[发明专利]一种针对AES-128算法的新型故障攻击方法

权利要求书

1.一种针对AES-128算法的新型故障攻击方法，其特征在于包括以下步骤：

1)攻击者随机选择一个明文，获取该明文在初始密钥作用下的正确密文，将该正确密文记为C，C=SR(SB(S⊕K9))⊕K10,]]>其中，S表示AES-128加密算法中经第九轮列混淆操作后的状态，K⁹表示AES-128加密算法中第九轮子密钥加操作所需的子密钥，K⁹包含W[36]、W[37]、W[38]和W[39]四列16个字节的信息，W[36]列包含K⁹中的第0个字节的信息K₀⁹、第1个字节的信息K₁⁹、第2个字节的信息K₂⁹和第3个字节的信息K₃⁹，W[37]列包含K⁹中的第4个字节的信息K₄⁹、第5个字节的信息K₅⁹、第6个字节的信息K₆⁹和第7个字节的信息K₇⁹，W[38]列包含K⁹中的第8个字节的信息K₈⁹、第9个字节的信息K₉⁹、第10个字节的信息K₁₀⁹和第11个字节的信息K₁₁⁹，W[39]列包含K⁹中的第12个字节的信息K₁₂⁹、第13个字节的信息K₁₃⁹、第14个字节的信息K₁₄⁹和第15个字节的信息K₁₅⁹，SB表示AES-128加密算法中第十轮加密的字节代换操作，SR表示AES-128加密算法中第十轮加密的行变换操作，K¹⁰表示AES-128加密算法中第十轮子密钥加操作所需的子密钥，为异或操作符号；

2)攻击者对步骤1)中随机选择的明文进行加密操作，在加密操作过程中任选已正确生成且已储存在静态存储器中的K⁹的前三列中的一列，对所选列的所有字节进行随机故障诱导，每次随机故障诱导操作均获得一个包含多个字节的随机故障的有效错误密文，记为F，F=SR(SB(S⊕K~9))⊕K~10,]]>表示包含随机故障的第九轮子密钥，表示包含随机故障的第十轮子密钥；然后，攻击者依照AES-128加密算法的工作原理，采用差分分析技术恢复得到K¹⁰的4个字节的信息；

3)采用与步骤2)相同的操作，对K⁹的前三列中剩余两列分别进行随机故障诱导，共恢复得到K¹⁰的12个字节的信息；

4)对K⁹的最后一列字节的信息进行暴力攻击，获取K¹⁰的剩余4个字节的信息；

5)攻击者根据AES-128密钥扩展算法的工作原理以及恢复得到的K¹⁰，逆向计算得到初始密钥。

2.根据权利要求1所述的一种针对AES-128算法的新型故障攻击方法，其特征在于所述的步骤2)中当随机故障诱导操作选择的是K⁹的第一列W[36]时，对W[36]的所有字节进行随机故障诱导，获得包含多个字节的随机故障的有效错误密文F，并以此恢复得到K¹⁰中的4个字节的具体过程为：

a-1、分别向W[36]的每个字节中引入8比特的随机故障，得到包含随机故障的第九轮子密钥，记为

a-2、根据以及AES-128密钥扩展算法的工作原理，获得包含随机故障的第十轮子密钥然后分别构建两个4×4的二维数组，分别记为A和B，将A中的元素记为A_i，Ai=Ki9⊕K~i9,]]>将B中的元素记为B_i，Bi=Ki10⊕K~i10;]]>根据AES-128密钥扩展算法的工作原理，确定B与A之间存在线性关系，表示为：B=A×1111000000000000,]]>其中，i＝0，1，2，…，14，15，K_i⁹表示K⁹中的第i个字节，表示中的第i个字节，K_i¹⁰表示K¹⁰中的第i个字节，表示中的第i个字节；

a-3、根据AES-128密钥扩展算法的工作原理及B与A之间的线性关系，确定的所有字节中均被引入8比特的随机故障，且的每一行中的每个字节包含的随机故障相同，且的任意一行的每个字节包含的8比特的随机故障与W[36]相同行内字节中包含的随机故障相同，通过最后一轮加密算法的子密钥加操作后造成输出的密文中的所有字节出现故障；

a-4、根据AES-128加密算法的工作原理，确定AES-128加密算法中经第九轮加密后的加密结果中的第一列的所有字节中均被引入8比特的随机故障，将包含随机故障的第九轮加密结果记为其中，与对应字节包含的随机故障相同；

