密碼算法安全-側信道泄漏評估技術的研究及應用

（北京銀聯金卡科技有限公司，北京 100041）

1 側信道泄漏評估技術介紹

自2011年NIST召開的NIAT（Non-Invasive Attack Testing Workshop）研討會確定以Welch t檢驗為基礎的TVLA（Test Vector Leakage Assessment）[1]檢測方法作為通用的檢測手段之后，學術界涌現出了多種檢驗方法。2013年的連續互信息方法CMI（continuous mutual information）[2]，離散互信息方法DMI（discrete mutual information）[3]。2013年，學術界對以上3種方法做了全面的評估，得出結論是基于Welch t檢驗的方法由于其簡單運算快捷，所以在這3種方法中表現最好。2014年有學者提出基于標準類間方差的NICV（Normalized Inter-Class Variance）檢測方法[4]。最新的研究提出使用卡方檢驗的方法可以用于側信道泄漏檢測，并且具有更高的效率。本節主要介紹基于Welch t檢驗和卡方檢驗的兩種泄漏認證方法。

1.1 基于 Welch t檢驗的泄漏評估方法

假如兩個樣本集是Q0和Q1，樣本量分別是n0和n1，樣本均值分別是μ0和μ1，方差分別是Welch t檢驗用于判斷兩個樣本總體的期望是否相等。在Welch t檢驗中，零假設和備用假設分別是：

拒絕或者接受H0假設是由統計量t和自由度v決定，根據自由度，t分布的概率密度函數可以被刻畫出來，如下式：

其中，Γ(.) 是伽瑪函數(Gamma Function)，對上面的概率密度函數積分可以得到概率p，

或者通過累加的方法得到p，

其中2F1（.,.;.;.）是超幾何函數，p的值可以由如下給出：

通常而言，當|t|>4.5時，自由度v>1000(這個條件通常能滿足)，p=2F(-4.5,v>1000)<0.00001，導致t檢驗以大于0.999 99的概率拒絕零假設。所以通常可以依靠t值判斷零假設是否被拒絕。

在實際的泄漏評估當中，將采集的信號分成兩個組，然后利用Welch t檢驗檢測這兩個組的期望是否一致，以判斷是否存在泄漏。這種方法實際上是與最早的差分能量分析（CPA）的思想一致。

1.2 基于卡方檢驗的泄漏評估方法

卡方檢驗可以用于檢測多個樣本總體是否來自同一個分布，與Welch t檢驗通過均值計算統計值t不同，卡方檢驗通過分析直方圖計算統計值。

假設有r類樣本，每類樣本有c組數據，第i類樣本的第j組數據的發生的次數是F i,j，這樣總的樣本個數N是卡方檢驗的統計值x和自由度v計算方法如下：

在卡方檢驗中，接受假設的概率由下式給出：

在實際檢測中，可以將采集的信號分成多個類，每個類的數據也可以分成多個組。由于信號是由示波器采集到的，根據示波器的精度，每個類的數據可以分成的組個數是固定的（例如8比特精度的示波器有256種可能）。然后，利用卡方檢驗檢測這些不同類的數據，以評估他們是否來自同一個分布（確定是否有泄漏）。卡方檢驗評估泄漏的思想與目前側信道分析中相關性系數分析（CPA）的思想一致。

2 針對國密算法SM4的應用及實驗分析

本節針對目前國內常用密碼算法SM4的實現進行分析，評估其運行過程中的側信道泄漏信號是否存在攻擊的可能。

SM4算法是一個分組算法，其分組長度為128比特，密鑰長度為128比特。加密算法與密鑰擴展算法都采用32輪非線性迭代結構。實驗數據是通過Riscure的Power Tracer給一張嵌入了SM4算法的智能卡下發加密指令，并隨機加密100萬條明文，使用Lecroy示波器對加密過程采集能量消耗數據。

2.1 Welch t檢驗

本小節將利用Welch t檢驗對泄漏進行評估分析。首先對第一輪的第一個S盒輸出的第一比特作為中間值進行分析。對100萬條數據做完分析后得到的結果可以看出利用T檢驗對SM4單比特做評估時，得到的t統計量在所有的待評估點中沒有出現絕對值大于4.5的情況，但是已經出現了若干尖峰，所以其實可以大致判定該卡存在泄漏。

其次，利用S盒輸出的漢明重量作為中間值（大于4和小于等于4）將原始100萬數據分為兩類進行評估，從評估結果可以看出利用了S盒輸出的8個比特位，所以得到的區分度比單比特模型的結果要明顯。

最后，利用聚類模型進行泄漏分析。由于是刻畫模型，所以先對數據進行刻畫。利用相關性系數選擇與S盒輸出相關的200個特征點。再對10萬條曲線其中每條曲線只有這200個點的數據進行主成分分析降維，對降維后的數據進行K-means聚類聚成2類，這樣就得到了256到2的映射關系。利用該模型，對100萬條數據進行泄漏評估得到的結果從幅值上看，基于聚類模型的T檢驗是基于比特模型和漢明重量模型的T檢驗的2倍。說明此時基于聚類的模型更加有效。

2.2 卡方檢驗

本小節將利用卡方檢驗對泄漏數據進行進一步的評估，用到的模型是漢明重量模型和聚類模型。對100萬條數據用基于漢明重量模型進行卡方檢驗，其結果可以看到，經過卡方檢驗，明顯出現尖峰，雖然沒有計算拒絕空假設的置信水平，但是此時可以判斷在這些點存在泄漏。而且，隨著數據量的增大，幅值也逐漸增大，表明這種芯片在一定數據量后是可以被破解密鑰的。為了驗證尖峰處代表泄漏特征點，本小節對第二個S盒利用相同的方式進行評估，其結果可以看出，尖峰的位置隨著S盒在移動，說明此處確實是泄漏點，后文將繼續對這個區間做實際的側信道分析。

下一步，利用聚類模型對數據進行泄漏評估。由于漢明重量模型實際上是分為9類的模型，所以為了與之不同，本節的聚類模型將設置成7類和10類。與漢明重量情況類似，使用100萬進行分析實驗。從實驗結果可以看到，雖然統計值沒有基于漢明重量的大，但是隨著數據量增大，卡方統計值的幅值也隨之增大，說明基于聚類模型的檢驗也是穩健的。此處，智能卡的泄漏模型與漢明重量模型接近，所以基于此模型的檢驗效果比其他模型高。而在一些無法用漢明重量刻畫模型的芯片泄漏檢驗中，聚類模型具有更大的優勢。

最后，由于本小節的結果中可以看到明顯的尖峰，所以選擇尖峰處為分析的特征點以減小側信道分析的復雜度。對這些點進行相關性系數分析（10萬條曲線），得到的相分析結果關性系數說明正確密鑰已被恢復，從而驗證了前述泄漏評估方案的有效性。

3 結語

本文提出的檢測項對SM4可以做全面的泄漏評估，實驗分析也驗證了該點。但是在時間效率上有點不足，下一步將在實際檢驗中發現冗余檢測項進一步優化SM4泄漏評估過程。實驗結果表明本文設計的檢驗項可以為SM4做全面的泄漏評估，并且檢驗的結果可以為側信道分析的特征點的選擇提供參考，提高側信道分析的效率。