李雄偉，張 鵬，陳開顏，趙 強(qiáng)

軍械工程學(xué)院計算機(jī)工程系，石家莊050003

電磁分析(electromagnetic analysis，EMA)［1］是一種新型密碼設(shè)備旁路攻擊 (side channel attacks)破解技術(shù)，它通過測量密碼設(shè)備在進(jìn)行密碼運(yùn)算時輻射的電/磁場信號，研究電磁信號與內(nèi)部處理數(shù)據(jù)間的相關(guān)性，從而獲取密鑰信息. 常用的電磁信號旁路分析技術(shù)包括均值差分法(difference of means)［2］、相關(guān)分析法(correlation analysis)［3］和模板分析法(template analysis)［4］等. 其中，相關(guān)分析因兼顧設(shè)備特征刻畫能力與設(shè)備知識要求，在現(xiàn)實(shí)中具有很強(qiáng)的實(shí)用性. 而在相關(guān)電磁分析中，普遍使用的相關(guān)度量工具是Pearson 相關(guān)系數(shù)，這是一種線性度量方法［5］. 當(dāng)電磁信號與內(nèi)部數(shù)據(jù)線性關(guān)系不佳時，Pearson 相關(guān)系數(shù)法效果將大打折扣.

本研究提出一種基于秩相關(guān)度量的電磁分析技術(shù)，在一些Pearson 相關(guān)分析方法失效的場合下仍具有很好的分析與攻擊能力.

1 微控制器電磁輻射信號特性

1.1 電磁信號與數(shù)據(jù)的相關(guān)性

任何密碼系統(tǒng)的實(shí)現(xiàn)，終需硬件載體. 當(dāng)前，硬件載體基本上都是數(shù)字集成電路芯片. 采用CMOS 工藝的微控制器(如AT89C52 單片機(jī))就是一種典型的密碼實(shí)現(xiàn)方式，它在工作時不僅消耗功率，同時向外輻射電磁信號. 通常直接輻射和無意輻射［6］兩種電磁輻射可能與芯片中的秘密數(shù)據(jù)相關(guān). 其中，直接輻射是指由密碼芯片內(nèi)部的電流所直接導(dǎo)致的電磁輻射，是電磁旁路分析中最常見的電磁信號源.

在CMOS 器件中，理想狀態(tài)下電流只存在于器件的邏輯狀態(tài)發(fā)生變化的時候，而狀態(tài)變化是由算法執(zhí)行所致.因此算法與器件邏輯狀態(tài)變化，并由此產(chǎn)生的電磁輻射泄漏之間應(yīng)存在某種對應(yīng)關(guān)系. 本研究主要關(guān)注數(shù)據(jù)變化與電磁輻射信號間的相關(guān)性.

對于微控制器芯片來說，內(nèi)部數(shù)據(jù)與電磁輻射信號之間最常用的關(guān)系模型為漢明權(quán)重(Hamming weight)模型［3］，當(dāng)微控制器中當(dāng)前操作數(shù)為D 時，漢明重量模型將電磁輻射信號能量建模為

其中，wH(D)表示D 的漢明權(quán)重，即D 的二進(jìn)制表示中含有1 的個數(shù);a 是由電路系統(tǒng)決定的常量因子;b 為隨機(jī)噪聲.

對確定的電路系統(tǒng)，若能通過適當(dāng)技術(shù)消除噪聲影響，并令a = 1，則模型(1)可簡化為

1.2 直接電磁輻射信號分析實(shí)驗(yàn)

為驗(yàn)證上述直接電磁輻射信號數(shù)據(jù)相關(guān)模型的有效性，我們設(shè)計了物理分析實(shí)驗(yàn). 針對AT89C52微控制器芯片，選擇分析其指令集中的MOV 指令.該指令形式為MOV A，#01H，即將#后的立即數(shù)寫入寄存器A，立即數(shù)寬度為1 byte，通過修改立即數(shù)，改變操作數(shù)的漢明權(quán)重.

