嚴(yán)迎建 楊昌盛 李 偉② 張立朝③

?

ZUC序列密碼算法的選擇IV相關(guān)性能量分析攻擊

嚴(yán)迎建①楊昌盛*①李 偉①②張立朝①③

①(解放軍信息工程大學(xué) 鄭州 450000)②(復(fù)旦大學(xué)微電子學(xué)院 上海 200433)③(天津大學(xué)電子信息工程學(xué)院 天津 300072)

為了分析ZUC序列密碼算法在相關(guān)性能量分析攻擊方面的免疫能力，該文進(jìn)行了相關(guān)研究。為了提高攻擊的針對性，該文提出了攻擊方案的快速評估方法，并據(jù)此給出了ZUC相關(guān)性能量分析攻擊方案。最后基于ASIC開發(fā)環(huán)境構(gòu)建仿真驗(yàn)證平臺，對攻擊方案進(jìn)行了驗(yàn)證。實(shí)驗(yàn)結(jié)果表明該方案可成功恢復(fù)48 bit密鑰，說明ZUC并不具備相關(guān)性能量分析攻擊的免疫力，同時(shí)也證實(shí)了攻擊方案快速評估方法的有效性。相比Tang Ming等采用隨機(jī)初始向量進(jìn)行差分能量攻擊，初始向量樣本數(shù)達(dá)到5000時(shí)才能觀察到明顯的差分功耗尖峰，該文的攻擊方案只需256個(gè)初始向量，且攻擊效果更為顯著。

密碼學(xué)；序列密碼；ZUC；能量分析攻擊；評估

1 引言

ZUC序列密碼算法由中國科學(xué)院數(shù)據(jù)通信保護(hù)研究教育中心設(shè)計(jì)，現(xiàn)已被采納為3GPP LTE移動(dòng)通信加密標(biāo)準(zhǔn)核心算法。該算法自發(fā)布以來受到了廣泛關(guān)注，密碼分析人員對其安全性進(jìn)行了大量研究。2012年，文獻(xiàn)[1]對ZUC進(jìn)行了差分攻擊，文獻(xiàn)[2]對ZUC初始化階段的安全性進(jìn)行了分析，文獻(xiàn)[3]對ZUC進(jìn)行了時(shí)間攻擊。2013年，文獻(xiàn)[4]對ZUC進(jìn)行了SAT分析攻擊，文獻(xiàn)[5]對ZUC進(jìn)行了猜測決定(guess and determine)攻擊。上述攻擊均從數(shù)學(xué)分析的角度展開，目前尚未發(fā)現(xiàn)明顯的安全漏洞，表明ZUC在抵抗代數(shù)分析攻擊方面具有很好的安全性。

在物理安全性方面，文獻(xiàn)[6]對ZUC進(jìn)行了差分能量分析(Differential Power Analysis, DPA)攻擊，文獻(xiàn)[7]針對嵌入式平臺下實(shí)現(xiàn)的ZUC算法進(jìn)行了側(cè)信道頻域攻擊，上述攻擊屬于側(cè)信道攻擊(Side Channel Attack, SCA)范疇。側(cè)信道攻擊屬于交叉學(xué)科，需要同時(shí)了解密碼學(xué)、統(tǒng)計(jì)學(xué)、測量學(xué)和微電學(xué)的相關(guān)知識體系[8]，因此針對ZUC的側(cè)信道攻擊研究較代數(shù)分析攻擊要少很多。

能量分析攻擊作為側(cè)信道攻擊的重要分支之一，經(jīng)過十余年的發(fā)展，先后出現(xiàn)了簡單能量攻擊(Simple Power Analysis, SPA)、DPA攻擊和相關(guān)性能量分析(Correlation Power Analysis, CPA)攻擊等攻擊技術(shù)，并廣泛應(yīng)用于分組密碼和公鑰密碼的分析，對多種密碼算法進(jìn)行了有效的攻擊[9,10]。盡管能量分析攻擊已成為分組密碼和公鑰密碼算法的有力分析工具，但針對序列密碼的相關(guān)研究卻遠(yuǎn)不及前者[11,12]。為了分析ZUC序列密碼算法在相關(guān)性能量分析攻擊方面的免疫能力，本文進(jìn)行了相關(guān)研究。為了提高攻擊的針對性，首先提出了攻擊方案的快速評估方法，并基于此給出了ZUC的相關(guān)性能量分析攻擊方案，最后基于專用集成電路(Application Specific Integrated Circuit, ASIC)開發(fā)工具構(gòu)建的仿真環(huán)境，對攻擊方案進(jìn)行了驗(yàn)證，得到了理想的攻擊結(jié)果。

