一種抵御能量分析攻擊的aes對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法
【專(zhuān)利摘要】一種抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法���,包括步驟:設(shè)置與AES初始輸入邏輯上完全互補(bǔ)的初始值、設(shè)置與AES每輪子密鑰邏輯上完全互補(bǔ)的初始值����、進(jìn)行操作、進(jìn)行操作��、進(jìn)行操作����、⑥進(jìn)行操作。本發(fā)明保證每輪的中間變量漢明比重一樣�,而且證任意兩輪之間的中間變量漢明距離總是為0,在RTL級(jí)別上實(shí)施的抵御能量分析攻擊的方法�,便于實(shí)現(xiàn),無(wú)需定制互補(bǔ)型邏輯門(mén)邏輯�����,對(duì)于后端的布線布局沒(méi)有影響��,無(wú)需考慮負(fù)載平衡���、導(dǎo)線互連等物理問(wèn)題���。
【專(zhuān)利說(shuō)明】一種抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于信息安全芯片設(shè)計(jì)【技術(shù)領(lǐng)域】���,具體為一種抵御能量分析攻擊的AES對(duì) 稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法,廣泛應(yīng)用于高度安全性的加密運(yùn)算設(shè)備��。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)的不斷普及��,社會(huì)信息化程度的日益提高����,信息安全的重要性已經(jīng)逐步 凸現(xiàn)出來(lái)。加密作為信息安全中一個(gè)最為有力的武器�,正在發(fā)揮著重要的作用。Advanced Encryption Standard(以下縮寫(xiě)為AES)加密算法在成為高級(jí)加密標(biāo)準(zhǔn)到今天�����,經(jīng)歷了長(zhǎng) 期的考驗(yàn)���。
[0003] 任何安全產(chǎn)品或者密碼系統(tǒng)都必須面對(duì)一個(gè)如何防御攻擊和窺測(cè)的問(wèn)題����,近些年 來(lái)�����,出現(xiàn)了一種新的強(qiáng)有力的攻擊方法,人們稱(chēng)之為旁路攻擊(SCA)�。旁路攻擊就是利用密 碼芯片在運(yùn)行過(guò)程中泄露的旁路信息,諸如功耗��、時(shí)間��、電磁波�����、以及差錯(cuò)信息等��,利用上述 信息對(duì)密碼系統(tǒng)進(jìn)行攻擊和窺測(cè)���。旁路攻擊已成為信息安全芯片產(chǎn)品的巨大威脅,其危害 遠(yuǎn)遠(yuǎn)大于傳統(tǒng)的數(shù)學(xué)分析手段�。
[0004] 功耗攻擊是旁路攻擊的一種,利用密碼芯片執(zhí)行加密運(yùn)算時(shí)消耗的功耗來(lái)對(duì)密鑰 進(jìn)行攻擊��。芯片在處理不同運(yùn)算的時(shí)候所消耗的功耗是不同的����,即使處理同一條指令操作 數(shù)不同功耗也是不一樣的,因此對(duì)功耗進(jìn)行分析�,可以推算出密鑰來(lái)��。功耗攻擊分為簡(jiǎn)單功 耗分析攻擊(SPA)和差分功耗分析攻擊(DPA)�,其中DPA攻擊更有效�,應(yīng)用領(lǐng)域更廣泛。
[0005] DPA攻擊的原理是利用被攻擊設(shè)備在加密過(guò)程中所實(shí)際消耗的功耗與加密算法中 間值的相關(guān)性���,從而得出密鑰的一種攻擊方法���。根據(jù)輸入的明文和猜測(cè)的密鑰,加密算法的 中間值總是可以計(jì)算的��。因此對(duì)抗能量分析攻擊方法的研究就變得非常地有必要�����。
[0006] Kris Tiri在2004年首次提出了抗能量分析攻擊的WDDL (波動(dòng)動(dòng)態(tài)差分邏輯)技 術(shù)(見(jiàn)K.Tiri and I. Verbauwhede, "A logic level design methodology for a secure DPA resistant ASIC or FPGA implementation, 〃in Design, Automation and Test in Europe Conference and Exhibition, 2004. Proceedings, 2004, pp. 246_251Vol· 1) 〇 該技 術(shù)將兩個(gè)互補(bǔ)型的邏輯門(mén)組成一個(gè)復(fù)合型的邏輯門(mén)����,來(lái)達(dá)到能量消耗的平衡。WDDL技術(shù)由 于從產(chǎn)生能量不平衡的根源出發(fā)����,采用互補(bǔ)性邏輯門(mén)代替普通單個(gè)的邏輯門(mén),可以從根源 上抵御能量分析攻擊�����。因此它是一種通用的抵制能量分析攻擊的方法,不需要考慮具體的 算法���。