密碼算法安全-側(cè)信道泄漏評估技術的研究及應用

（北京銀聯(lián)金卡科技有限公司，北京 100041）

1 側(cè)信道泄漏評估技術介紹

自2011年NIST召開的NIAT（Non-Invasive Attack Testing Workshop）研討會確定以Welch t檢驗為基礎的TVLA（Test Vector Leakage Assessment）[1]檢測方法作為通用的檢測手段之后，學術界涌現(xiàn)出了多種檢驗方法。2013年的連續(xù)互信息方法CMI（continuous mutual information）[2]，離散互信息方法DMI（discrete mutual information）[3]。2013年，學術界對以上3種方法做了全面的評估，得出結(jié)論是基于Welch t檢驗的方法由于其簡單運算快捷，所以在這3種方法中表現(xiàn)最好。2014年有學者提出基于標準類間方差的NICV（Normalized Inter-Class Variance）檢測方法[4]。最新的研究提出使用卡方檢驗的方法可以用于側(cè)信道泄漏檢測，并且具有更高的效率。本節(jié)主要介紹基于Welch t檢驗和卡方檢驗的兩種泄漏認證方法。

1.1 基于 Welch t檢驗的泄漏評估方法

假如兩個樣本集是Q0和Q1，樣本量分別是n0和n1，樣本均值分別是μ0和μ1，方差分別是Welch t檢驗用于判斷兩個樣本總體的期望是否相等。在Welch t檢驗中，零假設和備用假設分別是：

拒絕或者接受H0假設是由統(tǒng)計量t和自由度v決定，根據(jù)自由度，t分布的概率密度函數(shù)可以被刻畫出來，如下式：

其中，Γ(.) 是伽瑪函數(shù)(Gamma Function)，對上面的概率密度函數(shù)積分可以得到概率p，

或者通過累加的方法得到p，

其中2F1（.,.;.;.）是超幾何函數(shù)，p的值可以由如下給出：

通常而言，當|t|>4.5時，自由度v>1000(這個條件通常能滿足)，p=2F(-4.5,v>1000)<0.00001，導致t檢驗以大于0.999 99的概率拒絕零假設。所以通常可以依靠t值判斷零假設是否被拒絕。

在實際的泄漏評估當中，將采集的信號分成兩個組，然后利用Welch t檢驗檢測這兩個組的期望是否一致，以判斷是否存在泄漏。這種方法實際上是與最早的差分能量分析（CPA）的思想一致。

1.2 基于卡方檢驗的泄漏評估方法

卡方檢驗可以用于檢測多個樣本總體是否來自同一個分布，與Welch t檢驗通過均值計算統(tǒng)計值t不同，卡方檢驗通過分析直方圖計算統(tǒng)計值。

假設有r類樣本，每類樣本有c組數(shù)據(jù)，第i類樣本的第j組數(shù)據(jù)的發(fā)生的次數(shù)是F i,j，這樣總的樣本個數(shù)N是卡方檢驗的統(tǒng)計值x和自由度v計算方法如下：

在卡方檢驗中，接受假設的概率由下式給出：

在實際檢測中，可以將采集的信號分成多個類，每個類的數(shù)據(jù)也可以分成多個組。由于信號是由示波器采集到的，根據(jù)示波器的精度，每個類的數(shù)據(jù)可以分成的組個數(shù)是固定的（例如8比特精度的示波器有256種可能）。然后，利用卡方檢驗檢測這些不同類的數(shù)據(jù)，以評估他們是否來自同一個分布（確定是否有泄漏）?？ǚ綑z驗評估泄漏的思想與目前側(cè)信道分析中相關性系數(shù)分析（CPA）的思想一致。

2 針對國密算法SM4的應用及實驗分析

本節(jié)針對目前國內(nèi)常用密碼算法SM4的實現(xiàn)進行分析，評估其運行過程中的側(cè)信道泄漏信號是否存在攻擊的可能。

SM4算法是一個分組算法，其分組長度為128比特，密鑰長度為128比特。加密算法與密鑰擴展算法都采用32輪非線性迭代結(jié)構(gòu)。實驗數(shù)據(jù)是通過Riscure的Power Tracer給一張嵌入了SM4算法的智能卡下發(fā)加密指令，并隨機加密100萬條明文，使用Lecroy示波器對加密過程采集能量消耗數(shù)據(jù)。

