基于配對t檢驗的側信道泄露評估優化研究

鹿福祥，李偉鍵，黃 嫻

(廣東技術師范大學 計算機科學學院，廣州 510665)

1 引 言

自1999年Paul Kocher等[1]提出差分能量分析攻擊(DPA，Differential Power Analysis)以來側信道攻擊得到密碼研究人員的極大關注，至今已經演化出多種能量分析攻擊方法，主要方法有相關能量分析攻擊[2](CPA，Correlation Power Analysis)、簡單能量分析攻擊(SPA，Simple Power Analysis)、模板攻擊[3](TA，Template Attack)、碰撞分析攻擊[4](CA，Collision Attacks)、互信息分析攻擊[5](MIA，Mutual Information Analysis)和電磁攻擊(EMA，Electromagnetic Attack)等.密碼算法實現遭受側信道攻擊的威脅極為嚴峻，因此，在實現密碼算法的過程中必須考慮抵抗側信道攻擊的能力，并對其進行側信道泄露評估.

信息技術安全通用標準[6](CC，Common Criteria)是用于計算機安全認證的國際標準，隨著側信道攻擊方法的發展和密碼產品的廣泛應用，使CC的實現需要很高的代價.傳統側信道攻擊評估方法需要掌握加密算法的實現細節，不利于黑盒模型下的評估和工業應用.無需密碼算法實現細節、無需專門的側信道研究人員操作、能夠高效評估密碼算法實現的安全性成為側信道泄露評估方案的最終目標，而TVLA側信道泄露評估方法具有滿足這個需求的巨大潛力.

2011年GoodWill等[7]提出了基于t檢驗的側信道泄露評估方法，根據中間結果對功耗軌跡進行分組的特定t檢驗(Specifict-test)，對AES加密算法的實現進行類似于DPA的泄露評估.隨后2013年Becker等[8]提出了TVLA(Test Vector Leakage Assessment)方法，使用固定和隨機的非特定t檢驗(Non-specific Fixed vs Random Test)可以在不需要算法實現細節和功耗模型的情況下對密碼算法進行黑盒評估，具有更強的通用性和魯棒性.隨后CRI公司(Cryptography Research，Inc)將[7,8]作為側信道泄露評估的標準.2015年Tobias Schneider等[9]深入研究了t檢驗在不同理論背景下的測試模型，提出了準確、高效、可執行的側信道泄露評估方案，包括特定t檢驗、非特定t檢驗(Non-specific T-test)和高階檢驗(Higher Order Test)，為側信道泄露評估奠定了理論基礎.2016年Adam Ding等[10]提出了配對t檢驗(Pairedt-test)，不僅能夠減小環境噪聲對檢測結果的影響，而且具有快速性、高效性和魯棒性等優點.成為側信道高階泄露評估的一種快速實現方法.2017年Oscar Reparaz等[11]提出了基于Kernel-based Density函數對各階統計矩快速計算方法.2017年Liwei Zhang[12]發現了TVLA并不完備，特別是閾值的選擇，利用統計學二次顯著性檢驗選擇合適的閾值，減少t檢驗結果出現第I類錯誤的概率.2017年Wan Lei等[13]提出了基于頻域分析的TVLA用于側信道泄露評估.2018年Amir Moradi等[14]提出了χ2檢驗與t檢驗結合，對高階掩碼和高噪聲的加密算法實現過程進行了側信道泄漏評估.2018年Florian Bache等[15]提出了一個基于置信區間的側信道泄露評估的新框架，擴展了TVLA.近年來，TVLA已經成為側信道泄露評估標準，大量密碼研究者使用TVLA對他們設計的密碼算法實現方案進行泄露評估[16-22].

在側信道泄露評估中使用配對t檢驗作為工具[10]要比傳統分組t檢驗效率更高、速度更快、魯棒性更強.然而本文研究發現配對t檢驗在某些情況下是無效的.

我們的工作：

本文重點分析使用配對t檢驗作為側信道泄露評估工具時存在的兩類問題并提出了改進方法.

1)分析非特定配對t檢驗的兩類問題.其一，不滿足條件的采樣點使用配對t檢驗會出現錯誤的結果，即配對功耗軌跡組間采樣點相關性系數小于0時，使用配對t檢驗進行泄露評估，部分采樣點會出現第I類錯誤.其二，可能會出現部分死區.通過對AES的側信道泄露評估實驗，發現AES的第一輪所有采樣點使用配對t檢驗進行檢測幾乎全部出現第II類錯誤.

2)設計一套側信道泄露評估優化方案，有效減少第I、II類錯誤的出現，同時又能快速的、高效的達到評估目的.對AES算法的側信道泄露評估實驗表明，本文方法比傳統分組t檢驗的評估方法減少70%功耗軌跡數量和45%的計算時間.

