针对AES第一轮的汉明重代数攻击研究

将差分功耗分析的汉明重量模型与传统的代数攻击相结合,实现了针对128位密钥的AES密码算法第一轮的功耗代数攻击.在攻击实验中,改进了汉明重量函数,并证明了利用此函数能够通过进一步计算的相关系数r明显区分出正确密钥字节与错误密钥字节,在最短时间内获得正确的真实的全部密钥字节,对比其他同类研究更具适用性和高效性.     

基于差异度的密码芯片旁路攻击研究

针对旁路攻击方法存在的样本量大、分析时间长等问题,结合微控制器的系统结构,分析了旁路泄漏信号的噪声来源及其差分抑制方法;定义了信号差异度和汉明距离差异度,分析了二者间的反比映射关系;利用加密过程中差异度的变化特征,提出了基于差异度的密钥分析方法;以DES密码算法为验证目标,仅用150组功耗轨迹,分析用时1.03 s破解了密钥,可推广应用于以通用微控制器作为实现载体的其他分组密码系统。     

基于能耗旁路泄露的密码芯片模板攻击算法研究

为解决模板攻击对先验知识要求较为苛刻的问题,基于聚类的半监督式模板攻击方法,研究了能耗泄露曲线特征点的选择,提出了基于皮尔逊相关系数和主成分分析(Principal Component Analysis,PCA)方法对旁路泄露进行特征提取的方法.在聚类过程中,通过少量的有标号的信息来辅助并引导聚类过程对无标号数据的聚类处理,放宽了模板攻击的假设条件.以轻量级分组密码(Light Encryption Device,LED)算法旁路泄露为例,通过实验研究了特征选取等因素对密钥恢复的影响,并分析了能量迹中的数据依赖性.研究结果表明:与常规半监督式模板攻击方法相比,所采用的特征提取方法可以有效降低异常数据和噪声的干扰,提高先验信息的利用率及密钥恢复成功率.     

一种抗DPA的AES的设计

为了防止智能卡在做加密运算时,旁路信息会通过功耗的变化而泄露,提出了一种抗差分功耗分析攻击的方法.首先研究了AES算法的加密规则,然后采用8位的处理器模拟智能卡,在智能卡上实现了对AES算法中的轮密钥加的差分功耗攻击.为了抵抗轮密钥加的差分功耗攻击,文中在算法级别上提出了一种掩码技术,其核心是用不同的随机量对密码运算过程中明文和密钥进行掩码,实验结果表明,该方法成功地抵抗了差分功耗攻击.     

基于高级加密标准的远场电磁旁路攻击

电磁旁路攻击是旁路攻击中的一种有效方法，为了克服传统的电磁旁路攻击必须近距离获取电磁信息的局限性，针对没有电磁防护的密码设备提出一种基于相关性分析的远场攻击方法.使用微控制器运行高级加密标准算法，使用天线在远场探测电磁信号，先对采集的电磁信号均值和滤波以减少噪声的影响，再使用相关性分析方法进行旁路攻击，在天线距离微控制器10 m处成功破解出完整的密钥.同时也对远场电磁旁路攻击中的频率和样本量做了深入研究，带有密钥信息的电磁旁路主要集中在一段频率范围内，而且随着样本量的增加密钥信息越明显，以此为基础结合密码芯片产生密钥信息泄露的机理，提出了改进的电磁旁路攻击方法.     

功耗分析攻击中的功耗与数据相关性模型

在对密码设备进行功耗分析攻击时,攻击者需要建立密钥或者与密钥关联的数据值与被攻击设备的功耗相关性模型,藉此通过对功耗的分析破解出敏感信息。从攻击者的角度对器件功耗物理特性分析的基础上,重构了汉明距离模型和汉明重量模型,并从理论上证明了汉明重量模型的正确性,并建立起MCU功耗采集平台,验证了汉明重量模型的有效性和实用性。     

一种抗二阶功耗分析的DES算法实现方案

旁路攻击是一种利用密码设备在运行时泄露的旁路信息对其进行攻击的一种方法。Paul Kocher等人在1998年提出的功耗分析,是目前使用最广泛的一种旁路攻击方法。掩码技术通过对密码设备所处理的中间值进行随机化,来消除设备功耗与数据之间的相关性,从而达到防护的目的。文中提出了一种抗二阶功耗分析的DES算法掩码实现方案,增强了防护的效果并在之后的一个实验中,验证了方案的有效性。     

物理可观测下DES的安全性研究

利用物理观测效应进行的旁路攻击,是通过对密码设备工作时泄漏的时间、功耗等信息的分析,获取密码系统的密钥或相关秘密信息.已有大量防护对策但并没有从根本上阻止攻击.本文在AT89C52上加载了DES算法,并在该平台上对差分功耗旁路攻击与防护方法进行了实验和验证.根据Micali和Reyzin建立的物理观测密码术理论模型,将该模型具体化,对可以抵抗黑盒攻击的密码要素进行修正以抵抗基于物理泄漏的旁路攻击,将RO(random oracle)模型用于物理观测现实世界的安全性证明,给出了对称加密方案物理可观测下安全性定义,并对DES定义了在DPA攻击下的安全性.     

