基于Cache Missing的RSA计时攻击

由于同步多线程允许多个执行线程之间共享处理器的执行单元,为共享Cache存储器提供了线程闻一个实现简单、高带宽的隐通道,使得一个恶意线程能够监视其他线程访问的资源.以OpenSSL0.9.7c实现的RSA算法为攻击对象,通过执行一个间谍线程,监视密码线程,观测RSA解密时读取Cache数据变化时反应的时间特性,通过分析这些时间信息推论出RSA的解密密钥.最后介绍了如何减轻甚至消除这种攻击的建议.     

真实硬件环境下幂剩余功耗轨迹指数信息提取

为获取真实硬件上实现的公钥密码密钥信息,提出了实用功耗分析模型,并归纳出指数信息提取的信息处理方法;利用自主设计实现的功耗分析平台获取了幂剩余算法功耗轨迹图,成功提取出其32bit指数信息;推翻了Messerges等关于使用SPA攻击难以在真实硬件环境下直接获取RSA密钥信息的论断;此外,还验证了静态掩盖算法抗SPA攻击的有效性.     

基于公钥体制的交互式自主授权认证协议

在RSA密码体制基本原理的基础上,提出了一种通过通信双方交互式认证过程实现密码自主授权密钥在线分发的协议。     

针对IDEA算法实现方式的时间攻击

传统上认为,密码系统的安全性主要依赖于系统使用的密码算法的安全性,对系统的攻击是基于敌手只能通过系统的输入输出信道获取信息的假设。实际上,密码系统的旁路信息（如时间信息等）也可以被利用来实现攻击。时间攻击就是这一类攻击方法,它通过分析密码系统的运算环节在执行加密过程中的时间信息来恢复密钥。针对IDEA密码算法的实现特点提出一种时间攻击方法,从理论上分析该方法的有效性,并给出抵抗这种攻击的对策。     

对混沌序列密码的相关密钥攻击

该文首次提出了对混沌序列密码的相关密钥攻击方法。该方法将线性密码分析的思想与对混沌密码的分割攻击方法相结合, 利用多个相关密钥产生的乱数序列对混沌密码实施分割攻击, 从而大大提高了分割攻击方法的效率, 克服了当混沌密码吻合度分布泄漏的信息较小或密钥规模较大时, 分割攻击方法难以将攻击方案的计算复杂性降低在可实现范围内的局限。作为例子, 该文实现了对具有64bit密钥的ZLL混沌密码的相关密钥攻击, 在主频为2.5GHz的Pentium 4-PC机上, 整个攻击时间平均为154s, 成功率为0.96。     

基于差异度的密码芯片旁路攻击研究

针对旁路攻击方法存在的样本量大、分析时间长等问题,结合微控制器的系统结构,分析了旁路泄漏信号的噪声来源及其差分抑制方法;定义了信号差异度和汉明距离差异度,分析了二者间的反比映射关系;利用加密过程中差异度的变化特征,提出了基于差异度的密钥分析方法;以DES密码算法为验证目标,仅用150组功耗轨迹,分析用时1.03 s破解了密钥,可推广应用于以通用微控制器作为实现载体的其他分组密码系统。     

5轮SAFER++的非线性密码分析

SAFER 是进入NESSIE第二轮评估的 7个算法之一 .设计者称 2 .5轮SAFER 可以抵抗线性密码分析 .JNakahara指出对某些密钥 ,改进型线性密码分析攻击 4轮SAFER 比强力攻击有效 .本文对SAFER 的基础模块深入分析和测试后 ,对 5轮SAFER 进行非线性密码分析 ;攻击对 2 2 52 个 2 5 6比特长度的密钥有效 ,攻击的数据复杂度为 2 12 0 .虽然此攻击对SAFER 的实际安全构不成威胁 ,但是显示非线性密码分析攻击 5轮SAFER 比强力攻击有效 ,也说明了非线性密码分析攻击 5轮SAFER 比线性密码分析和JNakahara等的改进型线性密码分析有效     