為考察電磁探頭與待測試芯片之間距離(測距)對結(jié)果的影響，實(shí)驗(yàn)分為微距與中距兩類. 這里測距主要指探頭與芯片之間的垂直距離;所謂微距，是指電磁探頭直接接觸芯片表面時，探頭與內(nèi)部電路之間的垂直距離，即芯片封裝層的厚度;中距是相對微距而言，指電磁探頭與芯片表面之間的垂直距離，約為5 ～30 cm. 不同距離接收到電磁輻射信號的精度，取決于所選取的探頭類型與精度，以及于環(huán)境噪聲的影響.

1.2.1 微距實(shí)驗(yàn) 針對AT89C52 芯片，選擇wH分別為0，1，…，8 的操作數(shù)，形成9 條操作數(shù)不同的MOV 指令. 每條指令重復(fù)運(yùn)行100 次，采樣電磁探頭緊貼芯片表面，運(yùn)行過程中通過電磁探頭的微距測量記錄電磁輻射，共得到900 條電磁軌跡. 相同指令對應(yīng)軌跡取平均值以去除噪聲影響，得到9 條均值電磁軌跡，如圖1.

圖1 均值電磁軌跡與局部放大圖Fig.1 The average EM traces fo nine MOV instructions using operands with different Hamming Weight

由圖1(a)可見，操作數(shù)對于電磁軌跡的影響主要集中于尖峰處，即軌跡尖峰攜帶的信息量最大. 由圖1(b)可見，操作數(shù)的wH與電磁輻射強(qiáng)度成反比，即wH=0 的操作數(shù)對應(yīng)電磁輻射最強(qiáng)，wH=8 的操作數(shù)對應(yīng)電磁輻射強(qiáng)度最弱.

為深入分析wH與電磁輻射強(qiáng)度之間的統(tǒng)計關(guān)系，對每條電磁軌跡上的第281 個點(diǎn)對應(yīng)的電磁輻射強(qiáng)度進(jìn)行打點(diǎn)繪圖，計算不同wH對應(yīng)樣本點(diǎn)的均值與標(biāo)準(zhǔn)差，得到固定時刻電磁樣本分布如圖2.可見，不同wH與對應(yīng)電磁輻射強(qiáng)度均值之間近似呈負(fù)線性相關(guān)，且樣本抖動不大，標(biāo)準(zhǔn)差較小.

圖2 微距實(shí)驗(yàn)固定時刻對應(yīng)樣本點(diǎn)分布圖Fig.2 Sampling distribution at fixed time with zero-distance EM measures

1.2.1 中距實(shí)驗(yàn) 采樣電磁探頭分別放置于距52微控制器芯片垂直距離50、40、30、20 和10 cm處，由于這些位置噪聲很大，因此對每種距離，每條指令重復(fù)采樣1 000 條，共獲得9 000 條電磁軌跡. 仍以第281 個采樣點(diǎn)時刻為例，其中10 cm 對應(yīng)的樣本點(diǎn)分布情況如圖3. 可見，不同漢明權(quán)重操作數(shù)對應(yīng)的電磁輻射強(qiáng)度仍呈較強(qiáng)的負(fù)相關(guān)，但線性關(guān)系不明顯.

圖3 中距實(shí)驗(yàn)固定時刻對應(yīng)樣本點(diǎn)分布圖Fig.3 Sampling distribution at fixed time with middle-distance EM measures

圖2 和圖3 表明，對于AT89C52 微控制器芯片，在去除量化噪聲的前提下，微距測量時數(shù)據(jù)漢明重量與電磁輻射強(qiáng)度之間呈負(fù)線性相關(guān)，漢明重量相關(guān)模型有效. 在中距測量時，數(shù)據(jù)漢明重量與電磁輻射強(qiáng)度之間僅呈單調(diào)遞減關(guān)系，漢明重量相關(guān)模型仍起作用，但精度受到影響.

