針對(duì)SM4密碼算法的多點(diǎn)聯(lián)合能量分析攻擊

杜之波 吳 震 王 敏 饒金濤

(成都信息工程大學(xué) 成都 610225) (du139123456789@163.com)

?

針對(duì)SM4密碼算法的多點(diǎn)聯(lián)合能量分析攻擊

杜之波 吳 震 王 敏 饒金濤

(成都信息工程大學(xué) 成都 610225) (du139123456789@163.com)

目前針對(duì)SM4密碼算法的能量分析攻擊，均屬于單點(diǎn)能量分析攻擊.由于單點(diǎn)能量分析攻擊沒(méi)有利用密碼算法及單條能量信號(hào)曲線中所有和密鑰相關(guān)的信息，所以單點(diǎn)能量分析攻擊存在攻擊所需樣本較多、攻擊信息利用率低的問(wèn)題.針對(duì)單點(diǎn)能量分析攻擊存在的問(wèn)題，提出了針對(duì)SM4密碼算法的多點(diǎn)聯(lián)合能量分析攻擊方法，攻擊時(shí)同時(shí)選擇SM4密碼算法中和密鑰相關(guān)的多個(gè)信息泄露點(diǎn)，根據(jù)泄露點(diǎn)對(duì)應(yīng)的中間變量和能量泄露模型，構(gòu)造多點(diǎn)聯(lián)合能量泄露函數(shù)，即多點(diǎn)聯(lián)合能量分析攻擊出SM4密碼算法的密鑰.實(shí)驗(yàn)不僅驗(yàn)證了本攻擊方法的有效性，而且驗(yàn)證了本攻擊方法相比單點(diǎn)能量分析攻擊方法提高了能量分析攻擊成功率，減少能量分析攻擊的曲線條數(shù)，提高能量分析攻擊效率.根據(jù)該新方法的特點(diǎn)，該新型攻擊能量分析攻擊方法還可以用于針對(duì)其他密碼算法的能量分析攻擊.

能量分析攻擊；相關(guān)性能量分析攻擊；SM4密碼算法；多點(diǎn)聯(lián)合

硬件密碼電子產(chǎn)品作為密碼算法的運(yùn)行載體，在運(yùn)行密碼算法時(shí)存在和硬件物理特性相關(guān)的電磁、能量、聲音等旁路信息的泄露.旁路分析攻擊，就是利用硬件密碼產(chǎn)品泄露的旁路信息，結(jié)合對(duì)密碼算法的實(shí)現(xiàn)分析，利用數(shù)學(xué)分析等技術(shù)手段，破解密碼算法中的密鑰等敏感信息.自Kocher[1]首次提出旁路攻擊以來(lái)，國(guó)內(nèi)外學(xué)術(shù)界對(duì)旁路分析攻擊和防御展開(kāi)了系列的研究[2-7]，包括電磁攻擊、時(shí)間攻擊、能量分析攻擊和差分故障攻擊等攻擊方法.其中，能量分析攻擊是利用硬件密碼產(chǎn)品運(yùn)行時(shí)消耗的能量物理特性進(jìn)行攻擊，因其簡(jiǎn)單有效，成為旁路分析攻擊技術(shù)中發(fā)展最迅速的攻擊技術(shù).

