一种改进的aes和clexia序列驱动攻击方法.docxVIP

一种改进的aes和clexia序列驱动攻击方法 1 旁路攻击安全性分析 传统的密码分析认为密码算法是一个黑盒。密码算法的安全性完全取决于执行的数学函数和密钥的安全性。线性和微分分析结合了明清文本、消息和算法结构的密钥。随着密码设计复杂度和密钥长度的增加,其在设计之初就经受了大量数学分析考验,安全性得到了极大的提高,传统的线性和差分分析已经很难实现密码破解。然而密码算法实现需依附一个物理设备平台,由于平台自身的一些物理特性,在加解密过程中会泄露出各种中间状态相关的物理效应信息(如时间、功耗、电磁辐射、声音、错误、Cache访问信息等),又称之为旁路信息或边信道信息,利用旁路信息对密码算法实现进行分析的过程称为旁路攻击,主要的攻击类型有计时攻击、功耗攻击、电磁分析、声音攻击、故障攻击、Cache攻击等。目前大部分密码算法实现的安全性均面临旁路攻击的严重威胁,随着先进的测试仪器和计量手段的出现和发展,旁路攻击已经具备实际攻击可行性。本文主要研究利用密码算法在Cache访问时泄露的踪迹信息进行密钥分析的方法。 Cache攻击大体分为Cache信息采集和信息分析2个阶段,根据采集信息不同,可将其分为时序驱动、访问驱动和踪迹驱动3种,本文给出了一种改进的Cache踪迹驱动信息分析方法,并对AES和CLEFIA抗Cache攻击安全性进行了分析。在Cache踪迹驱动攻击方面,文献[7~10]利用该方法对AES进行了安全性分析,最近,文献也利用其对CLEFIA进行了安全性分析,但现有文献均不能在第1轮分析中直接恢复AES和CLEFIA完整扩展密钥。本文分析方法同文献类似,利用“Cache失效”踪迹驱动信息进行密钥分析,但本文研究发现,由于分组密码S盒在Cache中的不对齐分布特性,通过对AES和CLEFIA加密的“Cache失效”踪迹驱动信息进行分析,其第1轮完整扩展密钥可在有效样本下快速恢复。表1给出了本文攻击同前人工作的比较,其中,H表示Cache命中,M表示Cache失效,第4列H/M表示攻击中利用的信息是Cache命中还是失效。 本文结构如下:第2节对Cache访问信息泄露和Cache攻击分析模型进行了研究,给出了Cache踪迹驱动分析模型,分析了分组密码S盒在Cache中的分布特性,提出了改进的Cache踪迹驱动分析思想;第3、4节分别给出了针对AES和CLEFIA的改进Cache踪迹驱动分析方法,并给出了攻击实验结果与比较;第5节是结束语。 2 分析内存攻击的模型9 2.1 基于cache的恶意攻击技术 高速缓存Cache主要用于解决CPU与主存之间速度不匹配的问题。为提高算法非线性度和软件执行效率,现代分组密码大都使用S盒查表访问Cache。Cache访问命中和失效会带来时间和能量消耗差异,而分组密码加密使用了S盒进行查表操作需要访问Cache,其Cache访问特征信息可通过时间或能量消耗特征信息泄露出来,恶意攻击者通过Cache攻击可采集到分组密码运行过程中泄露的Cache访问信息,这些访问信息同查找S盒索引、明文、密文和密钥有紧密关系,可以用来进行相关密钥恢复。随着高精度和复杂精密测试计量仪器及技术的发展,精确采集Cache泄露的时间和能量消耗差异已经具备实际可行性。根据攻击者的Cache信息采集能力,可将Cache攻击分为时序驱动、访问驱动[15~19]和踪迹驱动[7~11]3种。 1)时序驱动Cache攻击需采集一次加解密过程的整个时间,结合高级统计分析方法推测密钥,常需百万计的攻击样本,分析方法复杂; 2)访问驱动Cache攻击需通过间谍进程采集密码进程加解密中访问的Cache组集合,使用直接或排除分析方法推测密钥,同时序驱动攻击相比,其对攻击者的信息采集能力要求比较高,但分析方法简单; 3)踪迹驱动Cache攻击需采集密码加解密过程中每次Cache访问命中和失效信息的一个序列,结合明文或密文进行密钥推测,分析效率非常高,通常Cache访问踪迹信息的采集主要通过采集Cache访问能量消耗信息来实现。 2.2 mhsh的cache中性及失效序列 在踪迹驱动Cache攻击中,攻击者需获取加密样本每次Cache访问的命中和失效序列,并利用其进行密钥分析。以AES加密第1轮为例,MHHM,MMHH,MHHH,MHMH为16次查表访问的Cache命中和失效序列,其中,H和M分别表示“Cache命中”和“Cache失效”。 图1表示同一次加密中对S盒的2次查表访问,2次查表索引分别为x0⊕k0、x1⊕k1,一般来说,如果x0⊕k0是第1次访问Cache,常会发生Cache失效,根据第2次查表访问Cache是命中还是失效,可将分析分为2种情况。 1 ache访问 此时,x0⊕k0=x1⊕k1,二次Cache访问需较短时钟周期或较低能