PRESENT密码代数故障攻击

提出了一种新的PRESENT密码故障分析方法——代数故障攻击。将代数攻击和故障攻击相结合,首先利用代数攻击方法建立密码算法等效布尔代数方程组;然后通过故障攻击手段获取错误密文信息,并将故障差分和密文差分转化为额外的布尔代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。结果表明:在PRESENT-80的第29轮注入宽度为4的故障,故障位置和值未知时,2次故障注入可在50s内恢复64bit后期白化密钥,将PRESENT-80密钥搜索空间降低为216,经1min暴力破解恢复完整主密钥;和现有PRESENT故障攻击相比,该攻击所需样本量是最小的;此外该代数故障分析方法也可为其他分组密码故障分析提供一定思路。     

针对RSA-CRT数字签名的光故障攻击研究

通过研究密码芯片SRAM存储单元构造,利用激光改变进行运算的SRAM存储单元的逻辑状态,分析光注入对SRAM存储单元的影响。以Montgomery乘的 RSA－CRT数字签名算法为攻击对象,分析其算法的实现过程和故障注入机理。针对密码芯片实现的8位RSA－CRT签名算法,使用半导体激光作为注入光源,搭建光注入实验平台,在计算Sq时刻进行故障注入,从而得到故障签名,通过分析故障签名与N的关系,成功的获得了大素数q,验证了光故障攻击的有效性。     

基于RSA体制的分布式秘钥托管方案研究

基于RSA密码体制对秘钥托管方案进行了进一步的研究和优化实现--多素数RSA密码体制。该优化方案满足了对用户秘钥安全管理与司法部门调查取证之间的协调,有效的解决了“一次监听,永久监听”问题,而且每个托管代理能够验证他所托管的子密钥的有效性,实现分布式托管的优化,规避了“阈下攻击”和托管部门权力滥用等问题。     

分组密码的选择密钥攻击

本文介绍丁对分组密码的一种新型攻击,它比以前考虑的所有攻击都强。这种“选择密钥攻击”是已被普遍接受的选择明文攻击的一种推广。我们给出了一个例子,说明在选择明文攻击下不可破的分组密码,却立刻为选择密钥攻击所破。一般选择密钥攻击在2~(n/2)次运算内可破n比特密钥。黑箱理论证明对于通常的攻击,这个结果是最好的。     

RSA密码算法的可重构设计与实现

本文对RSA密码算法的实现和可重构性进行了分析,在对模幂模块和模乘模块进行了可重构设计的基础上,提出一种可重构RSA硬件架构,使其能够适配256bit、512bit、1024bit、2048bit四种不同密钥长度的应用。RSA可重构设计在FPGA上进行了实现与测试,结果表明,工作在200MHz时钟时,2048bit密钥长度RSA在最坏情况下数据吞吐量可达46kb／s,能够满足高性能的信息安全系统对RSA算法的加密速度要求。     

改进的减轮MIBS-80密码的中间相遇攻击

MIBS密码算法是一个Feistel结构的轻量级分组密码,广泛适用于资源严格受限的环境。该文利用多重集和有效的差分枚举方法,构造了8轮MIBS中间相遇区分器,并在新区分器的基础上,实现了12轮和13轮MIBS-80密码的中间相遇攻击。攻击过程利用差分传递的性质筛选明文对,利用MIBS-80密钥扩展算法中主密钥和轮密钥的关系减少密钥的猜测量,攻击12轮MIBS-80的时间复杂度为253.2,攻击13轮MIBS-80的时间复杂度为262。与已有中间相遇攻击的结果相比,该文对MIBS-80中间相遇攻击的轮数提高了2轮。     

用于多媒体加密的基于身份的密钥协商协议的安全性

最近Yi等(2002)提出了一个用于多媒体加密的基于身份的密钥协商协议。协议建立在Diffie-Hellman 密钥交换协议和RSA公钥密码体系之上。Yi等分析了协议的安全性,并认为该协议对于恶意攻击是鲁棒的。然而,本文证明该协议对于某些攻击如伪造秘密信息和篡改交换消息是脆弱的,并分析了该协议受到这些攻击的原因。本文指出由于该协议内在的缺陷,该协议可能难于改善。     

