一种抗任意阶侧信道攻击的掩码防护方法及系统,通过重新构造生成查找表替换非线性部件,查找表{L,M,R}中,向量L每个元素为非线性部件输出与n‑1个随机数的异或值,随机数存储在矩阵M,向量R存储第二次查询的地址;该表满足输入x1,x2,…,xn,输出独立随机的y1,y2,…,yn,同时不泄漏原始输入x和输出y的任何信息;表查询过程包括首先生成查找表{L,M,R},然后先通过x1,x2,…,xn‑1进行表重构,每两次表重构之间进行一次表刷新,最后再通过xn查询表{L,M,R},从而得出y1,y2,…,yn。本方案可有效对抗任意阶侧信道攻击,有安全性高,实用性强及可扩展性强等特点。
【技术实现步骤摘要】
本专利技术涉及密码安全
,尤其涉及一种针对不同软硬件载体的任意阶掩码方案及系统,可有效对抗任意阶侧信道攻击。
技术介绍
密码芯片或加密设备的载体形式已受到多种类型的分析与攻击,特别是针对硬件电路的侧信道攻击(SideChannelAttack,SCA),目前已成为密码算法硬件形式的主要威胁。所谓侧信道攻击是指利用电路工作过程中的各种侧信道泄露信息,如:能耗、时间、故障、电磁辐射等[1-6],通过建立这些泄露信息与密码算法关键信息(如密钥)间的联系,实现对秘密信息的提取。掩码对抗方案是一种应用广泛的侧信道对抗方法,掩码对抗方案自提出以来[7],从一阶对抗逐渐发展至高阶对抗阶段[8-13],安全性及通用性也不断提高。最早的一阶掩码方案主要针对DES算法提出,之后出现的一阶掩码方案则大多以AES为防护目标,针对于不同的软硬件平台,同时不断优化时间和空间耗费。但这些对抗方案都只能对抗一阶SCA攻击,一阶掩码方案已不能满足安全性要求,高阶掩码方案便逐渐发展起来。在追求更高安全性的同时,高阶掩码方案也不断朝着通用化的方向发展,主要在于设计通用化的S盒掩码方案,保证可应用于任何S盒设计且可抵抗任意阶SCA攻击,但是高阶掩码会很大程度上增加额外的开销,因此在资源受限的设备上,高阶掩码方案难以得到应用。本专利技术以掩码对抗方法这种具有通用性及可证明安全性的对抗方法为研究目标,提出一种轻量级任意阶掩码对抗方法,旨在使用更低资源开销的情况下,保证任意阶掩码防护方案安全性。[1]P.Kocher.TimingattacksonimplementationsofDiffie-Hellmann,RSA,DSS,andothersystems.CRYPTO’96,LNCS1109,pp.104-113,1996.[2]EliBiham,AdiShamir.DifferentialFaultAnalysisofSecretKeyCryptosystems.CRYPT0'97[3]P.Kocher,J.Jaffe,andB.Jun.DifferentialPowerAnalysis[A].CRYPTO1999[C],BerlinHeidelberg:Springer-Verlag,1999:388–397.[4]QuisquaterJ.J,SamydeD.Electromagneticanalysis(EMA):Measuresandcountermeasuresforsmartcards.Cannes,France:ACM2001[5]E.Brier,C.Clavier,andF.Olivier.CorrelationPowerAnalysiswithaLeakageModel[A].CHES2004[C],BerlinHeidelberg:Springer-Verlag,2004:16–29.[6]B.Gierlichs,L.Batina,P.Tuyls,andB.Preneel.MutualInformationAnalysis[A].CHES2008[C],BerlinHeidelberg:Springer-Verlag,2008:426-442.[7]S.Chari,C.S.Jutla,J.R.Rao,andP.Rohatgi.TowardsSoundApproachestoCounteractPowerAnalysisAttacks[A].CRYPTO1999[C],BerlinHeidelberg:Springer-Verlag,1999:398–412.[8]Akkar,M.-L.,Giraud,C.:AnImplementationofDESandAES,SecureagainstSomeAttacks.In:Ko,c,C,.K.,Naccache,D.,Paar,C.