针对SM4的选择明文攻击：线性运算带来的难题与对策.pdfVIP

第47卷第8期电子与信息学报Vol.47No.8

2025年8月JournalofElectronicsInformationTechnologyAug.2025

针对SM4的选择明文攻击：线性运算带来的难题与对策

①②③*①②①②①②①②

唐啸霖冯燕李志强郭叶龚关飞

①(集成电路制造技术重点实验室(中国科学院)北京100029)

②(中国科学院微电子研究所北京100029)

③(中国科学院大学北京100049)

摘要：在硬件安全领域，各种侧信道攻击已受到广泛关注，这类攻击利用硬件泄漏的物理信息来推断密钥等敏

感信息，其中能量分析攻击是最受关注的侧信道攻击技术之一。针对高级加密标准的能量分析攻击方法相对成

熟，对于SM4算法，由于其轮运算包含特殊的线性变换模块，使得能量分析攻击更加困难。针对SM4的选择明文

攻击方法可以规避线性变换模块带来的运算复杂度，但这些方法面临以下难题：如何构造四轮选择明文、如何恢

复初始密钥、如何分辨对称攻击结果，以及如何排除高相关性错误猜测值。该文在深入分析难题产生原因的基础

上，提出了相应的对策，并对SM4算法实现进行了能量分析攻击实验，结果表明：所提应对策略，能有效解决在

SM4的选择明文攻击过程中，线性运算带来的难题。

关键词：SM4算法；能量分析攻击；选择明文；线性运算

中图分类号：TN402;TN918文献标识码：A文章编号：1009-5896(2025)08-2791-09

DOI:10.11999/JEIT250014CSTR:32379.14.JEIT250014

1引言文被分为4个32bit的字：，且算法中的

现代安全系统依赖密码算法提供可靠性和安全线性运算以32bit为单位进行，显著增加了攻击的

性。密码算法中所有信息都是公开的，唯有密钥需复杂度。与采用随机明文方法破解AES的密钥不

要保密。然而，密钥的保密性可能因加密设备泄漏同，大多数研究中采用选择明文方法来破解SM4的

的物理信息而受到威胁，利用物理信息泄漏揭示密密钥。文献[4]中最早提出选择明文的攻击方法：采

[1]用1个字节随机、其余3个字节为0的方法来构造明

钥等敏感数据的攻击技术被称为侧信道攻击。在

众多侧信道攻击中，能量分析攻击(又称功耗侧信文，该方法每次构造只能破解轮密钥的1个字节。

道攻击)有采集方便、设备成本低、操作简单、通文献[5]在构造选择明文时，将大部分字节设为0，

[2]并在每个字的高8位上进行操作，该方法每次构造

用性高等优点。1999年Kocher等人通过简单功耗

分析(SimplePowerAnalysis,SPA)监控智能卡功可以破解轮密钥的全部字节。文献[6]提出了通过选

耗迹，判断设备在各时刻执行的操作