針對DES密碼芯片的CPA攻擊仿真設計方案

　摘 要： 為研究密碼芯片抗功耗分析性能，構造了一個功耗分析研究平臺，結合DES算法在平臺上進行了相關性功耗分析（CPA）攻擊仿真實驗。根據猜測部分密鑰時的模擬功耗與猜測整個密鑰時模擬功耗之間的相關系數大小來確定猜測密鑰的正確性，由此可以確定整個密鑰。這種功耗分析仿真方法，能夠揭示未經防御的DES算法面臨CPA攻擊時的脆弱性。

　　隨著Interne的迅猛發(fā)展，智能卡、掌上電腦和移動電話的不斷普及應用，不犯罪分子就利用網絡對別人進行信息的偷盜，人們需要對一些信息隱私進行保護，因此信息安全問題日益突出。近年來，出現了一種新的攻擊方法，通常被稱為旁道攻擊。它是根據密碼芯片在加解密時所泄漏的一些微弱的旁道信息，如功耗、時間、電磁輻射及差錯信息等進行攻擊。攻擊者利用旁道泄漏信息，結合統計學等學科的知識，能夠在短時間內成功破解一些密碼算法的密鑰。以下本文的分析結果。

　　在旁道攻擊方法中，功耗分析方法應用得最為廣泛和成熟，因為功耗信息最容易測量和分析。研究針對密碼芯片的功耗分析方法是為了檢驗芯片是否具有抗功耗分析能力或是檢驗密碼芯片抗功耗分析攻擊能力的大小。相關性功耗分析是功耗分析中一種，相關性功耗分析每次考慮的相關位比傳統的差分功耗分析多，所以更具有威脅性。

　　1 DES密碼算法的硬件結構及功耗泄漏模型

　　數據加密算法（Data Encryption Algorithm，DEA）是一種對稱加密算法，很可能是使用最廣泛的密鑰系統，特別是在保護金融數據的安全中，最初開發(fā)的DEA是嵌入硬件中的。DES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位，產生最大 64 位的分組大小。這是一個迭代的分組密碼，使用稱為 Feistel 的技術，其中將加密的文本塊分成兩半。使用子密鑰對其中一半應用循環(huán)功能，然后將輸出與另一半進行“異或”運算；接著交換這兩半，這一過程會繼續(xù)下去，但最后一個循環(huán)不交換。DES 使用 16 個循環(huán)，使用異或，置換，代換，移位操作四種基本運算。

　　1.1 DES密碼算法的硬件結構

　　DES密碼算法是分組加密算法，能夠對固定長度的一組明文進行加解密，如果采用ASIC方式實現，固定長度意味著運算時的中間結果所需要的存儲寬度是相同的。DES密碼算法的輪結構也是相同的，每輪運算可以共用一個硬件結構體，所不同的是每輪運算時所用的子密鑰是不同的。DES算法的結構特點適合ASIC方式實現，其通用的硬件結構如圖1所示。

　　在ASIC方式實現的硬件電路中，攻擊者經常針對寄存器進行攻擊。之所以選擇寄存器攻擊主要原因有：

　　（1）寄存器在ASIC中通常被用來做存儲器，包括暫存一些與密鑰相關的關鍵數據。

　　（2）與反相器、“與非門”等非時序邏輯相比較，寄存器的功耗大一些。

　　（3）寄存器是時鐘沿觸發(fā)電路，易于在時序上定位。