一種抗差分功耗分析的數字加密標準改進方法及裝置的製作方法
2023-11-01 11:51:37 2
專利名稱:一種抗差分功耗分析的數字加密標準改進方法及裝置的製作方法
技術領域:
本發明涉及對稱加解密算法技術領域,尤其涉及一種抗差分功耗分析的數字加密標準(Data Encryption Standard,簡稱DES)改進方法及裝置。
背景技術:
隨著智慧卡技術的不斷發展,智慧卡晶片的安全性也面臨越來越大的挑戰。在眾多加密算法中,DES算法是一種應用較廣的對稱加/解密算法。
密碼系統在實際使用中,其硬體在運行中不可避免要洩露一些信息,如功耗,運行時間,電磁波等,利用上述信息對密碼系統進行攻擊已成為信息安全晶片產品的巨大威脅。 在眾多旁路攻擊手段中,簡單功耗分析(SPA)和差分功耗分析(DPA)已被廣泛使用,SPA是根據功耗曲線的特徵及攻擊者的經驗直觀地分析出加密硬體中執行的指令或操作,常被用來破解指令執行與某些數據有關的算法。DPA分析則可從功耗曲線微小的差分信號分析出所需的關鍵信息,但需要搜集大量的信息,並採集多組功耗曲線以及每條曲線對應的明文、 密文記錄。DPA具有使用資源非常少,易於進行的特點,對加密硬體設備危害非常大,DPA 要比SPA強得多,而且更加難以預防,因此加密系統面臨著嚴重的威脅。
為了抵禦各種攻擊,技術人員相應地提出了一些解決方法,目前主流的技術有引入隨機數對密碼算法執行過程中的中間運算結果進行隨機化,使密碼模塊的功耗依賴於隨機化後的中間運算結果,而獨立於實際的中間運算結果,從而使DPA失效;添加隨機噪聲掩蓋處理中間數據的功耗;使用操作與功耗不相關的特殊邏輯單元(如雙規邏輯電路、預充電邏輯電路等),消除功耗和中間結果之間的相關性。
原標準DES算法的主流程圖如圖I所示,DES算法將64位的明文輸入塊變為64位的密文輸出塊,其功能是把輸入的64位數據塊按位重新組合,並把輸出分為LO、RO兩部分, 每部分各長32位,進行初始置換,然後經過16次迭代運算後得到L16、R16,將此作為輸入, 進行逆置換,即得到密文輸出。其中每一輪DES算法的f函數包括擴展置換、與密鑰的異或、S盒代換和P盒置換操作,如圖2所示。64位的輸入密鑰中第8,16, ......,64位包含了 8個奇偶效驗位,壓縮變換除去了奇偶效驗位,並對剩下的56位進行位置換,有效的56位密鑰經過壓縮變換後分成兩部分。從第一個周期開始,每個時鐘循環左移一位或兩位,鎖存後作為下一輪輸入,同時兩部分也在合併後通過壓縮變換產生48位的子密鑰Kl,K2, K3,…… K16,作為f函數輸入。
原始的DES實現方案沒有任何防禦技術,使得攻擊者能夠很容易地對齊和處理收集的功耗曲線。
在眾多抵禦方案中,其中研究最為廣泛的是在算法中通過引入隨機數來消除真實密鑰和功耗相關性。2001年,Akkar和Giraud在施普林格(Springer-Verlag)科技期幹丨J的文獻《An Implementation of DES and AES Secure against some Attacks》中第一次將掩碼技術用於DES算法的防護,算法通過引入掩碼隨機數X,改變S盒的結構來達到掩蓋真實數據的目的。2005年,Jiqiang Lv在ACISP 2005:195-206的文獻《EnhancedDES Implementation Secure against High-Order Differential Power Analys is inSmartcaixls》中引入三個32位隨機數V1、V2和V3,並在原有S盒函數的基礎上定義了六種不同的新S盒函數SM-Box對算法的中間結果進行掩蓋。