PRESENT密码代数故障攻击

提出了一种新的PRESENT密码故障分析方法——代数故障攻击。将代数攻击和故障攻击相结合,首先利用代数攻击方法建立密码算法等效布尔代数方程组;然后通过故障攻击手段获取错误密文信息,并将故障差分和密文差分转化为额外的布尔代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。结果表明:在PRESENT-80的第29轮注入宽度为4的故障,故障位置和值未知时,2次故障注入可在50s内恢复64bit后期白化密钥,将PRESENT-80密钥搜索空间降低为216,经1min暴力破解恢复完整主密钥;和现有PRESENT故障攻击相比,该攻击所需样本量是最小的;此外该代数故障分析方法也可为其他分组密码故障分析提供一定思路。     

扩展的代数侧信道攻击及其应用

Renauld等人提出的代数侧信道攻击是将代数攻击和侧信道攻击结合起来的一种对分组密码的攻击方法.目前的研究主要针对算法的8-bit实现平台,对于更大的如64-bit实现平台,未见文献讨论.为此,本文提出一种扩展的代数侧信道攻击,直接将侧信道信息表示为密钥的显式函数.相比于通常的代数侧信道攻击,所需泄露信息更少.作为应用,给出了对LBlock轻量级分组密码的扩展的代数侧信道攻击,结果如下:对于64-bit平台实现的LBlock,假设其1-3轮输出的Hamming重量可以准确获得,则利用35个已知明文,便可建立关于LBlock 80-bit主密钥的非线性方程组;在普通的PC机上,利用Magma数学软件v2.12-16求Groebner基,1分钟内可以求得80-bit主密钥.这是对LBlock的首个代数侧信道攻击,同时说明Renauld等人给出的对代数侧信道攻击的其中一个防范方法:"将实现方法从8-bit平台转移到更大的设备"是不够的.     

Timing and hamming weight attacks on minimal cost encryption scheme

The timing and Hamming weight attacks on the data encryption standard (DES) cryptosystem for minimal cost encryption scheme is presented in this article. In the attack, timing information on encryption processing is used to select and collect effective plaintexts for attack. Then the collected plaintexts are utilized to infer the expanded key differences of the secret key, from which most bits of the expanded secret key are recovered. The remaining bits of the expanded secret key are deduced by the correlations between Hamming weight values of the input of the S-boxes in the first-round. Finally, from the linear relation of the encryption time and the secret key's Hamming weight, the entire 56 bits of the secret key are thoroughly recovered. Using the attack, the minimal cost encryption scheme can be broken with 223 known plaintexts and about 221 calculations at a success rate a＞99%. The attack has lower computing complexity, and the method is more effective than other previous methods.     

Security of Constant Weight Countermeasures

This paper investigates the security of constant weight countermeasures, which aim to produce indistinguishable leakage from sensitive variables and intermediate variables, assuming a constant Hamming distance and/or Hamming weight leakages. To investigate the security of recent countermeasures, contrary to many related studies, we assume that the coefficients of the simulated leakage models follow a normal distribution so that we may construct a model with approximately realistic leakages. First, using our simulated leakage model, we demonstrate security holes in these previous countermeasures. Subsequently, in contrast to the hypotheses presented in previous studies, we confirm the resistance of these countermeasures to a standard correlation power analysis (CPA). However, these countermeasures can allow a bitwise CPA to leak a sensitive variable with only a few thousand traces.     

AES硬件实现的能量分析攻击仿真

首先针对高级加密标准（AES）算法的硬件实现，给出了攻击时刻的汉明能耗模型；然后在行为级进行了基于寄存器数据变化的PA攻击；进一步通过对门级电路的功耗仿真，实现了能耗曲线数据的PA攻击。     

基于功耗预处理优化的 LED 密码模板攻击研究

对CHES 2011会议提出的轻量级分组密码LED抗功耗模板攻击能力进行了评估,从功耗曲线预处理优化的角度对模板攻击提出了改进：利用功耗曲线频域上的相位相关性计算偏移量,消除了模板构建过程中的数据干扰;利用明文片段对功耗曲线聚类划分的特征差异,提出了一种基于类间距离的特征提取方法,可实现不同泄露点的功耗数据自动切割;利用均值和噪声信息评估模板区分度,提出了一种基于聚类有效度的动态选点策略,提高了旁路信息利用率。实验结果表明：数据对齐和切割提高了匹配度的区分效果,降低了模板构建和攻击所需功耗曲线数量;聚类有效度选点策略与现有策略相比,攻击数据复杂度低,2条功耗曲线即可使成功概率收敛于1。     

针对AES-128算法的密钥优势模板攻击

模板攻击分为模板刻画和密钥恢复两个阶段.针对AES-128算法,模板攻击为每一字节密钥构建256个模板,当攻击者仅获得1000条左右的能量迹时将面临两个问题：一是模板刻画不具有适用性,二是无法恢复正确的密钥.针对这些问题,本文在模板刻画阶段为S盒输出值的汉明重量构建9个模板,利用Panda 2018数据集提供的600条能量迹进行建模;在密钥恢复阶段提出密钥优势叠加的方法,仅需约10条相同密钥加密所产生的能量迹即可有效区分正确密钥,降低了攻击的难度并提高了攻击的成功率.     

基于多层次可验证共享协议的密钥托管方案

本文基于ＥｌＧａｍａｌ公钥体制和多层次可验证共享方案,提出了一个多层次密钥托管方案,它不有效地克服了“公平公钥密码系统”中易受阈下信道攻击的缺点,而且能饲文献「１」中监听机权力过大的现象。