[发明专利]一种基于FPGA的抗CPA的SM4混沌遮掩方法

说明书

本发明提供一种基于FPGA的抗CPA的SM4混沌遮掩方法，本发明通过离散混沌系统生成伪随机序列对初始明文进行随机掩码，并在轮函数中结合复合域降阶、加法掩码、乘法掩码的方法生成伪随机掩码S盒，使得SM4算法加密过程中的32轮中间值均被掩码掩盖，扰乱了实际功耗与不同明文信息计算产生的不同的中间值之间的相关性。实验结果表明，此混沌掩码方案有效保护了中间值不被泄露，提高了SM4密码算法抗功耗攻击的能力。

技术领域

本发明涉及数据加密领域，具体涉及一种基于FPGA的抗CPA的SM4混沌遮掩方法。

背景技术

相关功耗分析(CPA)是近年来嵌入式加密芯片安全的重要威胁之一，它以较低的代价和很快的速度破解未加防护的加密芯片。相关性功耗分析(CPA)作为侧信道攻击的常用攻击方法，它主要是针对算法运行过程中部分密钥位与不同明文信息计算产生不同的中间值引起的电路内部逻辑运算、寄存器数值改变等能量消耗的不同，并通过相应的能量消耗模型计算不同猜测密钥与已知明文产生计算的能量消耗，利用相关性分析方法计算得到密钥，其基本流程如下所示：

1)选择被攻击设备加密算法运行时的中间值，该中间值需为已知非常量值(明文或密文信息)和部分密钥位在算法中的中间计算结果；

2)测量加密设备在算法运行时的功耗、电磁等侧信道信息；

3)猜测步骤1)中选择的部分密钥位，并计算中间值；

4)利用能量消耗模型计算步骤3)中中间值变化产生的能量消耗变化；

5)将假设密钥计算的消耗的能量泄露值与实际测量的能量消耗值进行统计分析，相关性最高的一组即为正确密钥。

6)对于步骤5)中的统计分析一般采用pearson相关性系数进行相关性分析，pearson相关性系数数学表达式如下式所示，通过对步骤1)中部分密钥猜测的遍历计算，当猜测密钥正确时，步骤1)选取的中间值在能量迹中对应的时刻的相关性会明显区别于错误密钥达到一个峰值。

相关功耗分析(CPA)能够成功的本质原因在于芯片在运算过程中处理的中间值与芯片产生的功耗有关联。所以，降低或者消除中间值与芯片运行时产生的功耗的相关性可以有效提高加密芯片的安全性。因此对抗相关功耗分析(CPA)的重点在于降低甚至消除这种相关性。在实际防护方案设计中大体有两种思路，一种是使设备在各时钟周期的能量消耗相等从而消除相关性，例如基于DRP逻辑结构实现的基于灵敏放大器逻辑(SABL)和差分波动逻辑(WDDL)；另一种则是使设备在各时钟周期的能量消耗随机分布从而随机化算法中间值与设备运行侧信道信息之间的相关性，典型的有掩码技术、随机时钟频率、乱序操作等。

加密芯片在执行加解密运算过程中由于集成电路中寄存器或组合逻辑的门翻转会无意中泄露产生的功耗、电磁、声音等一系列侧信道信息，通过对这些侧信道信息的分析可以提取出隐藏于该设备内的密钥信息。由于传统密码芯片在设计时只假设攻击者能得到输入或输出数据，而得不到其他与密钥相关的中间值信息。没有考虑到功耗等与密钥相关的侧信道信息也可以被攻击者利用而导致密钥信息泄漏。因此，密码算法在数学上的安全性无法保障其在物理实现上的安全性。为了防御相关功耗分析，专家学者提出了采用乘法掩码技术来抵御相关功耗分析。基于乘法掩码的密码算法虽然能有效对抗相关功耗分析，但带有乘法掩码防护的算法容易受到零值攻击(Zero-Value Attack)。由于乘法掩码固有的缺陷，加法掩码应运产生。在加法掩码方法中，算法的关键还是有限域GF(2⁸)上的乘法求逆运算的掩码。随机掩码因子与求逆运算的未掩码输入在有限域上相加，经过有限域上的乘法求逆与相关运算，最后得到未掩码输入的逆与掩码因子相加的和。这样，既对中间数据实现了随机掩藏，又可以很快地恢复期望值。但是没有任何防护的SM4加密算法电路的安全性往往是极其脆弱的，容易以较低的代价和很快的速度破解未加防护的加密芯片。

发明内容