[发明专利]一种抗侧信道攻击的对策方法

说明书

技术领域

本发明涉及一种用于分组密码的抗侧信道攻击的对策方法，尤其，但不排他地，涉及一种使用适当匹配(match-in-place)函数的对策方法。

背景技术

现今使用的许多现有加密算法，比如最广泛使用的‘高级加密标准(AES)’的加密算法易受差分功率分析(DPA)的攻击。DPA是侧信道攻击，其主要在于，首先测量当执行密码算法时微处理器的功率消耗然后执行统计分析以便恢复在用于加密的密码算法中使用的秘密密钥。一旦秘密密钥已经确定，就可能解密经加密的信息。

微处理器的电磁放射也可以被测量并利用以确定在用于加密的密码算法中使用的秘密密钥。

为保护抗DPA的秘密密钥算法的常见技术包括利用随机掩码(mask)来屏蔽(mask)每一个中间变量。然后，屏蔽的数据和随机掩码可以被独立地处理并且最终在算法结束时重新结合。试图分析微处理器在单个点处功率消耗的攻击者会获得随机值(随机数据值和随机掩码值)；因此，这种屏蔽对于抵抗一阶DPA将是安全的。

屏蔽对策由用于保护给定的敏感变量的随机掩码的数量进行表征；具有d个随机掩码的屏蔽称作d阶屏蔽。d阶屏蔽只能通过(d+1)阶侧信道分析进行破解，即，需要同时处理d+1个变量的攻击。破解一种对策所需要的执行数量随着阶数d而指数地增长。因此，阶数d是良好的安全准则。然而，实际上最有效的对策是仅阶数d＝1。

已示出了二阶DPA攻击来对屏蔽的数据进行解密是可能的。因此，为了获得对数据的完全安全的加密，需要更好的对策。

对策中的进一步的发展已经实现；最新的抗信道攻击的对策中的一个是具有阶数d＝2的对策。

对于任何屏蔽对策来说，最主要的困难是保护算法的非线性部分；对于高级加密标准(AES)来说，算法的非线性部分实质上是SBOX函数。使用的技术包括针对每个SBOX查找在整个SBOX函数上进行迭代，利用被实施为子例程的比较算法。为每个SBOX输入调用该比较算法，可以示出该对策可以抵抗任何二阶侧信道攻击。

然而因为在执行期间需要许多操作并且在执行期间也使用许多微处理器存储器，这样的屏蔽对策效率低下。

本发明的目的是避免或减缓上述缺点的至少一些。

发明内容

根据本发明，通过一种抗侧信道攻击的对策方法来实现这些目的，该方法包括执行分组密码算法来屏蔽中间变量，其中分组密码算法包括一个或多个非线性函数，其特征在于使用适当匹配函数来实施至少一个非线性函数。

本发明的方法利用适当匹配函数来提高该方法的效率。使用适当匹配函数降低了为提供抗侧信道攻击的有效对策所需的操作的数量。另外，相比已知的方法，执行本发明的方法需要更少的存储器。

适当匹配函数可以是位随机化的(bit-randomized)适当匹配函数(MIPI(data；adr，b))。

可以将位随机化的适当匹配函数定义为：

其中adr是存储器中的地址，data是可存储在存储器中的地址处的变量，以及b是在data变量等于在存储器中地址adr处存在的实际数据的情况下返回的值；否则返回b的补数。b也可以是位值。

下述关系可以存在：

MIPI(data;adr;b)=MIP(data;adr)⊕b‾]]>

其中是b的补数。

至少一个非线性函数可以包括compareb函数，其可以定义为：