SM4密碼算法作為國(guó)內(nèi)密碼行業(yè)標(biāo)準(zhǔn)的分組密碼算法[8]，應(yīng)用于金融、無(wú)線局域網(wǎng)、國(guó)家電網(wǎng)等領(lǐng)域的軟硬件信息安全產(chǎn)品中.隨著能量分析攻擊技術(shù)的發(fā)展，自SM4密碼算法被公布起，國(guó)內(nèi)外出現(xiàn)了針對(duì)SM4密碼算法能量分析攻擊的研究，其中文獻(xiàn)[9-10]將輪輸出作為信息泄露點(diǎn)，提出了針對(duì)SM4密碼算法的選擇明文能量分析攻擊；文獻(xiàn)[11-12]將S盒子輸出作為信息泄露點(diǎn)，提出了針對(duì)SM4密碼算法S盒子輸入的能量分析攻擊；文獻(xiàn)[11]將S盒子輸出作為信息泄露點(diǎn)，提出了針對(duì)SM4密碼算法S盒出輸入的能量分析攻擊；文獻(xiàn)[10-11]將循環(huán)移位作為信息泄露點(diǎn)，提出了針對(duì)SM4密碼算法的差分功耗分析.這些研究都是選擇單一的信息泄露點(diǎn)，針對(duì)SM4密碼算法的硬件安全產(chǎn)品實(shí)施能量分析攻擊，而在多個(gè)信息泄露點(diǎn)聯(lián)合能量分析攻擊方面，尚未發(fā)現(xiàn)國(guó)內(nèi)外有關(guān)于SM4密碼算法多點(diǎn)聯(lián)合的能量分析攻擊的研究結(jié)果.聯(lián)合SM4密碼算法多個(gè)信息泄露點(diǎn)，構(gòu)造能量泄露函數(shù)，進(jìn)行能量分析攻擊，不僅對(duì)SM4密碼算法的實(shí)現(xiàn)安全研究具有重要意義，而且對(duì)多點(diǎn)聯(lián)合能量分析攻擊泄露函數(shù)的構(gòu)造、攻擊方法和性能的研究，以及對(duì)其他密碼算法的多點(diǎn)聯(lián)合能量分析攻擊的應(yīng)用也具有十分重要的意義.

本文通過(guò)對(duì)SM4密碼算法的結(jié)構(gòu)特點(diǎn)和單點(diǎn)信息泄露點(diǎn)的分析，結(jié)合能量分析攻擊原理，設(shè)計(jì)構(gòu)造多點(diǎn)聯(lián)合的能量泄露函數(shù)，首次提出了針對(duì)SM4密碼算法的多點(diǎn)聯(lián)合能量分析攻擊方法.在攻擊時(shí)，同時(shí)選擇SM4密碼算法的S盒子輸入和輸出，作為能量分析攻擊的中間數(shù)據(jù)，根據(jù)中間數(shù)據(jù)的漢明重量模型或者漢明距離模型，構(gòu)造多點(diǎn)聯(lián)合能量泄露函數(shù)，聯(lián)合S盒子輸入和輸出對(duì)應(yīng)的能量曲線，進(jìn)行聯(lián)合能量分析攻擊，即可破解密鑰.最后對(duì)智能卡上實(shí)現(xiàn)的SM4密碼算法進(jìn)行了實(shí)測(cè)攻擊測(cè)試，結(jié)果不僅驗(yàn)證了多點(diǎn)聯(lián)合能量分析攻擊方法的有效性，而且驗(yàn)證了多點(diǎn)聯(lián)合能量分析攻擊，相比單點(diǎn)的能量分析攻擊，在相同的實(shí)驗(yàn)環(huán)境下，可以提高能量分析攻擊中信息泄露的利用率，降低能量分析攻擊的曲線條數(shù)，提高能量分析攻擊的成功率.此外，本文所提到的多點(diǎn)聯(lián)合能量分析攻擊方法，作為普適性攻擊方法，還可以應(yīng)用到針對(duì)其他密碼算法的多點(diǎn)聯(lián)合能量分析攻擊.

1 SM4密碼算法簡(jiǎn)介

Fig. 1 SM4 encryption operation process.圖1 SM4加密運(yùn)算過(guò)程

SM4密碼算法作為國(guó)產(chǎn)對(duì)稱密碼算法，其明密文和密鑰的分組長(zhǎng)度為128 b，SM4的加解密運(yùn)算和密鑰擴(kuò)展均為32輪非線性迭代結(jié)構(gòu)，其加密運(yùn)算的過(guò)程如圖1所示：

1.1 SM4加密運(yùn)算

對(duì)i=0,1,…,31，由式(1)計(jì)算Xi+4.

Xi+4=F(Xi,Xi+1,Xi+2,Xi+3,rki)=

Xi⊕T(Xi+1⊕Xi+2⊕Xi+3⊕rki) .

