一种基于光汉明重量的密钥分析方法

摘要

本发明公开了一种基于光汉明重量的密钥分析方法，包括如下步骤：A-1、建立汉明重量分析模型；A-2、为光子数测量选取光泄漏点：选定密码芯片上字节变换的输入和输出作为两个光泄漏采集点；B-1、对密钥k第一个字节k₀进行分析；B-2、对密钥k其他字节进行分析：通过对密钥k的其它字节重复进行步骤B-1的操作，直至得出全部密钥。本发明的光辐射密钥分析攻击方法对AES密码芯片的解析具有很高的实际可操作性，本发明对于我国军事和民用行业均具有十分重要的现实意义。

主权项

一种基于光汉明重量的密钥分析方法，适用于采用4×4字节的矩阵秘钥k对4×4字节的明文矩阵d_i进行字节替换、行移位、列混淆、轮密钥加等操作的AES加密算法，其特征在于：该方法包括如下步骤：A、基础分析A‑1、汉明重量分析：以明文分组d_i的第一个字节d_i,0为例建立如下分析模型：$HW(d_{i,0}\oplus k_0)=HW\left(X_{i,0}\right);HW\left(S\right(d_{i,0}\oplus k_0))=HW\left(S_{i,0}\right);$其中HW( )表示汉明重量，S( )表示AES算法过程中的S盒变换操作；d_i,0表示明文分组d_i的第一个字节，k₀表示原始密钥k的第一个字节，HW(X_i,0)表示d_i,0与k₀异或后值的汉明重量；HW(S_i,0)表示d_i,0与k₀异或后再经S盒变换后值的汉明重量；对已知若干条明文分组d_i进行加密运算，分别得到该加密流程下明文字节与原始密钥字节异或操作后和S盒变换操作后输出值的汉明重量；A‑2、光泄漏点选取：与步骤A‑1的分析模型相对应，选定AES密码芯片上字节变换的输入和输出作为两个光泄漏采集点；B、密钥分析B‑1、对密钥k第一个字节k₀进行分析：依据步骤A‑1的模型对m组明文进行加密并分析相应的汉明重量，同时采集步骤A‑2选定的两个光泄漏点的光子数得到m条光辐射迹，采集时对每组明文采集n遍求平均值；通过对照光子数与汉明重量的关系确定出HW(X_i,0)和HW(S_i,0)的值；由于明文d_i已知，即可对原始密钥k第一个字节k₀的可能值集合进行分析；对于8位的k₀而言，所有可能的取值有256种，其中k₀＝0,1,2……255，分别和明文分组d_i的第一个字节d_i,0进行异或运算，筛选出异或运算结果的汉明重量等于HW(X_i,0)的密钥，得到一个密钥可能值集合k'₀；再对k₀可能值即集合k'₀中的各元素和d_i,0异或的结果进行S盒变换操作，进一步得到S盒变换后值的汉明重量与HW(S_i,0)相等的密钥可能值，即得到进一步缩小范围的密钥可能值集合k″₀；通过上述两步的筛选，k₀可能的密钥值数量大大减少；如果k₀密钥可能值集合k″₀的元素个数大于1，则继续使用其它不同的明文，重复进行上述两步操作，对得到的密钥可能值集合k″₀与上条明文确定的密钥可能值集合k″₀进行求交集运算，产生新的密钥可能值集合，直到密钥可能值集合的元素个数为1，得出密钥k₀；B‑2、对密钥k其他字节进行分析：通过对密钥k的其它字节重复进行步骤B‑1的操作，直至得出全部密钥。