一種針對密碼芯片DPA攻擊的安全風險量化分析方法

李廷順　譚　文　程志華　張宗華

1(華北電力大學控制和計算機工程學院　北京 102206)2(國家電網公司　北京 100031)3(南瑞集團有限公司　江蘇 南京 210003)

?

一種針對密碼芯片DPA攻擊的安全風險量化分析方法

李廷順1譚文1程志華2張宗華3

1(華北電力大學控制和計算機工程學院北京 102206)2(國家電網公司北京 100031)3(南瑞集團有限公司江蘇 南京 210003)

摘要針對密碼芯片遭受差分功耗分析DPA(Differential Power Analysis)策略攻擊時風險如何量化精確評估的問題，提出一種量化應用模擬分析方法。該方法對正常運行中的密碼芯片功率消耗大小的概率分布密度值實行核函數機制理論推導，并引入密鑰在獲取時攻擊分析結構模型與功率消耗大小之間的互通信熵值。實驗結果表明，該量化分析方法不僅能精確地驗算出與互通信熵值類似的相關度參數，而且能有效地提高密鑰芯片風險全方位分析能力。

關鍵詞DPA密碼芯片核函數互通信熵值量化分析

0引言

近年來，隨著計算機信息技術的不斷發展，人們在享用IT技術所帶來便利的同時，越來越關心信息安全的重要性。其中，便攜性密碼裝置的應用與實踐已深入到世界信息化發展的各個層面，尤其是企業級信息安全密碼芯片裝置最為突出。但是，近年來功耗分析技術對密碼芯片的安全產生了嚴重的威脅，功耗分析屬于旁路攻擊技術的一種且威脅性最高。而DPA是功耗分析攻擊中的一種主要手段[1]。攻擊者利用對硬件加密設備中的CM0S電路鎖定時產生的動態能量消耗曲線等邊信道信息進行測量和分析，采用非侵入的方式提取設備的加密密鑰等秘密信息。所以攻擊者對被攻擊器件不需要深入地了解就能破解例如DES、AES等加密算法。與傳統破解加密芯片的方法相比，DPA更隱蔽而且更難防范。密碼芯片應用于人們生活中的各個領域，因而對密碼芯片有關DPA等攻擊技術的研究很有必要[2]。

而目前，在國內外研究成果中，關于DPA攻擊對于密碼芯片風險機制處理的量化分析研究資料極其缺乏。文獻[3] 借鑒了Prouff等人利用頻譜變換進行防護的思路，提出一種基于Walsh 譜變換的安全S 盒算法，分析其安全性與簡便性，介紹其硬件實施的可行性，并以DES為例證明該方案的安全性。然而此文獻只是單純地對于算法密鑰風險機制采取了量化措施，未能對基于DPA攻擊下的風險機制進行量化分析，忽視了偏向性DPA攻擊多變化的波浪線式風險識別過程。文獻[4]依據功率消耗泄露參數，設計出一種新型的信息安全風險評估策略。此策略中引入了漢明權重HW(Hamming weight)結構對其差分風險攻擊進行了研究驗證，然而其信息安全風險量化機制僅僅針對于密碼芯片的感知安全風險的能力值，對于其信息安全風險量化機制的全方位分析能力沒有根本指導性價值。文獻[5]采取互通信熵值作為信息安全密碼芯片的功率消耗大小風險機制量化信息參數，引入其熵值用于評估密碼芯片系統安全風險因子分析，設計出一種改進的安全風險評測結構模型。然而此模型趨于理想化條件才能保證有效結果，該理想化條件就是必須保證其系統功耗噪音對密碼芯片的影響趨于零。然而現實情況下，不可能使其實現理想化。文獻[6]根據電磁學理論原理，推出一種考慮電磁泄露攻擊形態的信息安全風險評測機制。此方法引入了電磁學中信號應用分析理論對其電磁泄露攻擊構建參考模型，且采取熵值度量其安全風險機制。此風險評測機制同樣具有局限性，只能對其電磁泄露攻擊形態下的安全風險機制進行量化分析，無法量化分析DPA攻擊形態下的操作流程。文獻[7]則從信息安全風險選擇、策略機制考慮，以信息化博弈學理論為基石，綜合分析攻擊方與防御方信息安全攻擊與防御策略機制。引入互通信熵值參數因子，對整個密碼芯片的信息安全風險機制進行量化分析，提出了多種平等條件下的信息安全攻防策略結構模型，并結合系統安全商務智能倉庫數據信息，全面分析了信息安全攻防兩端的互通信過程。然而DPA攻擊是一種通過路徑條件獲取密碼芯片密鑰信息的暴力攻擊手段，所有攻擊流程與方式是非并發無隨機選擇性，都是預先確定的，符合縱向攻擊模式行為。基于博弈學理論可知，這些方法并不能有效地對DPA攻擊進行多層次量化分析。因此，在如何有效地量化DPA攻擊行為對信息安全風險機制的影響方面尚在探索階段。

