[发明专利]一种抗高阶差分功耗攻击的AES硬件实现方法

说明书

本发明属于集成电路技术领域，具体涉及一种抗高阶差分功耗攻击的AES硬件实现方法。本发明的核心思想是将复杂的非线性的Sbox分解为低维度的非线性部分和线性部分，从而减少对非线性部分加掩的复杂性。本发明的有益效果为，本发明具有抗d阶DPA攻击的效果，并且无任何的低阶泄露；算法的复杂的较低，线性部分只有O(d)，非线性部分只有O(d(d‑1))；并且本方法极其适合专用集成电路(ASIC)实现，非常容易就可以用折叠和插入流水的算法让其适用于不同速率的场景。

技术领域

本发明属于集成电路技术领域，具体涉及一种抗高阶差分功耗攻击的AES硬件实现方法。

背景技术

高级加密标准(AES)是美国国家标准技术研究所2001发布的加密技术，由于它难于被正面攻击和利于利用硬件实现而被广泛的使用。AES加密一直以来正面都难以破解，但是差分功耗攻击(DPA)技术使得通过对功耗的分析便可以得到密钥。

DPA是通过统计分析和分段攻击的方式来找出密钥的。首先，攻击者选择一个函数的某一个位，这个函数是明文与部分密钥计算的结果。常见的选择是AES加密或解密的第一轮的字节代换的输出的某一位。或者第一次密钥与明文异或操作的结果的某位也可以被选择。通过按部就班的执行攻击的每一个步骤，攻击者可以找出密钥的部分位。在最坏的情况下，攻击者需要测试部分密钥的所有可能情况，但是因为攻击者是对密钥分段进行攻击，因此实际的攻击强度指数性减少。比如说，如果攻击者选择AES加密的第一轮的第一个Sbox(密码学中的非线性替换组件)输出的第一位进行攻击，则每次攻击的对象是8位子密钥，则他在最坏情况下需要做256次猜测，如果密钥的总位数是128，则他需要分16次攻击。总数是256*16，即2¹²。而如果直接对128位密钥进行猜测，强度为2¹²⁸，而这个强度在有意义的时间范围内是无法被攻击出来的。

针对DPA攻击，IBM团队在论文[CRYPTO 1999]中提出了利用掩膜的方案可以有效的抑制边信道信息的泄露，但是实现的方案难以用硬件实现。格拉茨技术大学在论文[ACNS2006] 提出利用随机数来掩盖边信道信息的泄露，但是后来发现效果并不理想。论文[Chari-Jutla-Rao-Rohatgi CRYPTO'99]提出的抗DPA方案也被证明在某些条件下才能够成立。抗d阶DPA攻击的Ishai-Sahai-Wagner Scheme(ISW)防护方案被Ishai证明只有d/2阶安全的。经典的RP10算法也在Sbox的d加掩过程中出现了d/2阶的安全泄露。并且ISW算法对于硬件实现而言面积过大，RP10算法随着阶数的增加，算法复杂度指数增长，也不利于硬件实现。

发明内容

本发明的目的，就是针对上述问题，提出了一种新的抗高阶的AES硬件实现方法，可以有效的隐藏密钥。

本发明所采用的技术方案为：

抗高阶差分功耗攻击的AES硬件实现方法，其特征在于，包括以下步骤：

a、将AES的加密的输入明文x分为d+1个随机变量的异或和：

x＝x₀+x₁+…+x_d (1)

b、对于AES加密电路中的行移位、列混淆和轮秘钥加的模块，按照线性函数进行抗d阶加掩：

addRound(x)＝addRound(x₀)+addRound(x₁)+…+addRound(x_d) (2)

shiftRows(x)＝shiftRows(x₀)+shiftRows(x₁)+…+shiftRows(x_d) (3)