SM4算法S盒输入的相关性能量攻击的研究

在对SM4算法非线性S盒运算输出进行侧信道能量攻击的基础上,针对SM4算法中线性S盒输入提出相关性能量攻击分析的方法。该方法结合相关性能量攻击原理,利用汉明距离能量泄露模型进行攻击,该模型能够更准确刻画假设能量消耗与实测能量消耗之间的关系。在利用此方法获取前四轮或末四轮轮密钥的基础上,推算出128 bit的原始加密密钥。实际攻击结果表明,通过攻击出前四轮轮密钥后,可以成功地推出原始加密密钥。该攻击方法对SM4算法S盒输入有效可行,同时也扩展了对SM4算法的侧信道能量攻击方法。     

针对AES算法的按位选择明文能量分析

侧信道分析是一种利用密码设备在加密过程中产生的侧信息来恢复密钥的攻击手段。文章针对SAKURA-G开发板中AES算法硬件实现展开侧信道分析方面的研究。首先指出了基于汉明距离模型的相关能量分析方案的局限性,即在AES算法实现代码未知的情况下,攻击实验无法有效进行。由此,文章提出了一种基于按位差分能量分析的选择明文能量攻击方案,可以在加密算法实现代码未知的情况下有效地进行能量分析,并成功恢复AES算法的密钥。最后展示了与已有选择明文相关能量分析思想的对比实验。对比实验证明,相比已有的选择明文相关能量分析方案,文章提出的按位差分选择明文能量分析方法所需要的密钥猜测空间更小,相应的干扰选项更少且效率更高。     

轻量级分组密码算法DoT的模板攻击

模板攻击是一种重要的侧信道分析方法,其在实际密码算法破译中具有较强的区分能力。轻量级分组密码算法DoT在硬件和软件实现中都表现出优秀的性能,尽管目前针对DoT算法的传统数学攻击已经取得了一定效果,但是该算法在具体实现中是否足以抵御侧信道攻击仍有待研究。基于DoT算法结构及其S盒特点,提出一种针对DoT算法的模板攻击方法。基于汉明重量模型来刻画加密算法运行时的能耗特征,将S盒输出值的具体分布作为中间状态值构造区分器,从而进行密钥恢复。测试结果表明,该模板攻击仅需6组明文就可恢复出8 bit密钥信息,DoT密码算法在该模板攻击下具有脆弱性。     

一种超混沌图像加密方案的安全性分析

该文针对一种超混沌图像加密算法进行选择明文攻击,结果表明该算法中间密钥序列与明文图像不存在关联,所采用的加密公式可进行反推运算,并且待加密像素仅仅采用异或的加密方式,导致中间密钥序列可被破解,进而可对密文信息进行恢复.     

基于ResNet的KLEIN算法改进模板攻击

针对传统模板攻击存在的多元高斯正态分布假设受限、预处理复杂度高且不适用于带掩码防护的应用场景等问题,研究基于深度学习的模板攻击的改进方法.利用深度学习模型ResNet,对轻量级分组密码算法KLEIN实施改进模板攻击,根据数据的标签对数据进行分类.在密钥恢复阶段利用密钥优势叠加的方法,平均需要15条相同密钥加密所产生的能量迹即可有效区分正确密钥.相较于传统的模板攻击,本文的攻击方法成功恢复密钥所需攻击能量迹减少了83.7%,降低了模板攻击的难度,有效提高了模板攻击的成功率和效率.     

