针对AES算法的按位选择明文能量分析

侧信道分析是一种利用密码设备在加密过程中产生的侧信息来恢复密钥的攻击手段。文章针对SAKURA-G开发板中AES算法硬件实现展开侧信道分析方面的研究。首先指出了基于汉明距离模型的相关能量分析方案的局限性,即在AES算法实现代码未知的情况下,攻击实验无法有效进行。由此,文章提出了一种基于按位差分能量分析的选择明文能量攻击方案,可以在加密算法实现代码未知的情况下有效地进行能量分析,并成功恢复AES算法的密钥。最后展示了与已有选择明文相关能量分析思想的对比实验。对比实验证明,相比已有的选择明文相关能量分析方案,文章提出的按位差分选择明文能量分析方法所需要的密钥猜测空间更小,相应的干扰选项更少且效率更高。     

资源共享的并行AES加密/解密算法及其实现

随着密码分析技术的提高,原有的数据加密标准(DES)已经不能满足应用的要求.高级加密标准(AES)成为新一代的数据加密标准,取代了使用20多年的DES.目前的AES算法实现中普遍存在资源消耗大或者吞吐率低以及加密和解密分别实现的不足.为在资源消耗和吞吐率之问取得折衷,以资源共享和并行的方式同时实现AES加密和解密算法,分析AES算法中各个变换以及128位密钥扩展的性质和特点,选择复合域优化字节置换变换.推导结构简化列字节混合变换,提出128位加密/等效解密密钥扩展方案,同时实现了资源共享的并行AES加密和解密算法.通过在FTGA上的验证和与相关文献的比较,表明该方案以较少的资源获得了较高的吞吐率.     

针对SM4的混合智能侧信道分析攻击方法

目前国内外针对SM4算法的传统侧信道分析攻击,由于计算量问题,采取将S盒隔离,逐个攻破的方式进行密钥恢复。该方式无法利用功耗曲线中与密钥相关的全部信息,造成信息浪费、所需实测功耗曲线数量多等问题。针对传统方式的局限性,提出一种针对SM4算法的混合智能侧信道分析攻击方法。该方法将SM4算法中的4个S盒视为一个整体,同时利用多个S盒的功耗泄露信息,通过PSO与GA相结合的混合算法快速搜索密钥。对传统和该方法进行密钥恢复对比实验,通过实验结果可知,恢复SM4算法S盒第一轮轮密钥传统分析方法需1 670条实测功耗曲线,而该方法仅需790条,验证该方法能够减少恢复SM4算法密钥所需实测功耗曲线数量,提高侧信道分析攻击效率。     

LEX算法的相关密钥攻击

LEX算法是入选欧洲序列密码工程eSTREAM第三阶段的候选流密码算法之一,在分组密码算法AES的基础上进行设计。为此,针对LEX算法进行基于猜测决定方法的相关密钥攻击,在已知一对相关密钥各产生239.5个字节密钥流序列的条件下,借助差分分析的思想和分组密码算法AES轮变换的性质,通过穷举2个字节密钥值和中间状态的8个字节差分恢复出所有候选密钥,利用加密检验筛选出正确的密钥。分析结果表明,该密钥攻击的计算复杂度为2100.3轮AES加密、成功率为1。     

AES算法在ARM核嵌入式系统上的优化实现

通过深入分析AES算法,提出一种一次性生成密钥扩展的高效AES算法实现方案。利用一个事先定义的T表存储列混合和字节替换,使MixColumns变成简单的查表而不是域乘。在S3C2440处理器上实现的实验结果表明,该方案提高了算法的运行速度,并可抵抗线形密码分析的攻击。     

