沈煜，李瑋,,3,，谷大武，吳益鑫，曹珊，劉亞，劉志強(qiáng)，周志洪

（1. 東華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，上海 201620；2. 上海交通大學(xué)計(jì)算機(jī)科學(xué)與工程系，上海 200240；3. 上海市可擴(kuò)展計(jì)算與系統(tǒng)重點(diǎn)實(shí)驗(yàn)室，上海 200240；4. 上海市信息安全綜合管理技術(shù)研究重點(diǎn)實(shí)驗(yàn)室，上海 200240；5. 上海理工大學(xué)計(jì)算機(jī)科學(xué)與工程系，上海 200093）

1 引言

分組密碼作為實(shí)現(xiàn)消息保密、數(shù)據(jù)完整性保護(hù)和實(shí)體認(rèn)證的核心基礎(chǔ)體制，其設(shè)計(jì)、分析與實(shí)現(xiàn)方法一直是密碼學(xué)研究的主流，在信息系統(tǒng)的安全領(lǐng)域發(fā)揮著重要的應(yīng)用。ARIA算法是韓國國家安全研究所于 2003年提出的一種符合高級(jí)加密算法征集標(biāo)準(zhǔn)的分組密碼，并且被商業(yè)部、工業(yè)部和能源部確認(rèn)為國家標(biāo)準(zhǔn)分組密碼，保障信息系統(tǒng)的數(shù)據(jù)安全[1-3]。研究表明，ARIA算法對(duì)差分分析法、線性分析法、截段–高階差分分析法、不可能差分分析法、滑動(dòng)攻擊法、積分攻擊法等密碼分析方法具有足夠的安全冗余[4-8]，具有優(yōu)良的軟硬件實(shí)現(xiàn)效率，在處理器應(yīng)用上具有良好的實(shí)現(xiàn)性能。

然而，在現(xiàn)實(shí)環(huán)境中，只從ARIA算法的數(shù)學(xué)模型研究其安全性已經(jīng)遠(yuǎn)遠(yuǎn)不夠，必須從實(shí)現(xiàn)角度來考慮，即使密碼算法在傳統(tǒng)密碼分析方法下是安全的，如果不能在運(yùn)行平臺(tái)上安全地加以實(shí)現(xiàn)，也不能正常發(fā)揮出預(yù)期作用。與傳統(tǒng)的保密通信環(huán)境相比，如今的運(yùn)行環(huán)境通常面臨著更大的安全威脅。譬如銀行卡、手持無線設(shè)備、汽車遙控鎖、交通卡、門禁卡等密碼載體的持有者不僅可以是正常用戶，也可以是攻擊者。攻擊者借助異常時(shí)鐘、微波輻射、激光照射等方式干預(yù)密碼變換的正常過程，導(dǎo)致運(yùn)算過程中發(fā)生錯(cuò)誤，產(chǎn)生錯(cuò)誤的輸出結(jié)果，這種攻擊方式比傳統(tǒng)密碼分析破譯速度更快，有效地達(dá)到密碼算法內(nèi)關(guān)鍵數(shù)據(jù)的復(fù)制、篡改或偽造的目的，通常被稱為故障分析[9-12]，由于其良好的攻擊效果和潛在的發(fā)展前景，已成為密碼分析和密碼工程領(lǐng)域發(fā)展廣受關(guān)注的方向之一。

故障分析在發(fā)展中逐步衍生出多種攻擊方法，Biham等[13]于 1997年提出的差分故障分析法是目前分析范圍最廣、威脅最大且發(fā)展最迅速的一種攻擊技術(shù)，被廣泛應(yīng)用于密碼芯片的安全性研究中。之后，無效故障分析法、碰撞故障分析法、不可能故障分析法等故障攻擊方法應(yīng)運(yùn)而生，這些方法充分結(jié)合了傳統(tǒng)密碼分析方法及軟硬件實(shí)現(xiàn)技術(shù)，在實(shí)際運(yùn)行環(huán)境中具有更加廣闊的應(yīng)用前景。但是，這些故障攻擊方法的故障導(dǎo)入范圍局限于最后若干輪，攻擊輪數(shù)范圍有限。