1.3 相關(guān)度量方法

為應(yīng)用Pearson 相關(guān)系數(shù)，要求總體具有二元正態(tài)分布，且測量至少具有間隔量表水平，對應(yīng)分析實(shí)驗(yàn)可表示為不同漢明權(quán)重對應(yīng)的電磁輻射強(qiáng)度呈線性關(guān)系，而中距測量時這種要求并不滿足. 此時可采用更有效的Spearman 秩相關(guān)系數(shù)，這里，設(shè)N 個對象按X 和Y 變量進(jìn)行評秩，評秩結(jié)果記為X1，X2，…，XN及Y1，Y2，…，YN. 當(dāng)存在同分觀察，即有兩個或兩個以上的對象就同一變量得到相同評分時，Spearman 相關(guān)系數(shù)rs［7］為

2 相關(guān)電磁分析方案

2.1 AES 密碼算法

AES 算法［8］是一個使用可變分組和密鑰長度，基于有限域運(yùn)算的迭代分組密碼. 以分組與密鑰均為128 bit 的AES-128 為例，其算法主要包括初始輪密鑰加(AddRoundKey)運(yùn)算及后面的10 輪迭代. 本文將攻擊中間點(diǎn)選擇為AddRoundKey 運(yùn)算.以加密為例，它是明文與輪密鑰的異或操作，在微控制器中，其算法偽碼為

其中，P 為明文;Key 為密鑰;for 循環(huán)中的等式表達(dá)式相當(dāng)于一個單條匯編指令，即1 byte 的明文與1 byte 的密鑰進(jìn)行異或，該循環(huán)將128 bit 密鑰分成16 個子密鑰塊.

2.2 基于Pearson 相關(guān)分析的攻擊

相關(guān)分析作為一種統(tǒng)計分析工具，已在功耗旁路攻擊領(lǐng)域得到廣泛應(yīng)用. 本研究將其應(yīng)用于電磁分析領(lǐng)域，構(gòu)建進(jìn)行密鑰恢復(fù)的Pearson 相關(guān)性分析方案如下:

Step 1 選擇被攻擊設(shè)備執(zhí)行密碼運(yùn)算的某個中間結(jié)果m，滿足

其中，f ()是一個確定型函數(shù)或操作(如查找S 盒或異或);d 是已知非常量值，絕大部分攻擊中d 既可以是明文也可以是密文，這意味著該類攻擊屬于已知明文攻擊或已知密文攻擊，以下均以已知明文為例;k 是未知子密鑰，其所有可能的取值記為向量k= (k1，k2，…，kK)，其中K 表示可能取值的總數(shù). k 中元素稱為密鑰猜測，顯然其中必有一個元素等于設(shè)定的正確k，記為kck.

Step 3 對d 中任一元素di與k 中任一元素kj，利用式(6)計得猜測中間值f(di，kj)，全部猜測中間值構(gòu)成D × K 的矩陣V，其中

顯然，V 的第ck 列包含的是由正確密鑰猜測kck計算得到的正確的中間值，該列中間值在D 次加密過程中確實(shí)被密碼設(shè)備所處理到.

Step 4 將猜測中間值矩陣V 映射到電磁輻射值矩陣H. 映射的依據(jù)是漢明重量模型. 利用該模型，將每一個猜測中間值vi，j，模擬獲得一個猜測的電磁輻射值hi，j，此時有

Step 5 對猜測的電磁輻射值和實(shí)際電磁輻射軌跡進(jìn)行相關(guān)比較. 利用Pearson 相關(guān)系數(shù)，對H的每一列與T 的每一列進(jìn)行相關(guān)性度量. 換言之，敵手需要將每一個猜測子密鑰對應(yīng)的猜測電磁泄漏與實(shí)際電磁泄漏的每一個位置進(jìn)行相關(guān)比較. 其結(jié)果是K × T 的相關(guān)矩陣R. R 中各元素為

通過上述步驟，可獲得正確的子密鑰.