遗传算法能量分析中初始化与变异机制研究

人工智能与侧信道密码分析相结合,给密码分析学带来了新的研究方向。近十年来,遗传算法被引入侧信道分析,国际上出现了一系列相关研究成果。然而,现有基于遗传算法的相关能量分析存在局部最优问题,使整个分析过程的效率偏低。本文旨在建立局部最优与成功率之间的关系,选取科学的初始化与变异机制,以显著提升使用人工智能算法开展侧信道分析的效率。我们首先探究了遗传算法能量分析成功、以及陷入局部最优的本质原因,随后从初始化机制、变异机制两个角度尝试克服局部最优问题,引入随机初始化、相关能量分析初始化、随机字节变异、基于密钥适应度排名的启发式变异等四种机制进行组合对比。通过参数选取、成功率对比、计算代价对比等多次实验得到结论:相关能量分析初始化结合随机字节变异的方法具有最高的成功率,同时计算代价也最小。与此同时,本文总结了遗传算法相关能量分析方法不适用于软件实现、难以分析大位宽运算、攻击防护对策时复杂度高、信噪比低时复杂度高等局限性问题,建议密码硬件计算过程中尽量不要将以字节或比特为单位计算的值存入寄存器,以防护遗传算法类能量分析攻击,并对未来工作进行了展望。我们认为,新方法在分析无防护硬件实现的分组密码算法时具有较高的实用性,建议应用于实际的侧信道分析测评工作。     

基于多源数据聚合的神经网络侧信道攻击

基于深度学习的侧信道攻击需要针对密码算法的每一个密钥字节建模并训练,数据采集和模型训练开销大.针对该问题,提出一种基于多源数据聚合的神经网络侧信道攻击方法.为筛选具有良好泛化效果的密钥字节泄露数据进行数据聚合,以AES-128算法为例,先基于16个密钥字节的泄露数据训练16个单密钥字节模型,分别实现对16个密钥字节的恢复;其次,设计一种打分机制评估各单密钥字节模型的泛化效果,通过得分排序筛选出对各密钥字节恢复效果最好的单密钥字节模型;最后,以筛选模型所对应的各密钥字节泄露数据集构建多源数据聚合模型进行训练,实现密钥恢复.实验测试结果表明,多源数据聚合模型具有良好的泛化效果,有效提高了密钥恢复的准确率和效率,降低了恢复密钥所需的能量迹数量,其在采集能量迹较少的情况下依然具有较好的攻击效果.     

基于ARM920T的AES算法实现方案

为了提高高级加密标准(AES)算法在ARM上执行的效率,提出AES算法在ARM处理器上的高效实现方案,并在ARM920T处理器上得以实现。密钥扩展采用一次性生成方式。在算法实现上,将字节替换和列混合定义成T表进行存储,可以提高运行速度。采用C语言编程,在ARM Develop v1.2平台上进行了仿真及调试。对算法的不同实现方式所占的存储空间和运算速度进行了比较,并给出了不同密钥长度算法的各种性能指标。实验表明,算法执行速度得到了明显提高。     

基于轻量型AES加密算法的浮空器平台数据传输方案

针对浮空器平台在数据传输过程中受到自身处理器性能限制的问题,提出了一种基于轻量型AES加密算法的浮空器平台数据传输方案。首先,方案以AES加密算法为基础,通过寻找轮函数循环的局部最优次数和将状态矩阵行移位变换改为列移位变换实现轻量型AES加密算法;其次,通过字节代换、列移位变换、列混合和轮密钥加四个步骤,设计以七次轮函数循环为核心的轻量型AES加密算法;最后,通过字节填充和矩阵旋转两个操作对过往不同类型的浮空器平台飞行数据进行预处理,并将预处理后的数据作为明文数据源输入对传输方案进行测试和分析,验证了轻量型AES加密算法的安全性和有效性。实验结果表明,该算法与AES加密算法相比,在保证数据安全传输的同时提高了算法运行速度,可以较好地应用于浮空器平台。     

针对AES分组密码S盒的差分故障分析

研究了AES分组密码对差分故障攻击的安全性,攻击采用面向字节的随机故障模型,结合差分分析技术,通过在AES第8轮列混淆操作前导入随机单字节故障,一次故障导入可将AES密钥搜索空间由2128降低到232.3,在93.6%的概率下,两次故障导入无需暴力破解可直接恢复128位AES密钥.数学分析和实验结果表明:分组密码差分S盒取值的不完全覆盖性为差分故障分析提供了可能性,而AES密码列混淆操作良好的扩散特性极大的提高了密钥恢复效率,另外,本文提出的故障分析模型可适用于其它使用S盒的分组密码算法.     