現有技術中,添加隨機噪聲掩蓋處理中間數據的功耗的方法在實際應用中只能防禦簡單功耗分析,如果對同一明文的能量消耗進行測量然後求平均就能夠來降低噪聲,隨著數位訊號處理技術的發展,常規的噪聲可以通過模式識別、自適應濾波、小波分析等技術手段濾除,增加噪聲只會增加功耗分析需要的樣本數而已;而採用數據與功耗不相關的特殊邏輯單元實現的方式也不切合實際,要想設計出功耗完全平衡的邏輯單元非常複雜,而且即使能夠設計出完美的功耗平衡的邏輯電路,其面積也是晶片無法承受的;最可行的方法是在算法過程中引入隨機掩碼,消除中間數據和功耗信息的相關性,但目前的方案中幾乎沒有可以將算法進行完全的掩蓋。
發明內容
本發明要解決的技術問題是提供一種數字加密標準改進方法及裝置,解決現有技 術中無法有效消除真實密鑰和功耗相關性的問題。為了解決上述技術問題,本發明提供了一種抗差分功耗分析的數字加密標準改進方法,包括對64位明文進行數字加密標準的16輪運算的S盒函數處理步驟中使以下由SM-Box表示的新S盒函數;在第1、6、11、12 輪中SM-Box (A) =S-Box (A) P^1(Vl)在第2、5、10、13 輪中SM-Box (A) =S-Box (A E(Vl)) P-1 (V2)在第3、4 輪中=SM-Box(A) =S-Box (A E (V2)) P-1 (VI V2)在第7、16 輪中SM-Box (A) =S-Box (A) P-1 (V3)在第8、15 輪中=SM-Box(A) =S-Box (A E (V3)) P-1 (V2)在第9、14 輪中=SM-Box(A) =S-Box (A E (V2)) P-1 (VI V3)其中,S-Box表示基準數字加密標準算法中使用置換表的S盒函數,A表示新S盒函數的輸入數據,VI、V2、V3為32位隨機數,E表示擴展置換函數,F1表示置換函數P的逆置換函數。進一步地,上述方法還可以具有以下特點所述方法還包括將所述明文與64位隨機數X異或後進行初始置換;在所述16輪運算的每次運算中將前一輪得到的R值與XV31 Xl32_63的異或結果作為當前輪計算出的L值;在第16輪運算結束後將R的值作為前32位將L的值作為後32位構成64位數據後進行逆初始置換,與所述隨機數X異或後得到密文。為了解決上述技術問題,本發明提供了一種抗差分功耗分析的數字加密標準改進裝置,所述裝置包括設置模塊和執行模塊;所述參數設置模塊,用於設置三個32位隨機數即VI、V2、V3 ;設置16輪運算中S盒函數處理步驟中由SM-Box表示的新S盒函數在第1、6、11、12 輪中SM-Box (A) =S-Box (A) P^1(Vl)在第2、5、10、13 輪中SM-Box (A) =S-Box (A E(Vl)) P-1 (V2)
在第3、4 輪中:SM-Box ⑷=S-Box (A E (V2)) P-1 (VI V2)
在第7、16 輪中:SM-Box (A) =S-Box (A) P-1 (V3)
在第8、15 輪中:SM-Box ⑷=S-Box (A E (V3)) P-1 (V2)
在第9、14 輪中:SM-Box ⑷=S-Box (A E (V2)) P-1 (VI V3)
其中,S-Box表示基準數字加密標準算法中使用置換表的S盒函數,A表示新S盒函數的輸入數據,E表示擴展置換函數,F1表示置換函數P的逆置換函數;
所述執行模塊,用於對輸入的64位明文進行數字加密標準,在16輪運算的S盒函數處理步驟中使用所述新S盒函數。
進一步地,上述裝置還可以具有以下特點