2 研究背景

能量分析攻擊主要利用加密設備在加密過程中產生的功耗軌跡與設備操作依賴性、數據依賴性而進行的.并通過抽樣總體LA和LB檢驗在密鑰相同的情況下，使用固定明文加密和使用隨機明文兩大類，加密過程產生功耗軌跡的均值是否有顯著性差異.功耗軌跡模型如下[10]：

LA=V(k,xA)+rA+rE
LB=V(k,xB)+rB+rE

(1)

使用Welcht檢驗進行側信道泄露評估時[8]，Welcht檢驗統計量表示為：

(2)

其中，μA和μB表示總體A和B的期望值，Welcht檢驗的原假設和備擇假設分別為：

H0∶μA=μB,H1∶μA≠μB

文獻[10]中引入配對t檢驗可以增強魯棒性、提高評估效率.Welcht檢驗和配對t檢驗均可以在方差未知的情況下對總體均值是否有顯著性差異進行檢驗.

(3)

其中，μD表示總體D的期望值，配對t檢驗的原假設和備擇假設分別為：

H0∶μD=0,H1∶μD≠0

3 理論和實驗分析

3.1 配對t檢驗的理論假設

(4)

理論上，配對t檢驗的檢驗統計量|tp|會比Welcht檢驗的檢驗統計量|tu|更大.進行評估時隨著功耗軌跡增多|tp|會迅速變大，能很快的檢測出泄露.這樣[10]分析存在一些問題，本文方案中給出了更合理的理論分析.

3.2 配對t檢驗的理論假設不成立

(5)

其中，皮爾遜相關性系數的計算公式[2]為:

(6)

所以公式(4)是不正確的，因為分析時沒有考慮到配對功耗軌跡組間采樣點相關性系數對配對t檢驗的影響，所以會得出錯誤的檢驗結果.公式(6)相關系數的計算公式，可以計算配對組間每一個采樣的相關性系數.從公式(5)中可以看出，當ρ>0時，|tp|將大于|tu|，配對t檢驗的效率會高于Welcht檢驗的效率.當ρ<0時|tp|將小于|tu|，不適合用配對t檢驗.相關性的正負不僅影響配對t檢驗的效率，而且可能會出現第Ⅰ、Ⅱ類錯誤[23].并不是所有的采樣點都適合用配對t檢驗進行側信道泄露評估.

統計學假設檢驗[23]中第Ⅰ類錯誤表示“拒真”在側信道評估中表現為兩組功耗軌跡被檢驗的采樣點的均值實際上不存在顯著性差異即H0為真，而檢驗結果卻是拒絕H0.第Ⅱ類錯誤表示“取偽”在泄露評估中表現為兩組功耗軌跡被檢驗的采樣點的均值實際上存在顯著性差異即H0為假，而檢驗結果卻是接受H0.如果對所有的采樣點用配對t檢驗進行側信道泄露評估，會導致檢驗結果出現第Ⅰ、Ⅱ類錯誤的情況增多.

3.3 實驗驗證

上述理論分析中指出的第一個問題：配對功耗軌跡組間采樣點相關性系數的正負會影響配對t檢驗的結果，相關性系數越好對檢驗方法選擇的要求越高，否則會出現錯誤的檢驗結果.圖1展示了對AES算法的配對t檢驗結果，只顯示采樣點的ρ<0，出現I類錯誤的部分，并提供了與Welcht檢驗的對比結果.

圖1 部分ρ<0的采樣點的t值Fig.1 T-values of the sampling points having ρ<0

圖1中橫軸表示功耗軌跡條數，縱軸表示檢驗統計量t，兩條平行虛線為閾值C.本文設置閾值為5，根據Liwei Zhang[14]的方法和經驗設置一個合適的置信區間.在功耗軌跡數很少的情況下進行配對t檢驗，其檢驗統計量的絕對值已經超過設定的閾值，隨功耗軌跡條數的增多檢驗統計量的絕對值繼續增大.但是這部分采樣點使用Welcht檢驗在功耗軌跡從10萬條增加至100萬條進行假設檢驗，其檢驗統計量的絕對值仍然在閾值內變化.而使用配對t檢驗出現了第Ⅰ類錯誤.

實際應用中發現的第二個問題：基于配對t檢驗對AES的側信道泄露評估，實驗結果中發現對AES第一輪的檢驗結果全部出現第Ⅱ類錯誤，是假設檢驗的無效區間.首先利用CPA找到AES第一輪加密包含的采樣點(第440～610采樣點).然后與Welcht檢驗的t值進行對比，兩種t檢驗在AES第一輪的部分采樣點的t值如圖2所示.