2 序列密碼算法功耗成分特征分析

能量分析攻擊基于一個(gè)重要的假設(shè)前提：認(rèn)為攻擊點(diǎn)函數(shù)所產(chǎn)生的功耗與芯片中其他功耗成分相互獨(dú)立[13]。針對大量分組密碼和公鑰密碼算法的攻擊也證實(shí)了這一假設(shè)。然而實(shí)驗(yàn)發(fā)現(xiàn)，直接將上述攻擊方法移植于序列密碼算法往往并不可行。

圖1 序列密碼算法功耗成分(僅初始化階段)

文獻(xiàn)[15]指出，攻擊點(diǎn)功耗與其它功耗成分之間存在相關(guān)性是導(dǎo)致序列密碼能量分析攻擊困難的主要原因，同時(shí)還提出通過選取特定初始向量以避免或減弱功耗相關(guān)性的攻擊思路。本文延續(xù)了這一思想，并結(jié)合對多種序列密碼算法進(jìn)行能量分析攻擊的經(jīng)驗(yàn)，就初始向量選取問題，總結(jié)出以下幾點(diǎn)策略：

對于序列密碼的能量分析攻擊，攻擊點(diǎn)和初始向量的選取是攻擊方案的核心內(nèi)容。而對于具體的算法，很容易找到滿足基本要求的攻擊點(diǎn)和初始向量選取方案，如果對于每一種方案都進(jìn)行完整的實(shí)驗(yàn)，必然會(huì)帶來很高的攻擊成本，為了解決這一問題，本文提出攻擊方案的快速評估方法。

3 攻擊方案的快速評估方法

即：(1)當(dāng)且僅當(dāng)猜測密鑰與實(shí)際密鑰相一致時(shí)，攻擊點(diǎn)模擬功耗與算法整體模擬功耗具有最強(qiáng)的相關(guān)性；(2)當(dāng)猜測密碼與實(shí)際密鑰不一致時(shí)，攻擊點(diǎn)模擬功耗與算法整體模擬功耗的相關(guān)性遠(yuǎn)小于猜測正確時(shí)的情況。

4 ZUC的能量分析攻擊

ZUC[16]是一種面向字(word-oriented)的序列密碼算法，密鑰和初始向量長度均為128 bit，主要由16個(gè)31 bit位寬的反饋移位寄存器(Feedback Shift Register, FSR)、比特重組(Bit-Reorganization, BR)和非線性函數(shù)F 3部分組成，在密鑰流生成階段每個(gè)時(shí)鐘周期輸出1個(gè)32 bit的密鑰字(key-word)。

4.1攻擊點(diǎn)的選取

4.2初始向量的選取

其中，iv的位置選取需滿足以下條件：(a)不能位于FSR反饋函數(shù)的抽頭位置；(b)不能參與攻擊點(diǎn)函數(shù)或的運(yùn)算。在該方案下，各寄存器組的功耗保持固定，因此攻擊點(diǎn)功耗僅與寄存器和的功耗有關(guān)，而寄存器的功耗為

表1第0輪以f1為攻擊點(diǎn)時(shí)H與U的相關(guān)系數(shù)矩陣C

可以看到，該方案下當(dāng)且僅當(dāng)猜測密鑰與實(shí)際密鑰一致時(shí)，攻擊點(diǎn)功耗與整體功耗具有最大相關(guān)性，滿足評估方法中的特征要求。

按照攻擊方案，可以實(shí)施6次攻擊，每次恢復(fù)1個(gè)密鑰字節(jié)，共計(jì)48 bit密鑰。

4.3攻擊方案驗(yàn)證

本文基于ASIC開發(fā)環(huán)境構(gòu)建驗(yàn)證平臺：在SMIC 65 nm工藝下，使用Design Compiler和IC Compiler工具對ZUC算法的HDL(Hardware Description Language)代碼進(jìn)行綜合、布局布線并提取寄生參數(shù)信息，使用VCS對反標(biāo)寄生參數(shù)后的ZUC網(wǎng)表進(jìn)行仿真，得到包含所有邏輯門翻轉(zhuǎn)信息的VCD文件，最后使用功耗分析工具PrimeTime PX對VCD文件進(jìn)行分析，得到算法芯片加載不同初始向量樣本時(shí)的總體功耗，仿真驗(yàn)證即以該功耗作為芯片的實(shí)際功耗數(shù)據(jù)。實(shí)驗(yàn)中，設(shè)定密鑰為=055555556789，按照前文提出的攻擊方案，成功實(shí)施了6次攻擊，限于篇幅，下面僅展示了前4次的攻擊結(jié)果，如圖2和圖3所示。圖中橫軸為猜測密鑰()序號，從1開始，即密鑰字節(jié)000對應(yīng)橫軸坐標(biāo)1, 0對應(yīng)256，縱軸表示攻擊時(shí)刻攻擊點(diǎn)功耗與算法總體功耗之間的相關(guān)系數(shù)。