(1)

最后輸出的密文(Y0,Y1,Y2,Y3)=(X35,X34,X33,X32).

(b0,b1,b2,b3)=(Sbox(a0)，Sbox(a1)，

Sbox(a2)，Sbox(a3)).

(2)

設(shè)C為線性變換L的輸出，則線性變換L的描述為

C=L(B)=B⊕(B<<<2)⊕(B<<<10)⊕，

(B<<<18)⊕(B<<<24) .

(3)

1.2 SM4密鑰擴(kuò)展運(yùn)算

由式(4)和式(5)計(jì)算輪子密鑰rki.

(K0,K1,K2,K3)=(MK0⊕FK0,MK1⊕FK1,

MK2⊕FK2,MK3⊕FK3) .

(4)

rki=ki+4=Ki⊕T′(Ki+1⊕Ki+2⊕

Ki+3⊕CKi).

(5)

1)T′變換與SM4加解密算法的T變換基本相同，只是線性變換修改為L(zhǎng)′(B).

L′(B)=B⊕(B<<<13)⊕(B<<<23).

(6)

2)FK0，F(xiàn)K1，F(xiàn)K2，F(xiàn)K3和CKi為已知系統(tǒng)參數(shù)，詳見(jiàn)參考文獻(xiàn)[8].

2 能量分析攻擊

能量分析攻擊，最早由Kocher等人提出，隨著能量分析攻擊技術(shù)的發(fā)展，能量分析攻擊出現(xiàn)了眾多攻擊方法，包括簡(jiǎn)單能量分析攻擊、差分能量分析攻擊、相關(guān)性能量分析攻擊、互信息能量分析攻擊和模板攻擊.其中，相關(guān)性能量分析攻擊是利用采集的被攻擊設(shè)備的能量信息軌跡與處理數(shù)據(jù)之間的相關(guān)性進(jìn)行分析.該攻擊方法作為對(duì)硬件密碼電子設(shè)備常用的攻擊和檢測(cè)方法，其步驟如下：

1) 采集能量曲線.確定明文集合M={m1,m2,…,mn,…,mN}，n的取值范圍是[1,N].采集被攻擊密碼設(shè)備對(duì)應(yīng)每個(gè)明文輸入的mn進(jìn)行加解密運(yùn)算時(shí)的能量跡tn={sn,1,sn,2,…,sn,γ,sn,γ+1,…,sn,l}，每條曲線的采樣點(diǎn)個(gè)數(shù)為l，γ的取值范圍是[1,l].

2) 選擇中間變量. 從密碼算法中抽象出和密鑰K等敏感信息相關(guān)的運(yùn)算d=f(mn,K)，選擇d作為能量分析攻擊的中間變量.

3) 計(jì)算假設(shè)能耗值.猜測(cè)密鑰K，其中密鑰的猜測(cè)空間為{K1,K2,…,Ko,Ko+1,…,Kk}，o的取值范圍為[1,k].根據(jù)輸入的明文mn，計(jì)算每個(gè)明文和猜測(cè)密鑰對(duì)應(yīng)的中間變量dn,Ko.根據(jù)dn,Ko的能量模型，將中間變量dn,Ko映射為對(duì)應(yīng)的假設(shè)能耗值θn,Ko.

4) 計(jì)算相關(guān)性，獲取被攻擊密鑰.統(tǒng)計(jì)假設(shè)能耗值和真實(shí)能量跡之間的相關(guān)性，基于所有明文，計(jì)算能量跡t1～N和所有假設(shè)能耗值θ1～N,Ko的相關(guān)性系數(shù)，相關(guān)系數(shù)最大時(shí)對(duì)應(yīng)的猜測(cè)密鑰，即為被攻擊的密鑰.

3 針對(duì)SM4的單點(diǎn)能量分析攻擊

針對(duì)SM4的能量分析攻擊，潛在的信息泄露點(diǎn)如圖2中Att1，Att2，Att3和Att4所示:

Fig. 2 SM4 information leakage points.圖2 SM4信息泄露點(diǎn)

在信息泄露點(diǎn)Att1進(jìn)行能量分析攻擊，選擇能量分析攻擊的中間變量為SM4的S盒子輸入，計(jì)算表達(dá)式為

d=f(mn,K)=mn⊕K.

