鄔可可 周瑩 孔令晶

摘 ? 要：密碼芯片中有復(fù)雜的加解密算法和密鑰保護(hù)機(jī)制，然而在計(jì)算過(guò)程中密碼芯片的功率泄露卻與所操作的密鑰相關(guān)。攻擊者利用統(tǒng)計(jì)學(xué)進(jìn)行功率泄露分析，則可逐步解析出密碼芯片所操作的密鑰，從而破解整個(gè)系統(tǒng)。為了解決這個(gè)問(wèn)題，許多抵御功耗分析攻擊的安全算法與安全實(shí)現(xiàn)技術(shù)相繼提出，但是很少有針對(duì)這一套安全防護(hù)技術(shù)設(shè)計(jì)規(guī)范的研究。文章給出了密碼芯片安全算法的一套設(shè)計(jì)規(guī)范，分別基于算法設(shè)計(jì)維度規(guī)范和硬件設(shè)計(jì)維度的設(shè)計(jì)規(guī)范，來(lái)改變功率消耗的特征。這種設(shè)計(jì)規(guī)范除了能為密碼芯片企業(yè)提供芯片設(shè)計(jì)的效率和安全性技術(shù)支撐外，還能指導(dǎo)和規(guī)范其在產(chǎn)品投放市場(chǎng)前得到系統(tǒng)的測(cè)試、評(píng)估和設(shè)計(jì)，免除了一旦出現(xiàn)安全問(wèn)題后給用戶和廠商帶來(lái)巨額損失。

關(guān)鍵詞：密碼芯片;密碼算法;功耗分析;設(shè)計(jì)規(guī)范

中圖分類號(hào)：TP309 . 7 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： There are complex encryption and decryption algorithms and key protection mechanisms in cryptographic chips. However， the power leakage of cryptographic chips in the calculation process is related to the key operation. The attacker uses statistics to analyze the power leak， and they can gradually resolve the key operated by the cryptographic chip， until they can crack the whole system. To solve this problem， many security algorithms and security implementation techniques against power analysis attacks have been proposed， but there is no research on the design specifications of this set of security protection technologies. This paper presents a set of design specifications for cryptographic chip security algorithms. Based on the design specifications of time dimension and amplitude dimension， the characteristics of power consumption are changed. In addition to providing technical support for the efficiency and security of chip design for cryptographic chip enterprises， this design specification can also guide and standardize the systematic testing， evaluation and design of cryptographic chip enterprises before their products are put into the market， and avoid huge losses of users and manufacturers once security problems arise.

Key words： cryptographic chips; cryptographic algorithms; power analysis; design specifications

1 引言

密碼芯片大量地存在于電子產(chǎn)品中，比如銀行卡、可信計(jì)算模塊、USB Key、RFID等。一般來(lái)說(shuō)，是通過(guò)增加密鑰的長(zhǎng)度來(lái)增加密碼算法的安全性，而功耗分析攻擊（Power Analysis）[1，2]不因密鑰長(zhǎng)度的增加而越難破解。

功耗分析是根據(jù)密碼芯片的功率消耗與所執(zhí)行的密碼算法程序之間產(chǎn)生關(guān)聯(lián)的中間值。因此，密碼算法設(shè)計(jì)的目標(biāo)，就是切斷被處理的數(shù)據(jù)值與功率消耗之間的關(guān)聯(lián)。國(guó)內(nèi)外針對(duì)密碼芯片的防御功耗分析攻擊的研究[3-10]，也是2019年信息安全領(lǐng)域的熱點(diǎn)。研究成果大致分為算法設(shè)計(jì)維度和硬件設(shè)計(jì)維度來(lái)防御功耗分析攻擊。從硬件層面防御的手段是割斷密碼芯片處理的中間值與功率的相關(guān)性。