Step 6 更換其他子密鑰，選擇適當(dāng)?shù)墓糁虚g值，按上述步驟獲取所有子密鑰塊，并最終得到完整密鑰或最大限度降低完整密鑰的搜索空間.

2.3 基于Spearman 秩相關(guān)分析的攻擊

根據(jù)相關(guān)度量法分析，當(dāng)采用中距測量時，Spearman 相關(guān)系數(shù)對相關(guān)性的度量更精確. 此時需根據(jù)式(4)，將Step 5 中R 中各元素計算為

3 攻擊實(shí)驗(yàn)

為比較上述攻擊方案的效力，我們設(shè)計并實(shí)現(xiàn)了物理攻擊平臺［9］，對運(yùn)行AES 的AT89C52 微控制器芯片進(jìn)行微距與中距攻擊.

3.1 實(shí)驗(yàn)配置

攻擊平臺包括數(shù)據(jù)采集與分析，其數(shù)據(jù)采集電路原理見圖4. 圖中數(shù)字表示平臺的工作時序，可描述為:①對密碼電路板供給輸入電源與時鐘信號，微控制器就緒并等待命令;②計算機(jī)對示波器進(jìn)行配置與初始化;③計算機(jī)產(chǎn)生隨機(jī)輸入發(fā)送給微控制器，執(zhí)行AES 加密;④微控制器給出觸發(fā)信號，控制示波器開始采集;⑤示波器記錄由磁場探頭捕獲并經(jīng)放大器放大的電磁泄漏信息;⑥計算機(jī)接收密碼運(yùn)算輸出;⑦計算機(jī)接收示波器發(fā)送的電磁輻射波形數(shù)據(jù). 循環(huán)執(zhí)行②至⑦，直到獲取足夠的攻擊樣本.

圖4 相關(guān)性電磁分析實(shí)驗(yàn)電路原理圖Fig.4 The circuit drawing of CEMA experiment

AES 使用的密鑰預(yù)先存儲在微控制器芯片中，計算機(jī)上用LabView 編寫控制數(shù)字存儲示波器的虛擬示波器，并由其控制數(shù)字示波器實(shí)時向PC 機(jī)傳輸電磁波形數(shù)據(jù)，實(shí)現(xiàn)了數(shù)據(jù)采集的完全自動化.數(shù)據(jù)分析由VC++與matlab 混合編程實(shí)現(xiàn). 具體實(shí)驗(yàn)設(shè)備參數(shù)見表1，微距攻擊實(shí)物圖見圖5.

表1 微控制器CEMA 攻擊主要實(shí)驗(yàn)設(shè)備及參數(shù)Table 1 Parts of the devices and their parameters in CEMA against microcontroller

圖5 微控制器微距CEMA 實(shí)物配置Fig.5 Zero-distance CEMA experimental setup against microcontroller

3.2 實(shí)驗(yàn)結(jié)果

所有實(shí)驗(yàn)均以獲取AES 的前8 bit 密鑰(設(shè)置為0x2B)為例，其余位密鑰的獲取方法類似. 設(shè)示波器采樣率為250 Mbit/s，采樣時間為4 μs，每條電磁軌跡共采樣1 000 個點(diǎn)，將獲得相關(guān)矩陣R256×1000中每一行取絕對值最大的點(diǎn)(即256 個密鑰猜測分別對應(yīng)的最大相關(guān)系數(shù))作圖，其中，中距測量結(jié)果如圖6. 圖6 中橫坐標(biāo)為密鑰猜測，縱坐標(biāo)為對應(yīng)最大相關(guān)系數(shù)(R 中各行的最大值). 可見，正確密鑰猜測(0x2B)對應(yīng)的Spearman 相關(guān)性最大，由此獲得AES 的前8 bit 密鑰.

完整的對比實(shí)驗(yàn)結(jié)果如表2. 由表2 可見，微距測量時Pearson 相關(guān)性分析方法略占優(yōu)勢，中距測量時Spearman 相關(guān)性分析更為有效.