積分故障分析法是利用積分關(guān)系深入密碼算法內(nèi)部達(dá)到最深輪數(shù)的攻擊方法，易于在物聯(lián)網(wǎng)等應(yīng)用中實(shí)現(xiàn)，攻擊者通過分析內(nèi)部狀態(tài)的積分關(guān)系，便可以較低的計(jì)算量和存儲(chǔ)量推導(dǎo)出正確的密鑰。目前，國內(nèi)外關(guān)于ARIA算法抵抗積分故障攻擊的安全性尚未有公開發(fā)表的成果。因此，本文提出了一種針對(duì) ARIA算法的新型積分故障分析方法，可以借助異常時(shí)鐘、微波輻射、激光照射等方式使ARIA算法內(nèi)部發(fā)生錯(cuò)誤，達(dá)到擴(kuò)大攻擊范圍并破譯原始密鑰的目的。所提方法對(duì)提升各類高端智能卡系統(tǒng)的防護(hù)與破譯能力，具有重要的理論和實(shí)際意義。

2 研究背景

1997年，Boneh等[14-15]利用隨機(jī)故障法成功破譯了公鑰密碼算法，此后故障分析法在評(píng)測密碼體制安全性的方法中擁有重要地位。隨著故障注入精度及軟硬件逆向技術(shù)的不斷提高，對(duì)密碼載體成功實(shí)施故障攻擊所依賴的前提條件不斷減弱，成本不斷下降，故障分析環(huán)境已經(jīng)可以在一定程度上被控制，這使故障分析法逐步發(fā)展為攻擊主要密碼體制的較為容易實(shí)施且最難防御的一種攻擊技術(shù)[16-19]。

目前已有的針對(duì)ARIA算法的故障分析方法均為差分故障分析法[20-22]。在攻擊過程中，攻擊者首先將故障導(dǎo)入ARIA算法的最后兩輪來恢復(fù)最后一輪的子密鑰，然后對(duì)正確的密文進(jìn)行解密，以獲得最后一輪的輸入，即倒數(shù)第2輪的輸出，重復(fù)以上步驟來恢復(fù)最后4輪的子密鑰，直至破譯原始密鑰為止。國內(nèi)外的最新研究結(jié)果均集中于在ARIA算法的倒數(shù)第2輪導(dǎo)入隨機(jī)字節(jié)故障來恢復(fù)最后一輪的子密鑰。2008年，Li等[20]首次提出了針對(duì)ARIA算法的面向隨機(jī)單字節(jié)故障模型的差分故障分析法。后來，Park等[21]在相同故障模型下提出一種改進(jìn)的差分故障分析法，利用線性層的差異性，實(shí)現(xiàn)以較少的故障來恢復(fù)最后一輪子密鑰，提升了攻擊效率。Kim等[22]提出了面向多字節(jié)的差分故障方法，達(dá)到以較少故障數(shù)破譯最后一輪子密鑰的目的。這些方法充分結(jié)合了傳統(tǒng)的差分分析方法以及軟硬件實(shí)現(xiàn)技術(shù)，提高了故障導(dǎo)入的效率。然而，在物聯(lián)網(wǎng)的應(yīng)用環(huán)境中，故障可以被導(dǎo)入在密碼算法的任意輪數(shù)，如果故障導(dǎo)入點(diǎn)可以擴(kuò)展到更大的輪數(shù)范圍，那么故障分析具有更強(qiáng)的威脅能力，因此，研究ARIA算法的新型故障分析方法是非常必要的。

