高阶掩码防护的设计实现安全性研究

作     者：李延斌 唐明 李煜光 胡晓波 彭敏 张焕国 LI Yan-Bin;TANG Ming;LI Yu-Guang;HU Xiao-Bo;PENG Min;ZHANG Huan-Guo

作者机构：武汉大学计算机学院武汉430072 电力芯片设计分析国家电网公司重点实验室北京102200 国网新疆电力公司检修公司乌鲁木齐830063 

基　　金：国家自然科学基金(61472292 61332019) 国家"九七三"重点基础研究发展规划项目基金(2014CB340601) 面向智能电网新一代高速高等级安全芯片关键技术研究(526816160015)资助~~ 

出 版 物：《计算机学报》 (Chinese Journal of Computers)

年 卷 期：2018年第41卷第2期

页      码：323-335页

摘      要：掩码对抗方案自提出以来,从一阶对抗逐渐发展至高阶对抗阶段,安全性及通用性也不断提高.最早的一阶掩码方案主要针对DES算法提出,而后出现的一阶掩码方案则大多以AES为防护目标,并针对于不同的软硬件平台,同时不断减少时间和空间耗费.在追求更高安全性的同时,高阶掩码方案也不断朝着通用化的方向发展,主要工作在于设计通用化的S盒掩码方案,保证可应用于任何S盒设计且可抵抗任意阶侧信道攻击.高阶掩码方案已被普遍接受为一种算法级可证明安全的侧信道防护方法,出现以ISW安全性框架为代表的理论安全性证明,以及在此框架下的任意阶掩码方案.然而面向侧信道分析,密码算法设计实现的安全性无法仅仅基于算法安全,针对这种掩码方案理论安全与实际安全间的差距,Roche与Prouff于2011年提出面向硬件设计的安全性掩码方案,但该方案无法运用于已有高阶掩码设计,只是对Rivain和Prouff在CHES2010上提出的RivP方案进行硬件级安全性实现.同时,以实现d阶安全的有限域乘法为例,实现需要加法和乘法的执行次数由O(d^2)增加到O(d^3),由于增加过多的设计资源而对执行效率有较大的影响,降低了方案的实用性.在高效安全的硬件设计平台上,首先,作者分析由于时延不同导致的glitch有可能泄露敏感信息.相比于组合逻辑设计,时序设计下的电路不会产生降阶泄露.除了已有的glitch泄露外,文中还发现存在与硬件设计结构相关的泄露.作者从密码芯片设计者的角度出发,对掩码方案中关键部件的不同硬件设计结构进行分析.作者利用互信息的方法分析并行设计所产生的安全性问题,从理论上证明并行设计存在的安全隐患.在找出掩码设计隐患的基础上给出安全、轻量的安全设计建议,并最终通过实验对比不同设计结构下高阶掩码方案硬件设计的安全性,证明实验结果与理论研究结论一致.

主 题 词：侧信道 高阶掩码方案 glitch 硬件设计结构 安全性设计隐患 

学科分类：0810[工学-土木类] 0808[工学-自动化类] 0839[0839] 08[工学] 0835[0835] 0811[工学-水利类] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.11897/SP.J.1016.2018.00323

馆 藏 号：203284534...