Tiri和Verbauwhede提出動(dòng)態(tài)差分型邏輯[6]。英國(guó)劍橋大學(xué)的Moore等人提出異步雙線邏輯（Asynchronous Dual-rail）[7]，這樣的電路其電流特性與輸入無(wú)關(guān)。算法維度防御的手段是消除密碼算法與密碼芯片處理的中間值之間的關(guān)聯(lián)，主要是掩碼技術(shù)。Mehdi-laurent Akkar和Christophe Giraud提出了掩碼技術(shù)[8]，該方法是將中間數(shù)據(jù)與一個(gè)隨機(jī)數(shù)進(jìn)行異或。李子臣和孫亞飛等人提出了基于同態(tài)特性側(cè)信道攻擊防御技術(shù)的研究[9，10]。而更高階的功耗分析攻擊出現(xiàn)之后，更多元化的防御技術(shù)相繼提出[11～17]。

盡管國(guó)內(nèi)外對(duì)功耗分析攻擊防御技術(shù)的研究越來(lái)越深入，但是整體來(lái)說(shuō)，在系統(tǒng)地研究功耗分析防御方法和進(jìn)一步形成設(shè)計(jì)規(guī)范方面，還缺乏細(xì)致有深度的研究。本文將從算法設(shè)計(jì)維度和硬件設(shè)計(jì)維度，給出防御功耗分析攻擊的密碼芯片安全算法的一套設(shè)計(jì)規(guī)范，從而為密碼芯片的功耗分析領(lǐng)域做好體系結(jié)構(gòu)級(jí)別的安全防護(hù)。

2 背景

2.1 功耗分析

在1999年Kocher等人又提出了差分功耗分析（Differential Power Analysis， DPA）方法[4]，同時(shí)把功耗分析分為簡(jiǎn)單功耗分析（SPA）和差分功耗分析（DPA）兩種方式。SPA是通過(guò)對(duì)測(cè)量得到的一條或幾條側(cè)信道曲線進(jìn)行仔細(xì)觀察來(lái)破解密鑰。而另一種更強(qiáng)的DPA則采用統(tǒng)計(jì)的方法來(lái)執(zhí)行程序多次來(lái)破解密鑰，如圖1所示闡述了DPA攻擊的過(guò)程。

2.2 掩碼和隱藏技術(shù)

隱藏技術(shù)[18]的目標(biāo)即是切斷處理的數(shù)據(jù)值與密碼芯片功率消耗之間的聯(lián)系。所以，隱藏技術(shù)使攻擊者難以從功耗曲線中獲得可利用的信息。

實(shí)質(zhì)上，可以通過(guò)兩種途徑實(shí)現(xiàn)這一目標(biāo)。第一種方法是“掩碼”，使芯片對(duì)于所有操作和操作數(shù)均具有同樣的功率消耗，即芯片在各個(gè)時(shí)鐘周期的功率消耗相等。這種方法僅僅在算法設(shè)計(jì)維度上改變了功率消耗的特征。第二種方法是“隱藏”，使用特殊的硬件方式設(shè)計(jì)密碼芯片，使其功率的消耗呈現(xiàn)隨機(jī)化，這意味著芯片在各個(gè)時(shí)鐘周期的功率消耗是隨機(jī)分布的。可見(jiàn)，第二種方法在硬件設(shè)計(jì)維度改變了功率消耗的特征，如圖2所示。

針對(duì)掩碼技術(shù)，本文將從算法設(shè)計(jì)規(guī)范的維度上改變功率消耗的特征。針對(duì)隱藏技術(shù)，本文將從硬件設(shè)計(jì)規(guī)范的維度改變功率消耗的特征，從而實(shí)現(xiàn)體系結(jié)構(gòu)級(jí)別的安全防護(hù)。