本文在文獻[7]的研究基礎之上，依據信息安全密鑰在某種情況下獲取被攻擊方獲取時，DPA攻擊形態結構與功率消耗大小概率分布密度存在某種關聯性為前提，除了引入互通信熵值之外，添加了一種核函數機制，融合到差分功耗分析攻擊形態之中，在其攻擊過程之中，全方位地量化了密碼芯片的信息安全風險機制，并對其進行了量化應用模擬與分析。

1DPA攻擊理論

關于差分功耗分析(DPA)攻擊相關的理論原理，在文獻[8,9]進行了詳細的描述與分析。通過實踐表明，具體攻擊階段與詳細流程按照時間周期關鍵節點順序一般由四個部分組成：

(1) 實時運作環節攻擊方將其m組可知的明文pi(i∈[1,m])作為AES(高級加密標準)信息安全密碼芯片的輸入值，且對其明文P通過其加密算法進行多次(如n次)加密處理，獲取二元組m×n相關聯的密碼芯片功率消耗函數趨勢模型。若攻擊方的鎖定對象為一種特定編碼的、具有AES加密措施的8 bit密碼芯片(假定為單片機設備)。依據此設備所特有的裝置性質與特征(16個S盒設備串行拼接而成)，則攻擊方獲取的二元組m×n關聯性密碼芯片功率消耗函數趨勢模型同樣存在其裝置性質與特征，即此模型具有顯示多拼接S盒設備實時運作階段的功率消耗大小的特點。

(2) 通信操作環節在此環節中，首先攻擊方從所有P中抽取n條密碼芯片功率消耗函數趨勢模型，依據時間周期作為關鍵中軸點，對其求和且進行平均，使得最大程度降低高斯噪音聲波對其通信處理信號的影響；然后以SPA(簡單功率消耗分析)作為第一攻擊方式獲取相關數據信息，將其結果應用于多拼接S盒的首環過程中，從獲取的密碼芯片功率消耗函數趨勢模型中智能抽取多拼接S盒實時通信階段的時間關鍵變量，即多拼接S盒首環操作過程中HW結構與系統密鑰之間的中間參數值。

(1)

則攻擊方可以獲取從Q1一直到Q28總計28個差值集合，且對其進行了從大到小的排序。因此，對于較大輸出差值集合的Qi其對應的Ki的推導精確性同樣較大，呈現正比關系。

依據上述具體攻擊階段與詳細流程，可以描述出DPA攻擊的整體框架，如圖1所示。

圖1　DPA攻擊流程圖

在DPA攻擊的整個過程中，在攻擊方的一邊(即上半圖部分)，因為每個攻擊方采取的攻擊方式與手段不同，這里DPA攻擊手段單一，只攻擊多拼接S盒首環中的某1 bit位置。因此，多拼接S盒首環操作過程中HW結構與系統密鑰之間的中間參數值只能是0或者1。但是攻擊方的另一邊(即下半圖部分)，因為噪音聲波的干擾，攻擊方計算出在該1 bit位置的翻轉功率消耗大小值是固定在某一個范圍之內的不間斷的參數數值。盡管是在DPA攻擊周期的初始節點，但是對于噪音聲波而言，攻擊方已對取得的功率消耗函數模型做了平均差操作。基于保持一定的DPA攻擊能力與強度的要求，攻擊方選擇適度執行對其P的加密操作，不然將會出現關鍵時間周期無法控制的現象。所以，若以平均差操作的手段對其噪音聲波徹底鏟除，這一點很難實現，只能通過相對性的削弱，以達到預定的目的。