Phan等[23]于 2006年首次提出了針對(duì) AES（advanced encryption standard）算法的積分故障攻擊法。該方法通過選擇明文攻擊實(shí)現(xiàn)的前提條件，在AES算法運(yùn)行的倒數(shù)第4輪中加入隨機(jī)故障，使其執(zhí)行某些錯(cuò)誤的操作，產(chǎn)生錯(cuò)誤的密文，利用中間數(shù)據(jù)的積分關(guān)系即可恢復(fù)最后一輪子密鑰；然后解密密文，破譯更多的子密鑰，直到破譯原始密鑰。雖然ARIA算法與AES算法具有相同的算法結(jié)構(gòu)，但是由于ARIA算法中多輪故障路徑的擴(kuò)散性和混亂性更加復(fù)雜, 大大增加了攻擊的難度，所以針對(duì)ARIA算法的積分故障分析，國內(nèi)外還未有文獻(xiàn)發(fā)表。

本文提出了針對(duì)ARIA算法的新型積分故障分析，利用故障與子密鑰之間的積分關(guān)系，構(gòu)造了 2個(gè)不同的積分區(qū)分器，從而使故障可以導(dǎo)入在倒數(shù)第3輪和第4輪運(yùn)算中，進(jìn)一步擴(kuò)展了積分故障分析的攻擊范圍。由于積分故障路徑包含更多的輪數(shù)，因此攻擊者能將故障導(dǎo)入ARIA算法的更深輪數(shù)?，F(xiàn)有的針對(duì)ARIA算法的故障分析方法的對(duì)比如表1所示。

表1 針對(duì)ARIA算法的故障分析方法的對(duì)比

3 ARIA算法簡介

ARIA算法是一種典型的具有代換置換網(wǎng)絡(luò)結(jié)構(gòu)的迭代型分組密碼，其密鑰長度為3種，分別是128 bit、192 bit和256 bit；分組長度為128 bit[3]；所對(duì)應(yīng)的輪數(shù)分別為12輪、14輪和16輪，分別表示為ARIA-128、ARIA-192和ARIA-256，如表2所示。

表2 ARIA算法的密鑰長度和輪數(shù)的對(duì)應(yīng)關(guān)系

ARIA算法由加密、解密和密鑰編排這3個(gè)部分組成，其中，加密部分與解密部分的過程相同，不同之處在于子密鑰的使用順序。

3.1 符號(hào)說明

記 SL（substitution layer）和 DL（diffusion layer）分別為置換層運(yùn)算和擴(kuò)散層運(yùn)算，SL-1和 DL-1分別為置換層和擴(kuò)散層的逆運(yùn)算。W0、W1、W2和W3是密鑰編排方案中初始化部分產(chǎn)生的4個(gè)數(shù)據(jù)塊。

3.2 ARIA算法描述

ARIA算法的結(jié)構(gòu)如圖1所示。

圖1 ARIA算法的結(jié)構(gòu)

1）子密鑰加（RKA, round key addition）：子密鑰與中間狀態(tài)逐字節(jié)進(jìn)行異或運(yùn)算。

2）置換層：中間狀態(tài)經(jīng)過16個(gè)S盒進(jìn)行置換，其中S盒有2種類型，分別用于奇輪數(shù)和偶輪數(shù)。

3）擴(kuò)散層：對(duì)中間狀態(tài)進(jìn)行線性映射變換，通過與一個(gè)16×16的二進(jìn)制矩陣C相乘實(shí)現(xiàn)，C如下所示。最后一輪中沒有擴(kuò)散層，被子密鑰加運(yùn)算所替代。

3.3 密碼編排方案

密鑰編排由初始化和子密鑰生成這2個(gè)部分組成，具體如下。

1）初始化：4個(gè) 128 bit的數(shù)據(jù)塊W0、W1、W2和W3通過原始密鑰K基于3輪的Feistel網(wǎng)絡(luò)結(jié)構(gòu)而產(chǎn)生。