圖2 第0輪的攻擊結(jié)果

圖3 第1輪的攻擊結(jié)果

文獻(xiàn)[6]使用的驗(yàn)證環(huán)境與本文的相似，其采用隨機(jī)初始向量樣本，樣本數(shù)達(dá)到5000時(shí)才能觀察到明顯的差分功耗尖峰。與之相比，本文的攻擊方案只需256個(gè)初始向量，且攻擊效果更為顯著。上述實(shí)驗(yàn)證實(shí)了所提出的攻擊方案的快速評估方法的有效性，同時(shí)也表明ZUC并不具備相關(guān)性能量分析攻擊的免疫能力。

5 結(jié)束語

本文對ZUC在相關(guān)性能量分析攻擊方面的免疫能力進(jìn)行了研究，提出了一種有效的攻擊方案。盡管同屬對稱密碼體制，但序列密碼的能量分析攻擊相比分組密碼更加困難。為了提高攻擊的針對性，提出了序列密碼能量分析攻擊方案的快速評估方法，據(jù)此給出了ZUC的相關(guān)性能量分析攻擊方案，并進(jìn)行了驗(yàn)證，結(jié)果表明ZUC并不具備相關(guān)性能量分析攻擊的免疫能力，同時(shí)也證實(shí)了攻擊方案快速評估方法的有效性。相對于一般的攻擊方案，本文所提出的方案避免了一般方案中容易出現(xiàn)的攻擊點(diǎn)功耗與其他功耗成分之間存在相關(guān)性、錯(cuò)誤猜測密鑰與正確密鑰攻擊結(jié)果區(qū)分度低以及所需初始向量樣本量過大等問題。

不足之處在于，由于單純的側(cè)信道攻擊普遍存在可分析輪數(shù)少的局限性[18]，目前的攻擊方法只能進(jìn)行前3輪共6次攻擊，僅恢復(fù)48 bit密鑰，后續(xù)可結(jié)合代數(shù)分析方法進(jìn)行代數(shù)旁道攻擊的相關(guān)研究。

參考文獻(xiàn)

[1] Wu H J, Huang T, Phuong H N,Differential attacks against stream cipher ZUC[C]. Proceedings of the 18th International Conference on the Theory and Application of Cryptology and Information Security, Beijing, China, 2012: 262-277.

[2] Zhou C F, Feng X T, and Lin D D. The initialization stage analysis of ZUC v1.5[C]. Proceedings of the 10th International Conference, Sanya, China, 2011: 40-53.

[3] Gautham S. The stream cipher core of the 3GPP encryption standard 128-EEA3: timing attacks and countermeasures[C]. Proceedings of the 7th International Conference, Beijing, China, 2011: 269-288.

[4] L afitte F, M arkowitch O, and Vav Heule D. SAT based analysis of LTE stream cipher ZUC[C]. Proceedings of the 6th International Conference on Security of Information and Networks, Aksavay, Turkey, 2013: 110-116.

[5] 關(guān)杰, 丁林, 劉樹凱. SNOW 3G與ZUC流密碼的猜測決定攻擊[J]. 軟件學(xué)報(bào), 2013, 24(6): 1324-1333.

Guan Jie, Ding Ling, and Liu Shu-kai. Guess and determine attack on SNOW 3G and ZUC[J]., 2013, 24(6): 1324-1333.

[6] Tang M, Cheng P P, and Qiu Z L. Differential power analysis on ZUC algorithm [OL].IACR ePrint. http://eprint.iacr.org/ 2012/299.pdf. 2013-12-01.

[7] 唐明, 高劍, 孫樂昊, 等. 嵌入式平臺下ZUC算法的側(cè)信道頻域攻擊[J]. 山東大學(xué)學(xué)報(bào)(理學(xué)版), 2014, 49(9): 29-34.

Tang Ming, Gao Jian, Sun Le-hao,Side channel attacks in frequency domain for ZUC algorithm in embedded platform[J].(), 2014, 49(9): 29-34.

[8] Reddy E K. Overview of the side channel attacks[J]., 2013, 4(6): 1799-1808.

[9] Paul K, Joshua J, Benjamin J,.. Introduction to differential power analysis[J]., 2011, 1(1): 5-27.

[10] 汪鵬君, 張躍軍, 張學(xué)龍. 防御差分功耗分析攻擊技術(shù)研究[J] 電子與信息學(xué)報(bào), 2012, 34(11): 2774-2784.

Wang Peng-jun, Zhang Yue-jun, and Zhang Xue-long. Research of differential power analysis countermeasures[J].&, 2012, 34(11): 2774-2784.

