设备的能量消耗不依赖于设备所执行的密码算法中间值。

隐藏技术是通过能量消耗随机化，使所有操作具有相同能量消耗等方式切断被处理的中间值与设备能量消耗之间的关系。采用隐藏技术的密码设备与未加防护的设备执行相同的操作，但无法从中获取可用信息。

掩码技术是采用随机化密码设备所处理的中间值，对算法实现加入随机化掩码。其可以在算法级实现，无需改变密码设备的能量消耗特性，使设备的能量消耗与所执行的密码算法的中间值之间无依赖关系。

在掩码防御方案中，算法运算的中间值v都基于一个称为掩码的随机数m进行变换，即v_m＝v*m。掩码产生于密码设备内部，并且在每一次执行过程中各不相同，因此攻击者不能获知掩码。运算*通常根据密码算法所使用的操作进行定义。因此，运算*多为布尔异或运算、模加运算或模乘运算。在模加运算和模乘运算的情况下，模数根据密码算法进行选择。通常，掩码直接应用于明文或密钥。为了能够处理掩码型中间值以及对掩码进行跟踪，需要对算法进行修改。加密的结果也是掩码型的，为了获得密文，需要在计算结束时消除掩码。要保持每一个中间值在计算过程中始终处于被掩码状态，这一点非常重要。即使某一个中间值是基于它之前的中间值计算得到，保持上述性质仍然很重要。由于上述原因，对不同的中间值，往往需要分别采用不同的掩码。处于对实现性能的考虑，对每一个中间值采用一个新掩码并不合算。因此，为了获得合适的性能，需要仔细选择掩码的数量。

在算法一个执行路径中所叠加的掩码数量，称为算法掩码防御方案的阶数，对相应阶数的掩码进行能量分析的方法，称为高阶能量能量分析。一阶掩码可以防御一阶的能量分析，但不能防御二阶能量分析；二阶掩码可以防御二阶能量分析，但不能防御三阶能量分析。通常考虑到防御和分析的指数递增运算量增加，以及算法结构上可利用的能量泄露的点的限制，通常分组算法实现只能做到二阶能量分析，相应的防御措施也一般只做到二阶掩码防御即可。

下面对DPA和CPA的原理进行简单介绍。DPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹，这里的能量迹是指一次密码操作过程中采集到的能量消耗测量向量；对每一个猜测密钥K，产生相应的中间值(攻击对象)，根据中间值确定选择函数；通过选择函数将能量迹集划分为两个子集；分别对两个子集对应的能量消耗取平均，并对两个平均能量消耗值求差，该均值差为选择函数对应的中间值对能量迹的影响效果。根据统计理论，若K猜测不正确，当能量迹的个数N趋近无穷大时，两子集的均值差将趋近于零；若K猜测正确时，在能量迹中的某个样点，将会出现一个均值差的最大尖峰(绝对值最大值)，通过最大尖峰可确定正确的密钥。CPA原理是：对于N组明文/密文数据的加/解密运算，获取N条能量迹；对每一个猜测密钥K，产生相应的中间值(攻击对象)；根据中间值建立能量模型；通过能量模型将中间值映射为仿真能量消耗；计算仿真能量消耗与能量迹之间的线性相关系数，范围在[-1，1]之间；选取相关系数中绝对值的最大值，理论上为1，但是由于采集能量迹过程中不可避免存在噪声干扰，最大值小于1，该相关系数最大值对应的猜测密钥即为正确密钥。

二阶DPA/CPA分析、除了可能需要对能量迹进行预处理，利用中间值的个数不一样，原理和方法与一阶侧信道能量分析的完全一致。一阶侧信道分析仅利用算法结构中的一个中间值，相应地，二阶侧信道分析利用密码设备所处理的两个中间值相关的联合泄漏。

二阶能量分析的步骤一般包括如下：选择两个中间值u和v，因采用了掩码技术，仅是掩码型中间值知出现在设备操作中；记录能量迹，并对能量迹进行预处理；计算假设中间值，它是u和v的组合，对于布尔掩码的攻击，该组合通常为异或，即根据某种能量模型，将w映射为假设能量值h；对假设能量消耗和预处理能量迹进行比较(相关运算)，正确的密钥猜测对应相关系数的最大值。其中，关键的两点为选择合适的两个中间值和对能量迹进行预处理。