2）子密鑰生成：通過W0、W1、W2和W3進(jìn)行一系列異或運(yùn)算、右移和左移操作，獲得加密變換所需各輪子密鑰。

4 ARIA算法的積分故障分析方法

4.1 故障假設(shè)和故障模型

故障假設(shè)表明了攻擊者具備的能力，本文采用明文攻擊，即攻擊者可以任意選擇明文進(jìn)行處理，從而獲得相對(duì)應(yīng)的密文；故障模型表明了故障的狀態(tài)，本文采用隨機(jī)單字節(jié)模型，將單字節(jié)故障引入運(yùn)算過程中某些輪的指定位置，并可以隨機(jī)設(shè)定故障值。

4.2 主要過程

攻擊者選擇隨機(jī)明文并使用同一個(gè)密鑰進(jìn)行加密，在運(yùn)算過程中的某一輪中導(dǎo)入一組隨機(jī)故障，從而獲得一組錯(cuò)誤的密文。故障導(dǎo)入既可以利用異常時(shí)鐘、異常電流、微波輻射、激光照射、渦流磁場等手段通過真實(shí)的密碼硬件來實(shí)現(xiàn)，也可以通過修改程序等軟件模擬技術(shù)的方式來實(shí)現(xiàn)。攻擊者通過構(gòu)造合適的積分故障區(qū)分器，可以恢復(fù)最后一輪的子密鑰；然后解密正確的密文，獲得最后一輪的輸入，即倒數(shù)第2輪的輸出。重復(fù)上述過程，通過密鑰編排方案直至破譯原始密鑰。

4.3 3輪攻擊方案

針對(duì)ARIA算法，本文構(gòu)造了一個(gè)2輪積分區(qū)分器，使得故障位置和子密鑰恢復(fù)范圍在3輪之間，從而可以破譯ARIA算法，具體算法如圖2所示。

圖2 故障導(dǎo)入在倒數(shù)第3輪的擴(kuò)散路徑

在構(gòu)造積分區(qū)分器時(shí)，需要做以下定義。

定義 1如果定義在F2n上的集合對(duì)任意0≤u＜v≤2n-1，均有 α（u）≠ α（v），則稱O為F上的活躍集[24]。

定義 2若定義在F2n上的集合對(duì)任意0≤u＜v≤ 2n-1，均有則稱P為F上的穩(wěn)定集[24]。

定義3若定義在F2n上的集合

則稱Q為F2n上的平衡集[24]。

攻擊者為了構(gòu)造ARIA算法的積分區(qū)分器，需要遵循以下性質(zhì)：穩(wěn)定/活躍字集通過雙射（如可逆S盒，子密鑰加）后，仍然是穩(wěn)定/活躍的；2個(gè)活躍字集的和一定是平衡字集；穩(wěn)定字集與活躍字集的和為活躍集；2個(gè)平衡字集的和為平衡字集。

結(jié)合上述定義和性質(zhì)，攻擊者可以追蹤2輪運(yùn)算中活躍字節(jié)的位置變化，如圖2所示。具體路徑為：第1輪中活躍字節(jié)通過擴(kuò)散層變?yōu)?個(gè)活躍字節(jié)，然后這7個(gè)活躍字節(jié)經(jīng)由第2輪擴(kuò)散層變?yōu)?6個(gè)活躍字節(jié)，這構(gòu)成了第2輪擴(kuò)散層輸出中的一組集合；通過遍歷該集合中所有字節(jié)值，使得第2輪的輸出字節(jié)的積分之和為零。因此，在2輪積分區(qū)分器中，第2輪輸出中的每個(gè)字節(jié)都是平衡的，并適用于第1輪中所有可能的活躍字節(jié)位置。