3 算法設(shè)計(jì)規(guī)范

DPA攻擊需要將采集到的功率曲線進(jìn)行精確地對(duì)齊才能實(shí)施有效的攻擊。這意味著需要將每一個(gè)操作的功率消耗定位在各條功率曲線的相同位置。因此，算法執(zhí)行的隨機(jī)性越強(qiáng)，對(duì)設(shè)備的攻擊就越困難。本文提出在隨機(jī)化密碼算法執(zhí)行序列中插入偽操作或亂序操作。

3.1 隨機(jī)插入偽操作

隨機(jī)插入偽操作的基本思想是將偽操作隨機(jī)地插入在密碼算法執(zhí)行的整個(gè)過(guò)程，并根據(jù)每一次生成的隨機(jī)數(shù)，來(lái)確定在不同位置插入偽操作的數(shù)量。

在此方法的實(shí)現(xiàn)中，每一個(gè)操作的執(zhí)行時(shí)間均取決于在該操作之前插入的偽操作的數(shù)量。在算法執(zhí)行中，該數(shù)量將隨機(jī)發(fā)生變化，變化越大，能力消耗的隨機(jī)性就越強(qiáng)。同樣，插入的偽操作越多，這種實(shí)現(xiàn)數(shù)據(jù)的吞吐量就越低。所以，必須對(duì)每一種實(shí)現(xiàn)都要打出一定的折扣。

3.2 亂序操作

一些密碼算法的某些特定操作執(zhí)行順序是可以隨意改變的，亂序操作就是在這類密碼算法中，通過(guò)隨機(jī)性地改變這些特定操作的執(zhí)行順序來(lái)實(shí)現(xiàn)的。

通過(guò)亂序操作來(lái)實(shí)現(xiàn)功率消耗隨機(jī)化的方式與隨機(jī)插入偽操作類似。但是，亂序操作的優(yōu)點(diǎn)是并不像隨機(jī)插入偽操作那樣會(huì)嚴(yán)重地影響數(shù)據(jù)的吞吐量，其缺點(diǎn)是它只針對(duì)非常有限的某些密碼算法中的特定操作，這嚴(yán)格地受限于密碼算法本身以及密碼算法的具體實(shí)現(xiàn)。因此，在現(xiàn)實(shí)具體的密碼算法設(shè)計(jì)中，經(jīng)常會(huì)把亂序操作與隨機(jī)插入的偽操作結(jié)合起來(lái)使用。

4 硬件設(shè)計(jì)規(guī)范

要使得密碼芯片具有防御功耗分析攻擊的能力，可以通過(guò)使其各個(gè)時(shí)鐘周期的功率消耗相等或者呈現(xiàn)隨機(jī)化的樣式。在上一節(jié)中，討論了對(duì)算法設(shè)計(jì)規(guī)范的維度，提出了隨機(jī)插入偽操作和執(zhí)行亂序操作的方法，本節(jié)將從硬件設(shè)計(jì)的維度，提出直接改變操作功率消耗特征的技術(shù)。

4.1 時(shí)鐘擾亂

時(shí)鐘擾亂技術(shù)是指針對(duì)密碼芯片時(shí)鐘頻率的隨機(jī)變化，來(lái)對(duì)功耗進(jìn)行擾亂的方法，為了得到更明顯的功耗統(tǒng)計(jì)特征，應(yīng)該保證所有功耗曲線的任意時(shí)間點(diǎn)，與其上面所進(jìn)行的操作保持一致。針對(duì)這個(gè)特點(diǎn)，時(shí)鐘擾亂技術(shù)使得功耗曲線各時(shí)間點(diǎn)上所發(fā)生的操作，無(wú)法實(shí)現(xiàn)真正的對(duì)準(zhǔn)，故而差分統(tǒng)計(jì)特征無(wú)法凸顯出來(lái)。時(shí)鐘擾技術(shù)有兩種實(shí)現(xiàn)方式：一種是時(shí)鐘頻率將被每個(gè)時(shí)鐘周期來(lái)改變;另一種是隨機(jī)地抹去多個(gè)等長(zhǎng)的時(shí)鐘周期中的一些時(shí)鐘周期。這兩種方式都將借助隨機(jī)數(shù)產(chǎn)生器。