a-5、依次完成AES-128加密算法中第十轮加密的字节代换操作、行变换操作和子密钥加操作，造成输出的密文中的4个字节出现故障；然后结合所造成的输出的密文中的所有字节出现故障，最终得到一个16个字节均包含随机故障的有效错误密文，记为F，F=SR(SB(S⊕K~9))⊕K~10,]]>其中，式表示随机故障经AES-128加密算法传递，式表示随机故障经AES-128密钥扩展算法传递；

a-6、对C=SR(SB(S⊕K9))⊕K10]]>和F=SR(SB(S⊕K~9))⊕K~10]]>分别进行逆操作，并根据AES-128加密算法中经第九轮列混淆操作后的状态S不受多字节故障诱导影响的特点，得到K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0;]]>然后向K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0]]>中引入A和B，得到InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0,]]>其中，InvSB表示AES-128加密算法中第十轮加密的字节代换操作的逆操作，InvSR表示AES-128加密算法中第十轮加密的行变换操作的逆操作；

a-7、将InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0]]>以字节形式表示为InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0,]]>其中，j＝0，1，2，…，14，15；

a-8、根据AES-128加密算法中第十轮加密的行变换操作的逆操作InvSR的工作特点，确定当i＝0，4，8，12时j＝i，当i＝1，5，9，13时j＝(i+4)％16，当i＝2，6，10，14时j＝(i+8)％16，当i＝3，7，11，15时j＝(i+12)％16，其中，“％”为求余数符号；然后根据i和j的对应关系消除InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0]]>中的InvSR，得到InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0;]]>

a-9、根据造成的输出的密文中的所有字节出现故障和造成的输出的密文中的4个字节出现故障，确定经上述两个随机故障传递过程影响的字节在有效错误密文中存在一个交集，将交集中包含随机故障的第1字节作为当前字节，记为C_s，s∈{0，7，10，13}；

a-10、根据当前字节C_s在有效错误密文F中的位置s和InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0,]]>确定A中与C_s对应的字节的位置x，当s＝0时x＝s，当s＝13时x＝(s+4)％16，当s＝10时x＝(s+8)％16，当s＝7时x＝(s+12)％16；再在空间大小为2⁸的搜索空间内对K_s¹⁰进行穷尽搜索，得到K_s¹⁰的一组解；

a-11、将交集中包含随机故障的下一个字节作为当前字节，返回步骤a-10继续执行，直至交集中包含随机故障的所有字节全部处理完毕，最终得到K¹⁰中的第0个字节K₀¹⁰、第7个字节K₇¹⁰、第10个字节K₁₀¹⁰和第13个字节K₁₃¹⁰的一组解；

a-12、再次向K⁹的W[36]的所有字节中引入随机故障，并采用与步骤a-2至步骤a-11相同的操作，得到K¹⁰的第0个字节K₀¹⁰、第7个字节K₃¹⁰、第10个字节K₁₀¹⁰和第13个字节K₁₃¹⁰的另一组解；

a-13、将由步骤a-11与步骤a-12得到的两组关于K₀¹⁰、K₇¹⁰、K₁₀¹⁰、K₁₃¹⁰4个字节的解中的相同值作为各自字节的正确值；

当随机故障诱导操作选择的是K⁹的第二列W[37]时，对W[37]的所有字节进行随机故障诱导，获得包含多个字节的随机故障的有效错误密文F，并以此恢复得到K¹⁰中的4个字节的具体过程为：

b-1、分别向W[37]的每个字节中引入8比特的随机故障，得到包含随机故障的第九轮子密钥，记为

b-2、根据以及AES-128密钥扩展算法的工作原理，获得包含随机故障的第十轮子密钥然后分别构建两个4×4的二维数组，分别记为A和B，将A中的元素记为A_i，Ai=Ki9⊕K~9,]]>将B中的元素记为B_i，Bi=Ki10⊕K~10;]]>根据AES-128密钥扩展算法的工作原理，确定B与A之间存在线性关系，表示为：B=A×0000011100000000,]]>其中，i＝0，1，2，…，14，15，K_i⁹表示K⁹中的第i个字节，表示中的第i个字节，K_i¹⁰表示K¹⁰中的第i个字节，表示中的第i个字节；

b-3、根据AES-128密钥扩展算法的工作原理及B与A之间的线性关系，确定的所有字节中均被引入8比特的随机故障，且的每一行中的第二列至第四列中的字节包含的随机故障相同，且的任意一行的第二列至第四列中的每个字节中包含的8比特的随机故障与W[37]中相同行内字节中包含的8比特的随机故障相同，通过最后一轮加密算法的子密钥加操作后造成输出的密文的第二列至第四列中的所有字节出现故障；