假設DPA攻擊在密鑰推導階段的精確度保持一定水準，使得攻擊達到目的，則攻擊方構造的結構模型，即模擬函數D=Hw[S(K⊕P)]。其D的0與1值與多拼接S盒運算操作中某個bit位置的功率消耗大小的概率分布密度保持一定的函數關系，即確定了其功率消耗大小的區域范圍。與此同時，HW結構輸出參數與具體情況下的某個bit位置的功率消耗大小是獨立分布的兩個個體，因此，可以獲取較大的Qi。其函數關系度與密鑰推導精準度是呈現正比關系。所以，在(3)階段應對DPA攻擊過程中，其函數關系度是信息安全量化密碼芯片應付威脅風險值的關鍵測試指標之一。

2風險量化應用分析

通過DPA攻擊建立的模擬函數：

D=Hw[S(K⊕P)]

(2)

由于其噪音聲波的干擾，對于現實情況下的功率消耗大小采取以下函數代替：

U=Hw[S(K⊕P)]+n

(3)

現對上式進行定義描述：可知n為噪音聲波的干擾量，依據D的定義，U與其相對應，即U為連續不間斷地隨機變量。

從信息安全主動方角度出發，為了測試DPA攻擊對于密碼芯片所帶來的影響與威脅，并且為了做好信息安全風險評估工作，應當提供一個正確的Ki。因此，在以低電平正常運行的密碼芯片多拼接S盒的前提下，DPA攻擊風險量化應用分析包括以下幾個部分：

以AES算法為加密標準的密碼芯片一套，且輸入值是m組P。

重復執行加密m組P，獲取二元組m×n關聯性密碼芯片功率消耗函數趨勢模型，且對所有組P的指定bit位置中的功率消耗大小qi(i∈[1,m])進行重點標記。

依據P與預先給定的Ki，依次運算出所有組P對應的Di值(D=Hw[S(K⊕P)](i∈[1,m]))，且對其qi分為A0以及A1兩個系列集合。A0中所有因子的Di都是0，與其相反，A1中所有因子的Di都是1。

基于核函數機A1制理論原理作為信息安全風險評估量化原則，即采用核函數機制分別計算p(q|D=0)以及p(q|D=0)情況下概率分布密度。在輸出結果中，p(q|D=1)是A1參數值分布情況，p(q|D=0)是A0參數值分布情況。

通過以上過程的順序執行下，獲得的輸出值，即互通信數據參數的大小詳細定義了D=Hw[S(K⊕P)]與U=Hw[S(K⊕P)]+n之間的相關度。若其D與U之間的相關度較高，則兩個系列D值概率分布情況存在較高的差異度，在保證Ki正確的前提下，攻擊方能夠獲取較大的Q，同時也能夠以較高的精準度劃分Ki的正確性。所以，以互通信數據的參數作為DPA攻擊信息安全風險評估的量化指標，能夠在信息安全密碼防御技術方面能夠提供一定的研究意義。現將以核函數機制理論原理為基礎，針對功率消耗概率分布密度趨勢模型與計算互通信熵值兩個方面進行應用與分析。

2.1核函數機制估算概率分布密度

針對信息安全風險評估機制中的現實情況，對于采樣的參數概率分布密度結構模型的詳細表現方式尚無分析能力。因此，不能利用其全參數估算方式進行函數結構模型的應用分析，只能通過無參數估算方式測試器概率分布密度結構模型。目前使用最多的是文獻[8]中提出的無參數估算方式，即基于核函數機制理論原理的一種概率分布密度估算方式，現對其方式通用流程進行詳細描述。

預先定義一個隨機變量x，其有n個檢測點，即表示為xi(1≤i≤n)。在無參數估算方式下，其核函數機制估算方式通過以下風險評估估算函數表示x的概率分布密度結構模型：

(4)

當中K(*)則是核結構函數，且符合以下條件：

(5)

其中，*滿足條件K(*)≥0，無參數估算方式窗口寬度使用h表示。其中對于K(*)以及h的相關因素說明估算方式的優劣度。通過研究表明[9]，密碼芯片中門結構在某一t點內的翻轉模式服從正態分布關系，同時其噪音聲波的干擾最低，此時服從噪音聲波干擾值等于0的正態分布。因此，其核函數表示如下：

(6)

從式(4)與式(6)中，可知f(x)的估算方式如下：

(7)