预处理即是对能量迹中相关两点a、b进行组合形成新的能量消耗值。通常并不知道计算掩码性中间值的准确时间，所以只能猜测能量迹的一个时间间隔I＝t_r+1，…，t_r+1，期间可能包含了v_m、u_m的计算，因此需要将预处理函数pr e()应用于该时间间隔内的所有两点组合；一般情况下预处理函数是对称的，预处理后的能量迹的长度为l·(l-1)/2；预处理后的能量迹表示为(pre(t_r+1，t_r+2)，pre(t_r+1，t_r+3)，…，pre(t_r+2，t_r+3)，…，pre(t_r+l-1，t_r+l))；常用的预处理函数一般为：pre(t_x，t_y)＝t_x·t_y(乘法)、pre(t_x，t_y)＝(t_x+t_y)²、pre(t_x，t_y)＝|t_x-t_y|(减法绝对值)、(归一化)、pre(t_x，t_y)＝t_x+t_y、pre(t_x，t_y)＝t_x-t_y等。预处理函数的选取将直接影响攻击的结果。

祖冲之算法集(ZUC算法)是由我国学者自主设计的加密和完整性算法，已经被国际组织3GPP推荐为4G无线通信的第三套国际加密和完整性标准的侯选算法。下面对该算法进行简单介绍：祖冲之算法逻辑上分为上中下三层，如图1所示，上层是16级线性反馈移位寄存器(LFSR)；中层是比特重组(BR)；下层是非线性函数F。(1)LFSR包括16个31比特寄存器单元变量s₀，s₁，L，s₁₅。LFSR的运行模式有2种：初始化模式和工作模式。在初始化模式下，LFSR接收一个31比特字u。u是由非线性函数F的32比特输出W通过舍弃最低位比特得到，即u＝W＞＞1，在初始化模式下，LFSR计算过程如为：

LFSRWithInitialisationMode(u)

{

(1)v＝2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+220s₄+(1+2⁸)s₀mod(2³¹-1)；

(2)s₁₆＝(v+u)mod(2³¹-1)；

(3)if(s₁₆＝0)thens₁₆＝2³¹-1；

(4)(s₁，s₂，L，s₁₅，s₁₆)→(s₀，s₁，L，s₁₄，s₁₅)；

}

在工作模式下，LFSR不接收任何输入。其计算过程如下：

LFSRWithInitialisationMode()

{

(1)s₁₆＝2¹⁵s₁₅+2¹⁷s₁₃+2²¹s₁₀+220s₄+(1+2⁸)s₀mod(2³¹-1)；

(2)if(s₁₆＝0)thens₁₆＝2³¹-1；

(3)(s₁，s₂，L，s₁₅，s₁₆)→(s₀，s₁，L，s₁₄，s₁₅)；

}

(2)比特重组(BR)从LFSR的寄存器单元中抽取128比特组成4个32比特字X₀、X₁、X₂、X₃。BR的具体计算过程如下：

Bit Reconstruction()

{

(1)X₀＝s_15H||s_14L

(2)X₁＝s_11L||s_9H

(3)X₂＝s_7L||s_5H

(4)X₃＝s_2L||s_0H

}

(3)非线性函数F包含2个32比特记忆单元变量R₁和R₂。F的输入为3个32比特字X₀、X₁、X₂，输出为一个32比特字W。F的计算过程如下：

F(X0，X1，X2)

{

       $\left(1\right)---W=(X_0\⊕R_1){+R}_2$

(2)W₁＝R₁+X₁

       $\left(3\right){---W}_2=R_2\⊕X_2$

(4)R₁＝S(L₁(W_1L||W_2H))

(5)R₂＝S(L₂(W_2L||W_1H))

}

其中S为32比特的S盒变换，32比特S盒由4个小的8×8的S盒并置而成，即S＝(S₀，S₁，S₂，S₃)，其中S₀＝S₂，S₁＝S₃。S₀主要基于轻量级结构构造思想，采用小S盒构建大S盒的方法设计。具体而言，S₀内部使用了3个4×4的小S盒P₁、P₂、P₃组合而成，如图2所示，其中m＝5。