(7)

在信息泄露點(diǎn)Att2進(jìn)行能量分析攻擊，選擇能量分析攻擊的中間變量為SM4的S盒子輸出，計(jì)算表達(dá)式為

d=f(mn,K)=τ(mn,K).

(8)

在信息泄露點(diǎn)Att3進(jìn)行能量分析攻擊，選擇能量分析攻擊的中間變量為線性變換輸出，計(jì)算表達(dá)式為

d=f(mn,K)=T(mn,K).

(9)

在信息泄露點(diǎn)Att4進(jìn)行能量分析攻擊，選擇能量分析攻擊的中間變量為輪函數(shù)的輸出，計(jì)算表達(dá)式為

d=f(mn,K)=F(mn,K).

(10)

4 針對(duì)SM4的多點(diǎn)聯(lián)合能量分析攻擊方法

4.1 攻擊原理分析

目前，國(guó)內(nèi)外針對(duì)SM4的能量分析攻擊，選擇的是圖2中單個(gè)信息泄露點(diǎn)來(lái)實(shí)施能量分析攻擊，屬于單點(diǎn)能量分析攻擊.單點(diǎn)能量分析攻擊并沒(méi)有考慮各個(gè)信息泄露點(diǎn)之間相關(guān)性和各個(gè)信息泄露點(diǎn)之間所包含相同的有用信息.

式(7)～(10)各個(gè)信息泄露點(diǎn)的中間變量d，是由輪子密鑰和輪輸入經(jīng)過(guò)不同的密碼運(yùn)算產(chǎn)生，所以在密碼算法中，不同的中間變量d和相同輪子密鑰存在一定的相關(guān)性，即在能量信號(hào)曲線中，不同信息泄露點(diǎn)對(duì)應(yīng)的能量跡和同一輪子密鑰存在一定的相關(guān)性.所以，能量分析攻擊時(shí)，可以同時(shí)選擇不同的中間變量d構(gòu)造聯(lián)合能量泄露函數(shù)，建立不同的中間變量d和能量跡之間的關(guān)系，對(duì)同一輪子密鑰進(jìn)行聯(lián)合能量分析攻擊.由于攻擊時(shí)同時(shí)選擇了多個(gè)中間變量以及中間變量對(duì)應(yīng)的能量跡，所以聯(lián)合能量分析攻擊可以提高單條能量信號(hào)樣本的信息利用率.

4.2 攻擊方法

根據(jù)能量分析攻擊原理，基于SM4密碼算法中各個(gè)信息泄露點(diǎn)和密鑰等敏感信息之間的相關(guān)性，提出了針對(duì)SM4密碼算法的多點(diǎn)聯(lián)合能量分析攻擊，攻擊方法如下：

1) 攻擊SM4密碼算法第1輪，此時(shí)i=0.

2) 隨機(jī)明文，根據(jù)第2節(jié)算法描述的步驟1，采集每個(gè)明文mn對(duì)應(yīng)的能量曲線tn.

3) 同時(shí)選擇SM4密碼算法第i輪的S盒輸入和輸出2個(gè)信息泄露點(diǎn)，作為多點(diǎn)聯(lián)合能量分析攻擊的中間變量.

Sg={tn|rρ=g，g∈Ω}.

(11)

5) 對(duì)集合中所有能量曲線進(jìn)行均值化處理，如式(12)所示，其中|Sg|表示集合Sg中的樣本數(shù)量.

(12)

6) 計(jì)算集合均值能量曲線的距離平方和sosd(μ):

(13)

(14)

9) 由聯(lián)合能量泄露函數(shù)P(mn,K)，根據(jù)2節(jié)算法描述的步驟3，計(jì)算假設(shè)能耗值θn,Ko.

11) 返回步驟4，直到攻擊出輪子密鑰rki的所有字節(jié).

