[发明专利]一种智能卡SM4算法的DPA攻击与密钥还原方法及系统

说明书

技术领域

本发明属于智能卡安全领域，具体涉及一种智能卡SM4算法的DPA攻击与密钥还原方法和系统。

背景技术

SM4算法是国家密码管理局2012年批准的密码行业标准的一种，属于分组密码对称加密算法。SM4算法的分组长度和密钥长度均为128比特。加密算法与密钥扩展算法采用32轮非线性迭代结构，加密过程的每一轮中使用的运算包括异或运算、非线性t变换和线性L变换，其中非线性t变换中使用了16*16长度大小的S盒。SM4解密算法与加密算法的结构相同，只是轮密钥的使用顺序相反，解密轮密钥是加密轮密钥的逆序。

现有的差分功耗分析（DPA）攻击是针对智能卡较之有效的攻击手段，该攻击手段能够通过大量采集智能卡内加密算法加密的功耗曲线，运用统计学的分析计算得到智能卡内算法加密的密钥。目前DPA攻击已经有了针对DES等加密算法的攻击实现，但尚未有针对智能卡中SM4算法的DPA攻击实现和密钥还原方法。

发明内容

针对现有技术中存在的缺陷，本发明的目的是提供一种智能卡SM4算法的DPA攻击与密钥还原方法和系统。该方法和系统能够实现智能卡上SM4算法的DPA攻击，还原SM4加密密钥，验证智能卡上SM4算法的抗攻击能力。

为达到以上目的，本发明采用的技术方案是：一种智能卡SM4算法的DPA攻击与密钥还原方法，包括以下步骤：

步骤一，对SM4算法加密过程的前4轮进行DPA攻击，获取前4轮的子密钥；

步骤二，利用得到的前4轮子密钥恢复SM4密钥。

进一步，步骤一中，所述的SM4算法的密钥长度为128位，生成32轮子密钥参与每轮的运算，其中每一轮子密钥的长度为32位，每一轮运算中4次使用到了S盒。

更进一步，步骤一中，通过攻击S盒输出数据实现对SM4算法加密过程的前4轮进行DPA攻击，获取前4轮的子密钥。

进一步，针对SM4算法中S盒输出数据的DPA攻击方法包括：攻击SM4算法的S盒输出数据字节的汉明重量；攻击SM4算法的S盒输出数据的某一位；攻击SM4算法的S盒输出所有位。

更进一步，针对SM4算法中S盒输出数据的DPA攻击方法包括以下步骤：

1)设计一个猜测的子密钥数组k[]，这个数组的长度为2⁸：

int[]k={0x00000000,0x01010101,0x02020202,0x03030303,…，0xffffffff};

k[]中元素的格式为：0xABABABAB，其中A、B为十六进制0-f之间的任意数字，第一个AB对应参与第一个S盒运算部分的密钥，第二个AB对应参与第二个S盒运算部分的密钥，第三个AB对应参与第三个S盒运算部分的密钥，最后一个AB对应参与第四个S盒运算部分的密钥；

2)定义selected[]为1024大小的数组，用来存放S盒输出数据字节的汉明重量，根据selected[]确定密钥相关性的大小；

3)对SM4算法进行DPA攻击，获取SM4算法的前四轮子密钥。

更进一步，步骤3)中，对SM4算法进行DPA攻击，获取SM4算法的前四轮子密钥包括以下步骤：

(1)初始化操作，初始化的过程包括密钥字节数、S盒候选项数、差分功耗的条数、轮密钥的初始化：

keys=4;//4字节密钥，即每轮攻击可以获取4字节子密钥；

candidates=256;//每个S盒有256个候选项；

dataLength=keys*candidates;//差分功耗的数量；

round0Key=0;//第一轮子密钥初始化为0；

round1Key=0;//第二轮子密钥初始化为0；

round2Key=0;//第三轮子密钥初始化为0；

round3Key=0;//第四轮子密钥初始化为0；

(2)确定一个整型数组x[]，用来存放攻击该轮的输入数据；