aria密码抗cache计攻击安全性模板分析模型.docxVIP

aria密码抗cache计攻击安全性模板分析模型 aria是spn结构分组的密码。由于大量分析，aria具有很强的抗分析性。这些密码分析通常被视为抽象的黑盒。通过观察和输出，结合算法结构分析密码函数的数学安全性，大多数不可能成功获取aria密码。然而，事实上，密码的实现通常依赖于特定的平台。在执行过程中，不可避免地会发现一些物理效应。这些物理效应导致的密码攻击被称为“执行攻击”。为了对aria密码的实现进行分析，一些研究人员分析了aria的抗破坏能力和失败攻击能力，但没有关于aria内存时间攻击的相关文献。对于内存时间攻击，密钥分析主要用于执行对荷叶中指定时间差异信息的函数。根据收集的信息不同，内存延迟攻击可以分为序列驱动、跟踪驱动和访问驱动程序。在本文中，我们提出了三种应用算法：序列分析和排除，并将其应用于嵌入式攻击中。通过攻击实验，成功解决1s中的128bitaria密钥。 1 攻击模型和模型分析的模型 1.1 密钥扩展算法 ARIA算法分组长度为128 bit,支持128,192,256 bit的3种密钥长度,对应加密轮数分别为12,14,16轮.若无特别说明,本文中ARIA分组密码均指128 bit密钥ARIA算法.ARIA-128算法共12轮,采用典型的代换置换网SPN结构,每轮使用ker(1≤r≤12)作为轮密钥执行加密.为提高算法安全性,第12轮运算结束后使用密钥ke13进行了后期白化操作.需指出的是ARIA第12轮只进行轮密钥异或和查找S盒代换运算,并不进行混淆层运算.ARIA轮函数由轮密钥加、字节代换层和置换混淆层组成. a. 轮密钥加:轮函数输入同128 bit扩展密钥进行异或操作.b. 字节代换层:奇数和偶数轮加密分别使用代换层1和代换层2查找16次S盒,这2类代换层均使用S1,S2,S-11?11,S-22?22这4个8进8出的S盒,但使用顺序不同,S-11?11,S-22?22为S1,S2的逆S盒.c. 置换混淆层:混淆矩阵D与输入序列(x0,x1,…,x15)相乘,得到下一轮输入.D是一个将16 byte输入(x0,x1,…,x15)映射为16 byte输出(y0,y1,…,y15)的函数. ARIA密钥扩展算法由初始化和轮密钥生成2部分组成.在初始化部分,使用了一个3轮256 bit的Feistel函数,生成4个128 bit的状态变量(W0,W1,W2,W3),通过对这4个变量进行异或、左移和右移操作,生成轮密钥kei(1≤i≤13). 1.2 本地攻击模型 访问驱动Cache计时攻击主要利用Cache访问命中和失效时间差异,以及多进程共享Cache机制,通过使用间谍进程在加密运算前后访问私有数据,根据命中和失效预测密码运算中访问的Cache组集合,经进一步分析得到密钥. 在攻击中,令间谍进程和密码进程运行在同一PC机上,为间谍进程分配和1级数据Cache大小相等的数组A,具体攻击模型如下. 步骤 1攻击端通知间谍进程每隔一个Cache行大小读取A中数据,清空Cache. 步骤 2攻击端发送明文给密码进程,触发其执行加密操作.密码进程加密后将密文发送给攻击端. 步骤 3攻击端收到密文后,通知间谍进程对数组A每隔一个Cache行对数组二次访问,并计算访问时间.若二次访问发生Cache命中,则说明密码进程加密没有访问过该Cache组;否则说明密码进程加密访问过该Cache组.然后将采集信息发送给攻击端. 步骤 4攻击端结合明文/密文,加密访问Cache组集合信息,使用一定方法预测密钥. 需要说明的是:本地攻击中,攻击端、间谍进程、密码进程被部署在同一PC机上;在远程攻击中,攻击端常被部署在单独的PC机上,而间谍进程同密码进程仍被部署在同一PC机上. 1.3 模型分析 1.3.1 y1i的生成 分组密码S盒查表过程中,常满足 pi?ki=y1i?εi=f(y1i)=f(pi?ki)?(1) 式中:pi,ki,y1i分别为明文、密钥和查表索引的第i个字节;εi为第i次查表访问的Cache组序号;f为将y1i转化为εi的映射函数.首先对于某密钥字节ki,利用不同样本中的pi,根据式(1)计算εi;然后对于某明文字节样本集合pi,ki预测值,计算对应εi值,得到一个3元组S(pi,ki,εi);最后终得到ki的所有256候选值对应3元组模板. 1.3.2 普通的密钥索引集合ki 在模板匹配阶段,对大量明文样本,采集使用未知密钥加密可能访问的Cache组集合信息Sε′i和不可能访问Cache组集合ˉSε′i,然后根据下列分析策略与模板进行匹配. a. 直接分析匹配策略.首先为每个ki预测值设置一个计数器数组A,对于所有的加密样本,若某个ki预测值(ki=i)对应的3元组S(pi,ki,εi)中的εi在查表索