S₁盒的设计基于有限域GF(2⁸)上的非线性逆函数x^-1和线性仿射变换设计，与AES的S盒设计类似。底层有限域GF(2⁸)采用本原多项式x⁸+x⁷+x³+x+1定义，S₁盒的数学表达式为：其中矩阵M满足：

       $M=\left(\begin{array}{cccccccc}0& 1& 1& 1& 1& 0& 0& 1\\ 1& 0& 1& 1& 1& 1& 0& 0\\ 1& 1& 0& 1& 0& 1& 1& 0\\ 1& 1& 1& 0& 0& 0& 1& 1\\ 0& 1& 1& 1& 1& 1& 1& 0\\ 1& C& 1& 1& 0& 1& 1& 1\\ 1& 1& 0& 1& 1& 0& 1& 1\\ 1& 1& 1& 0& 1& 1& 0& 1\end{array}\right)$

设S盒S的32比特输入X和32比特输出Y分别为：

X＝x₀||x₁||x₂||x₃

Y＝y₀||y₁||y₂||y₃

其中x₁和y₁均为8比特字节，i＝0，1，2，3。则有y₁＝S_i(x_j)；L₁和L₂为32比特线性变换，定义如下：

       $L_1\left(X\right)=X\&CirclePlus;(X<<<2)\&CirclePlus;(X<<<10)\&CirclePlus;(X<<<18)\&CirclePlus;(X<<<24)$

       $L_2\left(X\right)=X\&CirclePlus;(X<<<8)\&CirclePlus;(X<<<14)\&CirclePlus;(X<<<22)\&CirclePlus;(X<<<30)$

祖冲之算法的秘钥装入过程是：将128比特的初始密钥k和128比特的初始向量iv扩展为16个31比特字作为LFSR寄存器单元变量s₀，s₁，L，s₁₅的初始状态。设k和iv分别为k₀||k₁||L||k₁₅和iv₀||iv₁||L||iv₁₅；其中k_i和iv_i均为8比特字节，0≤i≤15。密钥装入过程如下：(1)D为240比特的常量，可按如下方式分成16个15比特的子串：D＝d₀||d₁||L||d₁₅，其中：

d₀＝100010011010111₂，

d₁＝010011010111100₂，

d₂＝110001001101011₂，

d₃＝001001101011110₂，

d₄＝101011110001001₂，

d₅＝011010111100010₂，

d₆＝111000100110101₂，

d₇＝000100110101111₂，

d₈＝100110101111000₂，

d₉＝010111100010011₂，

d₁₀＝110101111000100₂，

d₁₁＝001101011110001₂，

d₁₂＝101111000100110₂，

d₁₃＝011110001001101₂，

d₁₄＝111100010011010₂，

d₁₅＝100011110101100₂

(2)对0≤i≤15，有s_i＝k_i||d_i||iv_i。

在初始化阶段，首先把128比特的初始密钥k和128比特的初始向量iv按照前述密钥装入方法装入到LFSR的寄存器单元变量s₀，s₁，L，s₁₅中，作为LFSR的初态，并置32比特记忆单元变量R₁和R₂为全O。然后执行下述操作：

重复执行下述过程32次：

(1)Bit Reconstruction()；

(2)W＝F(X₀，X₁，X₂)；

(3)LFSRWithInitialisationMode(W＞＞1)；

工作阶段首先执行下列过程一次，并将F的输出W舍弃：

(1)Bit Reconstruction()；

(2)F(X₀，X₁，X₂)；

(3)LFSRWithWorkMode()；

然后进入密钥输出阶段。在密钥输出阶段，每运行一个节拍，执行下列过程一次，并输出一个32比特的密钥字Z：

(1)Bit Reconstruction()；

       $\left(2\right)---Z=F(X0,X1,X2)\&CirclePlus;X3;$

(3)LFSRWithWorkMode()；

目前，利用侧信道分析(SCA)，特别是运用能量分析(PA)的侧能量分析方法，通过建立汉明重量模型，使用一阶差分能量分析(DPA)方法可分析出ZUC算法的密钥。了为抵抗DPA/CPA分析，通常采用了掩码防护措施保护ZUC密码算法实现。如何针对具有掩码防护措施保护ZUC密码算法进行二阶能量分析是秘钥破解的重要研究方向。因此，对于具有掩码方案的ZUC密码算法，亟需提出相应有效的二阶侧信道能量分析方法。

