没有合适的资源?快使用搜索试试~ 我知道了~
(n,m)函数抗差分功耗攻击指标的研究综述.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 125 浏览量
2022-11-28
20:30:28
上传
评论
收藏 159KB DOCX 举报
温馨提示
试读
15页
(n,m)函数抗差分功耗攻击指标的研究综述.docx
资源推荐
资源详情
资源评论
(n,m)函数是对称密码算法的基本部件之一,其研究重点在设计和分析两个
方面。设计主要是通过数学方法构造出满足多种密码学性质的函数,而分析主
要是研究函数的各种密码学指标,这些密码学指标往往与其对应的攻击紧密联
系在一起。从(n,m)函数面对的各种攻击来看,可以将密码学指标分为两大类:
(1) 基于数学的传统攻击手段,例如线性攻击、差分攻击、代数攻击、相关
攻击等,一些指标主要有非线性度、相关免疫度和代数免疫度等;
(2) 基于物理的差分功耗分析手段,例如差分功耗攻击,主要有信噪比
[1]
、透
明阶
[2]
和混淆系数
[3]
等。
文中重点讨论信噪比、透明阶和混淆系数这三个指标,以及这些指标与传
统密码学指标的关系等。
差分功耗攻击(Differential Power Attack,DPA)
[4]
是能量分析中一种强有力
的攻击手段,其原理是通过统计密码设备或者密码算法在加密运算过程中泄漏
的功耗消耗特征,来破译出一些密钥信息。该方法最早是在 1999 年由 KOCHER
等人
[4]
提出,当时是对分组密码数据加密标准(Data Encryption Standard,DES)
进行了差分功耗攻击。这种方法后来被广泛用于公钥密码算法和分组密码算法
的安全分析中。而在实验层面进行差分功耗攻击是在 2002 年由 MESSERGES
等人
[5]
提出。在此基础上,汉明距离功耗模型被 BRIER 等人
[6]
提出,该模型验证
了 相 关 功 耗 分 析 (Correlation Power Analysis,CPA)攻 击 ,实 验 结 果 进 一 步 表
明,CPA 在某些方面相对 DPA 有较大优势,这也是后来 CPA 被广泛使用的原因
之一。以上的实验和一些模型都是针对非线性 S 盒展开分析,S 盒作为对称加
密算法的主要非线性部件之一,对算法的安全性起着关键性作用,但是传统密码
学性质好的 S 盒未必能抵抗差分功耗分析。因此,必须对 S 盒的抗差分功耗攻
击指标进行系统研究。下面将从差分功耗分析角度给出三个密码学指标(信噪
比、透明阶和混淆系数)的发展现状。
第 1 个指标:信噪比(Signal-to-Noise Ratio,SNR)。该指标是在 2004 年 8
月的 CARDIS 会议上被 GUILLEY 等人
[1]
提出。首先他们基于传统密码分析的
框 架 对 信 息 泄 漏 进 行 完 整 建 模 , 对 于 攻 击 者 来 说 可 以 获 取 密 钥 猜 测 值 的
Hamming 权重的 自相关值。该模 型表明,当 S 盒抵抗 线 性密码分析能 力增强
时,S 盒对应的信噪比值也将随之增大。但是从 S 盒抵抗 DPA 角度来说,信噪比
越小,抵抗 DPA 越好。这就表明 S 盒的信噪比和 S 盒抵抗线性密码分析之间存
在着制约关系,两者不能同时达到最好。通过信噪比模型和定义可以看出,非线
性 S 盒的噪声对密码算法的 DPA 信号起着决定性作用。随着该指标出现也产
生了一些研究结果
[7]
。
第 2 个指标:透明阶(Transparency Order,TO)。该指标是在 2005 年的 FSE
会议上被 PROUFF
[2]
首次提出。文献[2]基于差分功耗思想,建立了多入多出(n,m)
函数与汉明距离模型的紧密关系,得到了 S 盒的透明阶与传统的一些密码学性
质不能同时达到最好。随着国内外学者研究的深入,也衍生出了改进的透明阶
概 念 (Redefining Transparency Order,RTO)
[8]
和 修 改 的 透 明 阶 (Modified
Transparency Order,MTO)概念
[9]
。在新指标和旧指标的共同指引下得到了一
系列研究成果
[10,11,12]
。
第 3 个指标:混淆系数(Confusion Coefficient,CC)。该指标是在 2012 年的
密码硬件和嵌入式系统国际研讨会上被 FEI 等人
[13]
提出。研究表明,S 盒的混淆
系数值越大,S 盒抵抗 DPA 能力就越强。基于 FEI 等人的结果,PICEK 等人