(eds.)CHES2001.LNCS,vol.2162,pp.309–318.Springer,Heidelberg(2001)[9]Rivain,M.,Dottax,E.,Prouff,E.:Blockciphersimplementationsprovablysecureagainstsecondordersidechannelanalysis.In:Nyberg,K.(ed.)FSE2008.LNCS,vol.5086,pp.127–143.Springer,Heidelberg(2008)[10]Rivain,M.,Prouff,E.:Provablysecurehigher-ordermaskingofAES.In:Mangard,S.,Standaert,F.-X.(eds.)CHES2010.LNCS,vol.6225,pp.413–427.Springer,Heidelberg(2010)[11]Carlet,C.,Goubin,L.,Prouff,E.,Quisquater,M.,Rivain,M.:Higher-ordermaskingschemesforS-Boxes.In:Canteaut,A.(ed.)FSE2012.LNCS,vol.7549,pp.366–384.Springer,Heidelberg(2012)[12]Roy,A.,Vivek,S.:Analysisandimprovementofthegenerichigher-ordermaskingschemeofFSE2012.In:Bertoni,G.,Coron,J.-S.(eds.)CHES2013.LNCS,vol.8086,pp.417–434.Springer,Heidelberg(2013)[13]Coron,J.-S.:HigherOrderMaskingofLook-UpTables.InEUROCRYPT2014,LNCS,vol8441,2014,pp441-458.SpringerHeidelberg(2014)
技术实现思路
本专利技术提出一种轻量级任意阶掩码防护方案,称为DSM方案(DividedS-boxScheme),以有效对抗任意阶侧信道攻击。本专利技术技术方案提供一种抗任意阶侧信道攻击的掩码防护方法,通过重新构造生成查找表替换非线性部件,设加密算法的非线性部件S(x)定义为S:{0,1本文档来自技高网...
【技术保护点】
一种抗任意阶侧信道攻击的掩码防护方法,其特征在于:通过重新构造生成查找表替换非线性部件,设加密算法的非线性部件S(x)定义为S:{0,1}k→{0,1}k'其中,输入宽度为k,输出宽度为k’,原始输入为x,原始输出y,要求将x拆分为相互独立的n个共享因子,记为x1,x2,…,xn,且满足将y拆分成y1,y2,…,yn,且满足所述查找表包含两个2k维的列向量L和R及一个n’×2k的随机数矩阵M,其中将查找表记为{L,M,R};设M(u)[j]表示随机数矩阵M中行向量M(u)的第j个元素,向量L的每个元素L(u)为原始的非线性部件输出与n‑1个随机数的异或值,u∈[0,2k‑1],对应的n‑1个随机数存储在随机数矩阵M的两行,分别为M(u)和M(R[u]),向量R用于存储第二次查询的地址,R[u]表示向量R的第u个元素;该表{L,M,R}满足输入x1,x2,…,xn,输出独立随机的y1,y2,…,yn,同时不泄漏原始输入x和输出y的任何信息;表查询过程包括以下步骤,步骤1,首先生成查找表{L,M,R},含有2k行n’+2列;设整数i,j作为循环变量,i的初始值为0,j的初始值为1;步骤2,生成一张空的查找表{L’,M’,R’},含有2k行n’+2列;令L’部分中第i行元素L’[i]=R’部分中第i行元素M’部分中第i行向量令i=i+1;若i<2k,重复执行步骤2,否则用查找表{L’,M’,R’}更新当前的表{L,M,R},进入步骤3;步骤3,通过表刷新过程刷新查找表{L,M,R},包括用刷新时得到的新的查找表{L’,M’,R’}更新当前的表{L,M,R};令j=j+1;若j<n‑1,返回步骤2,否则进入步骤4;步骤4,查询表{L,M,R}中的第xn行,令y1=L[xn],{y2,...,yn’+1}=M(xn);再查询第R[xn]行,令{yn’+2,...,yn}=M(R[xn]);步骤5,输出{y1,y2,…,yn}。...
【技术特征摘要】
1.一种抗任意阶侧信道攻击的掩码防护方法,其特征在于:通过重新构造生成...
【专利技术属性】
技术研发人员:唐明,邱镇龙,郭志鹏,
申请(专利权)人:武汉大学,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。