发明内容

本发明技术方案的目的在于提出一种针对具备掩码防护的ZUC算法，利用利用不同算法中间值，进行针对性的二阶侧信道能量分析方法获取具备相应掩码方案的ZUC算法密钥信息。

实现上述目的本发明的技术方案为，一种对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，该方法包括如下步骤：

(1)采集能量迹建立能耗矩阵E并进行预处理获得处理后的能耗矩阵E’；

(2)选择ZUC算法F函数左右两边S盒输出异或值S_XorOut_r作为攻击点计算获得中间矩阵V或分别用汉明重量、单比特确定DPA区分函数D；

(3)计算仿真能耗矩阵H及两个平均能耗矩阵D₀和D₁；

(4)计算仿真能耗矩阵H与能耗矩阵E′之间的相关系数确定相关系数矩阵R，选取R中的最大值r_p，q对应的猜测值即为正确的秘钥；或通过计算平均能耗矩阵D₀和D₁的差，得到平均能耗差矩阵ΔD＝D₁-D₀，选择最大的能耗均值差Δd_pq对应的猜测值即为正确的秘钥；

(5)选择S盒运算部分，依次进行5轮运算，依照上述(2)-(4)的分析方法即可获得所有秘钥信息。

上述步骤(1)中的能耗矩阵 $E(N\&times;T)=\left(\begin{array}{ccc}{e}_1^1& L& e_T^1\\ M& e_t^n& M\\ e_1^N& L& e_T^N\end{array}\right),$ 其中，N是采集到的ZUC算法运算的能量迹数，T为运算所用的时间，为第n次加/解密运算在时刻t产生的能量消耗值；对能耗矩阵E进行预处理的过程是：设置S盒输出第1个字节与第j个字节体现在能量迹上的时间距离范围为min-max，其中，min和max分别为最小、最大时间点距离，range＝max-min+1，对于每条能量迹，依次选***-max范围中的u点，对应的能耗值与一一对应进行预处理，预处理方法是减法绝对值、乘法或归一化方法；归一化方法为，当u＝min时， $e_1^{\&prime;n}=(e_1^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_1^i}{n})(e_{\min }^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_{\min }^i}{n}),e_2^{\&prime;n}=(e_2^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_2^i}{n})(e_{\min +1}^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_{\min +1}^i}{n}),...,$ $e_{T-\min +1}^{\&prime;n}=(e_{T-\min +1}^n=\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_{T-\min +1}^i}{n})(e_T^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_T^i}{n}),$ 当u＝min+1时，依次类推，其中，n为已经分析的能量迹条数，预处理得到新的能耗矩阵 $E^{\&prime;}(N\&times;T^{\&prime;})=\left(\begin{array}{ccc}{e}_1^{\&prime;1}& L& e_{T^{\&prime;}}^{\&prime;1}\\ M& e_t^{\&prime;n}& M\\ e_1^{\&prime;N}& L& e_{T^{\&prime;}}^{\&prime;N}\end{array}\right).$