但是��,WDDL電路在設(shè)計(jì)上存在許多難點(diǎn),以至于WDDL僅僅停留在理論上���,而沒(méi)有大 規(guī)模地應(yīng)用到芯片量產(chǎn)�����。采用WDDL電路��,后端的布局布線必須使用手工完成��,這將會(huì)耗費(fèi) 大量的時(shí)間和精力�����。沒(méi)有成熟的EDA軟件的支持����,是WDDL電路不能大規(guī)模量產(chǎn)的一個(gè)重要 的原因。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明要解決的技術(shù)問(wèn)題是在RTL(寄存器傳輸級(jí))級(jí)上提供一種抵御能量分析 攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法�����,采用目前通用的商業(yè)EDA軟件即可完成芯片設(shè)計(jì)的 流程����,起到類(lèi)似WDDL電路的效果。
[0008] 本發(fā)明原理如下:
[0009] 本發(fā)明采用一種與AES算法引擎完全互補(bǔ)的算法引擎��,稱(chēng)為CAES���。AES引擎與CAES 引擎相當(dāng)于WDLL邏輯中兩個(gè)相互補(bǔ)償?shù)膯卧?���。記IAES���、ICAES分別為AES和CAES算法引擎中 相對(duì)應(yīng)的中間變量��,在任何時(shí)候總有下面的關(guān)系成立:
[0010] IaeS = Icaes ( 1 )
[0011] 通過(guò)公式(1)可以看出本發(fā)明采用的AES與CAES互補(bǔ)型設(shè)計(jì)可以保證整個(gè)算法 弓丨擎在任何時(shí)刻的漢明比重與漢明距離相同����,可以有效地起到抵御能量分析攻擊的目的。
[0012] 本發(fā)明的技術(shù)解決方案如下:
[0013] 一種抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法���,其特點(diǎn)在于�����,該方法包 括如下步驟:
[0014] ①設(shè)置與AES初始輸入邏輯上完全互補(bǔ)的初始值��;
[0015] ②設(shè)置與AES每輪子密鑰邏輯上完全互補(bǔ)的初始值���;
[0016] ③利用步驟①和步驟②輸入的初始值,進(jìn)行與AES中Addkey操作邏輯上完全互補(bǔ) 的操作��;
[0017] ④進(jìn)行與AES中Subbyte操作邏輯上完全互補(bǔ)的Subbyte操作�����;
[0018] ⑤進(jìn)行與AES中Shiftrow操作邏輯上完全互補(bǔ)的5?訴raw操作����;
[0019] ⑥進(jìn)行與AES中Mixcolumn操作邏輯上完全互補(bǔ)的操作�����。
[0020] 與現(xiàn)有技術(shù)相比,本發(fā)明具有以下有益效果:
[0021] 首先�,AES與CAES的每一個(gè)中間變量都在邏輯上互補(bǔ),不僅可以保證每輪的中間 變量漢明比重一樣�����,而且可以保證任意兩輪之間的中間變量漢明距離總是為0�����。
[0022] 其次�����,本發(fā)明是在RTL級(jí)別上實(shí)施的抵御能量分析攻擊的方法��,便于實(shí)現(xiàn)�,無(wú)需定 制互補(bǔ)型邏輯門(mén)邏輯。再者�����,由于是RTL級(jí)別上的方法���,對(duì)于后端的布線布局沒(méi)有影響��,無(wú) 需考慮負(fù)載平衡�����、導(dǎo)線互連等物理問(wèn)題�����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0023] 圖1AES與互補(bǔ)型CAES硬件實(shí)現(xiàn)方案�����。
[0024] 圖2計(jì)算GF ((24)2)域上乘法逆����。
[0025] 圖3AES Sbox能量分析攻擊。
[0026] 圖4AES與CAES互補(bǔ)型Sbox能量分析攻擊�����。
【具體實(shí)施方式】
[0027] 下面結(jié)合實(shí)施例和附圖對(duì)本發(fā)明做詳細(xì)的說(shuō)明����,本實(shí)施例在以本發(fā)明技術(shù)方案為 前提下進(jìn)行實(shí)施��,給出了詳細(xì)的實(shí)施方式和具體的操作過(guò)程,但本發(fā)明的保護(hù)范圍不限于 下述的實(shí)施例��。
[0028] 圖1是本發(fā)明AES與互補(bǔ)型CAES硬件實(shí)現(xiàn)方案����,AES與CAES互補(bǔ)性的存在,AES 與CAES的初始輸入與每輪運(yùn)算的子密鑰邏輯互補(bǔ)�����,且內(nèi)部的操作完全互補(bǔ)�,保證了 AES引 擎與CAES引擎任何變量的漢明比重與漢明距離相同,從而起到能量的動(dòng)態(tài)平衡����。詳細(xì)地:
[0029] 1、AES初始輸入DIN與CAES初始輸入萬(wàn)尿邏輯上完全互補(bǔ)�,作為Addkey操作的 其中一個(gè)輸入。