基于微控制器的AES激光注入攻击研究

密码设备面临故障攻击的威胁,针对密码芯片的故障攻击手段研究是密码学和硬件安全领域的重要研究方向.脉冲激光具有较好的时空分辨性,是一种准确度较高的故障攻击手段.该文详细描述了激光注入攻击的原理和方法,以集成AES-128算法的微控制器(MCU)为例实施了激光注入攻击实验.实验以微控制器的SRAM为攻击目标,分别成功实现了差分故障攻击和子密钥编排攻击,恢复了其16 Byte的完整密钥,其中后一种攻击是目前首次以激光的手段实现.研究表明,激光注入攻击能准确定位关键数据存放的物理位置,并能在任意的操作中引入错误,实现单比特的数据翻转,满足故障攻击模型的需求.激光注入攻击能在较短时间内完成自动攻击和密文收集,攻击过程贴近真实场景,对密码芯片具有极大的威胁.     

基于微控制器的AES激光注入攻击研究

密码设备面临故障攻击的威胁,针对密码芯片的故障攻击手段研究是密码学和硬件安全领域的重要研究方向。脉冲激光具有较好的时空分辨性,是一种准确度较高的故障攻击手段。该文详细描述了激光注入攻击的原理和方法,以集成AES-128算法的微控制器(MCU)为例实施了激光注入攻击实验。实验以微控制器的SRAM为攻击目标,分别成功实现了差分故障攻击和子密钥编排攻击,恢复了其16 Byte的完整密钥,其中后一种攻击是目前首次以激光的手段实现。研究表明,激光注入攻击能准确定位关键数据存放的物理位置,并能在任意的操作中引入错误,实现单比特的数据翻转,满足故障攻击模型的需求。激光注入攻击能在较短时间内完成自动攻击和密文收集,攻击过程贴近真实场景,对密码芯片具有极大的威胁。     

KeeLoq密码Courtois攻击方法的分析和修正

KeeLoq密码是由Willem Smit设计的分组密码算法,广泛应用于汽车的无线门锁装置。Courtois等人在2007年提出了破译KeeLoq的4种滑动-代数攻击方法,其中第4种滑动-代数攻击方法的计算复杂性最小。本文证明了Courtois的第4种滑动-代数攻击方法的攻击原理是错误的,因而无法实现对KeeLoq的破译。此外,本文还对该方法进行了修正,提出了改进的攻击方法,利用232个已知明文能够以O(248) 次加密的计算复杂性求出KeeLoq密码的密钥,成功率为1。对于KeeLoq密码26％的密钥,其连续64圈圈函数形成的复合函数至少具有两个不动点,此时改进的攻击方法的计算复杂性还可降至O(248) 次加密。     

智能卡差分能量分析实验平台实现与数据优化

随着密码学和密码芯片的广泛应用,针对密码芯片的攻击也日益增多.差分能量分析（Differential Power Analysis,DPA）攻击是最常见的一种侧信道攻击方法.DPA攻击者无须了解加密算法的具体细节,而只通过密码设备的能量迹分析即可破解出设备的密钥.因此,研究DPA攻击十分必要.实现了智能卡DPA实验系统,并对于此系统的能量迹测量数据进行优化处理,从而更有利于针对此类攻击的分析和相应防御措施的设计.     

基于AES和RSA的加密信息传送方案

AES私钥密码体制加解密效率高，但在密钥管理方面比较困难，而RSA公钥密码体制不存在密钥管理的问题，但是加解密效率很低。根据这两种密码体制的优缺点，提出了基于AES和RSA的加密信息传送方案。此方案不但改善了RSA加解密的速度慢的缺点，也解决了AES体制申密钥管理因难的问题。     

基于改进RSA算法的隐私数据集同态加密方法

为提高对数据集的加密效果和保障数据集的安全性,在分析传统非对称密钥(RSA)算法运行原理及其参数选择、素数判定条件的基础上,提出了改进RSA算法。为进一步提升加密速度,引入数据加密(DES)算法。首先利用DES算法实现明文数据集的加密,并针对密钥进行RSA加密;在此基础上,在明文和密文空间中,利用加法同态过程对密文进行计算,并通过对结果的解密操作得到相应的明文计算结果。实验结果表明,与基于传统RSA算法或DES算法的加密方法相比,该方法的加密效率和抵御攻击成功率更高,加密过程耗时5~6 s,抵御攻击成功率保持在95%上下,说明该方法能够有效保护隐私数据集的安全。