[发明专利]针对RSA之M-ary实现模乘余数输入侧信道攻击

说明书

本发明公开了一种针对RSA密码算法M‑ary实现的模乘余数输入侧信道能量分析攻击的方法，其核心在于模幂计算用M‑ary实现时，以模乘余数输入作为攻击对象实施CPA攻击。包括以下步骤：（1）采集信号，建立采样矩阵；（2）选择模乘余数输入作为攻击对象；（3）确定相关性模型；（4）猜测轮指数值，计算出中间值矩阵；（5）计算仿真能量消耗矩阵；（6）计算（1）中对应测量点和（5）所确定矩阵之间的线性相关系数，攻击出所有轮正确的模乘余数输入值。查找得到对应所有正确的轮指数，串接后得到完整指数。本发明的方法给出了一种新的M‑ary侧信道攻击方法，增强了RSA密码算法分析攻击的灵活性、有效性和成功率。

技术领域

本发明涉及密码算法分析检测领域，尤其涉及一种针对RSA密码算法M-ary实现的模乘余数输入侧信道能量分析攻击的方法。

背景技术

随着信息和分析电路技术的发展，对硬件密码电子设备的破解不再单纯的停留在协议和算法上，而是从其处理数据的过程中泄露的信息入手，进行破解。硬件密码电子设备在处理信息的工程中存在能量、电磁、错误和时间等信息的泄露，利用这些泄露的信息对密码电子设备进行攻击，就是所谓的侧信道攻击(Side Channel Attacks)，侧信道攻击可分为能量分析攻击、电磁攻击和错误攻击等，其中能量分析攻击因效率较高，成为侧信道的主要手段。

侧信道能量分析攻击是通过采集加密芯片等硬件密码电子设备在进行加、解密或签名等操作时产生的能量消耗，利用密码学和统计学原理等，分析和破译密钥信息的一种攻击方式，侧信道能量分析攻击又分为简单能量分析攻击(Simple Power Analysis，SPA)、差分能量分析攻击(Differential Power Analysis，DPA)和相关性能量分析攻击(Correlation Power Analysis，CPA)。

在侧信道能量分析攻击中，CPA和DPA相比SPA具有更强的攻击性，所以能量分析攻击中比较常用的是CPA和DPA。

其中，DPA攻击的过程如下：

(1)随机选择N组不相同明文或密文M_i(i∈[1,N])进行加/解密运算，采集每组明文进行加密运算时设备产生的能量曲线T_i(t)t∈{1,…,k}，其中k为能量轨迹的采样点数。

(2)选择密钥K_l(l∈Ω，Ω为密钥空间)，计算在K_l和M_i条件下，密码算法进行加密运算时在被攻击点产生的中间值D_i,l。

(3)根据中间值D_i,l确定选择函数F(M_i,K_l)，根据选择函数将T_i(t)分为两个子集S₀和S₁，定义式如下：

S₀＝{T_i(t)|F(M_i,K_l)＝0}

S₁＝{T_i(t)|F(M_i,K_l)＝1}

(4)计算每个采样点上两个子集的能量平均之差，如所示，其中|S₀|和|S₁|分别表示集合S₀和S₁中元素的个数。

若K_l选择不正确，当N比较大时，两个子集均值差S将趋近于零；若K_l选择正确，在均值差S中将会出现一个最大尖峰，通过该尖峰即可确定K_l选择正确。

CPA攻击的过程如下：