[发明专利]针对SM4的组合高阶侧信道攻击方法、装置、设备及介质

说明书

本申请提供针对SM4的组合高阶侧信道攻击方法、装置、设备及介质。所述方法包括：根据SM4算法，获取已知密钥加密运算的功耗曲线作为训练集、未知密钥加密运算的功耗曲线作为攻击集；基于所述训练集，建立轮密钥各字节的汉明距离的统计分类模板和各字节的汉明重量的统计分类模板；基于各字节的汉明距离的统计分类模板和各字节的汉明重量的统计分类模板，计算所述轮密钥的多个猜测字节分别攻击所述攻击集的所有明文得到的组合高阶侧信道攻击的总似然度；将与所述总似然度最大值对应的猜测字节确定为所述轮密钥的字节；基于所述轮密钥的字节，还原所述轮密钥；基于所述轮密钥，还原所述密钥。

技术领域

本申请涉及密码芯片安全技术领域，具体涉及针对SM4的组合高 阶侧信道攻击方法、装置、设备及介质。

背景技术

现代密码算法的数学基础经过几十年的发展，相关理论成果已趋于 成熟，单纯通过数学方法进行密码分析，很难将当前流行的密码(如 AES、SM4)的攻击复杂度降至实际可行的范围。常用的侧信道泄露源 包括运行时间、功耗、电磁辐射等。常用的侧信道分析算法有简单功耗 分析(SPA)、差分功耗分析(DPA)、相关性功耗分析(CPA)和模板 攻击(TA)，其中，各种功耗分析方法的分析对象数据亦可替换为其它 泄露源。

其中，CPA算法利用含有未知密钥K的目标设备对一组已知的明 文输入进行加密运算，并对每次运算采集功耗曲线；通过猜测子密钥k 所有可能的值，使用已知明文对每个可能值k均计算加密过程中的中间 值；对于每一个明文输入所对应的功耗曲线，计算所有可能中间值与曲 线的相关系数；对于同一个可能值k，将不同明文计算获得的相关系数 叠加，最终找出相关系数最大的一个可能值k，即为该子密钥实际值。 DPA算法通过计算单个比特的差异并进行叠加，可以看作是CPA算法 的一个特殊情况。

模板攻击被认为是目前最有效的建模方式，其使用一个可由攻击者 配置密钥值的建模设备，对子密钥k的所有可能值均进行若干次加密运 算并采集功耗曲线，并计算每个可能值所获得功耗曲线的统计特征；再 使用密钥未知的目标设备进行若干次加密运算，分析目标设备所获得曲 线集的统计特征，找出与其最接近的可能值曲线集，则该可能值即为当 前子密钥。

传统的模板攻击针对子密钥进行建模，在分组密码中常用于对密钥 扩展进行攻击。在泄露特征较小的设备中，往往对子密钥直接进行建模 难以获得有效的统计信息。此时一般会使用子密钥的汉明重量或子密钥 相关的汉明距离进行建模，但因可能有多个子密钥拥有相同的汉明重 量，使用该方法建模只能缩小子密钥的搜索空间，无法直接还原出子密 钥的具体值。针对该种场景，一种解决方法是利用所建立的汉明重量/ 距离模板替换CPA中的相关系数，从而实现基于模板的CPA攻击，这 样即可使用模板对加密过程进行攻击，且可通过汉明重量/距离模型还 原出密钥的准确值。

在侧信道攻击中，为增强算法的攻击能力，会同时对多个中间值进 行建模。其中较常用的是将两个不同中间值进行算数组合以得到一个新 的中间值，再对新的中间值进行建模，称为二阶侧信道攻击。也可组合 更多中间值，以进行高阶侧信道攻击。

侧信道攻击是针对密码硬件的一种有效攻击方式，其攻击效果在不 同芯片平台以及密码算法上均已得到验证。SM4算法是我国所公布的 商用分组密码算法，其加密数据和密钥长度为128比特。SM4算法近 年来在密码设备中得到较大程度的推广普及，为保证设备安全性，其抵 抗侧信道攻击的能力也需要得到相应的分析。

发明人发现，由于SM4基于字运算的特点，在对其进行侧信道泄 露建模时，难以选取一个合适的中间值。若对整个中间值X_i直接进行建 模，那么侧信道泄漏模型的猜测空间较大，需要采集大量功耗曲线并 进行大量运算，实际操作可行性较差。已有的方法通过选择明文、针对 一个小功能模块进行建模等方法，降低采样空间，但或操作不便，或难 以获得显著泄露信息。