12)i自增，返回步驟3攻擊SM4密碼算法的下一輪輪子密鑰，直到攻擊出SM4密碼算法的前4輪輪子密鑰rk0，rk1，rk2和rk3.

根據(jù)攻擊出的前4輪輪子密鑰rk0，rk1，rk2和rk3以及SM4密鑰擴(kuò)展算法，可逆向計(jì)算出SM4的初始密鑰MK.

5 針對(duì)SM4的多點(diǎn)聯(lián)合能量分析攻擊實(shí)驗(yàn)

實(shí)驗(yàn)采用已知被攻擊密鑰來(lái)驗(yàn)證攻擊方法的有效性，被攻擊密鑰為：0x0123456789abcdeffedcba98 76543210，對(duì)應(yīng)的第1輪輪子密鑰為0xF12186F9.實(shí)驗(yàn)攻擊的對(duì)象為SM4密碼算法軟實(shí)現(xiàn)的智能卡.攻擊環(huán)境為： Inspector側(cè)信道攻擊平臺(tái)，采集到的SM4密碼算法智能卡的能量曲線如圖3所示:

Fig. 3 The power trace.圖3 能量曲線

5.1 攻擊過(guò)程

以攻擊SM4密碼算法的第1輪輪子密鑰的最低字節(jié)為例，其攻擊實(shí)驗(yàn)過(guò)程如下：

選擇圖3中SM4密碼算法第1輪對(duì)應(yīng)的能量曲線，如圖4所示:

Fig. 4 The first round power trace.圖4 第1輪能量曲線

根據(jù)每條曲線對(duì)應(yīng)的明文，計(jì)算4.2節(jié)的步驟4，步驟5和步驟6距離平方和，其中步驟6產(chǎn)生的結(jié)果曲線如圖5所示:

Fig. 5 Curve of distance square.圖5 距離平方和曲線

根據(jù)4.2節(jié)的步驟7，確定圖5中電壓最大的2個(gè)點(diǎn)的時(shí)間點(diǎn)u=6.24 μs，v=6.77 μs.以時(shí)刻點(diǎn)u和v為中心，分別連續(xù)截取點(diǎn)的個(gè)數(shù)ι=26的能量跡.

根據(jù)4.2節(jié)的步驟8和步驟9，根據(jù)聯(lián)合能量泄露函數(shù)P(mn,K)計(jì)算pn,Kj.

根據(jù)4.2節(jié)的步驟10，能量分析攻擊的結(jié)果如圖6所示，攻擊出的字節(jié)為0xF9和真實(shí)被攻擊密鑰的最低字節(jié)一樣，即攻擊成功.

Fig. 6 Multi-point joint power analysis attack results.圖6 多點(diǎn)聯(lián)合能量分析攻擊結(jié)果

5.2 實(shí)驗(yàn)結(jié)果分析

為驗(yàn)證聯(lián)合能量分析攻擊的性能，基于不同能量曲線條數(shù)對(duì)SM4密碼算法的S盒輸入和S盒輸出分別進(jìn)行了100次單點(diǎn)能量分析攻擊，同樣，對(duì)SM4密碼算法的S盒輸入和輸出進(jìn)行了100次多點(diǎn)聯(lián)合能量分析攻擊，3種攻擊方法的比較結(jié)果如圖7所示:

Fig. 7 Comparison of the three attack methods.圖7 3種攻擊方法的比較結(jié)果

從圖7可知，當(dāng)能量曲線小于160條時(shí)，在任意條數(shù)能量曲線的條件下，S盒子輸入和輸出的聯(lián)合能量分析攻擊的成功率均大于S盒子輸入和輸出的單點(diǎn)能量分析攻擊.以80條能量曲線為例，S盒子輸入和輸出的聯(lián)合能量分析攻擊的成功率為100%，S盒子輸入和輸出的單點(diǎn)能量分析攻擊均小于50%.

