[发明专利]加密系统边信道攻击测试方法

说明书

技术领域

本发明涉及信息安全技术。

背景技术

对RSA算法机制进行SPA攻击的基本思想就是区分功耗曲线中模乘运算与模平方运算的不同特征，据此破解出密钥。近年出现很多将功耗分析攻击方法与传统密码分析方法结合的攻击方法。如文献[57]将故障攻击与功耗分析结合，文献[57,58]中将选择明文与简单功耗分析结合，提取密钥。文献[59]将选择明文与时间攻击结合。文献[49,60]给出了基于中国剩余定理(Chinese Remainder theorem，CRT)的实现算法的选择明文与SPA结合的攻击。

在密码学或密码分析中，选择明文攻击是一种传统的密码分析方法。在这种攻击方法中，攻击者可以事先任意选择一定数量的明文，让被攻击的加密算法加密，并得到相应的密文。攻击者的目标是通过这一过程获得关于加密算法的一些信息，以利于攻击者以后更有效的破解由同样加密算法(以及相关钥匙)加密的信息。在最坏情况下，攻击者可以直接获得解密用的钥匙。这种攻击模式乍看起来并不现实，因为很难想像攻击者可以选择任意的信息并要求加密系统进行加密。不过，在公钥密码学中，这就是一个很现实的模式。这是因为公钥密码方案中，加密用的公钥是公开的，这样攻击者就可以直接用它来加密任意的信息。

在已知明文攻击、已知密文攻击和选择明文攻击这几种方式当中，选择明文攻击是对密码系统最有威胁的一种。一个安全的密码系统必须能抵御选择明文密码攻击。

将选择明文攻击与功耗分析攻击相结合，在被控设备上输入特定的明文或消息，运行被攻击密码系统加密或签名，得到相应密文或签名。在此过程中捕获功耗曲线，寻找其功耗特征与秘密信息的相关性，以便恢复密钥。

参见S.M.Yen,W.C.Lien,S.J.Moon,and J.C.Ha,”Power analysis by exploiting chosen message and internal collisions vulnerability of checking mechanism for RSA-decrytion.”Mycrypt 2005,Lecture Notes in Computer Science,vol.3715,pp.183-195,sep 2005。Yen等人提出一种以N-1为特殊输入数据的选择明文SPA攻击。当以N-1这一特殊数据为明文进行SPA攻击时，S1、S2和M三种运算在整个模幂过程中出现的顺序存在着特定的规律。而且由于输入数据的特殊性，三种运算所对应的功耗差异明显，进行相同运算时，功耗接近。

以密钥“10100”为例，描述明文为N-1时运算过程中的操作特性及数据特性。明文为N-1时，从左到右BR算法所对应的运算和数据如表1所示。

表1密钥为“10100”，明文为N-1时的运算过程

由表1中得出：在以“N-1”为明文进行操作过程中，各个模乘计算结束后，只存在三种情况：第一种情况，操作数是“1”，乘数是“N-1”，结果为“N-1”；第二种情况，操作数都是“N-1”，乘数是“N-1”，结果为“1”；第三种情况，操作数都是“1”，乘数都是“1”，结果为“1”。这三种情况我们分别用M、S1和S2来表示：

在整个从左到右的BR算法的运算过程中，这些关系都是不变的。蒙哥马利算法作为一种模乘运算的快速算法，也被应用到RSA算法的SPA攻击过程中。运用蒙哥马利算法后，预处理操得到M'＝(N-1)×RmodN＝N-1和C'＝1×RmodN＝R，在上述从左到右的BR算法过程中，运算和数据结果如表2所示。

表2密钥为“10100”，明文为N-1时的详细运算过程

三种运算形式分别变为如下三种运算：

在整个模幂运算过程中，这三种运算的顺序有着一定规律，它们的顺序排列规律如表3所示。

表3三种运算间关系