基于碰撞模型的PRESENT密码代数旁路攻击

提出了一种新的分组密码通用的基于碰撞模型的分组密码代数旁路分析方法—代数功耗碰撞攻击,将代数攻击与功耗碰撞攻击结合,首先利用代数分析方法建立密码算法等效布尔代数方程组;然后通过功耗攻击手段获取密码加密过程运行时泄露的功耗信息,经分析转化为加密过程碰撞信息,并表示为关于加密中间状态变元的代数方程组;最后使用CryptoMiniSAT解析器求解方程组恢复密钥。应用该方法对在8位微控制器上实现的PRESENT密码进行了实际攻击,实验结果表明,代数攻击基础上引入额外的代数方程组,可有效降低方程组求解的复杂度;PRESENT易遭受此类代数功耗攻击的威胁,明密文已知,以4个样本全轮碰撞或8个样本部分轮碰撞信息成功获取PRESENT 80bit完整密钥。此外,文中分析方法也可为其它分组密码功耗碰撞分析提供一定思路。     

Deep learning side-channel attack against hardware implementations of AES

In the field of image recognition, machine learning technologies, especially deep learning, have been rapidly advancing alongside the advances of hardware such as GPUs. In image recognition, in general, large numbers of labeled images to be identified are input to a neural network, and repeatedly learning the images enables the neural network to identify objects with high accuracy. A new profiling side-channel attack method, the deep learning side-channel attack (DL-SCA), utilizes the neural network’s high identifying ability to unveil a cryptographic module’s secret key from side-channel information. In DL-SCAs, the neural network is trained with power waveforms captured from a target cryptographic module, and the trained network extracts the leaky part that depends on the secret. However, at this stage, the main target of investigation has been software implementation, and studies regarding hardware implementation, such as ASIC, are somewhat lacking. In this paper, we first depict deep learning techniques, profiling side-channel attacks, and leak models to clarify the relation between secret and side channels. Next, we investigate the use of DL-SCA against hardware implementations of AES and discuss the problem derived from the Hamming distance model and ShiftRow operation of AES. To solve the problem, we propose a new network training method called “mixed model dataset based on round-round XORed value.” We prove that our proposal solves the problem and gives the attack capability to neural networks. We also compare the attack performance and characteristics of DL-SCA to conventional analysis methods such as correlation power analysis and conventional template attack. In our experiment, a dedicated ASIC chip for side-channel analysis is utilized and the chip is also equipped with a side-channel countermeasure AES. We show how DL-SCA can recover secret keys against the side-channel countermeasure circuit. Our results demonstrate that DL-SCA can be a more powerful option against side-channel countermeasure implementations than conventional SCAs.     

基于VGGNet卷积神经网络的加密芯片模板攻击新方法

针对传统模板分析在实际攻击中的难解问题，重点研究了在图像识别领域具有优异特征提取能力的VGGNet网络模型，提出了一种基于VGGNet网络模型的模板攻击新方法。为了防止信号质量对模型准确率带来较大影响，采用相关性能量分析方法对采集到的旁路信号质量进行了检验；为了适应旁路信号数据维度特征，对网络模型结构进行适度调整；在网络训练的过程中，对梯度下降速率较慢、梯度消失、过拟合等问题进行了重点解决，并采用五折交叉验证的方法对训练好的模型进行验证。最终实验结果表明，基于VGGNet模型的测试成功率为92.3%，较传统的模板攻击效果提升了7.7%。     

基于碰撞模型的LED代数旁路攻击

针对轻型分组密码LED提出了一种基于碰撞模型的代数旁路攻击。利用代数攻击方法建立密码算法等效布尔代数方程组,采集算法运行中泄露的功耗信息并转换为碰撞信息,并将碰撞信息转换成额外方程组,从而利用CryptoMiniSAT解析器求解密钥。实验结果表明:旁路碰撞信息可有效降低方程组求解的复杂度;已知明文条件下,利用2轮最少50%的随机碰撞信息,即可在158.5 s内恢复64 bit LED完整密钥。此外,该方法也可用于其他分组密码功耗碰撞分析。     