注：h見式(5)所述，n是密碼芯片測試參數總個數。

對其f(x)確定之后，h將影響最終風險評估參數估算實際作用，則在不同h值中，選取其能夠達到最佳風險評估參數估算作用的h值成為需要解決的關鍵點。依據應用數學理論中的差分機制，利用其f(x)與fh(x)(基于h值下的核函數)兩者的不同之處，進行差分計算，表示如下：

M(h)=E{∫[fh(x)-f(x)]2dx}

(8)

其中,M(h)是以h的一種積分表達式體現出來的。其實，在現實估算過程中，選取M(h)最小值狀態(其估算效果最佳[10])，那么，f(x)最好地顯示x的概率密度分布情況。所以，對其M(h)求導且其值為零的過程就是最佳的h值：

(9)

其中，形式化證明了最佳h值的f(x)估算過程[11]。如此同時，需要對功率消耗大小的樣本進行測試，使得n與xj值能夠獲取完整狀態下的f(x)。

2.2互通信熵值的計算分析

通過上一節的論證分析，因為P的不確定性，如表1顯示的D值概率分布。

表1　D值概率分布

通過分析結果已知，p(q|D=1)和p(q|D=0)具有類似的表現模式，然而其密碼芯片參數采樣的數據信息分布與h值情況，使得估算參數值不盡相同，所以對于D值與q存在一定的互通信熵值。I(D;q)表示互通信熵值，依據D與p(q|D=d)的定義關系，以及信息論理論原理可知：

(10)

參照I(D;q)能夠對其DPA攻擊進行一定的信息安全風險評估量化應用與分析。

3模擬實驗

模擬系統主要由以下幾種裝備組成：(1) 若干FPGA密碼芯片(基于AES加密標準的8 bit刀片機)；(2) 計算機一臺；(3) 穩定電壓的電源裝置一臺；(4) 示波器T一個；(5) 不同大小的電阻設備若干。首先，在FPGA芯片的末端方與接地端之間接入一個50Ω容量的電阻設備，使得能夠獲取FPGA芯片的功率消耗趨勢關系。然后在電阻設備兩邊插入測試探頭，使得FPGA芯片的功率消耗趨勢關系信號通過其裝置傳輸給T，且利用USB接口與計算機連接。本文T的采集樣本操作程序使用LabView編碼實現其模擬實驗功能。具體操作過程如下：(1) 系統將以AES加密算法為標準的密鑰信息K傳入到FPGA密碼芯片中；(2) 基于RS232開發端口為通道，將任意P信息發送給FPGA密碼芯片；(3) 通過電阻設備的接入，記錄示波器T顯示的功率消耗參數值(其中采樣率為250 MHz，平臺采樣分布密度為10 000個點)，且實時將數據信息發送給計算機系統平臺；(4) 多次執行上面3次操作，使得數據信息采樣實現自動控制功能。

在模擬系統正常運行的條件下，基于加密算法標準，預先設定一個K給予FPGA密碼芯片，且對5000組P進行加密。相對于各個不同的P，依次獲取多拼接S盒首環操作過程中的第5 bit的5000組功率消AES耗數據信息。然后通過D=Hw[S(K⊕P)]對所有P分析，分類為兩個系列集合，且記錄各個系列的功率消耗概率密度分布情況，如圖2所示。

圖2　DPA攻擊bit翻轉功率消耗的概率分布密度曲線

如上所述可知，在記錄分布數據中，有無D直接關系到功率消耗概率密度分布的區域差異性，因此，正是密鑰推導精準度最佳時，其Q值最大的直接原因。

對于h值的計算思路：在p(q|D=0)的情況下，h=0.45，在p(q|D=1)的情況下，h=0.56，此時對于風險評估估算函數的計算表達式如下：

注：表達式中的D分布值情況可以參考表1所示。

通過各個過程的推導可知互通信熵值為0.74，且此時的互通信熵值即是FPGA密碼芯片對于DPA攻擊進行信息安全風險評估量化分析的重要參考因素。

4結語

在基于DPA攻擊的基本特點與核函數機制理論原理的前提下，引入互通信熵值與DPA攻擊趨勢結構，將其應用于DPA攻擊過程中的信息安全功率消耗風險評估量化機制中，且進行了深入的應用測試。模擬測試表明，在預先設置精準度最佳密鑰的狀況下，DPA攻擊趨勢結構和密碼芯片功率消耗大小概率密度分布之間具有一定的關聯度。正是這個因子的存在，使得p(q|D=1)和p(q|D=0)具有較大差異度，基于這個度值使得DPA攻擊得以正常操作。所以，在密碼芯片應對DPA攻擊時，其關聯度特征是能夠正確測試以及量化信息安全風險因子參數值的重要節點。