時(shí)鐘擾亂技術(shù)的優(yōu)點(diǎn)是，既會(huì)降低密碼芯片的功耗，又會(huì)帶來(lái)功耗的安全性。而時(shí)鐘擾亂技術(shù)的不足之處是，在各種應(yīng)用實(shí)現(xiàn)中，時(shí)鐘加擾通常會(huì)帶來(lái)少量的時(shí)間損耗，從而會(huì)影響資源有限的密碼芯片的運(yùn)算性能。

4.2 降低信號(hào)

其實(shí)，構(gòu)建一個(gè)對(duì)于所有操作和所有操作數(shù)均具有同樣功率消耗的設(shè)備并不困難。但是，當(dāng)著眼于該任務(wù)的更多細(xì)節(jié)時(shí)，就會(huì)發(fā)現(xiàn)這并非想象中的那么簡(jiǎn)單。DPA攻擊基于大量的功率曲線，所以這種攻擊能夠利用到功率曲線中非常微小的差異。

降低信號(hào)可以通過(guò)雙軌CMOS電路，采用漢明擴(kuò)展編碼來(lái)實(shí)現(xiàn)邏輯互補(bǔ)電路，從而實(shí)現(xiàn)充放電負(fù)載的等效電容總相等。所以，這種防御措施需要以犧牲一定的功耗和硬件實(shí)現(xiàn)為代價(jià)。提出的做法是在對(duì)安全算法電路的反標(biāo)網(wǎng)表進(jìn)行動(dòng)態(tài)功耗模擬的形式，在VLSI所采用的標(biāo)準(zhǔn)單元庫(kù)中，將原標(biāo)準(zhǔn)單元替換為互補(bǔ)電路，并進(jìn)行功耗安全性評(píng)估與設(shè)計(jì)改進(jìn)，從而明顯地降低芯片投片后的安全風(fēng)險(xiǎn)。

在現(xiàn)實(shí)中，實(shí)現(xiàn)這些隱藏對(duì)策的途徑多種多樣。但是到目前為止，只有少量的文獻(xiàn)介紹隱藏技術(shù)的具體實(shí)現(xiàn)，并且更少有文獻(xiàn)介紹隱藏技術(shù)的算法與硬件設(shè)計(jì)規(guī)范?？磥?lái)隱藏技術(shù)在工業(yè)界的流行程度，要遠(yuǎn)遠(yuǎn)地高于學(xué)術(shù)界。

5 結(jié)束語(yǔ)

本文從算法設(shè)計(jì)規(guī)范和硬件設(shè)計(jì)規(guī)范兩個(gè)維度，制定了一套密碼算法的安全設(shè)計(jì)規(guī)范。這種設(shè)計(jì)規(guī)范的實(shí)施，可以提高密碼芯片領(lǐng)域的理論和工程實(shí)踐水平，讓更多的集成電路企業(yè)能夠意識(shí)到密碼芯片算法和硬件設(shè)計(jì)規(guī)范的理論基礎(chǔ)，研發(fā)出具有真正意義上安全的密碼集成電路芯片，以提升集成電路產(chǎn)業(yè)的整體實(shí)力，從而更好地的保證互聯(lián)網(wǎng)的安全。

基金項(xiàng)目：

1.廣東省自然科學(xué)基金項(xiàng)目（項(xiàng)目編號(hào)：2018A030313746 / 2018A0303130055 / 2018A030310664）;

2.深圳市基礎(chǔ)研究項(xiàng)目（項(xiàng)目編號(hào)：JCYJ20170817114239348）。

參考文獻(xiàn)

[1] P.C. Kocher， J. Jaffe and B. Jun. Differential power analysis [J].19th Annual International Cryptology Conference-crypto99， Lncs， Springer-Verlag Berlin Heidelberg， 1999， 388-397.