定理 1設(shè)多項(xiàng)式其中q是某個(gè)素?cái)?shù)的方冪，則

定理 2若多項(xiàng)式是置換多項(xiàng)式，則aq-1=0 。

利用上述2個(gè)定理[25]來證明命題1中所構(gòu)造的ARIA算法的2輪積分區(qū)分器的正確性。

命題1對(duì)于ARIA算法，如果第1輪輸入中只有一個(gè)活躍字節(jié)而其他都是穩(wěn)定字節(jié)，那么第 2輪輸出中的所有字節(jié)都是平衡字節(jié)。

證明設(shè) γ0, γ1,γ2,…,γ15為第1輪的輸入字節(jié)，其中，只有一個(gè)字節(jié)β為變量，其他字節(jié)均為常量。假設(shè) β=γ0，則第1輪的輸入表示為

其中，β是變量，γ1,…,γ15均為常量。根據(jù)圖2和表3中ARIA算法的運(yùn)算特點(diǎn)，第1輪的輸出可以表示為

第2輪的輸出為

其中，h0（β）,… ,h15（β） 屬于F28域上的置換多項(xiàng)式。第2輪輸出中的每個(gè)字節(jié)都可以用F28上7個(gè)置換多項(xiàng)式的積分和來表示。

假設(shè)第2輪輸出中的第一個(gè)字節(jié)為

其中,p0（β）,…,p7（β）是F28上的置換多項(xiàng)式。結(jié)合置換多項(xiàng)式的性質(zhì)，則有

因此

證畢。

根據(jù)2輪積分區(qū)分器，實(shí)現(xiàn)3輪攻擊方案的具體步驟如下。

步驟1選擇任意明文X，使用原始密鑰K進(jìn)行加密，并獲得正確密文Y。

步驟2最后2輪子密鑰ekl+1具有如下關(guān)系。

表3 ARIA算法的故障路徑擴(kuò)散

攻擊者在加密算法的第l-2輪中的Al-2或Bl-2中導(dǎo)入隨機(jī)故障，從而獲得錯(cuò)誤密文，如圖2所示。在故障的導(dǎo)入過程中，均可以導(dǎo)致最后更多輪中發(fā)生變化，例如Cl-2、Al-1、Bl-2、Cl-1、Al、Bl、Cl等的字 節(jié) 變 化 會(huì) 導(dǎo) 致 出 現(xiàn) ΔCl-2、 ΔAl-1、 ΔBl-2、 ΔCl-1、ΔAl、 ΔBl、ΔCl，最后生成錯(cuò)誤密文。攻擊者可以隨機(jī)選擇一個(gè)字節(jié)位置改變故障值，取值在[0,255]之間。因此，基于Cl-1的積分關(guān)系如下。

攻擊者通過窮盡搜索ekl+1候選值的每個(gè)字節(jié)，然后結(jié)合同一個(gè)密鑰和不同明文得到的正確和錯(cuò)誤密文，進(jìn)行重復(fù)操作，直到ekl+1候選集合中只有一個(gè)元素為止，即可求出正確的子密鑰ekl+1。

步驟3假設(shè)故障被導(dǎo)入到第l-3輪，攻擊者通過子密鑰ekl+1對(duì)正確的密文進(jìn)行解密最后一輪，得到lA。此時(shí)，lA既是最后一輪的輸入，同時(shí)也是倒數(shù)第2輪的輸出，因此

攻擊者構(gòu)建Cl-2的積分關(guān)系如下。

攻擊者計(jì)算擴(kuò)散層中Cl-2的總和，窮盡搜索中的每個(gè)字節(jié)值。利用即可推導(dǎo)出子密鑰ekl。同理，通過將故障導(dǎo)入在第l-4輪和第l-5輪，攻擊者可以分別恢復(fù)其他2個(gè)子密鑰