所述參數設置模塊,用於設置64位隨機數X ;
所述執行模塊,還用於將所述明文與所述64位隨機數X異或後進行初始置換;在所述16輪運算的每次運算中將前一輪得到的R值與XIch31 乂132_63的異或結果作為當前輪計算出的L值;在第16輪運算結束後將R的值作為前32位將L的值作為後32位構成64 位數據後進行逆初始置換,與所述隨機數X異或後得到密文。
本發明結合不同的隨機數改造的S盒函數,破壞了真實密鑰信息和功耗曲線之間的相關性,給功耗分析獲取信息帶來很大難度達到抵禦功耗分析的目的。本發明同時結合掩蓋技術,在加密運算之前對明文進行預掩蓋,並在每輪運算中進行隨機數掩蓋,有效的防止了信息洩露而被攻擊,提高了其抗差分功耗分析攻擊的能力。
圖I是原始DES算法流程圖2是原結DES算法中每一輪運算的步驟示意圖3是本發明中的DES改進算法的示意圖4是實施例中預掩蓋和掩蓋後的第一輪DES運算的示意圖
圖5是實施例中第二輪DES運算的示意圖6是實施例中第三輪DES運算的示意圖7是實施例中第16輪DES運算及密文恢復的示意圖。
具體實施方式
為使本發明的目的、技術方案和優點更加清楚明白,下文中將結合附圖對本發明的實施例進行詳細說明。需要說明的是,在不衝突的情況下,本申請中的實施例及實施例中的特徵可以相互任意組合。
原始DES實現方案中沒有有效的防禦技術,使得攻擊者能夠很容易地對齊和處理收集的功耗曲線。本發明未採用添加隨機化噪聲和功耗平衡器件的方法,因為第一種方法在實際的攻擊中有很多的辦法可以去除這些噪聲,即使能夠設計出隨機性能很好的噪聲源,如果攻擊者採用電磁分析的攻擊方法依然能旁路掉噪聲的影響;第二種方法實現起來十分的困難,即使能夠設計出完美的諸如雙軌邏輯的功耗平衡單元庫,但是其面積至少是現有單元的2倍以上,所以在面積上也不予以考慮。
經過上述分析,本發明提出了一種新的DES改進方法,如圖3所示,此方法包括對64位明文進行數字加密標準的16輪運算的S盒函數處理步驟中使以下由SM-Box表示的新S盒函數;在第1、6、11、12 輪中SM-Box (A) =S-Box (A) P^1(Vl)在第2、5、10、13 輪中SM-Box (A) =S-Box (A E(Vl)) P-1 (V2)在第3、4 輪中=SM-Box(A) =S-Box (A E (V2)) P-1 (VI V2)在第7、16 輪中:SM-Box (A) =S-Box (A) P-1 (V3)在第8、15 輪中:SM-Box ⑷=S-Box (A E (V3)) P-1 (V2)在第9、14 輪中:SM-Box ⑷=S-Box (A E (V2)) P-1 (VI V3)其中,S-Box表示基準數字加密標準算法中使用置換表的S盒函數,A表示新S盒 函數的輸入數據,VI、V2、V3為32位隨機數,E表示擴展置換函數,F1表示置換函數P的逆置換函數。本發明中引入了新的S盒函數對數據進行掩蓋,並引入了三個32位隨機數V1、V2和V3使每一輪加密運算中用於掩蓋數據的隨機數不同,可以提高抵禦功耗分析的能力。使用本方法的裝置中設置模塊和執行模塊,參數設置模塊用於設置三個32位隨機數即VI、V2、V3,並設置16輪運算中S盒函數處理步驟中由SM-Box表示的新S盒函數;執行模塊用於對輸入的64位明文進行數字加密標準,在16輪運算的S盒函數處理步驟中使用所述新S盒函數。為了更好改善抵禦時間攻擊和功耗分析攻擊的問題,本方法中還可引入一 64位隨機數X,在運算開始之初將明文與64位隨機數X異或後進行初始置換;在16輪運算的每次運算中將前一輪得到的R值與XV31 Xl32_63的異或結果作為當前輪計算出的L值;在第16輪運算結束後將R的值作為前32位將L的值作為後32位構成64位數據後進行逆初始置換,與隨機數X異或後得到密文。