[2] J.J. Quisquater and D. Samyde. Simple Electromagnetic analysis for Smart Cards： New Results [C].Rump session talk at Cyrpto 2000.

[3] T.S. Messerges. Securing the AES Finalists Against Power Analysis Attacks [J]. Proceedings of Fast Software Encryption Workshop 2000， LNCS， Springer-Verlag Berlin Heidelberg， 2001， 150-164.

[4] T.S. Messerges. Using Second-order Power Analysis to Attack DPA Resistant Software [J]. Proceedings of Cryptographic Hardware and Embedded System （CHES 2000）， LNCS， Springer-Verlag Berlin Heidelberg， 2000， 238-251.

[5] S. Chari， J.R. Rao， P. Rohatgi. Template Attacks [J]. Proceedings of Cryptographic Hardware and Embedded System （Ches 2002）， LNCS， Springer-Verlag Berlin Heidelberg， 2003， 13–28.

[6] K. Tiri， I. Verbauwhede. Securing Algorithms against DPA at the Logic Level： Next Generation Smart Card Technology [J]. Proceedings of Ches 2004， LNCS， Springer-Verlag， 2004， 125-136.

[7] S. Moore， R. Anderson， P. Cunningham， R. Mullins， and G. Taylor. Improving smart card security using self-timed circuits [C].Eighth IEEE International Symposium on Advanced Research in Asynchronous Circuits and Systems， 2002.

[8] M.L. Akkar and C. Giraud. An Implementation of DES and AES， Secure against Some Attacks [J]. Proceedings of Ches 2001， LNCS， Springer-verlag， 2001， 309-318.

[9] 李子臣，孫亞飛，楊亞濤，梁斕，湯永利.一種抗側(cè)信道攻擊的隨機(jī)功耗方法[J].計(jì)算機(jī)應(yīng)用與軟件，2018，35（03）：299-303.

[10] 李子臣，孫亞飛，楊亞濤，梁斕，曹廣燦.一種改進(jìn)的R-LWE同態(tài)掩碼方案[J].計(jì)算機(jī)應(yīng)用研究，2019，36（01）：243-245.

[11] M.K. Lee， J.E. Song， D. Choi， D.G. Han. Countermeasures against power analysis attacks for the NTRU public Key cryptosystem [J]. IEICE Transactions on Fundamentals of Electronics， Communications and Computer Sciences， 2010.

[12] E. Prouff， T. Roche. Higher-order Glitches Free Implementation of the AES Using Secure Multi-party Computation Protocols [J]. Proceedings of Ches 2011， Lncs， Springer-Verlag， 2011.

[13] P. Weibo， P William， A. Marnane. Correlation Power Analysis Attack against Tate Pairing on FPGA [C]. ARC 2011.

[14] R. Velegalati， J.P. Kaps. Improving Security of SDDL Designs through Interleaved Placement on Xilinx FPGAs [C]. International Conference on Field Programmable Logic and Applications， 2011.

[15] C.Y. Lu， S.M. Jen， C.S. Laih. A General Framework of Side-channel Atomicity for Elliptic Curve Scalar Multiplication [J]. IEEE Transactions on Computers， 62（3）， 2015， 428–438.

[16] K. Wu. Flexible Parallel Computing for Elliptic Curve Scalar Multiplication with Resistance against Simple Side-Channel Attacks [J]. Journal of Computers （Taiwan）， Vol. 28， No. 6， December， 2017， 64-78.

[17] M. Tang， Z. Qiu， Z. Guo， etal. A Generic Table Recomputation-based Higher-order Masking [J]. IEEE Transactions on Computer Aided Design of Integrated Circuits and Systems， 2017.

[18] S. Mangard， E. Oswald， T. Popp. Power Analysis Attacks： Revealing the Secrets of Smart Cards[J]. Springer Science Business Media， 2007.