步驟 4 結(jié)合密鑰編排方案，攻擊者通過最后4個(gè)子密鑰，即可推導(dǎo)出ARIA算法的原始密鑰。

4.4 4輪攻擊方案

在上述3輪攻擊方案中，攻擊者可以對(duì)步驟2中的第l-2輪和步驟3中的第l-3輪、第l-4輪和第l-5輪分別導(dǎo)入故障，從而恢復(fù)最后4輪子密鑰。然而，在輕量級(jí)環(huán)境中，隨機(jī)故障可能發(fā)生在算法的其他輪中。如果將故障位置擴(kuò)展到更多輪，則積分故障分析的實(shí)現(xiàn)范圍更大。

結(jié)合命題2構(gòu)建了2.5輪積分區(qū)分器，此時(shí)故障導(dǎo)入位置分別推廣到步驟2中的第l-3輪和步驟3中的第l-4輪、第l-5輪和第l-6輪。此時(shí)故障位置和子密鑰處于4輪運(yùn)算范圍內(nèi)，因此稱為4輪攻擊方案，具體如圖3所示。

圖3 故障導(dǎo)入在倒數(shù)第3.5輪的擴(kuò)散路徑

命題2對(duì)于ARIA算法，如果第1輪輸入中只有一個(gè)活躍字節(jié)而其他都是穩(wěn)定字節(jié)，則在第3輪替代層的輸出存在3個(gè)平衡字節(jié)[5]。

4輪攻擊方案采用了與3輪攻擊方案相同的步驟1和步驟4，不同之處在于步驟2與步驟3。4輪攻擊方案的步驟2故障導(dǎo)入在第l-3輪的Al-3或Bl-3，可知Bl-1中有3個(gè)字節(jié)的集合是平衡集，如表4所示，則有

表4 活躍字節(jié)和相應(yīng)的3個(gè)平衡字節(jié)的位置列

此時(shí)，計(jì)算Dl-1可以轉(zhuǎn)化為7個(gè)向量的異或，該步運(yùn)算將數(shù)據(jù)復(fù)雜度由 2128降到 7 ×28。基于 2.5輪的積分區(qū)分器，Bl-1的第j個(gè)字集是平衡字集，因此有

其中，j∈J。

在步驟3中，當(dāng)故障導(dǎo)入在第l-4輪的Al-4或Bl-4時(shí)，可知Bl-2中有3個(gè)字節(jié)的集合是平衡集，并且

此時(shí)，j∈J，j0到j(luò)6的值如表4所示。同理有

其中，0≤j≤1 5。攻擊者可以依靠同一個(gè)密鑰和不同明文得到的不同密文，利用窮盡搜索運(yùn)算求出最后4輪子密鑰。

5 理論時(shí)間復(fù)雜度

在上述分析過程中，為了計(jì)算平衡字節(jié)的積分和，攻擊者至少需要一組密文，包括一個(gè)正確的密文和255個(gè)錯(cuò)誤的密文。

設(shè)η表示一個(gè)錯(cuò)誤的子密鑰可以通過積分和檢查的概率，θ表示攻擊過程中窮盡搜索的子密鑰空間。當(dāng)攻擊者誘導(dǎo)ι個(gè)密文集合時(shí)，子密鑰候選項(xiàng)中剩余的錯(cuò)誤子密鑰數(shù)為（θ-1）ηι。如果（θ-1）ηι＜1，子密鑰候選值集合中只有唯一值，即為正確的子密鑰。

