[发明专利]自动发现泄露模型的有学习的侧信道攻击方法及加密设备

说明书

本发明属于密码算法分析检测技术领域，公开了一种自动发现泄露模型的有学习的侧信道攻击方法及加密设备，通过训练攻击模型的神经网络，寻找泄露密钥信息的中间组合值的组合形式，以及相应的能耗组合形式。训练的目标是使中间组合值与能耗组合值的相关性最大化；攻击阶段使用所述攻击模型识别猜测子密钥的正确性；根据攻击得到的子密钥，恢复出加密设备的主密钥。本发明在攻击阶段，使用未知密钥的攻击数据集，通过将猜测子密钥输入到攻击模型中，计算相应的猜测中间组合值与能耗组合值的向量距离。选择距离最小的猜测子密钥为正确子密钥，采用分治原则逐个获得子密钥后，反算主密钥，实现对加密设备主密钥的攻击。

技术领域

本发明属于密码算法分析检测技术领域，尤其涉及一种自动发现泄露模型的有学习的侧信道攻击方法及加密设备。

背景技术

目前，加密算法是保障数据安全的关键手段。现代加密算法在理论上是不可破解或其破解成本过高，使破解密钥不具有实际意义。然而侧信道攻击对各种加密算法的安全性提出了非常严峻的挑战，以至于各种加密设备的认证都必须通过侧信道攻击的验证。侧信道攻击的理念是：加密计算过程中的某个中间值的计算操作、存取操作所产生的能量消耗与该中间值的数值有相关性，因此可以通过能耗来识别中间值，进而反推产生该中间值的密钥。如果加密过程中存在某些中间值与操作的能耗具有相关性，则称该加密实现具有泄露。

所谓中间值是指在加密过程中，根据加密算法对明文和密钥进行各种组合变化生成的值。加密设备一般不会在能耗中直接泄露密钥，而是泄露与密钥相关的一些中间计算结果。例如，各种块加密算法的基本方法是对明文进行多轮的非线性和线性转换。每轮转换中，将上一轮的输出(对第一轮而言就是明文) 分为多个部分x₁，…，x_n(称为初始状态)，分别与轮密钥的相应子密钥进行异或操作再分别进行非线性转换然后将各SBOX非线性转换的结果作为一个整体进行线性转换(行移位和列混淆)，得到本轮的输出，再进行下一轮的加密操作。加密计算过程的中间值，如和或它们的异或值，可能会以电流、电压或电磁辐射的方式泄露出来，即泄露的能耗与中间值具有一定的相关性。攻击者通过猜测各轮加密的子密钥，并根据加密算法计算与猜测子密钥相应的猜测中间值。利用能耗与中间值之间的相关性，攻击者可以判断猜测子密钥的正确性，从而实现攻击。由于这种攻击方法采用设备在加密过程中泄露的能量实施攻击，因此被也称为“能量攻击”或“能量分析”。侧信道攻击的具体实现中采用分治原则，逐个攻破加密中使用的子密钥，进而恢复出加密设备的主密钥。

现有的侧信道攻击方法的一个困难是攻击者事先并不知道泄露密钥信息的中间值是什么，只能进行随机猜测。对于具有直接泄露的中间值(即能耗的单个样本与中间值具有相关性)，攻击者可以采用多种指标事先验证中间值是否存在泄露。这些指标包括组间差(SOD)、组间均方差(SOSD)、组间学生统计(SOST)、信噪比(SNR)、皮尔斯相关系数(PersonCoeffeicent)、互信息(MI)等。但由于可选的中间值很多，例如发生泄露的是某个中间计算结果的某些位的某种组合。此时，采用这些指标进行验证的效率也会非常低下。而对于具有间接泄露的中间值(即能耗的多个样本的某种组合值与中间值具有相关性)，则无法采用上述方式识别是否具有泄露。因为能耗的组合方式是无穷的。此时，攻击者只能在攻击时任意选择中间值进行攻击。如果攻击不成功，说明选择的中间值没有泄露，只能另选一种中间值再进行尝试。