基于GHM多小波算法的功耗分析攻击

功耗分析的密钥获取是基于采集的功耗信号,功耗信号的信噪比是影响分析密钥成功率的重要因素,所以噪声能否被有效去除是提高功耗分析成功率的关键,针对该问题引入了基于GHM多小波的预处理方法。该方法首先对功耗曲线进行GHM多小波阈值去噪处理,其目的是最大限度地去除功耗曲线中不相关的噪声,提高功耗曲线中真实信号的信噪比,从而提高攻击效率。在MEGA16微控制器上,采集固定密钥随机明文的ASE算法的功耗曲线,对比原始功耗曲线与去噪后的功耗曲线执行相关功耗分析。实验结果表明,使用去噪后的功耗曲线执行相关功耗分析所需的功耗曲线减少了89.5%,相关系数平均提高了107.9%,验证了新方法的有效性。     

基于中继器的无线侧信道分析方法

随着物联网时代的来临,通信设备的安全变得越来越重要.2018年出现的无线侧信道分析技术揭露了无线电安全中存在的漏洞,对物联网安全构成了很大的威胁.然而,无线侧信道分析方法极易受到噪声的干扰.在有噪声环境下,采集到的无线侧信道信号波形往往会出现畸变,导致后续分析失败.为了改善信号波形、提高无线侧信道的分析效率,本文提出了...     

密码芯片无原型旁路分析安全评估方法研究

针对当前物理可观测安全评估研究主要集中在物理泄露以及相关旁路分析方法的有效性方面,对进行旁路攻击后的密钥破解剩余工作量的评估研究较少,且没有有效地提出一种针对无原型的密钥秩评估安全方法。在介绍随机方法以及贝叶斯概率的基础上,结合Nicolas等人对秩评估方法的研究,提出了一种基于密码芯片的无原型旁路分析安全评估新方法。对运行AES加密算法的微控制器（AT89C52）进行相关性分析对比实验,实验结果表明,在数据规模为500时,基于相关性分析方法所需要的遍历密钥次数为20,而基于贝叶斯概率的秩评估方法遍历密钥次数为18,因此所提出的方法可以定量评估密钥剩余空间容量,有效地解决了在无原型攻击结果无法产生概率值的情况下,对实际攻击设备进行密钥秩评估的问题。     

基于Laplace机制的普适运动传感器侧信道防御方案

针对移动设备中运动传感器侧信道的防御研究面临很多困难，已有的解决方案无法有效实现用户体验与防御能力之间的平衡，也难以覆盖各种类型的运动传感器侧信道.为了解决上述问题，系统地分析了运动传感器侧信道攻击的通用模型，针对侧信道构建过程，提出了一种基于差分隐私Laplace机制的传感器信号混淆方案.该方案实施于系统框架层，通过无差别地向传感器信号中实时注入少量受控噪声，干扰侧信道学习"用户行为-设备状态-传感器读数"之间的映射关系.构建了侧信道的通用模型，结合典型的侧信道，从理论层面详细地分析了信号混淆抵抗传感器侧信道攻击的原理，证明防御方案具有优异的普适性、可用性和灵活性，能够有效地对抗实验以外的已知或未知运动传感器侧信道攻击.最后，筛选出11种典型的运动传感器侧信道进行对抗实验，验证了该防御方案对抗实际攻击的有效性.     

对空域图像LSB隐写术的提取攻击

隐写分析的研究一直集中于检测隐藏信息的存在性,而关于如何提取隐藏信息(即对隐写术的提取攻击)的研究还非常少.对于使用密钥的隐写术,提取攻击等价于恢复隐写密钥.文中结合隐写分析中的检测技术和密码分析中的相关攻击技术,对空域图像LSB隐写术提出了一种隐写密钥恢复方法.理论分析说明:此攻击方法的计算复杂度主要由所需的样本量决定,并且当嵌入率r接近0或1时攻击将失败.作者通过混合高斯模型给出了一个估计最小样本量的方法.针对隐写软件"Hide and Seek 4.1"的实验表明:此攻击方法可以成功恢复隐写密钥,从而提取隐藏的消息.如果消息长度L未知,当嵌入率5.3%＜r＜94.7%时攻击可以成功;如果L已知,当1.1%＜r＜98.4%时攻击可以成功,并且当11%＜r＜50%时,使用估计的最小样本量可以将攻击速度提高10%～45%.