從圖7可知，當(dāng)能量曲線小于160條時(shí)，在任意的成功率條件下，S盒子輸入和輸出的聯(lián)合能量分析攻擊所需能量曲線條數(shù)均成倍小于S盒子輸入和輸出的單點(diǎn)能量分析攻擊.以100%的成功率為例，S盒子輸入和輸出的聯(lián)合能量分析攻擊所需曲線條數(shù)為80，S盒子輸入和輸出的單點(diǎn)能量分析攻擊均大于160.

實(shí)驗(yàn)結(jié)果表明，在相同的環(huán)境條件下，聯(lián)合能量分析攻擊相比單點(diǎn)能量分析攻擊，可以降低能量攻擊所需曲線條數(shù)，提高能量分析攻擊成功率.

6 結(jié)束語(yǔ)

本文對(duì)SM4密碼算法能量分析攻擊信息泄露點(diǎn)進(jìn)行了分析，SM4密碼算法的不同能量信息泄露點(diǎn)，包含了同一輪子密鑰的相關(guān)信息.不同信息泄露點(diǎn)對(duì)應(yīng)的能量跡，和同一輪子密鑰存在一定的相關(guān)性.本文通過(guò)構(gòu)造和輪子密鑰相關(guān)的聯(lián)合能量泄露函數(shù)，提出了針對(duì)SM4的多點(diǎn)聯(lián)合能量分析攻擊方法.

本文攻擊方法相比針對(duì)SM4的單點(diǎn)能量分析攻擊，不僅可以提高攻擊成功率，而且還可以降低能量分析攻擊所需樣本條數(shù).此外，本文所提出的聯(lián)合能量分析攻擊作為一種通用的攻擊方法，還可以應(yīng)用到針對(duì)其他密碼算法的聯(lián)合能量分析攻擊.

[1]Kocher P C. Timing attacks on implementations of Diffie-Hellman, RSA, DSS, and other systems[G] //LNCS 1109: Proc of the CRYPTO 1996. Berlin: Springer, 1996: 104-113

[2]Brier E, Clavier C, Olive F. Correlation power analysis with a leakage model[G] //LNCS 3156: Proc of the CHES 2004. Berlin: Springer, 2004: 16-29

[3]Chari S, Rao J R, Rohatgi P. Template attacks[G] //LNCS 2523: Proc of the CHES 2002. Berlin: Springer, 2002: 13-28

[4]Li Lang, Li Renfa, Tong Yanman, et al. Development on power analysis attack and defense of embedded cipher chip[J]. Journal of Computer Research and Development, 2010, 47(4): 595-604 (in Chinese)(李浪, 李仁發(fā), 童元滿, 等. 嵌入式加密芯片功耗分析攻擊與防御研究發(fā)展[J]. 計(jì)算機(jī)研究與發(fā)展, 2010, 47(4): 595-604)

[5]Zhao Xinjie, Wang Tao, Guo Shize, et al. Cache attacks on block ciphers[J]. Journal of Computer Research and Development, 2012, 49(3): 453-468 (in Chinese)(趙新杰, 王韜, 郭世澤, 等. 分組密碼Cache攻擊技術(shù)研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2012, 49(3): 453-468)

[6]Chen Aidong,Xu Sen, Chen Yun, et al. Collision-based chosen-message simple power clustering attack algorithm[J]. China Communications, 2013, 10(5): 114-119

[7]Du Zhibo, Wu Zhen, Wang Min, et al. Power analysis attack of HMAC based on SM3[J]. Journal on Communications, 2016, 37(5): 38-43 (in Chinese)(杜之波, 吳震, 王敏, 等. 針對(duì)基于SM3的HMAC的能量分析攻擊方法[J]. 通信學(xué)報(bào), 2016, 37(5): 38-43)

[8]Office of State Commercial Cipher Administration. Block cipher for WLAN products-SMS4[EB/OL].[2006-02-10]. http://www.oscca.go-v.cn/UpFile/200621016423197990.pdf

[9]Wang Min, Du Zhibo, Wu Zhen, et al. Chosen-plaintext power analysis attack against SMS4 with the round-output as the intermediate data[J]. Journal on Communications, 2015, 36(1): 2015016-1-2015016-7 (in Chinese)(王敏, 杜之波, 吳震, 等. 針對(duì)SMS4輪輸出的選擇明文能量分析攻擊[J]. 通信學(xué)報(bào), 2015, 36(1): 2015016-1-2015016-7)

