[发明专利]密码S盒无随机数门限实现新方法

说明书

本发明公开了一种密码S盒无随机数门限实现新方法，摒弃了传统引入额外随机数的思想，转而从S盒本身出发，利用均匀性复用技术，重复使用密码S盒输出共享因子，把S盒的输出共享因子作为新的随机数输入，替换原来所需的额外随机数，来确保整个非线性层的均匀性，从而巧妙的避免了额外随机数的加入。不仅满足了门限实现函数的均匀性，而且能够节省芯片面积；为密码S盒掩码方案的轻量化设计提供了新思路，具有广阔的应用前景。

技术领域

本发明涉及信息安全领域，具体是一种密码S盒无随机数门限实现新方法。

背景技术

密码S盒是分组密码算法的核心部件，其安全强度决定了整个密码算法的安全性；自从1999年Kocher等人提出功耗攻击以来，侧信道攻击技术发展迅速，各类攻击方法层出不穷；侧信道攻击技术主要利用密码芯片在执行算法过程中所泄露的物理信息（比如功耗、电磁泄漏、运行时间、运行差错等）进行攻击，能够以很低的代价来获得算法密钥信息，对密码设备造成了极大的威胁。而研究证明，密码算法本身并不具备抵抗侧信道攻击的能力。因此，针对侧信道攻击，对算法进行防护显得极其重要，在算法防护的过程中最为关键的部件就是密码S盒（S盒是许多算法的唯一非线性部件），相比如结构层防护和逻辑层上的防护，算法层上的掩码防护是应用最为广泛的一种。自从掩码防护思想被提出以来，就受到了学术界广泛关注，到目前为止，已经有不少掩码方案被国内外专家学者提出，如ISW可证明框架、门限实现方案、DOM掩码机制以及基于多项式掩码和查找表重构掩码的高阶掩码方案等。虽然这些掩码方案能够有效抵抗一阶或二阶差分功耗攻击，但是，这些掩码方案在构造过程中，为了满足掩码表达式的均匀性，都需要添加了大量额外随机数。随机数的加入，虽然能够确保掩码方案的安全性，完全掩盖秘密信息，但是也带来了两方面的问题，一方面是使用随机数发生器产生随机数存在一定的安全隐患；另一方面是随机数增加了硬件资源的消耗，使整个算法显得“笨重”；因此，如何构造完全“零随机数”的掩码方案是目前学术界需要解决的一个关键性技术问题。

发明内容

针对目前掩码方案因随机数的引入而带来的资源开销大和安全隐患问题，本发明提供一种无需额外随机数的密码S盒门限实现新方法，该方法能够在保证抵抗差分功耗攻击的条件下，不需要引入额外的随机数，从而能够去除产生随机数而带来的安全隐患。不仅能够减少掩码方案所需消耗的硬件资源，而且提高了整个掩码方案的安全性。

本发明方法，主要关注密码算法中非线性部件S盒的无随机数门限实现方法，门限实现需要满足三个基本的属性，即正确性、不完全性以及均匀性。前面两种属性很容易能够实现，关键在于满足掩码函数的均匀性。

实现本发明目的的技术方案是：

本发明密码S盒无随机数门限实现新方法，包含如下步骤：

1） 首先设是四个共享因子双射S盒非均匀的门限实现函数，即

；

2） 进一步，假设密码S盒整个非线性层由t个相同的S盒并行执行组成，第个S盒输入的四个掩码分量为，在步骤1)和步骤2)中构造掩码函数时，需要满足门限实现的正确性和不完全性；

3) 接下来两步的目的是为了实现掩码函数的均匀性，从S盒本身出发，利用均匀性复用技术；将四个共享因子双射S盒的无随机数门限实现函数分开定义，当时，第一个S盒的门限实现函数表示为：

其中是密码S盒在门限实现之前用线性反馈移位寄存器产生的随机数；

4) 当时，S盒的门限实现函数表示为：

从以上表达式中可以看出，在整个掩码过程中，只需要在密码S盒门限实现之前用线性反馈移位寄存器产生随机数即可，在随后的过程中，利用上一个S盒的三个输出分量值作为下一个S盒的随机数输入，来保证后面S盒掩码分量的均匀性，最终达到无需额外随机数且不泄露任何秘密信息的目的。