[11] 趙永斌, 胡予濮, 賈艷艷. 一種抵抗能量攻擊的線性反饋移位寄存器[J]. 西安電子科技大學(xué)學(xué)報(bào)(自然科學(xué)版), 2013, 40(3): 172-179.

Zhao Yong-bin, Hu Yu-pu, and Jia Yan-yan. New design of LFSR based stream ciphers to resist power attack[J].(), 2013, 40(3): 172-179.

[12] Kumar S, Lemke K, and Paar C. Some thoughts about implementation properties of stream ciphers[C]. Proceedings of State of the Art of Stream Ciphers Workshop, Brugge, Belgium, 2004: 311-319.

[13] Stefan M, Elisabeth O, and Thomas P著. 馮登國, 周永斌, 劉繼業(yè), 等譯. 能量分析攻擊[M]. 北京: 科學(xué)出版社, 2010: 45-46.

[14] 金晨輝, 鄭浩然, 張少武, 等. 密碼學(xué)[M]. 北京: 高等教育出版社, 2009: 149-150.

Jin Chen-hui, Zheng Hao-ran, Zhang Shao-wu,Cryptography[M]. Beijing: Higher Education Press, 2009: 149-150.

[15] 楊昌盛, 于敬超, 嚴(yán)迎建. Grain-128同步流密碼的選擇初始向量相關(guān)性能量攻擊[J]. 計(jì)算機(jī)應(yīng)用, 2014, 34(5): 1318-1321.

Yang Chang-sheng, Yu Jing-chao, and Yan Yin-jian. Chosen initial vector correlation power attack on synchronous stream cipher Grain-128[J]., 2014, 34(5): 1318-1321.

[16] Specification of the 3GPP confidentiality and integrity algorithms 128-EEA3 & 128-EIA3. document 2: ZUC specification version: 1.5[OL]. ETSI/SAGE Specification. http://www.gsma.com/technicalprojects/wp-content/uploads/2012/04/eea3eia3zucv16.pdf. 2011-01-04.

[17] 劉澤藝, 高能, 屠晨陽, 等. 一種抗能量分析攻擊的復(fù)合寄存器系統(tǒng)[J]. 密碼學(xué)報(bào), 2014, 1(5): 411-421.

Liu Ze-yi, Gao Neng, Tu Chen-yang,A compound register system against power analysis attack[J]., 2014, 1(5): 411-421.

[18] 劉會(huì)英, 趙新杰, 王韜, 等. 基于漢明重的SMS4密碼代數(shù)旁路攻擊研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2013, 36(6): 1183-1193.

Liu Hui-yin, Zhao Xin-jie, Wang Tao,Research on hamming weight-based algebraic side-channel attacks on SMS4[J]., 2013, 36(6): 1183-1193.

Chosen-IV Correlation Power Analysis Attack of ZUC Stream Cipher

Yan Ying-jian①Yang Chang-sheng①Li Wei①②Zhang Li-chao①③

①(,450000,)②(,,200433,)③(,,300072,)

To analyze the immunity of ZUC stream cipher in aspect of correlation power analysis attack, some relevant researches are conducted. In order to improve the pertinence of attack, a rapid assessment method of the attack scheme is presented, and accordingly a correlation power analysis scheme of ZUC is proposed. Finally, based on the simulation platform raised by ASIC development environment, the attack scheme is validated. Experiment results turn out that the scheme can successfully attack 48-bit key, confirming that ZUC is unable to resist the correlation power analysis attack, and the proposed assessment method of attack scheme takes effect. Compared with Tang Ming’s experimental, which conducted differential power analysis of ZUC with random initial vectors and observing distinct differential power peak with 5000 initial vectors, the proposed attack scheme only uses 256 initial vectors, and gets better results.

Cryptography; Stream cipher; ZUC; Power analysis attack; Assessment

TN918.4

A

1009-5896(2015)08-1971-07

10.11999/JEIT141604

楊昌盛 ycs3317@126.com

2014-12-15收到，2015-04-14改回，2015-06-09網(wǎng)絡(luò)優(yōu)先出版

國家自然科學(xué)基金(61404175, 61302107)資助課題

嚴(yán)迎建： 男，1973年生，博士，教授，研究方向?yàn)榘踩珜Ｓ眯酒瑐?cè)信道攻擊與防護(hù).

楊昌盛： 男，1990年生，碩士生，研究方向?yàn)樾蛄忻艽a側(cè)信道攻擊與防護(hù).

李 偉： 男，1983年生，博士生，講師，研究方向?yàn)榘踩珜Ｓ眯酒O(shè)計(jì).

張立朝： 男，1979年生，博士生，講師，研究方向?yàn)榘踩玈oC設(shè)計(jì)、嵌入式系統(tǒng)安全防護(hù).