2.1 Welch t檢驗

本小節(jié)將利用Welch t檢驗對泄漏進行評估分析。首先對第一輪的第一個S盒輸出的第一比特作為中間值進行分析。對100萬條數(shù)據(jù)做完分析后得到的結(jié)果可以看出利用T檢驗對SM4單比特做評估時，得到的t統(tǒng)計量在所有的待評估點中沒有出現(xiàn)絕對值大于4.5的情況，但是已經(jīng)出現(xiàn)了若干尖峰，所以其實可以大致判定該卡存在泄漏。

其次，利用S盒輸出的漢明重量作為中間值（大于4和小于等于4）將原始100萬數(shù)據(jù)分為兩類進行評估，從評估結(jié)果可以看出利用了S盒輸出的8個比特位，所以得到的區(qū)分度比單比特模型的結(jié)果要明顯。

最后，利用聚類模型進行泄漏分析。由于是刻畫模型，所以先對數(shù)據(jù)進行刻畫。利用相關性系數(shù)選擇與S盒輸出相關的200個特征點。再對10萬條曲線其中每條曲線只有這200個點的數(shù)據(jù)進行主成分分析降維，對降維后的數(shù)據(jù)進行K-means聚類聚成2類，這樣就得到了256到2的映射關系。利用該模型，對100萬條數(shù)據(jù)進行泄漏評估得到的結(jié)果從幅值上看，基于聚類模型的T檢驗是基于比特模型和漢明重量模型的T檢驗的2倍。說明此時基于聚類的模型更加有效。

2.2 卡方檢驗

本小節(jié)將利用卡方檢驗對泄漏數(shù)據(jù)進行進一步的評估，用到的模型是漢明重量模型和聚類模型。對100萬條數(shù)據(jù)用基于漢明重量模型進行卡方檢驗，其結(jié)果可以看到，經(jīng)過卡方檢驗，明顯出現(xiàn)尖峰，雖然沒有計算拒絕空假設的置信水平，但是此時可以判斷在這些點存在泄漏。而且，隨著數(shù)據(jù)量的增大，幅值也逐漸增大，表明這種芯片在一定數(shù)據(jù)量后是可以被破解密鑰的。為了驗證尖峰處代表泄漏特征點，本小節(jié)對第二個S盒利用相同的方式進行評估，其結(jié)果可以看出，尖峰的位置隨著S盒在移動，說明此處確實是泄漏點，后文將繼續(xù)對這個區(qū)間做實際的側(cè)信道分析。

下一步，利用聚類模型對數(shù)據(jù)進行泄漏評估。由于漢明重量模型實際上是分為9類的模型，所以為了與之不同，本節(jié)的聚類模型將設置成7類和10類。與漢明重量情況類似，使用100萬進行分析實驗。從實驗結(jié)果可以看到，雖然統(tǒng)計值沒有基于漢明重量的大，但是隨著數(shù)據(jù)量增大，卡方統(tǒng)計值的幅值也隨之增大，說明基于聚類模型的檢驗也是穩(wěn)健的。此處，智能卡的泄漏模型與漢明重量模型接近，所以基于此模型的檢驗效果比其他模型高。而在一些無法用漢明重量刻畫模型的芯片泄漏檢驗中，聚類模型具有更大的優(yōu)勢。

最后，由于本小節(jié)的結(jié)果中可以看到明顯的尖峰，所以選擇尖峰處為分析的特征點以減小側(cè)信道分析的復雜度。對這些點進行相關性系數(shù)分析（10萬條曲線），得到的相分析結(jié)果關性系數(shù)說明正確密鑰已被恢復，從而驗證了前述泄漏評估方案的有效性。

3 結(jié)語

本文提出的檢測項對SM4可以做全面的泄漏評估，實驗分析也驗證了該點。但是在時間效率上有點不足，下一步將在實際檢驗中發(fā)現(xiàn)冗余檢測項進一步優(yōu)化SM4泄漏評估過程。實驗結(jié)果表明本文設計的檢驗項可以為SM4做全面的泄漏評估，并且檢驗的結(jié)果可以為側(cè)信道分析的特征點的選擇提供參考，提高側(cè)信道分析的效率。