使用此方法的裝置中設置模塊還需設置此64位隨機數X,執行模塊執行上述方法。下面對此方案進行詳細說明。圖4是預掩蓋和掩蓋後的第一輪DES運算的示意圖。預掩蓋的過程包括算法開始之初將64位隨機數X與明文M進行異或。預掩蓋完成後,執行初始置換(IP),然後執行第一輪DES運算。其中Xl代表X經過初始置換的值IP(X) ,XIch31和Xl32_63分別代表Xl的低32位和高32位,X2為Xl32_63經過擴展E變換的值E(X132_63)。第一輪DES運算中,R°即IP(M)32-63 X132-B3經過擴展置換(EP簡稱E)後結果為EP( IP(M)32_63) X2,此結果與密鑰Kl異或後進入新的S盒,經過新的S盒變換後,經過P變換,得到OutSPl P—1 (VI Xich31 Xl32-B3),本結果只作示意之用OutSPl用於表示未經過隨機數X預掩蓋和新的S盒置換處理的情況下從P盒輸出的結果。此結果與第一輪DES運算中1^°即IP (M)ch31 θ XIch31異或得到第一輪DES運算的R1,其中ResTmpl只作示意之用表示未經過隨機數X預掩蓋和新的S盒置換處理的情況下未被隨機數掩蓋的原始數據。為了最終能夠還原得到真實的密文,在每一輪運算結束前,將R°與XltH31 Xl32-B3進行異或得到L1。圖5和圖6分別是第二、三輪DES運算的示意圖。圖7是第16輪DES運算及密文恢復的示意圖。經過16輪運算後,在加解密運算結束前,交換高低32位數據的位置即將R15的值作為前32位將L15的值作為後32位構成64位數據後進行逆初始置換,與隨機數X異或後得到密文。本方法中,在每一輪運算都根據上面新的S盒函數做相應的修改,並對數據進行掩蓋,使加密運算從始至終都在隨機數的掩蓋下進行,從而增加功耗分析的難度。
本發明採用預隨機化手段在加密運算開始時,就對數據進行隨機化,並修改S盒函數對中間結果進行掩蓋,結合每一輪採用不同的隨機數,從始至終將數據用不同的隨機數掩碼,使功耗信息獨立於中間運算結果,給SPA和DPA攻擊獲取信息帶來很大難度。
如上所述,在整個DES的算法流程當中,所有的中間變量都被隨機數掩碼覆蓋,破壞了真實密鑰信息和功耗曲線之間的相關性,並且在加密運算之前就對明文進行了預掩蓋,直到運算結束後恢復,有效的防止了信息洩露而被攻擊,提高了其抗DPA攻擊的能力。
當然,本發明還可有其他多種實施例,在不背離本發明精神及其實質的情況下,熟悉本領域的技術人員可根據本發明作出各種相應的改變和變形,但這些相應的改變和變形都應屬於本發明所附的權利要求的保護範圍。
本領域普通技術人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關硬體完成,所述程序可以存儲於計算機可讀存儲介質中,如只讀存儲器、磁碟或光碟等。可選地,上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現。相應地,上述實施例中的各模塊/單元可以採用硬體的形式實現,也可以採用軟體功能模塊的形式實現。本發明不限制於任何特定形式的硬體和軟體的結合。
權利要求