[0030] 2�、AES每輪子密鑰roundkey與CAES每輪子密鑰/O〃wi/<v邏輯上完全完全互補(bǔ), 作為Addkey操作的其中一個(gè)輸入�。
[0031] 3、AES其中的Addkey操作與CAES其中的Addkey操作邏輯上完全互補(bǔ)�,又因?yàn)樗?們的輸入完全互補(bǔ),所以它們的輸出完全互補(bǔ)����,且Addkey操作的輸出作為下一輪的輸入或 者作為最后的結(jié)果(最后一輪)輸出�。
[0032] 將AES其中的Addkey操作輸入數(shù)據(jù)記為列向量[bQ����,& b2, b3, b4, b5, b6, b7]T,輪密 鑰記為列向量[kQ, kp k2, k3, k4, k5, k6, k7]T��,輸出記為列向量[cQ, q�����,c2, c3, c4, c5, c6, c7]T�,異或 操作記為" ~ 則AES的Addkey操作可以表示為:
[0033]
【權(quán)利要求】
1. 一種抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法,其特征在于�,該方法包括 如下步驟: ① 設(shè)置與AES初始輸入邏輯上完全互補(bǔ)的初始值; ② 設(shè)置與AES每輪子密鑰邏輯上完全互補(bǔ)的初始值�; ③ 利用步驟①和步驟②輸入的初始值,進(jìn)行與AES中Addkey操作邏輯上完全互補(bǔ)的 A/i/kv 操作���; ④ 進(jìn)行與AES中Subbyte操作邏輯上完全互補(bǔ)的操作; ⑤ 進(jìn)行與AES中Shiftrow操作邏輯上完全互補(bǔ)的57?訴/'ou'操作���; ⑥ 進(jìn)行與AES中Mixcolumn操作邏輯上完全互補(bǔ)的操作�。
2. 根據(jù)權(quán)利要求1所述的抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法,其特征 在于�����,所述的步驟③操作�����,具體如下: 將步驟①得到的輸入數(shù)據(jù)記為列向量[b'0 ν�����,b'2, V����,b'4, V,b'6,b' 7]τ�����,將步驟② 得到的輪密鑰記為列向量[k'�。,V�,k' 2, k3',k' 4, k5'�,k' 6, k' 7]τ����,輸出記為列向量[C'���。��,Cl'���,c ' 2, c' 3, c' 4, c' 5, c' 6, c' 7]τ,同或操作記為"·'?"���,公式如下:
3. 根據(jù)權(quán)利要求1所述的抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法�,其特征 在于���,所述的步驟④^^操作�,包含以下兩個(gè)變換: 變換1 :與AES完全互補(bǔ)的乘法逆運(yùn)算�����。 變換2 :與AES完全互補(bǔ)的仿射變換����。
4. 根據(jù)權(quán)利要求3所述的抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法,其特征 在于��,所述的與AES完全互補(bǔ)的乘法逆運(yùn)算�,包括以下三個(gè)步驟: 步驟1 :將GF(28)上的數(shù)據(jù)轉(zhuǎn)換成GF(24)上的數(shù)據(jù):記GF(28)的數(shù)據(jù)為列向量 [X。��,Xi, x2, x3, x4, x5, x6, χ7]τ,轉(zhuǎn)換為 GF(24)上的數(shù)據(jù)記為列向量[al, ah]T = [al�。,ali, al2, a 13, ahQ, ah^ ah2, ah3]T��,則轉(zhuǎn)換的公式如下:
步驟2: CAES復(fù)合域GF( (24)2)上的求逆�,公式如下: ahxc = ahs ?λ alxe 二{ah ?八("、}? η! gama = ahxe ?"alxe theta = gama1 aph = (hc(a ? ah apl = theia?('ah ?Aal) 式中���,"S"表示CAES中GF (24)域上的平方操作�����,"(8)"表示CAES中GF (24)域上的乘法 操作��,"I"表示CAES中GF(24)域上的求逆運(yùn)算����; 步驟3 :將GF (24)的數(shù)據(jù)再轉(zhuǎn)換到GF (28)�����,公式如下:
5.根據(jù)權(quán)利要求4所述的抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法,所述的 與AES完全互補(bǔ)的仿射變換���,公式如下:
6.根據(jù)權(quán)利要求1所述的抵御能量分析攻擊的AES對(duì)稱(chēng)互補(bǔ)型硬件實(shí)現(xiàn)方法��,其特征 在于����,所述的步驟⑥Μ/?〃訓(xùn)操作定義如下:
【文檔編號(hào)】H04L29/06GK104092533SQ201410312769
【公開(kāi)日】2014年10月8日 申請(qǐng)日期:2014年7月2日 優(yōu)先權(quán)日:2014年7月2日
【發(fā)明者】朱念好, 周玉潔, 劉紅明 申請(qǐng)人:上海交通大學(xué)