上述步骤(2)中选择作为攻击点的ZUC算法F函数左右两边S盒输出异或值R_r，1、R_r，2分别为第r轮掩码前的S盒输出值，r依次为0，1，2，3，4，R_r，1＝f₁(iv，k_r+9)，R_r，2＝f₂(iv，k_r+5，k_r+9)，f₁、f₂分别为F函数左右两边S盒输出函数，iv为初始向量；中间矩阵V的计算为：分别选择猜测秘钥k_r+9、k_r+5共2¹⁶个不同值，代入S_XorOut_r中得到相应的中间矩阵 $V(N\&times;2^{16})=\left(\begin{array}{ccc}{v}_0^1& K& v_{2^{16}-1}^1\\ M& v_m^n& M\\ v_0^N& L& v_{2^{16}-1}^N\end{array}\right),$ 其中 $v_m^n=f_1({\mathrm{iv}}^n,k_{r+9,m_0})\&CirclePlus;f_2({\mathrm{iv}}^n,k_{r+5,m_1},k_{r+9,m_0}),$ m＝(m₀，m₁)，k_i，j表示为第i个密钥猜测值为j，即j＝k_i，j，ivⁿ为已知初始向量，m₀，m₁均为8此特的随机数；分别用汉明重量、单比特方法所确定的DPA区分函数为： $D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1})=\left\{\begin{array}{cc}1& \mathrm{HW}(S\_\mathrm{Xor}{\mathrm{Out}}_r)<16\\ 0& \mathrm{HW}(S\_{\mathrm{XorOut}}_r)>16\end{array}\right.$ 及其中，bit(x，p)(p∈{0，1，L，31})即中间值x中第p此特的值0或1，分别猜测S_XorOut_r中的轮密钥(k_r+9，k_r+5)共2¹⁶个不同值，代入则区分函数为1值总个数 $n_1=\underset{x=1}{\overset{N}{\mathrm{\&Sigma;}}}D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1}),$ 0值总个数 $n_1=\underset{x=1}{\overset{N}{\mathrm{\&Sigma;}}}(1-D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1})).$

上述步骤(3)中仿真能耗矩阵 $H(N\&times;2^8)=\left(\begin{array}{ccc}{h}_0^1& K& h_{2^8-1}^1\\ M& h_m^n& M\\ h_0^N& L& h_{2^8-1}^N\end{array}\right);$ 两个平均能耗矩阵D₀和D₁计算过程为：能耗矩阵E′中时间点t，得到该点两个的总能量消耗均值 $d{0}_m^{\&prime;}=\frac{\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}(1-D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1}))e_t^{\&prime;n}}{n_0}$ 和 $d{1}_m^{\&prime;}=\frac{\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1})e_t^{\&prime;n}}{n_1},$ 其中，d0′_m对应时间点t猜测值为m＝(m₀，m₁)的n₀组能量消耗平均值；d1′_m对应时间点t猜测值为m＝(m₀，m₁)的n₁组能量消耗平均值n₀+n₁＝N，对E′中所有的时间点求能耗均值，得到两个平均能耗矩阵

       $D_0(2^{16}\&times;T^{\&prime;})=\left(\begin{array}{ccc}d{0}_0^1& K& d{0}_0^T\\ M& d{0}_m^{\&prime;}& M\\ d{0}_{2^{16}-1}^1& L& d{0}_{2^{16}-1}^{T^{\&prime;}}\end{array}\right),D_1(2^{16}\&times;T^{\&prime;})=\left(\begin{array}{ccc}d{1}_0^1& K& d{1}_0^T\\ M& d{1}_m^{\&prime;}& M\\ d{1}_{2^{16}-1}^1& L& d{1}_{2^{16}-1}^{T^{\&prime;}}\end{array}\right)$

上述步骤(4)中仿真能耗矩阵H与能耗矩阵E′之间的相关系数矩阵为 $R(2^{16}\&times;T^{\&prime;})=\left(\begin{array}{ccc}{r}_{\mathrm{0,1}}& K& r_{0,T^{\&prime;}}\\ M& r_{m,t}& M\\ r_{2^{16}-\mathrm{1,1}}^1& L& r_{2^{16}-1,T^{\&prime;}}\end{array}\right),$ 其中， $r_{m,t}=\frac{\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}[h_m^n-\stackrel{\&OverBar;}{h_m^n}][e_t^{\&prime;n}-\stackrel{\&OverBar;}{e_t^{\&prime;n}}]}{\sqrt{\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}{[h_m^n-\stackrel{\&OverBar;}{h_m^n}]}^2\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}{[e_t^{\&prime;n}-\stackrel{\&OverBar;}{e_t^{\&prime;n}}]}^2}},$ 为矩阵H第m列的平均值，为矩阵E′第t列的平均值，选取R中的最大值r_p，q对应(k_r+9，k_r+5)的猜测值(p/2⁸，p％2⁸)即为分析得到的正确秘钥；计算平均能耗矩阵D₀和D₁的差，选择最大的能耗均值差则对应的猜测轮密钥(k_r+9，k_r+5)的猜测值(p/2⁸，p％2⁸)即为分析得到的正确秘钥值。