經過探索，本文仍需對幾個要點進行分析總結，以便更好地找到解決方案。主要包括以下兩個問題：(1) 依據核函數機制理論原理，對密碼芯片功率消耗大小概率分布密度進行測試分析的過程中，其無參數估算方式流程過于繁瑣，需繼續探索改進；(2) 無參數估算方式具有一定使用局限性，若關聯度參數值具有線性模式，此估算方式處于非最佳狀態，所以如何將信息安全風險評估估算方式達到最佳狀態，同樣是今后需要研究的關鍵之一。

參考文獻

[1] Mangard S,Oswald E,Popp T.能量分析攻擊[M].馮登國,周永彬,劉繼業,等譯.北京:科學出版社,2010.

[2] 曾輝,李飛,高獻偉,等.基于FPGA加密芯片的DPA實現與防御研究[J].電子設計工程,2011(11):25-29.

[3] 孫慧盈,陸繼承,魏長征,等.基于Walsh譜變換的S盒算法[J].計算機工程,2014(7):18-23.

[4] Stefan Mangard.Securing implmentations of block ciphers against side-channel attacks[D].Austria:Graz University of Technology,2004.

[5] Knocher P,Jaffe J,Jun B.Differental power analysis[C]//LNCS 1666:Advances in Cryptology(CRYPTO’99).Berlin:Springer,1999:388-397.

[6] Akashi Satoh,Sumio Morioka,Kohji Takano,et al.A compact rijndael hardware architecture with S-Box optimization[C]// LNCS 2248:ASIACRYPT 2001.Berlin:Springer,2001:239-254.

[7] Johannes Blomer,Jorge Guajardo Merchan,Volker Krummel.Provably Secure Masking of AES[C]//LNCS 3357:SAC 2004.Berlin:Springer,2005:69-83.

[8] 童元滿,王志英.一種抗DPA及HO-DPA攻擊的AES算法實現技術[J].計算機研究與發展,2009,46(3):377-383.

[9] Tiri K,Akmal M,Verbauwhede I.A Dynamic and Differenrial CMOS Logic with Signal Independent Power Consumption to Withstad Differential Powe Analysis on Smart Cards[C]//ESSCIRC,2002:403-406.

[10] Popp T,Kirschbaum M,Zefferer T,et al.Evaluation of the Masked Logic Style MDPL on a Prototype Chip[C]//CHES,2007:81-94.

[11] Tiri K,Verbauwhede I.Simulation Models for Side-channel Information Leaks[C]//DAC,2005:228-233.

[12] Bucci M,Giancane L,Luzzi R,et al.Three-phase Dual-rail Pre-charge Logic[C]//CHES,2006:232-241.

A QUANTITATIVE ANALYSIS METHOD FOR SECURITY RISK AGAINST DPA ATTACK ON PASSWORD CHIP

Li Tingshun1Tan Wen1Cheng Zhihua2Zhang Zonghua3

1(SchoolofControlandComputerEngineering,NorthChinaElectricPowerUniversity,Beijing102206,China)2(StateGridCorporationofChina,Beijing100031,China)3(NARIGroupCorporation,Nanjing210003,Jiangsu,China)

AbstractAiming at how to estimate the risk of the password chips being attacked with differential power analysis (DPA) in quantified and precise way, this paper proposes a quantitative analysis method for applied simulation. The method makes the theoretical derivation with kernel function mechanism on the probability distribution density value of the power consumption of password chip in normal working process, and introduces the mutual communication entropy between the analysis structure model of the attack during key acquisition and the energy consumption. Experimental results indicate that the quantitative analysis can not only check the relevance parameter similar to mutual communication entropy, but can also effectively improve the full-range analysis capability in regard to key chip risks.

KeywordsDPAPassword chipKernel functionMutual communication entropyQuantitative analysis

收稿日期：2014-11-17。華北電力大學中央高校基本科研業務專項(13MS22)。李廷順，講師，主研領域：云計算，信息安全，大數據處理。譚文，教授。程志華，高工。張宗華，工程師。

中圖分類號TP309.1

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.05.078