2017-2018-2 《密码与安全新技术》第3周作业

课程：《密码与安全新技术》

班级：2017级92班

学号：20179225

上课教师：谢四江

主讲教师：刘飚

上课日期：2018年4月12日

必修/选修： 必修

---

主要内容：分组密码的侧信道分析

芯片的形式存在 实行测评

一、侧信道的背景与意义

背景

1. 由于个人信息保护的必要性。其中，信息安全芯片又叫密码芯片是保障国家和公民个人信息安全最重要的物质载体,己经成为信息安全所依赖的关键技术之一。而密码芯片的安全性主要由芯片所执行的密码算法决定。现在常用的商用密码算法主要分两大体系对称密
   钥加密体系和公钥加密体系。
2. 密码芯片的安全性还取决于执行密码算法加解密运算的硬件环境的安全性。密码芯片上的加解密运算最终都是由芯片内部半导体逻辑状态和规律变化实现的。

意义

1. 侧信道分析,技术发展至今己有十多年的时间，国内外对侧信道分析的研究已经取得一定的进展,各种分析方法（主要有功耗分析，电磁分析，时间分析等）和防御措施（主要在逻辑层面和算法层面）的提出,促进了密码芯片侧信道安全性的提高。
2. 侧信道防御技术的有效性直接影响着密码芯片的商业应用,国家也需要对商用密码芯片的安全性进行统一的评估和认证。
   侧信道分析技术虽然已出现了十余年,但直至近几年才开始逐渐受到商业界的重视，目前国内很多商用密码设备甚至还不具备防御简单侧信道分析的能力。为维护社会信息安全,针对密码芯片的侧信道分析技术的防御措施及其评估方法还需进一步研究和完善，以实现对密码芯片侧信道安全性的统一规范和认证。

二、半导体的物理基础

常见的密码芯片的内部电路都是基于CMOS工艺的，且采用的是同步设计方式。CMOS门电路是构成密码芯片的最基本的器件，密码芯片的所有运算都是通过门电路的状态变化来实现的。门电路的动态功耗主要包括两部分：动态充放电电流（约占85%）和动态短路电流（约占15%）。通常,密码芯片处理逻辑。和逻辑的运算会引起芯片内部不同门电路不同状态的变化,因此会消耗不同的功率,侧
信道分析就是通过侦听这种差异来进行对逻辑和逻辑的判别的。正确地找出
加解密过程中所有与密钥相关的逻辑值之后,再结合密码算法,便可对密码芯片
的密钥进行破译。

下面通过CMOS反相器的状态变化来简单说明侧信道分析的功耗原理。CMOS反相器的典型电路可用图表示如下

1. 功耗分析
   功耗分析最早是由Paul Kocher等人提出的，由于该技术简单而有效,是所有侧信道分析技术里发展最为迅速的,其主要分析方式有如下几种:

   1.1 简单功耗分析：英文为Simple Power Analysis，简称SPA，SPA通过直接分析硬件电路加密操作时释放出的功耗特征来获取与密钥有关的信息,根据功耗曲线的特征及分析者的经验就可直观地分析出指令执行的顺序,常被用来破解指令顺序与某些数据有关的算法,从少量功耗曲线,就可直接观察分析出关键数据，分析者需要熟悉设备的算法实现。该方法所使用的主要手段是观察当加密过程由于关键数据的不同导致功耗曲线存在可以观察的差异时，SPA有效。

   上课时以DES为例讲述了简单功耗分析
   

1.2 差分功耗分析：英文为Differential Power Analysis，简称DPA，DPA可从功耗曲线微小的差分信号分析出所需的关键信息，但需要搜集大量的信息，并采集多组功耗曲线以及每条曲线对应的明文、密文记录，通常需要一定的SPA分析经验和较长时间的分析运算，对分析平台的设备要求也比较高。DPA利用的是差分数理统计方法，对密码芯片的安全性提出了严峻的挑战,己成为国内外关注和研究的焦点。
步骤为采样---构造---猜测---平均求差
确定一攻击点（一般找S盒）
找S盒的原因：（1）S盒置换是DES算法的关键步骤
（2）与密钥关联度大
（3）运算时间长对硬件资源的消耗大

密钥“分而治之”（divide and concur），6位一组进行破解  2^48 vs. 2^6；
用统计学的方法提高侧信道信息与数据的相关性 P=f(data)+noise

1.3 相关性功耗分析：是基于汉明距模型的一种数据相关性功耗分析方式。相关性功耗分析选择一个未知但是恒定的参考态，建立一个具有数据相关性的汉明距模型，利用功耗样点与被处理数据的汉明重之间的相关性因子来进行分析。采用去同步化、模糊功耗轨迹、动态加密等手段可防御这种分析。

分析结果：

1.4 高阶差分分析：HO-DPA，也称n阶DPA，常见的为二阶DPA，主要研究的是功耗曲线上多个时刻多个点与密钥数据的统计相关性，是比常规DPA更复杂也更
难防的一种功耗分析方式，因为常规的DPA（也称一阶DPA）只是研究单个点的统计相关性。但这种HO-DPA分析方式实现起来较为困难，而且对密码算法有一定的针对性，不具备普适性。

1. 功耗分析
   汉明距离：状态的变化，例如 1010变为了0101其汉明距离为4。
   汉明重量：特殊的汉明距，把初始状态都看为全0
   汉明重的不同体现在电压上，在某些点不同
   整个密码运算上在算法的某些时间距离与数据无关。

2. 模板攻击

   特征化阶段：找到最相关的点并建立模板。
   分析阶段：把这些模板与给定的功耗曲线进行匹配，匹配度最大的模板表明得到正确密钥。

   白噪声符合高斯分布，噪声之间符合多元正态分布
   建立模板的步骤：（1）对每个密钥建立模板：8位密钥建256模板
   （2）样本曲线—均值曲线=噪声
   （3）由于协方差可以用来描述两个随机变量的线性相关性，建立协方差矩阵。
   （4）可以为每一个密钥定义一个 2 元组 T，该二元组由均值矩阵 M和协方差矩阵 COV 构成。

3. 攻击中对噪声的处理
   对齐、滤波、压缩

三、电磁辐射分析攻击

原理
麦克斯韦方程组揭示变化的电场引起变化的磁场，变化的磁场引起变化的电场。
电流在处理器中的变化可以通过检测磁场的变化而分析出。
四种产生电场、磁场、电磁场的电路

学习中的问题和解决过程

1 面对攻击有何防御措施

常用的防御措施可归结为两类掩码技术和功耗平衡技术。掩码技术主要通过增加随机操作或者打乱操作顺序的方式来实现对逻辑0和1功耗的掩盖，但并未从根本上解除侧信道分析的基础，不能达到很高的防御效果。功耗平衡技术主要为了平衡状态0和1消除二者的功耗差异，可从根本上破坏侧信道分析的基础，尤其在逻辑上实现的功耗平衡技术,能够达到较高的防御标准。针对ECC点乘实现。

2 如何判断芯片的安全性

密码芯片的安全性还取决于执行密码算法加解密运算的硬件环境的安全性。

其他

通过此次课程再次复习了几种加密算法，知道了侧信道分析与加密算法紧密相连。但对学习的半导体物理基础仍然认识不足。