本申请的技术方案具有以下优点，解决了当前对具有掩码防护措施的ZUC密码算法实现没有具体的攻击方法的缺陷，针对ZUC算法特定的掩码防护实现方法，创新地提出了新的二阶能量分析方法，开拓了ZUC密码算法攻击的新局面，扩展了对ZUC算法的侧信道能量分析手段，该方法能够更全面有效地对ZUC密码算法实现进行侧信道能量分析；同时本申请技术方案提出的方法是针对常见的掩码防护措施，实用性强，对现有的掩码防护方案设计提供了参考。

附图说明

图1是祖冲之算法逻辑层次结构图；

图2是S₀盒结构构建示意图；

图3是ZUC算法一阶掩码S盒防御方式示意；

图4是ZUC算法S盒输出掩码值相同防护的二阶攻击点位置示意；

图5是S盒输出掩码值相同ZUC算法的功耗曲线；

具体实施方式

下面对本发明的技术方案进行具体描述，首先介绍一下一阶简单掩码防护方法，为了节省S盒的存储空间，加快掩码的效率，设计者会对ZUC算法F函数左右两边S盒采用1个32比特随机数m进行掩码预计算，输出则8个S盒的输出仅需进行预计算4个S盒，若使实现更高效，可令m＝(m₀，m₁，m₀，m₁)，其中m₀，m₁均为8比特的随机数，则仅需进行2个S盒的预处理。如图3所示ZUC算法一阶掩码S盒防御方式示意，左右边S盒的输入分别为 ${{S\_\mathrm{in}}_R}^{\&prime;}={S\_\mathrm{in}}_R\&CirclePlus;n,$ 其输出值分别 ${R_1}^{\&prime;}=R_1\&CirclePlus;m,{R_2}^{\&prime;}=R_2\&CirclePlus;m,$ 其中，m＝(m₀，m₁，m₂，m₃)，n＝(n₀，n₁，n₂，n₃)，i依次为0，1，2，3，x_i表示为32位x的第i个字节。对于上述S盒输出掩码值一致的掩码方案，将新S盒的输出进行异或消去掩码，即第r(r依次为0，1，2，3，4)轮的攻击点为 $S\_{\mathrm{XorOut}}_r={R_{r,1}}^{\&prime;}\&CirclePlus;{R_{r,2}}^{\&prime;}=R_{r,1}\&CirclePlus;m\&CirclePlus;R_{r,2}\&CirclePlus;m=R_{r,1}\&CirclePlus;R_{r,2},$ 其中，R_r，1、R_r，2、R_r，1′、R_r，2′分别为第r轮掩码前、后的S盒输出值。根据ZUC算法的结构，今R_r，1＝f₁(iv，k_r+9)，R_r，2＝f₂(iv，k_r+5，k_r+9)，f₁、f₂分别为F函数左右两边S盒输出函数，以iv，k_r+9，k_r+5作为参数，则分别猜测k_r+9、k_r+5共16位的密钥值，进行二阶DPA/CPA分析获得k_r+9、k_r+5的正确值；分别对前5轮进行二阶侧信道分析，r依次为0，1，2，3，4，进行二阶DPA/CPA分析获得ZUC算法的9个轮密钥字节。因此，对于S盒输出掩码值相同的ZUC算法实现，可将S盒输出的异或S_XorOut_r作为攻击点，进行二阶侧信道能量分析。具体攻击点的选择如图4所示。

通过对上述攻击点选择的分析，可以确定对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法：采集能量迹建立能耗矩阵E并进行预处理获得处理后的能耗矩阵E’；如图5所示针对左右S盒输出掩码值相同的一阶简单掩码防护的ZUC算法采集初始化前5轮的能量迹，框中为初始化前5轮采集数据，每轮分别R₁、R₂均带有相同掩码，其中，初始输入的密钥值为： $\begin{array}{c}{k}_0=00,k_1=11,k_2=22,k_3=33,k_4=44,k_5=55,k_6=66,k_7=77\\ k_8=88,k_9=99,k_{10}=\mathrm{aa},k_{11}=\mathrm{bb},k_{12}=\mathrm{cc},k_{13}=\mathrm{dd},k_{14}=\mathrm{ee},k_{15}=\mathrm{ff}\end{array};$ 分别利用归一化方法和减法绝对值方法对能耗矩阵进行预处理；选择ZUC算法F函数左右两边S盒输出异或值S_XorOut_r作为攻击点，使用汉明重量模型，进行CPA分析；采用预处理方法为归一化的分析结果如表1所示，当相关系数与最大相关系数比率值最小，其相关系数最大值对应的密钥猜测值为正确密钥。