一种针对分组密码S盒的组合侧信道攻击方法*

近年来随着半导体工艺的飞速发展和信息安全的重要性不断增强,越来越多的硬件嵌入了密码算法以保证数据安全性。针对嵌入了FPGA密码芯片的设备在运行算法时泄漏的侧信道信息进行了研究,提出一种改进分组密码S盒的组合侧信道攻击方案,该方案由差分功耗攻击、模板攻击、和毛刺攻击构成。通过传统的差分功耗攻击确定S盒运行的时间区间,然后针对目标S盒的输入输出利用一个时钟周期内逻辑门毛刺个数与部分功耗线性相关的方法,采用线性模型匹配算法恢复密钥并减少了基于多元高斯模型匹配的计算量,为今后提高侧信道攻击的效率提供依据。     

无线传感器网络节点明文分布对差分功耗分析成功率的影响

无线传感器网络WSN节点中的加密模块往往面临着侧信道攻击SCA的威胁。然而由于WSN节点加密的数据来自于实际的物理信号,明文的分布将会遵循其物理规律,这一点与通常讨论侧信道攻击安全性时假设明文为完全随机的情形不同。为了探索当攻击者用的明文是传感器采集到的实际非均匀分布的信号时差分功耗分析DPA的成功率,该论文从理论和实验上分析了明文分布与分组密码DPA的成功率之间的关系。结论是DPA成功率负相关于明文分布与均匀分布之间的Cramer-von-Mises统计距离。根据这一结论,可以得出当攻击者攻击时能够构造明文,其利用随机均匀分布明文的成功率高;当攻击时只能利用实际数据,攻击最后一轮比攻击第一轮成功率高。     

对“一种超混沌图像加密算法的安全性分析及其改进”的选择明文攻击

针对一种改进的超混沌图像加密算法进行攻击.该算法利用超混沌系统对像素矩阵的初等变换实现像素置乱,并将像素置乱后的矩阵与超混沌系统的不同组合进行异或运算实现图像扩散.由于该算法采用易被攻击的矩阵初等变换和异或运算的加密措施,使其很难抵抗各种攻击.选择三个各具特点的明文矩阵,在未知加密密钥的前提下对该算法进行选择明文攻击.仿真结果表明对该算法实现了选择明文攻击.     

Camellia访问驱动Cache计时攻击研究

Camellia是NESSIE计划中128位分组密码的最终获胜者.现有的针对Camellia的Cache计时攻击大多基于时序驱动模型,需百万计的样本在几十分钟内完成.文中研究表明,由于频繁的查找表操作,Camellia对访问驱动Cache计时攻击也是脆弱的,攻击所需样本量比时序驱动要小.首先,基于访问驱动方式,给出了一种通用的针对对称密码S盒的分析模型,指出Camellia加密过程中的轮函数易泄露初始密钥和轮密钥的异或结果值,密钥扩展中的左移函数使得Camellia安全性大大降低.然后,给出了多例针对Camellia-128/192/256的访问驱动Cache计时攻击,实验结果表明:500和900个随机明文样本可恢复Camellia-128、Camellia-192/256密钥,文中的攻击可被扩展到针对已知密文条件下的解密过程或远程环境中进行实施,3000个随机明文可在局域网和校园网环境下恢复Camellia-128/192/256密钥.最后,分析了Camellia易遭受Cache计时攻击的原因,并为密码设计者提出了防御该攻击的一些有效措施.     

持久故障攻击威胁性研究

持久故障攻击是一种利用持久性故障及统计方法恢复密钥信息的强大攻击技术,可应用于分组密码查表实现的密钥恢复,其最大的优势在于仅需一次故障注入即可恢复密钥信息,并且持久故障攻击可以应用于检测技术、掩码技术等经典的分组密码防护实现。虽然如此,经典的故障攻击防护技术仍然提高了持久故障攻击难度,检测、感染技术都使得提取正确密钥所需的密文数量有了常数倍的提升,这对于实际场景中的攻击会造成阻碍。对S盒进行实时的健康性检测是一种防范持久故障攻击的有效手段,一旦检测到S盒被注入故障则不再进行后续加密。持久故障攻击充分利用了S盒的双射特性,故针对S盒的双射特性进行健康性检测是一种高效的防护方法,对于一个8比特的S盒,只需进行255次异或操作即可完成对S盒双射特性的检验,远高于SHA3等通用的校验方法。此外,激光传感器等非算法层面的防护也应受到重视。     