[10]Du Zhibo, Wu Zhen, Wang Min, et al. Improved chosen-plaintext power analysis attack against SM4 at the round-output [J]. Journal on Communications, 2015, 36(10): 85-91 (in Chinese)(杜之波, 吳震, 王敏, 等. 針對(duì)SM4輪輸出的改進(jìn)型選擇明文功耗分析攻擊[J]. 通信學(xué)報(bào), 2015, 36(10): 85-91)

[11]Shen Wei. Investigation of power analysis attacks and its counter-measures on SMS4 cipher algorithm[D]. Xi’an: Xidian University, 2009 (in Chinese)(沈薇. SMS4算法的能量分析攻擊及其防御研究[D]. 西安: 西安電子科技大學(xué), 2009)

[12]Zhang Qi, Wu Zhen, Wang Min, et al. Research on correlation power attack on sbox-input of SM4 algorithm [J]. Computer Applications and Software, 2015, 32(12): 290-293 (in Chinese)(張琪, 吳震, 王敏, 等. SM4算法S盒輸入的相關(guān)性能量攻擊的研究[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2015, 32(12): 290-293)

Du Zhibo, born in 1982. MSc. His main research interests include application of antenna, the Internet security of things and side channel attack on the security chip.

Wu Zhen, born in 1975. MSc and associate professor. His main research interests include application of antenna, signal processing, the information security and side channel attack on the security equipment.

Wang Min, born in 1977. PhD candidate. Her main research interests include application of antenna, the attack and defense of network and side channel attack on the security chip.

Rao Jintao, born in 1985. MSc. His main research interests include cryptography, cryptographic implementations, and physical attacks (side channel and fault analysis).

Multi-Point Joint Power Analysis Attack Against SM4

Du Zhibo, Wu Zhen, Wang Min, and Rao Jintao

(ChengduUniversityofInformationTechnology,Chengdu610225)

The current power analysis attack of SM4 belongs to the single point power analysis attack. The single point power analysis attack does not use all the information related with the key in the algorithm and the single power trace. There are two limitations with the single point power analysis attack: it needs more power traces when SM4 is attacked, and the information utilization rate of the attack is low. To solve the questions of the attack, a novel method of multi-point joint power analysis attack of SM4 is proposed in this paper. Multiple information leakage points related with the key are selected at the same time. Multi-point joint power leakage function is constructed by the intermediate variable of the information leakage points and the power leakage model. The key of SM4 is attacked out by the proposing attack. The experiments demonstrate the effectiveness of the proposed attack method, and comparing with the single point power analysis attack method, the proposed attack method can improve the attack success rate, reduce the number of the attack traces, and improve the energy efficiency of the attack. According to the characteristics of the proposed method, it can also be applied to the power analysis attacks of the other cryptographic algorithms.

power analysis attack; correlation power analysis attack; SM4 cryptographic algorithm; multi-point joint

2016-06-14；

2016-08-11

“核高基”國(guó)家科技重大專項(xiàng)基金項(xiàng)目(2014ZX01032401-001)；國(guó)家“八六三”高技術(shù)研究發(fā)展計(jì)劃基金項(xiàng)目(2012AA01A403)；四川省科技支撐計(jì)劃基金項(xiàng)目(2014GZ0148)；四川省教育廳重點(diǎn)科研基金項(xiàng)目(13ZA0091)；成都信息工程學(xué)院科研基金項(xiàng)目(CRF201301)

TP309.1

This work was supported by the National Science and Technology Major Projects of Hegaoji (2014ZX01032401-001), the National High Technology Research and Development Program of China (863 Program) (2012AA01A403), the Key Technology Research and Development Program of Sichan Province (2014GZ0148), the Major Scientific Research Foundation of Sichuan Educational Commission (13ZA0091), and the Scientific Research Foundation of CUIT (CRF201301).