表1：预处理为归一化的二阶能量分析结果

      

      

同样采用预处理方法为减法绝对值方法进行二阶分析，实验结果如表2所示，由表2可知通过二阶能量分析也可以可获得正确密钥。

表2：预处理为减法绝对值方法时的的二阶能量分析结果

      

通过上述对一阶掩码防护的二阶能量分析，可知利用本申请方法可以成功分析出该防护的密钥且两种不同的预处理方法分析结果相同。

上述技术方案仅体现了本发明技术方案的优选技术方案，本技术领域的技术人员对其中某些部分所可能做出的一些变动均体现了本发明的原理，属于本发明的保护范围之内。

Claims (5)

1.一种对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，其特征在于，该方法包括如下步骤：

(1)采集能量迹建立能耗矩阵E并进行预处理获得处理后的能耗矩阵E′；

(2)选择ZUC算法F函数左右两边S盒输出异或值S_XorOut_r作为攻击点计算获得中间矩阵V或分别用汉明重量、单比特确定DPA区分函数D；

(3)计算仿真能耗矩阵H及两个平均能耗矩阵D₀和D₁；

(4)计算仿真能耗矩阵H与能耗矩阵E′之间的相关系数确定相关系数矩阵R，选取R中的最大值r_p，q对应的猜测值即为正确的秘钥；或通过计算平均能耗矩阵D₀和D₁的差，得到平均能耗差矩阵ΔD＝D₁-D₀，选择最大的能耗均值差Δd_p ^q对应的猜测值即为正确的秘钥；

(5)选择S盒运算部分，依次进行5轮运算，依照上述(2)-(4)的分析方法即可获得所有秘钥信息。

2.根据权利要求1所述的对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，其特征在于，步骤(1)中的能耗矩阵 $E(N\&times;T)=\left(\begin{array}{ccc}{e}_1^1& L& e_T^1\\ M& e_t^n& M\\ e_1^N& L& e_T^N\end{array}\right),$ 其中，N是采集到的ZUC算法运算的能量迹数，T为运算所用的时间，为第n次加/解密运算在时刻t产生的能量消耗值；对能耗矩阵E进行预处理的过程是：设置S盒输出第1个字节与第j个字节体现在能量迹上的时间距离范围为min-max，其中，min和max分别为最小、最大时间点距离，range＝max-min+1，对于每条能量迹，依次选***-max范围中的u点，对应的能耗值与——对应进行预处理，预处理方法是减法绝对值、乘法或归一化方法；归一化方法为，当u＝min时， $e_2^{\&prime;n}=(e_2^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_2^i}{n})(e_{\min +1}^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_{\min +1}^i}{n}),...,e_{T-\min +1}^{\&prime;n}=(e_{T-\min +1}^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_{T-\min +1}^i}{n})(e_T^n-\frac{\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}{e}_T^i}{n}),$ 当u＝min+1时，依次类推，其中，n为已经分析的能量迹条数，预处理得到新的能耗矩阵 $E^{\&prime;}(N\&times;T^{\&prime;})=\left(\begin{array}{ccc}{e}_1^{\&prime;1}& L& e_{T^{\&prime;}}^{\&prime;1}\\ M& e_t^{\&prime;n}& M\\ e_1^{\&prime;N}& L& e_{T^{\&prime;}}^{\&prime;N}\end{array}\right).$