在3輪攻擊方案中，存在

如果ι＞2，那么攻擊者可以計(jì)算出真正的子密鑰。此時(shí)窮盡搜索一組密文的時(shí)間復(fù)雜度是

因而，破譯ARIA算法的最少理論時(shí)間復(fù)雜度為

在4輪攻擊方案中，存在

如果ι＞2，則攻擊者可以推導(dǎo)出真正的子密鑰。此時(shí)窮盡搜索一組密文的時(shí)間復(fù)雜度是

因而，恢復(fù)ARIA算法密鑰的最少理論時(shí)間復(fù)雜度為

6 實(shí)驗(yàn)結(jié)果分析

實(shí)驗(yàn)環(huán)境為Inter Core I7-7700K@4.2GHz、內(nèi)存為 32 GB的計(jì)算機(jī)，使用 Java語言編程進(jìn)行ARIA算法的加解密和攻擊操作。利用軟件模擬故障產(chǎn)生，從而得到錯(cuò)誤密文，本文共進(jìn)行了 1 000次實(shí)驗(yàn)，將這些實(shí)驗(yàn)平均分成了 5組，記為G1、G2、G3、G4和G5。在積分故障分析過程中，攻擊者至少需要一組密文，包含一個(gè)正確密文和255個(gè)錯(cuò)誤密文。本節(jié)采用準(zhǔn)確性、可靠性和耗費(fèi)時(shí)間對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了詳細(xì)描述。

準(zhǔn)確性是指候選密鑰數(shù)與真實(shí)密鑰數(shù)之間接近的程度。數(shù)值越接近，則實(shí)驗(yàn)結(jié)果就越準(zhǔn)確。采用均方根誤差（RMSE, root mean square error）計(jì)算式來進(jìn)行計(jì)算。

其中，m為實(shí)驗(yàn)次數(shù)，e為第e次實(shí)驗(yàn)，φ'（e）為在第e次實(shí)驗(yàn)中已恢復(fù)出的候選子密鑰的比特?cái)?shù)，φ為真正子密鑰的比特?cái)?shù)。均方根值越接近于0，則實(shí)驗(yàn)結(jié)果就越準(zhǔn)確，候選子密鑰的均方根值如表5與表6所示，其中m=200，φ=128、e={ 1 , …, 2 00}。實(shí)驗(yàn)結(jié)果表明，在3輪和4輪攻擊方案中，分別最多僅需要3組和16組密文集合即可恢復(fù)子密鑰。

可靠性是指成功實(shí)驗(yàn)在所有實(shí)驗(yàn)中的比例。如表5與表6所示，在3輪攻擊方案中，子密鑰恢復(fù)的平均比例分別為0、94.8%和100%。在四輪攻擊方案中，子密鑰恢復(fù)的平均比例分別為0、0、…、0和100%。

表5 在3輪攻擊方案中恢復(fù)子密鑰的準(zhǔn)確性和可靠性

表6 在4輪攻擊方案中恢復(fù)子密鑰的準(zhǔn)確性和可靠性

耗費(fèi)時(shí)間是指從故障導(dǎo)入到恢復(fù)子密鑰的時(shí)間。圖4顯示了1 000次實(shí)驗(yàn)的耗時(shí)。在3輪攻擊方案中，97.7%的耗費(fèi)時(shí)間處于5～10 s之間，而在4輪攻擊方案中，87%的耗費(fèi)時(shí)間處于30～40 s之間。

圖4 在攻擊方案中恢復(fù)子密鑰的耗費(fèi)時(shí)間

因此，在3輪攻擊和4輪攻擊方案中，窮盡搜索一組密文的實(shí)際時(shí)間復(fù)雜度分別為

則恢復(fù)ARIA原始密鑰的最少實(shí)際時(shí)間復(fù)雜度分別為

7 結(jié)束語

本文提出了基于ARIA密碼的積分故障分析方法。理論分析和實(shí)驗(yàn)結(jié)果表明，在面向單字節(jié)的故障模型中，分別可以構(gòu)建2個(gè)積分區(qū)分器進(jìn)行故障導(dǎo)入來破譯ARIA算法。相較于其他故障分析方法，積分故障分析可以進(jìn)一步深入算法內(nèi)部更深輪數(shù)進(jìn)行攻擊，在攻擊范圍上均具有顯著的優(yōu)勢。因此，以ARIA為代表的標(biāo)準(zhǔn)密碼在現(xiàn)實(shí)環(huán)境中實(shí)現(xiàn)時(shí)必須加以軟硬件防護(hù)措施進(jìn)行保護(hù)，否則極易受到積分故障分析的威脅。