若干分組密碼算法的故障攻擊研究.pdf

1、分組密碼是密碼學(xué)的重要內(nèi)容,是實現(xiàn)信息保密的核心體制,其安全性分析也一直是密碼研究中非?；钴S的課題。隨著集成電路和智能卡技術(shù)的發(fā)展,以及嵌入式系統(tǒng)的大規(guī)模應(yīng)用,單純從分組密碼算法的數(shù)學(xué)結(jié)構(gòu)研究安全性能已遠(yuǎn)遠(yuǎn)不夠,從算法的實現(xiàn)角度來考慮安全問題已成為必需。在實際應(yīng)用領(lǐng)域中,密碼算法通常使用各種芯片來實現(xiàn),如智能卡、加密存儲卡、加密機(jī)芯片、手機(jī)芯片和網(wǎng)絡(luò)路由器芯片等,這些芯片在運行時有可能泄漏某些中間狀態(tài)信息(出錯消息、執(zhí)行時間、功耗、電磁

2、輻射等),使得攻擊者有機(jī)會采集與密鑰相關(guān)的關(guān)鍵信息,從而發(fā)現(xiàn)明文或密鑰。旁路攻擊正是在這種背景下被提出的,由于其成功的攻擊效果和潛在的發(fā)展前景,已經(jīng)引起了國內(nèi)外從事密碼和微電子的研究學(xué)者的極大關(guān)注,并成為密碼分析和密碼工程領(lǐng)域發(fā)展最為迅速的方向之一。
　　 本文針對幾種國際上比較流行的分組密碼算法和密碼結(jié)構(gòu),重點研究了旁路攻擊中有較大威脅的故障攻擊技術(shù),在不同的故障模型下,基于差分分析原理,提出了有效的故障攻擊和故障檢測方法,并

3、進(jìn)行了軟件模擬驗證。同時,本文也對時序攻擊和功耗分析進(jìn)行了部分研究。文章的創(chuàng)新性研究工作主要有:
　　 (1)提出了差分故障攻擊ARIA算法的方法。ARIA算法是韓國官方2004年公布的分組密碼標(biāo)準(zhǔn)算法,主要用于輕量級環(huán)境實現(xiàn)和硬件系統(tǒng)實現(xiàn)。目前,關(guān)于ARIA算法抗故障攻擊的安全性研究,國內(nèi)外還未有公開發(fā)表的結(jié)果。本文提出并討論了差分故障攻擊ARIA密碼的方法。該攻擊方法采用面向字節(jié)的隨機(jī)故障模型,并且結(jié)合差分技術(shù),僅需要45個

4、故障密文即可恢復(fù)ARIA密碼的128比特原始密鑰。該方法也為故障攻擊其它分組密碼提供了一種較通用的分析手段。基于此攻擊方法,本文提出了一種新的故障檢測方法一基于模式的技術(shù),它不僅能夠以更小的時空代價檢測到故障,而且可以同時應(yīng)用到軟件和硬件實現(xiàn)中。
　　 (2)提出了差分故障攻擊CLEFIA算法的新方法。CLEFIA算法是在2007年FSE(Fast Software Encryption)會議上,由索尼公司開發(fā)并提出的一種新的分

5、組密碼。雖然前人的工作表明CLEFIA算法不能抵抗差分故障攻擊,但是其攻擊代價較大。本文提出并討論了一種新的差分故障攻擊方法,它采用面向字節(jié)的隨機(jī)故障模型,通過改變故障誘導(dǎo)的輪數(shù)位置,分別僅需要12、30和30個故障密文即可分別恢復(fù)CLEFIA密碼的128比特、192比特和256比特原始密鑰。在故障誘導(dǎo)的實施難度相同的情況下,本文提出的新方法不僅提高了故障誘導(dǎo)的攻擊成功率,而且減少了故障密文數(shù)。
　　 (3)提出了故障攻擊SMS

6、4算法的新方法。SMS4算法是用于無線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI的分組密碼,是國內(nèi)官方公布的第一個商用密碼算法。前人的研究成果僅限于導(dǎo)入故障在SMS4密碼的加密算法中,并且故障密文數(shù)較多,攻擊效率不高。本文提出并討論了故障攻擊SMS4密碼的新方法。新方法采用面向字節(jié)的隨機(jī)故障模型,通過改變故障誘導(dǎo)的位置,可恢復(fù)SMS4密碼的128比特原始密鑰。在故障誘導(dǎo)的實施難度相同的情況下,本文提出的新方法擴(kuò)展了故障攻擊SMS4算法的種類,降低了故障攻擊

7、的代價。
　　 (4)壓縮UFN型結(jié)構(gòu)是分組密碼中的一種重要結(jié)構(gòu),本文提出了差分故障攻擊壓縮UFN型結(jié)構(gòu)的通用方法,并應(yīng)用到SMS4算法和MacGuffin算法中。該攻擊方法采用面向字節(jié)的隨機(jī)故障模型,并且結(jié)合差分技術(shù),根據(jù)故障誘導(dǎo)的不同位置,分別提出了兩個故障模型,均可破譯具有壓縮UFN型結(jié)構(gòu)的算法。因而,該攻擊方法為故障攻擊UFN型結(jié)構(gòu)的分組密碼提供了一種通用的分析手段。理論分析和實驗結(jié)果表明,MacGuffin算法不能抵抗

8、差分故障攻擊,在兩個故障模型下,分別需要355個故障密文和165個故障密文,即可恢復(fù)MacGuffin算法的原始密鑰。另外,此方法可以應(yīng)用到SMS4算法中,在兩個不同的故障模型下,分別需要20個故障密文和4個故障密文,即可恢復(fù)SMS4密碼的原始密鑰。
　　 (5)針對對稱密碼抗旁路攻擊的安全性進(jìn)行了初步研究。本文將完善保密性引入到密碼系統(tǒng)抗旁路攻擊的研究中,定義了密碼算法達(dá)到完善保密的實現(xiàn)安全,從而使可防御旁路攻擊的密碼系統(tǒng)有了

9、信息論解釋。并且,本文討論了密碼算法實現(xiàn)可證明安全性的安全語義,通過歸約建立了不同安全語義之間的聯(lián)系。這些新的安全語義包括UB-SCA(旁路攻擊下的密鑰完全不可破),IND-CPA-SCA(選擇明文攻擊和旁路攻擊下的消息不可區(qū)分性)以及IND-CCA-SCA(選擇密文攻擊和旁路攻擊下的消息不可區(qū)分性)。基于這些定義,通過歸約證明了UB-SCA^IND-CPA()IND-CPA-SCA,以及UB-SCA^IND-CCA()IND-CCA-

10、SCA,從而為對稱密碼抗旁路攻擊提供了理論模型,并簡化了對稱密碼系統(tǒng)抗旁路攻擊的安全性分析。
　　 (6)提出了差分功耗分析數(shù)字視頻廣播加擾算法的方法。在數(shù)字視頻壓縮技術(shù)國際通用標(biāo)準(zhǔn)MPEG-2中,使用數(shù)字視頻廣播加擾算法是一種加強(qiáng)傳播流安全性的主要方法。目前,針對加擾算法的攻擊僅限于故障攻擊?；谇叭说难芯抗ぷ?本文提出了差分功耗分析數(shù)字視頻廣播加擾算法的方法,可獲得其原始密鑰。該工作擴(kuò)大了原有功耗分析的研究對象,從單純的分組