圖6 微控制器中距CEMA 實(shí)驗(yàn)結(jié)果Fig.6 Experimental results of middle-distance CEMA against microcontroller

表2 針對AES 前8 位密鑰的CEMA 攻擊實(shí)驗(yàn)結(jié)果Table 2 Experimental results of time-domain CEMA against highest 8 bits key of AES

對未加防護(hù)的微控制器密碼芯片來說，相關(guān)電磁分析可有效獲取秘密密鑰. 盡管相對線性相關(guān)度量方法來說，采用秩相關(guān)性度量會損失樣本中的部分信息，例如，Spearman 秩相關(guān)檢驗(yàn)的效率約為Pearson 相關(guān)系數(shù)的91%，即為揭示總體中的相關(guān)性，使用Pearson 相關(guān)系數(shù)法所需要的樣本量是使用Spearman 相關(guān)系數(shù)法所需樣本量的91%［6］. 但鑒于在相關(guān)電磁旁路分析實(shí)現(xiàn)時，所需樣本量很大(一般大于1 000)，因此9%的功效損耗并不明顯.相反，在線性相關(guān)度量失效的情況下，基于秩相關(guān)性度量的電磁分析技術(shù)仍能有效工作. 微控制器密碼芯片的設(shè)計與制造者必須采取有效措施以抵御此類旁路攻擊方法.

/References:

［1］ Quisquater J J，Samyde D. Electromagnetic analysis(EMA):measures and countermeasures for smart cards［C］// Isabelle Attali，Thomas Jensen. International Conference on Research in Smart Card，E-Smart. Canne(France):Springer，2001，2140:200-210.

［2］ Kocher P，Jaffe J，Jun B. Differential power analysis［C］// Wiener M. Advances in Cryptology，CRYPTO'99.Santa Barbara(USA):Springer-Verlag，1999，1666:388-397.

［3］Brier E，Clavier C，Olivier F. Correlation power analysis with a leakage model ［C］// Joye M，Quisquater J J. Proceedings of the 6th International Workshop on Cryptographic Hardware and Embedded Systems. Cambridge (USA):Springer，2004，3156:16-29.

［4］ Chari S，Rao J R，Rohatgi P. Template attacks ［C］//Kaliski B S. Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems. Redwood Shores (USA):Springer-Verlag，2003，2523:13-28.

［5］ SHENG Zhou，XIE Shi-qian，PAN Cheng-yi. Probability and Statistics ［M］. Beijing:Higher Education Press，2001.(in Chinese)盛 驟，謝式千，潘承毅. 概率論與數(shù)理統(tǒng)計［M］. 北京:高等教育出版社，2001.

［6］Agrawal D，Archambeault B，Rao J R，Rohatgi P. The EM side-channel (s):attacks and assessment methodologies［C］// Kaliski B S. Proceedings of the 4th International Workshop on Cryptographic Hardware and Embedded Systems. Redwood Shores (USA):Springer-Verlag，2003，2523:29-45.

［7］Siegel S. Nonparametric Statistics for the Behavioral Sciences［M］. BEI Xing，translate. Beijing:Science Press，1986.(in Chinese)Siegel S. 非參數(shù)統(tǒng)計［M］. 北 星，譯. 北京:科學(xué)出版社，1986.

［8］FIPS-197. Advanced Encryption Standard ［S］.

［9］ZHANG Peng，DENG Gao-ming，CHEN Kai-yan，et al. Electromagnetic correlation analysis attacks on microcontroller implementation of AES in far field ［J］. Journal of Huazhong University of Science and Technology:Nature Science Edition，2009，37(8):31-34.(in Chinese)張 鵬，鄧高明，陳開顏，等. 針對AES 密碼芯片的遠(yuǎn)場相關(guān)性電磁分析攻擊［J］. 華中科技大學(xué)學(xué)報:自然科學(xué)版，2009，37(8):31-34.