基于碰撞模型的PRESENT密码代数旁路攻击

提出了一种新的分组密码通用的基于碰撞模型的分组密码代数旁路分析方法—代数功耗碰撞攻击,将代数攻击与功耗碰撞攻击结合,首先利用代数分析方法建立密码算法等效布尔代数方程组;然后通过功耗攻击手段获取密码加密过程运行时泄露的功耗信息,经分析转化为加密过程碰撞信息,并表示为关于加密中间状态变元的代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。应用该方法对在8位微控制器上实现的PRESENT密码进行了实际攻击,实验结果表明,代数攻击基础上引入额外的代数方程组,可有效降低方程组求解的复杂度;PRESENT易遭受此类代数功耗攻击的威胁,明密文已知,以4个样本全轮碰撞或8个样本部分轮碰撞信息成功获取PRESENT 80bit完整密钥。此外,文中分析方法也可为其它分组密码功耗碰撞分析提供一定思路。     

A novel image encryption algorithm based on chaotic shuffling method

This article proposes a novel image encryption algorithm based on a chaotic shuffling-diffusion method. First, a chaotic sequence which is generated by a first logistic map is used to label the row coordinate of pixels of the scrambled image. Second, a second logistic map is used to label the column coordinate of pixels of the scrambled image. Then, using our proposed new pixel exchange model to change the position of pixels, we can achieve the effect of scrambling the image. Third, a matrix that is the same size as the plain image is generated by a third logistic map in order to enlarge the key space according to MOD operation and XOR operation by itself. Furthermore, the key sum is related to the plaintext, which makes the encryption system extremely sensitive to resist a chosen-plaintext attack. The simulation results show that this algorithm has properties of big key space, high sensitivity to key, and the ability to resist statistical analysis, differential attacks, plaintext attacks, and chosen-plaintext attacks so that it has higher security and can be suitable for image encryption.     

A novel RGB image encryption algorithm based on DNA sequences and chaos

Based on the deoxyribonucleic acid (DNA) sequence operations and chaotic systems, a novel improved color image encryption algorithm is presented with one-time-pad. Three DNA matrices are obtained by DNA encoding the plain-image firstly. To enhance the proposed algorithm’s robustness of resisting known-plaintext and chosen-plaintext attacks, the key streams, which are used to scramble the positions of the three DNA matrices, are generated from 3D skew tent map (3D-STM) by using the secret keys and the hamming distances between the DNA matrices. Then, we perform the DNA XOR, addition and subtraction operations on the DNA matrices and the key streams to get the cipher-image. At this stage, we also update the initial values of the coupled map lattice (CML) by the circle distance of DNA matrices obtained from the previous step to further enhance the proposed algorithm’s ability of resisting plaintext attack. Finally, we get the encrypted color image by decoding DNA matrices. The simulation and security analysis show that the proposed algorithm has an extraordinary ability to resist plaintext attack, differential attack and statistical attack, etc.

     

基于碰撞模型的LED代数旁路攻击

针对轻型分组密码LED提出了一种基于碰撞模型的代数旁路攻击。利用代数攻击方法建立密码算法等效布尔代数方程组,采集算法运行中泄露的功耗信息并转换为碰撞信息,并将碰撞信息转换成额外方程组,从而利用CryptoMiniSAT解析器求解密钥。实验结果表明:旁路碰撞信息可有效降低方程组求解的复杂度;已知明文条件下,利用2轮最少50%的随机碰撞信息,即可在158.5 s内恢复64 bit LED完整密钥。此外,该方法也可用于其他分组密码功耗碰撞分析。     