[14]
在 2014 年计算了不同大小的 S 盒的非线性度,得到了混淆系数方差。同年,
邱爽等人
[15]
为了降低维数和混淆系数的个数,对原始混淆系数进行了修订,给出
了新的混淆系数定义。基于该新定义,重新计算了 DES 针对各个备选密钥的功
耗差(Difference of Means,DoM)期望的分布。实验结果与利用修改后的混乱系
数计算得到的 DoM 期望值相符。
因此,笔者试图从数学理论角度来综述(n,m)函数的这三个指标的研究进展,
而不考虑其背后的物理实验背景。
1 基本概念
设 F2n 是二元域 F
2
上的 n 维向量空间,B
n
表示 n 元布尔函数集合。设 f∈
B
n
,令 wt(f)= {x∈F2n:f(x)=1}表示 f 的汉明重量。如果 wt(f)=2
n-1
,则称 f 是平衡函
数。
f∈ B
n
在 ω∈ F2n 点 的 Walsh 谱 定 义 为 W
f
(ω)= ∑x∈ F2n(-1)
f(x)+ω·x
,这 里
ω·x=ω
1
x
1
+ω
2
x
2
+…+ω
n
x
n
,ω=(ω
1
,ω
2
,…,ω
n
),x=(x
1
,x
2
,…,x
n
)。基于沃尔什谱定义,
可给出 f 的非线性度定义 nl(f)=2
n-1
- 12maxω∈F2nWf(ω)。
f,g∈B
n
在 a∈ F2n 点的互相关函数定义为 Δ
f,g
(a)= ∑x∈F2n(-1)
f(x)+g(x+a)
,如
果 f=g,则
Δ
f
(a)= ∑x∈F2n(-1)
f(x)+f(x+a)
。
对于两个正整数 n 和 m,称向量空间上的映射 F: F2n→ F2m 为 (n,m)函数,
一般也称为向量布尔函数或多输出布尔函数(也记为 S 盒)。(n,m)函数 F 一般
表示为 F=(f
1
,f
2
,…,f
m
),其中 f
i
∈B
n
(1≤i≤m)称为 F 的分量函数。(n,m)函数 F 是平
衡的,当且仅当 F 分量函数的任意非零线性组合都是平衡的。
2004 年 GUILLEY 等人在研究 DPA 信号时提出了信噪比(SNR)概念
[1]
。
定义 1
[1]
设 F=(f
1
,f
2
,…,f
m
)是一个(n,m)函数,则函数 F 的信噪比(SNR)定义为
S
SNR(F)
= m22n∑α∈F2n∑i=1mWfi(α)41/2。
(1)
紧接着,在 2005 年的 FSE 会议上,PROUFF 扩展了 GUILLEY 等人提出的
多比特 DPA 攻击
[1]
和功耗模型,提出了汉明重量模型,建立了 S 盒与 DPA 攻击
的关系,给出了(n,m)函数的透明阶概念(TO)
[2]
。
定义 2
[2]
设 F=(f
1
,f
2
,…,f
m
)是一个(n,m)函数,则函数 F 的透明阶(TO)定义为
T
TO(F)
= maxβ∈F2mm-2H(β)-122n-2n∑α∈F2n*∑i=1m(-1)βiΔfi(α)。
(2)
2017 年 CHAKRABORTY 等人在研究(n,m)函数的 TO 基础上,发现了 TO
的冗余,所以提出了改进透明阶概念(RTO)
[8]
。
定义 3
[8]
设 F=(f
1
,f
2
,…,f
m
)是一个(n,m)函数,则函数 F 的改进透明阶(RTO)定
义为
R
RTO(F)
= maxβ∈F2mm-122n-2n∑α∈F2n*∑j=1m∑i=1m(-
1)βi+βjΔfi,fj(α)。
(3)
2019 年周永彬等在研究(n,m)函数的 RTO 基础上,通过多比特 DPA(Multi-
bit DPA)和变型多比特 DPA(Variant multi-bit DPA)实验,发现 线性 (n,m)函 数
可以完全抵抗变型多比特 DPA 攻击,但是线性(n,m)函数很容易受到 DPA 攻击,
为此提出了修改的透明阶概念(Modified Transparency Order,MTO)
[9]
。
定义 4
[9]
设 F=(f
1
,f
2
,…,f
m
)是一个(n,m)函数,则函数 F 的修改透明阶(MTO)定
义为
M
MTO(F)
= maxβ∈F2mm-122n-2n∑α∈F2n*∑j=1m∑i=1m(-
1)βi+βjΔfi,fj(α)。
(4)
剩余14页未读,继续阅读
资源评论
罗伯特之技术屋
- 粉丝: 3643
- 资源: 1万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功