b-4、根据AES-128加密算法的工作原理，确定AES-128加密算法中经第九轮加密后的加密结果中的第二列的所有字节均被引入了8比特的随机故障，将包含随机故障的第九轮加密结果记为其中，与对应字节包含的随机故障相同；

b-5、依次完成AES-128加密算法中第十轮加密的字节代换操作、行变换操作和子密钥加操作，造成输出的密文中的4个字节出现故障；然后结合所造成的输出的密文的第二列至第四列中的所有字节出现故障，最终得到一个13个字节包含随机故障的有效错误密文，记为F，且F=SR(SB(S⊕K~9))⊕K~10,]]>其中，式表示随机故障经AES-128加密算法传递，式表示随机故障经AES-128密钥扩展算法传递；

b-6、对C=SR(SB(S⊕K9))⊕K10]]>和F=SR(SB(S⊕K~9))⊕K~10]]>分别进行逆操作，并根据AES-128加密算法中经第九轮列混淆操作后的状态S不受多字节故障诱导影响的特点，得到K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0;]]>然后向K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0]]>中引入A和B，得到InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0,]]>其中，InvSB表示AES-128加密算法中第十轮加密的字节代换操作的逆操作，InvSR表示AES-128加密算法中第十轮加密的行变换操作的逆操作；

b-7、将InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0]]>以字节形式表示为InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0,]]>其中，j＝0，1，2，…，14，15；

b-8、根据AES-128加密算法中第十轮加密的行变换操作的逆操作InvSR的工作特点，确定当i＝0，4，8，12时j＝i，当i＝1，5，9，13时j＝(i+4)％16，当i＝2，6，10，14时j＝(i+8)％16，当i＝3，7，11，15时j＝(i+12)％16，其中，“％”为求余数符号；然后根据i和j的对应关系消除InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0]]>中的InvSR，得到InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0;]]>

b-9、根据造成的输出的密文的第二列至第四列中的所有字节出现故障和造成的输出的密文中的4个字节出现故障，确定经上述两个随机故障传递过程影响的字节在有铲错误密文中存在一个交集，将交集中包含随机故障的第1个字节作为当前字节，记为C_s，s∈{1，4，11，14}；

b-10、根据当前字节C_s在有效错误密文F中的位置s和InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0,]]>确定与C_s对应的字节的位置x，当s＝4时x＝s，当s＝1时x＝(s+4)％16，当s＝14时x＝(s+8)％16，当s＝11时x＝(s+12)％16；再在空间大小为2⁸的搜索空间内对K_s¹⁰进行穷尽搜索，得到K_s¹⁰的一组解；

b-11、将交集中包含随机故障的下一个字节作为当前字节，返回步骤b-10继续执行，直至交集中包含随机故障的所有字节全部处理完毕，最终得到K¹⁰中的第1个字节K₁¹⁰、第4个字节K₄¹⁰、第11个字节K₁₁¹⁰和第14个字节K₁₄¹⁰的一组解；

b-12、再次向K⁹的W[37]的所有字节中引入随机故障，并采用与步骤b-2至步骤b-11相同的操作，得到K¹⁰的第1个字节K₁¹⁰、第4个字节K₄¹⁰、第11个字节K₁₁¹⁰和第14个字节K₁₄¹⁰的另一组解；

b-13、将由步骤b-11与步骤b-12得到的两组关于K₁¹⁰、K₄¹⁰、K₁₁¹⁰、K₁₄¹⁰4个字节的解中相同值作为各自字节的正确值；

当随机故障诱导操作选择的是K⁹的第三列W[38]时，对W[38]的所有字节进行随机故障诱导，获得包含多个字节的随机故障的有效错误密文F，并以此恢复得到K¹⁰中的4个字节的具体过程为：

c-1、分别向W[38]的每个字节中引入8比特的随机故障，得到包含随机故障的第九轮子密钥，记为

c-2、根据以及AES-128密钥扩展算法的工作原理，获得包含随机故障的第十轮子密钥然后分别构建两个4×4的二维数组，分别记为A和B，将A中的元素记为A_i，Ai=Ki9⊕K~9,]]>将B中的元素记为B_i，Bi=Ki10⊕K~10;]]>根据AES-128密钥扩展算法的工作原理，确定B与A之间存在线性关系，表示为：B=A×0000000000110000,]]>其中，i＝0，1，2，…，14，15，K_i⁹表示K⁹中的第i个字节，表示中的第i个字节，K_i¹⁰表示K¹⁰中的第i个字节，表示中的第i个字节；

