旁路原理与方法第一.二章解读.docx

绪论1.密码学基础通信环境下的密码系统通过上图可以清楚地了解通信环境下的密码系统主要由明文、密文、密钥（包括加密密钥和解密密钥）、加密算法、解密算法五部分构成。发送者将明文、加密密钥作为加密算法的输入得到密文并发送给接收者，接收者解密密文后得到明文。密码学发展历程科学密码学的前夜发展时期：该时期的密码技术还不是一种科学，密码学专家常凭直觉和信念进行密码设计和分析，而不是推理和证明。对称密码的早期发展时期： Shannon于1949年发表的《必威体育官网网址系统的通信理论》使密码编码至于坚实的数学基础上，为对称密码学建立了理论基础，标志着密码学学科的形成。然而对称密码算法双方必须约定使用相同密钥，密钥分配只能通过专用安全途径，密钥管理开销很大，对称密码在密钥分配上存在很大困难。现代密码学的发展时期：1976年Diffie和Hellman发表《密码编码学新方向》，提出公钥密码的概念。1977年美国制定了数据加密标准DES（对称密码算法）。应用密码学的发展时期：1. 美国AES征集计划2.欧洲NESSIE征集计划3. 欧洲eSTREAM征集计划4. 美国SHA-3征集计划传统密码分析分析假设：密码算法的安全性一般遵循Kirchhoffs准则。根据Kirchhoffs假设，密码系统的安全性应依赖于密钥的必威体育官网网址性，而不是密码算法的必威体育官网网址性。评估准则：密码算法安全性分析评估一般需要从分析复杂度（数据复杂度、时间复杂度、空间复杂度）、分析结果来衡量。分析方法：传统密码分析方法主要包括强力攻击和数学分析两种。其中强力攻击包括密钥穷举攻击、查表攻击和时间-空间权衡攻击。数学分析包括差分密码分析、线性密码分析、相关密码分析和代数分析。密码旁路分析概述密码算法设计的安全性并不等同于密码芯片实现的安全性。密码算法的实现总是需要依附一个物理设备平台，即密码芯片。由芯片的物理特性产生的额外信息泄露称为旁路泄漏。这些泄露的信息同密码中间运算、中间状态数据存在一定相关性，可为密码分析提供更多信息，利用这些旁路信息进行密钥分析称为旁路分析。从图1-2可看出，旁路分析中攻击者除了可在公开信道上截获信息，还可观测加密端的旁路泄漏，然后结合密码算法的设计细节进行密钥分析。发展历程萌芽期：A．瞬态电磁脉冲辐射大核监测技术研究：贝尔电话公司工程师在进行加密电传终端贝尔电话131-B2调试时，发现电传终端每加密一个字母，调试台对面的示波器就会出现峰值波动，利用该峰值泄漏可将加密电传终端处理的信息转换成明文。进一步研究表明：在所有电子设备上进行信息处理时，都会产生电磁辐射，并可用于信息的还原。B. 声音分析技术研究：1956年，英国情报部门利用声音分析手段，执行了代号为“咽吞”的计划，通过监听手段来窃取密码机情报。提出期：1996年，学术界陆续有研究人员发现密码芯片存在旁路泄漏问题，并公开在会议和期刊上发表论文，不同类型的密码旁路泄漏被陆续发现并用于密钥分析。发展期：旁路分析技术飞速发展，各种方法蓬勃产生，旁路分析评估、防御和应用得到重视。鼎盛期：旁路信息采集：类型更多、速度更快、精度更高旁路分析方法：效率提高，并与数学分析结合起来旁路分析防御：走向设计方式科学化、实现方法灵活化、部署应用体系化旁路分析应用：广泛应用到新的信息安全领域，分析技术走向通用化、广泛化和交叉化2．基本原理旁路泄漏同明文、密文和子密钥块具有相关性，攻击者可利用一定的分析方法恢复出子密钥块值，最终达到恢复主密钥值的目的。由图1-4可看出密码旁路分析可分为两个阶段：泄漏采集阶段：获得实施密钥分析所需的旁路泄漏泄漏分析阶段：利用采集的旁路泄漏，结合密码算法的输入、输出和设计细节恢复部分密钥片断，然后结合密钥扩展算法设计恢复主密钥。图1-4右上部分是攻击者通过示波器采集的AES执行第一轮16次查找S盒操作的功耗曲线，可看出存在16个明显的峰值，分别对应每次查找S盒操作。3.发展动因分析对象存在固有脆弱性设计安全性不等于实现安全性密码系统运行会产生旁路泄漏旁路泄漏同密码运算相关攻击者的能力超出预期测试计量手段越来越先进密码算法和芯片发展需要具备旁路分析能力4.方法分类（1）旁路泄漏采集模式：主动分析：攻击者使用专用设备主动读取密码芯片运行的中间状态比特，并利用密码芯片故障输出进行密钥分析。被动分析：攻击者仅使用专用设备观测密码芯片运行过程中的旁路泄漏进行密钥分析，并不对密码芯片的运行过程进行主动干扰。（2）旁路泄漏采集手段：非侵入式分析：攻击者不需要对密码芯片接口进行破坏，只需要利用专用设备正常访问密码芯片接口，典型的方法包括:计时分析、功耗分析、电磁分析半侵入式分析：攻击者需要使用化学腐蚀等手段破坏密码芯片封装，典型方法包括：激光故障分析侵入式分析：攻击者需要在半侵入式分析基础上对密码芯片进行深一步的剖片，并使用探针