圖2中第440～510采樣點(每間隔10個采樣點)隨著功耗軌跡增多t值的變化.隨著功耗軌跡條數的不斷增加配對t檢驗的t值始終在閾值內變化，而Welcht檢驗進行泄露評估很少的功耗軌跡，t值已經超出了閾值，隨功耗軌跡條數的增多t值繼續增大.這部分采樣點使用配對t檢驗進行假設檢驗時出現第Ⅱ類錯誤，驗證了基于配對t檢驗對AES的側信道泄露評估的第一輪是假設檢驗的無效區間.

圖2 第440～510采樣點的t值Fig.2 T-values of the 440～510 sampling points

3.4 改進方法

為最大限度發揮配對t檢驗的快速性、高效性和魯棒性等優勢，并減少第Ⅰ、Ⅱ類錯誤出現，本文提出了一種結合Welcht檢驗的優化方法，詳細步驟描述如圖3所示.

圖3 解決方案Fig.3 Solution and steps

首先，設置測試向量[8]，采用固定密鑰，以及固定明文和隨機明文交叉式輸入(奇數次加密輸入固定明文，偶數次加輸入隨機明文)的方式，其中隨機明文服從均勻分布，對明文加密并收集加密過程的功耗軌跡.

其次，分析配對功耗軌跡組間采樣點相關性系數，為t檢驗方法的選擇提供依據[23].把采集的功耗軌跡的一部分(本文選用18萬條)按固定明文和隨機明文分成兩組計算每個采樣點的相關系數ρ，然后根據ρ的正負選擇使用Welcht檢驗還是配對t檢驗.當ρ>0采用配對t檢驗，否則使用Welcht檢驗進行檢驗.

t檢驗方法的優選過程如圖4所示，當ρ>0,配對t檢驗效能高于分組t檢驗；當ρ<0,分組t檢驗優于配對t檢驗.相關性系數的正負影響兩種t檢驗的選擇，相關性系數越好對方法選擇的要求越高，否則會出現錯誤的檢驗結果.

圖4 配對t檢驗和分組t檢驗的優選方案Fig.4 Preferred scheme for paired t-test and grouped t-test

4 實驗結果和分析

4.1 實驗環境

本文實驗使用的功耗軌跡采集于SAKURA-G側信道分析開發板.SAKURA-G開發板是專門為研究側信道攻擊和開發硬件安全而設計的.板上配備兩塊Spartan-6 FPGA，分別作為控制芯片和加密芯片.使用本文方案對無防護的AES加密在FPGA上實現過程進行側信道泄露評估.兩塊FPGA芯片的ROM中已經寫入AES電路和控制電路，上電后會裝載至FPGA芯片.由PC上的控制軟件向開發板發送每次加密所需要的明文和密鑰，然后加密芯片實現AES加密.

圖5 實驗設備連接圖Fig.5 Experimental setup

實驗設備連接如圖5所示，SAKURA-G開發板通過USB接口連接PC；開發板利用高阻探頭連接示波器的通道1，利用SMA轉BNC線連示波器通道2，并且BNC端串聯低通濾波器；示波器通過USB接口連接PC.實驗使用安捷倫DSO 3034T示波器收集功耗軌跡.對16665采樣點按3∶1的重采比壓縮后剩余2666個采樣點.其中從第425至2279共1855個的采樣點對應著AES的十輪加密過程，本文實驗只針對AES的十輪加密過程.

4.2 實驗結果與對比分析

本節實驗中配對t檢驗和Welcht檢驗分別使用100萬條功耗軌跡對AES加密過程進行泄露評估，本文方案使用30萬條功耗軌跡進行泄露評估.首先，使用18萬條功耗軌跡計算配對組間采樣點相關性系數.即按固定明文和隨機明文將18萬條功耗軌跡分成兩組，按公式(6)逐一求解每一個采樣點的相關系數，每個采樣點的相關系數如圖6所示.

圖6 每個采樣點的相關系數Fig.6 Correlation coefficients for sample points

圖6中部分采樣點的相關系數小于零，這些采樣點使用配對t檢驗進行泄露評估可能會出現錯誤的結果.采樣點的相關系數相對AES十輪迭代存在一致性.部分采樣的正相關性很強，非常適合使用配對t檢驗進行泄露評估，可以極大地提高評估效率.

使用100萬條功耗軌跡等分成兩組，對AES加密過程每個采樣點進行Welcht檢驗，每個采樣點的t值如圖7(a)所示.

圖7 兩種假設檢驗的t值Fig.7 T-value of two hypothesis tests

圖7(a)中AES加密過程所有采樣點的t值分布與AES十輪迭代的分布呈現一致性.絕大部分采樣點檢驗統計量都不在閾值范圍內，每輪結束時個別采樣點的檢驗統計量的絕對值在落在閾值內.檢驗統計量的變化范圍在-40～120.