c-3、根据AES-128密钥扩展算法的工作原理及B与A之间的线性关系，确定的的第三列至第四列中的所有字节中均被引入8比特的随机故障，且K¹⁰的每一行中的第三列至第四列中的字节包含的随机故障相同，且的任意一行的第三列至第四列中的每个字节中包含的8比特的随机故障与W[38]相同行内字节中包含的8比特的随机故障信息相同，通过最后一轮加密算法的子密钥加操作后造成输出的密文的第三列至第四列中的所有字节出现故障；

c-4、根据AES-128加密算法的工作原理，确定AES-128加密算法中经第九轮加密后的加密结果中的第三列的所有字节均被引入了8比特的随机故障，将包含随机故障的第九轮加密结果记为其中，与对应字节包含的随机故障相同；

c-5、依次完成AES-128加密算法中第十轮加密的字节代换操作、行变换操作和子密钥加操作，造成输出的密文中的4个字节出现故障；然后结合所造成的输出的密文的第三列至第四列中的所有字节出现故障，最终得到一个10个字节包含随机故障的有效错误密文，记为F，且F=SR(SB(S⊕K~9))⊕K~10,]]>其中，式表示随机故障经AES-128加密算法传递，式表示随机故障经AES-128密钥扩展算法传递；

c-6、对C=SR(SB(S⊕K9))⊕K10]]>和F=SR(SB(S⊕K~9))⊕K~10]]>分别进行逆操作，并根据AES-128加密算法中经第九轮列混淆操作后的状态S不受多字节故障诱导影响的特点，得到K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0;]]>然后向K9⊕InvSB(InvSR(K10⊕C))⊕K~9⊕InvSB(InvSR(K~10⊕F))=0]]>中引入A和B，得到InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0,]]>其中，InvSB表示AES-128加密算法中第十轮加密的字节代换操作的逆操作，InvSR表示AES-128加密算法中第十轮加密的行变换操作的逆操作；

c-7、将InvSB(InvSR(K10⊕C))⊕A⊕InvSB(InvSR(K10⊕B⊕F))=0]]>以字节形式表示为InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0,]]>其中，j＝0，1，2，…，14，15；

c-8、根据AES-128加密算法中第十轮加密的行变换操作的逆操作InvSR的工作特点，确定当i＝0，4，8，12时j＝i，当i＝1，5，9，13时j＝(i+4)％16，当i＝2，6，10，14时j＝(i+8)％16，当i＝3，7，11，15时j＝(i+12)％16，其中，“％”为求余数符号；然后根据i和j的对应关系消除InvSB(InvSR(Ki10⊕Ci))⊕Aj⊕InvSB(InvSR(Ki10⊕Bi⊕Fi))=0]]>中的InvSR，得到InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0;]]>

c-9、根据造成的输出的密文的第三列至第四列中的所有字节出现故障和造成的输出的密文中的4个字节出现故障，确定经上述两个随机故障传递过程影响的字节在有效错误密文中存在一个交集，将交集中包含随机故障的第1个字节作为当前字节，记为C_s，s∈{2，5，8，15}；

c-10、根据当前字节C_s在有效错误密文F中的位置s和InvSB(Ki10⊕Ci)⊕Aj⊕InvSB(Ki10⊕Bi⊕Fi)=0,]]>确定与C_s对应的字节的位置x，当s＝8时x＝s，当s＝5时x＝(s+4)％16，当s＝2时x＝(s+8)％16，当s＝15时x＝(s+12)％16；再在空间大小为2⁸的搜索空间内对K_s¹⁰进行穷尽搜索，得到K_s¹⁰的一组解；

c-11、将交集中包含随机故障的下一个字节作为当前字节，返回步骤c-10继续执行，直至交集中包含随机故障的所有字节全部处理完毕，最终得到K¹⁰中的第2个字节K₂¹⁰、第5个字节K₅¹⁰、第8个字节K₈¹⁰和第15个字节K₁₅¹⁰的一组解；

c-12、再次向K⁹的W[38]的所有字节中引入随机故障，并采用与步骤c-2至c-11相同的操作，得到K¹⁰的第2个字节K₂¹⁰、第5个字节K₅¹⁰、第8个字节K₈¹⁰和第15个字节K₁₅¹⁰的另一组解；

c-13、将由步骤c-11与步骤c-12得到的两组关于K₂¹⁰、K₅¹⁰、K₈¹⁰、K₁₅¹⁰4个字节的解中相同值作为各自字节的正确值。