3.根据权利要求1所述的对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，其特征在于，步骤(2)中选择作为攻击点的ZUC算法F函数左右两边S盒输出异或值R_r，1、R_r，2分别为第r轮掩码前的S盒输出值，r依次为0，1，2，3，4，R_r，i＝f₁(iv，k_r+9)，R_r，2＝f₂(iv，k_r+5，k_r+9)，f₁、f₂分别为F函数左右两边S盒输出函数，iv为初始向量；中间矩阵V的计算为：分别选择猜测秘钥k_r+9、k_r+5共2¹⁶个不同值，代入S_XorOut_r中得到相应的中间矩阵 $V(N\&times;2^{16})=\left(\begin{array}{ccc}{v}_0^1& K& v_{2^{16}-1}^1\\ M& v_m^n& M\\ v_0^N& L& v_{2^{16}-1}^N\end{array}\right),$ 其中m＝(m₀，m₁)，k_i，j表示为第i个密钥猜测值为j，即j＝k_i，j，iv″为已知初始向量，m₀，m₁均为8比特的随机数；分别用汉明重量、单比特方法所确定的DPA区分函数为： $D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1})=\left\{\begin{array}{cc}1& \mathrm{HW}(S\_{\mathrm{XorOut}}_r)<16\\ 0& \mathrm{HW}(S\_{\mathrm{XorOut}}_r)>16\end{array}\right.$ 及其中，bit(x，p)(p∈{0，1，L，31})即中间值x中第p比特的值0或1，分别猜测S_XorOut_r中的轮密钥(k_r+9，k_r+5)共2¹⁶个不同值，代入则区分函数为1值总个数 $n_1=\underset{x=1}{\overset{N}{\mathrm{\&Sigma;}}}D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1}),$ 0值总个数 $n_1=\underset{x=1}{\overset{N}{\mathrm{\&Sigma;}}}(1-D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1})).$

4.根据权利要求1所述的对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，其特征在于，步骤(3)中仿真能耗矩阵 $H(N\&times;2^8)=\left(\begin{array}{ccc}{h}_0^1& K& h_{2^8-1}^1\\ M& h_m^n& M\\ h_0^N& L& h_{2^8-1}^N\end{array}\right);$ 两个平均能耗矩阵D₀和D₁计算过程为：能耗矩阵E′中时间点t，得到该点两个的总能量消耗均值 ${d0}_m^t=\frac{\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}(1-D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1}))e_t^{\&prime;n}}{n_0}$ 和 ${d1}_m^t=\frac{\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}D({\mathrm{iv}}^n,k_{r+9,m_0},k_{r+5,m_1})e_t^{\&prime;n}}{n_1},$ 其中，对应时间点t猜测值为m＝(m₀，m₁)的n₀组能量消耗平均值；对应时间点t猜测值为m＝(m₀，m₁)的n₁组能量消耗平均值n₀+n₁＝N，对E′中所有的时间点求能耗均值，得到两个平均能耗矩阵 $D_0(2^{16}\&times;T^{\&prime;})=\left(\begin{array}{ccc}{d0}_0^1& K& {d0}_0^{T^{\&prime;}}\\ M& {d0}_m^t& M\\ {d0}_{2^{16}-1}^1& L& {d0}_{2^{16}-1}^{T^{\&prime;}}\end{array}\right),$

$D_1(2^{16}\&times;T^{\&prime;})=\left(\begin{array}{ccc}{d1}_0^1& K& {d1}_0^{T^{\&prime;}}\\ M& {d1}_m^t& M\\ {d1}_{2^{16}-1}^1& L& {d1}_{2^{16}-1}^{T^{\&prime;}}\end{array}\right).$

5.根据权利要求1所述的对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，其特征在于，步骤(4)中仿真能耗矩阵H与能耗矩阵E′之间的相关系数矩阵为 $R(2^{16}\&times;T^{\&prime;})=\left(\begin{array}{ccc}{r}_{\mathrm{0,1}}& K& r_{0,T^{\&prime;}}\\ M& r_{m,t}& M\\ r_{2^{16}-\mathrm{1,1}}^1& L& r_{2^{16}-1,T^{\&prime;}}\end{array}\right),$ 其中，为矩阵H第m列的平均值，为矩阵E′第t列的平均值，选取R中的最大值r_p，q对应(k_r+9，k_r+5)的猜测值(p/2⁸，p％2⁸)即为分析得到的正确秘钥；计算平均能耗矩阵D₀和D₁的差，选择最大的能耗均值差则对应的猜测轮密钥(k_r+9，k_r+5)的猜测值(p/2⁸，p％2⁸)即为分析得到的正确秘钥值。