配對t檢驗使用100萬條功耗軌跡配成50萬組，而且是相鄰的兩次加密結合成一組.每個采樣點配對t檢驗的檢驗統計量的絕對值如圖7(b)所示.

圖7(b)中AES加密過程每個采樣點的t值的絕對值分布有九輪存在一致性，第一輪的采樣點始終在閾值C內，且變化很小.檢驗統計量的變化范圍在1400，對比Welcht檢驗的檢驗統計量的變化范圍大了十幾倍，因此配對t檢驗具有快速性，特別是對存在泄露的采樣點(一般的泄漏點)進行評估時隨著功耗軌跡增多檢驗統計量會迅速變大，能很快的檢測出泄露.

本文方案使用30萬條功耗軌跡進行側信道泄露評估的檢驗統計量如圖8所示.

圖8中只使用了30萬條功耗軌跡，采樣點的檢驗統計量的絕對值的分布與AES十輪加密的分布存在一致性，不像圖7(b)中第一輪的檢驗統計量始終在閾值C內變化很小.圖8中的曲線比圖7(b)多了一些尖刺，這是因為該區間內ρ<0的采樣點使用了Welcht檢驗進行側信道泄露評估.

圖8 本文方案檢驗統計量Fig.8 T-values of our method

通過Welcht檢驗和本文方案兩種方法的檢驗出泄露的采樣點數都穩定且相等.為了展示本文方案的優勢，對比了三種方法隨著功耗軌跡條數增多其檢驗統計量落入拒絕域的個數與檢測出的穩定泄露點數的百分比，并定義該比值為“正確率”，如圖9所示.

圖9 三種方法的正確率Fig.9 Correct rate of the three methods

圖9中可以看出使用Welcht檢驗進行泄露評估落入拒絕域的點數，不如使用配對t檢驗落入拒絕域的點數穩定.這是因為配對t檢驗的檢驗統計量的絕對值變化快，使檢驗結果很快的穩定下來.雖然使用配對t檢驗進行側信道泄露評估檢驗統計量落入拒絕域的點數比較穩定，但是檢驗統計量落入拒絕域的點數比檢測出的穩定泄露點數少了一部分.這是因為配對t檢驗進行泄露評估AES第一輪的檢驗統計量出現了第Ⅱ類錯誤.本文設計的方案使用配對t檢驗結合Welcht檢驗避免了上文中提到的兩個問題.

圖10 檢驗結果H0的分布Fig.10 Distribution of test results H0

通過原假設H0的結果分析泄露點的分布.當H0=0時，代表接受假設檢驗，認為μA和μB沒有顯著性差別，否則H0=1，認為μA和μB有顯著性差別.圖10表示通過H0的值對比本文方案與Welcht檢驗的結果.

檢驗使用100萬條功耗軌跡與本文方案使用30W條功耗軌跡對每個采樣點進行泄露評估，檢測出的泄漏點的分布基本相同.

對比三種側信道泄露方案所需功耗軌跡的數量、耗時(不包括采集功耗軌跡的時間)和落入拒絕域內的點數見表1.

表1 實驗結果對比Table 1 Comparison of experimental results

通過表1可知本文方案耗時較少、需要的功耗軌跡少，可以很好的提高評估效率.

從實驗結果上再次驗證了在側信道泄露評估時若使用配對t檢驗工具時會出現本文發現的兩個問題，本文方案結合Welcht檢驗、配對t檢驗和對加密算法的簡單分析最大的發揮配對t檢驗的優勢并解決出單獨使用配對t檢驗的問題.

5 總 結

目前以TVLA為框架的側信道泄露評估多以Welcht檢驗作為工具.TVLA給出了詳細的評估步驟具有可實現性，但是需要的功耗軌跡數量多，隨著功耗軌跡的增多，很多采樣點的檢驗結果不穩定.以配對t檢驗作為工具，可以提高評估效率，增加檢驗結果的穩定性.但是檢驗時可能會出現死區，不滿足條件時使用配對t檢驗進行評估會出現錯誤的結果.本研究通過配對t檢驗對AES的實現過程進行評估，驗證了配對t檢驗在AES第一輪的檢驗失效和ρ<0時會出現第Ⅰ類錯誤.最后本文給出了一套基于配對t檢驗的評估方案，并對AES的加密過程進行了評估，驗證了本方案的高效性、穩定性和快速性.

后繼研究中將對配對t檢驗在側信道泄露評估如何高效使用進行理論研究.分析配t檢驗出現失效的原因以及如何避免，通過一些修正使ρ<0的采樣點適用配對t檢驗，設計更簡潔、高效的側信道泄露評估方案.