Deep learning side-channel attack against hardware implementations of AES

In the field of image recognition, machine learning technologies, especially deep learning, have been rapidly advancing alongside the advances of hardware such as GPUs. In image recognition, in general, large numbers of labeled images to be identified are input to a neural network, and repeatedly learning the images enables the neural network to identify objects with high accuracy. A new profiling side-channel attack method, the deep learning side-channel attack (DL-SCA), utilizes the neural network’s high identifying ability to unveil a cryptographic module’s secret key from side-channel information. In DL-SCAs, the neural network is trained with power waveforms captured from a target cryptographic module, and the trained network extracts the leaky part that depends on the secret. However, at this stage, the main target of investigation has been software implementation, and studies regarding hardware implementation, such as ASIC, are somewhat lacking. In this paper, we first depict deep learning techniques, profiling side-channel attacks, and leak models to clarify the relation between secret and side channels. Next, we investigate the use of DL-SCA against hardware implementations of AES and discuss the problem derived from the Hamming distance model and ShiftRow operation of AES. To solve the problem, we propose a new network training method called “mixed model dataset based on round-round XORed value.” We prove that our proposal solves the problem and gives the attack capability to neural networks. We also compare the attack performance and characteristics of DL-SCA to conventional analysis methods such as correlation power analysis and conventional template attack. In our experiment, a dedicated ASIC chip for side-channel analysis is utilized and the chip is also equipped with a side-channel countermeasure AES. We show how DL-SCA can recover secret keys against the side-channel countermeasure circuit. Our results demonstrate that DL-SCA can be a more powerful option against side-channel countermeasure implementations than conventional SCAs.     

基于Alexnet卷积神经网络的加密芯片模板攻击新方法

针对经典高斯模板攻击存在的问题,在分析了卷积神经网络方法具有的优势的基础上,提出了一种基于卷积神经网络的加密芯片旁路模板攻击新方法。该方法可以有效地处理高维数据,且可以通过不断地调整网络权值与偏置实现对数据无限逼近,明确分类的精确关系,提高模板刻画精度。最后选取AT89C52微控制器（单片机）运行的AES加密算法第一轮异或操作为攻击点,与传统的模板攻击进行了对比实验,实验结果表明：虽然在匹配成功率方面稍低于传统的模板攻击,模型结构和超参数仍需要进一步优化,但新方法在处理高维特征点方面较传统的模板攻击具有较大优势。     

基于最大秩距离码的数字签名方案

1990年王新梅基于纠错码构造了一种数字签名方案-Xin-Mei方案。1992年该方案被Alabbadi和Wicker提出的选择明文攻击方法攻破，该攻击工方法的工作因子仅为O（n^3)，n为Xin-Mei方案中使用的码的长度，Gabidulin于1985年提出了最大秩距离码的理论，由于秩距离码的特点，利用秩距离构造密码系统，可用比较小的参数获得比较大的工作因子，在此对Xin-Mei数字签名方案进行改进，基于最大秩距离码提出一新的数字签名方案，用穷搜索方法，选择明文攻击方法以及通用伪造攻击方法对该方案的安全性进行了分析，指出在这些攻击方法下，该数字签名方案是安全的。     

Faults, Injection Methods, and Fault Attacks

An active attacker can induce errors during the computation of the cryptographic algorithm and exploit the faulty results to extract information about the secret key in embedded systems. We call this kind of attack a fault attack. Fault attacks can break an unprotected system more quickly than any other kind of side-channel attack such as simple power analysis (SPA), differential power analysis (DPA), or electromagnetic analysis (EMA). For example, the attacker can break RSA-CRT (RSA with Chinese Remainder Theorem) with one faulty result, and Data Encryption Standard (DES) and Advanced Encryption Standard (AES) with two. Furthermore, the protection of fault attacks is more costly in terms of chip area. Here, we survey fault injection methods, types of faults, and fault attack models.     

基于欧式距离的AES算法模板攻击

针对AES算法Cache计时模板攻击时会触发大量的Cache失效,容易被硬件计数器检测出来的问题,基于Flush+Flush攻击模型,提出一种基于欧氏距离的AES算法模板攻击方法,以减少触发Cache失效的次数,使攻击更加隐蔽.使用Flush+Flush攻击模型获取AES算法在内存中映射的位置;利用已知明文攻击不断地触...