[发明专利]一种针对SM3‑HMAC的侧信道能量分析方法和装置

说明书

技术领域

本发明涉及密码分析领域，尤指一种针对SM3-HMAC(采用SM3密码算法的哈希消息认证码)的侧信道能量分析方法和装置。

背景技术

随着信息科技的发展，信息的安全性被提升到了一个前所未有的高度。各种密码算法正被广泛地应用于经济、军事、行政等重要部门，以保护信息的安全性。对称密码和公钥密码的出现使得信息能从算法级和软件级得到保护。但是进入21世纪后，随着分析形式的多样化，分析性越来越强的方法也随之产生。

侧信道分析避开分析复杂的密码算法本身，利用的是密码算法在软件、硬件实现过程中泄漏的各种信息进行密码分析。侧信道分析的基本原理是：密码算法在密码芯片上实现时，由于设备的物理特性，总会产生执行时间、功耗、电磁辐射、故障输出等侧信道泄漏；同时由于密码芯片计算资源和处理能力的限制，密码算法的主密钥大都被分割成若干个子密钥块并按照一定的顺序参与运算，不同时间使用这些子密钥块的侧信道泄漏可被分析者采集到；这些侧信道泄漏同明文、密文和子密钥具有一定的相关性，分析者可以利用一定的分析方法恢复出子密钥块值；在得到足够的子密钥块值后，结合密钥扩展设计即可恢复主密钥值。根据侧信道泄漏采集过程中对密码芯片接口的破坏程度，可以分为侵入式攻击、半侵入式攻击和非侵入式攻击。非侵入式攻击由于实施方便，实验设备简单，攻击成本较低被广泛使用。非侵入式攻击中，攻击者不需要对密码芯片接口进行破坏，只需要利用专用设备正常访问密码芯片接口，典型分析方法包括计时分析、功耗分析、电磁分析等。侧信道能量分析利用了密码模块功耗与运算数据和执行的操作之间的相关性，基于密码算法实现的能量泄露函数，建立能量模型，使用统计方法，猜测和验证密码模块使用的受保护密钥或敏感信息。侧信道能量分析具体有多种不同的方法，目前常用的方法包括简单功耗分析(SPA)，差分功耗分析(DPA)，相关性功耗分析(CPA)，模板分析等。

相关性功耗分析(CPA)对部分密钥位(一个二进制密钥位或是多个二进制密钥位)参与的运算过程，考虑侧信道泄漏的功耗与部分中间计算结果汉明重量(或者汉明距离，根据实际芯片而定)的线性相关性，如果在某个位置相关性最强，那么可以判断该位置猜测密钥位正确值。

选择明文分析是在分析者可以控制加密设备输入的情况的，通过分析密码算法的结构，选定一组或者几组特定的明文，使密码设备正常运算，得到最后的加密结果。再将选择明文的思想与功耗分析的方法结合，采集密码设备执行某些特定明文时的功耗信息，获得部分数据与功耗信息之间的相关性，再使用CPA或DPA的思想进行分析，获得密钥等受保护的信息。

SM3密码算法是国家密码局公开算法中唯一的杂凑算法(也称为Hash哈希函数)。对长度为l(l＜2⁶⁴)比特的消息m，SM3杂凑算法经过填充、迭代压缩和输出的选裁，生成杂凑值，杂凑值输出长度为256比特。

SM3的运算分为以下三大步骤：

一、消息填充

假设消息m的长度为l比特，则首先将比特“1”添加到消息的末尾，再添加k个“0”，k是满足l+1+k≡448(mod 512)的最小的非负整数。然后再添加一个64位比特串。该比特串是长度l的二进制表示。填充后消息记作m′。

二、迭代压缩

三、杂凑值

ABCDEFGH←V⁽ⁿ⁾，输出256比特的杂凑值y＝ABCDEFGH。

算法中涉及到的常数与函数见下：

IV＝7380166f 4914b2b9172442d7 da8a0600a96f30bc163138aa e38dee4db0fb0e4e

式中X,Y,Z均为字。

如图1所示，HMAC(Keyed-Hash Message Authentication Code，哈希消息认证码)算法描述如下：

对于给定的消息m，使用密钥K，计算HMAC值的操作如下：