1.一種抗差分功耗分析的數字加密標準改進方法,其特徵在於, 對64位明文進行數字加密標準的16輪運算的S盒函數處理步驟中使以下由SM-Box表示的新S盒函數;在第 1、6、11、12 輪中=SM-Box(A) =S-Box(A) P-1 (Vl)在第 2、5、10、13 輪中:SM-Box ⑷=S-Box (A E(Vl)) P-1 (V2)在第 3、4 輪中=SM-Box(A) =S-Box (A E (V2)) P-1 (VI V2)在第 7、16 輪中SM-Box (A) =S-Box (A) P-1 (V3)在第 8、15 輪中=SM-Box(A) =S-Box (A E (V3)) P-1 (V2)在第 9、14 輪中:SM-Box ⑷=S-Box (A E (V2)) P-1 (VI V3) 其中,S-Box表示基準數字加密標準算法中使用置換表的S盒函數,A表示新S盒函數的輸入數據,VI、V2、V3為32位隨機數,E表示擴展置換函數,F1表示置換函數P的逆置換函數。
2.如權利要求I所述的方法,其特徵在於, 所述方法還包括將所述明文與64位隨機數X異或後進行初始置換;在所述16輪運算的每次運算中將前一輪得到的R值與XIch31 Xl32_63的異或結果作為當前輪計算出的L值;在第16輪運算結束後將R的值作為前32位將L的值作為後32位構成64位數據後進行逆初始置換,與所述隨機數X異或後得到密文。
3.一種抗差分功耗分析的數字加密標準改進裝置,其特徵在於, 所述裝置包括設置模塊和執行模塊; 所述參數設置模塊,用於設置三個32位隨機數即VI、V2、V3 ;設置16輪運算中S盒函數處理步驟中由SM-Box表示的新S盒函數在第 1、6、11、12 輪中=SM-Box(A) =S-Box(A) P-1 (Vl)在第 2、5、10、13 輪中:SM-Box ⑷=S-Box (A E(Vl)) P-1 (V2)在第 3、4 輪中=SM-Box(A) =S-Box (A E (V2)) P-1 (VI V2)在第 7、16 輪中SM-Box (A) =S-Box (A) P-1 (V3)在第 8、15 輪中=SM-Box(A) =S-Box (A E (V3)) P-1 (V2)在第 9、14 輪中:SM-Box ⑷=S-Box (A E (V2)) P-1 (VI V3) 其中,S-Box表示基準數字加密標準算法中使用置換表的S盒函數,A表示新S盒函數的輸入數據,E表示擴展置換函數,F1表示置換函數P的逆置換函數; 所述執行模塊,用於對輸入的64位明文進行數字加密標準,在16輪運算的S盒函數處理步驟中使用所述新S盒函數。
4.如權利要求3所述的裝置,其特徵在於, 所述參數設置模塊,用於設置64位隨機數X ; 所述執行模塊,還用於將所述明文與所述64位隨機數X異或後進行初始置換;在所述·16輪運算的每次運算中將前一輪得到的R值與XIch31 Xl32_63的異或結果作為當前輪計算出的L值;在第16輪運算結束後將R的值作為前32位將L的值作為後32位構成64位數據後進行逆初始置換,與所述隨機數X異或後得到密文。
全文摘要
本發明公開了一種抗差分功耗分析的數字加密標準改進方法及裝置,對64位明文進行數字加密標準的16輪運算的S盒函數處理步驟中使以下由SM-Box表示的新S盒函數。本發明結合不同的隨機數改造的S盒函數,破壞了真實密鑰信息和功耗曲線之間的相關性,給功耗分析獲取信息帶來很大難度達到抵禦功耗分析的目的。本發明同時結合掩蓋技術,在加密運算之前對明文進行預掩蓋,並在每輪運算中進行隨機數掩蓋,有效的防止了信息洩露而被攻擊,提高了其抗差分功耗分析攻擊的能力。
文檔編號H04L9/06GK102983964SQ20121058606
公開日2013年3月20日 申請日期2012年12月28日 優先權日2012年12月28日
發明者田圓, 顧申, 高洪福 申請人:大唐微電子技術有限公司