IC卡芯片DES加密差分功耗分析方法

李 菁，李林森

(1.上海交通大學(xué)信息安全工程學(xué)院，上海 201203；2.上海市信息安全測評認(rèn)證中心，上海 200011)

1 概述

數(shù)據(jù)加密是安全保密領(lǐng)域的重要手段，相應(yīng)的，密碼破解就成為密碼學(xué)研究領(lǐng)域以及惡意用戶嘗試攻擊破解的熱點(diǎn)問題。目前破解密碼主要有 2種途徑：傳統(tǒng)的數(shù)學(xué)分析攻擊和旁路密碼分析攻擊。傳統(tǒng)的建立在數(shù)學(xué)分析基礎(chǔ)上的密碼分析學(xué)主要針對數(shù)學(xué)模型，它一般在數(shù)學(xué)算法的層面上進(jìn)行分析，力求找出加密算法或協(xié)議設(shè)計(jì)上的缺陷，但由于密碼算法或協(xié)議的數(shù)學(xué)基礎(chǔ)比較牢固，因此在對IC卡芯片的加密協(xié)處理模塊進(jìn)行傳統(tǒng)的數(shù)學(xué)分析時(shí)會(huì)非常困難，目前IC卡芯片的加密破解運(yùn)用較多的攻擊方式為旁路攻擊方式。

本文研究差分功耗分析(Differential Power Analysis,DPA)攻擊的原理和方法，并在此基礎(chǔ)上分析IC卡芯片工作時(shí)功率消耗與密碼處理的關(guān)系，通過Risure公司的Inspector旁路攻擊平臺(tái)完成對某款商業(yè)芯片DES加密模塊的DPA攻擊，以破解DES運(yùn)算的加密密鑰。

2 旁路攻擊與功耗分析

旁路攻擊又稱側(cè)信道分析(Side-channel Analysis,SCA)，它無需對密碼算法進(jìn)行繁瑣的數(shù)學(xué)分析，是一種新型密碼分析技術(shù)[1]。它突破了傳統(tǒng)密碼分析的思維模式，利用加密器件在加解密過程中產(chǎn)生的物理泄露(溫度、聲波、電磁輻射、執(zhí)行時(shí)間、功率消耗等)獲取密鑰信息。與傳統(tǒng)的密碼分析方法相比，旁路攻擊具有較小的密鑰搜索空間和較高的分析效率。常見的旁路攻擊方法包括簡單旁路攻擊、差分旁路攻擊、高階差分旁路攻擊和模板攻擊。1996年Cryptography Research公司的Kocher P等人提出功率攻擊的概念。

功耗攻擊又稱為能量分析，是旁路攻擊中的一種，它通過分析密碼設(shè)備操作時(shí)的功率消耗，推導(dǎo)出加密系統(tǒng)所進(jìn)行的操作中涉及到的秘密參量。根據(jù)對功率消耗的不同分析方法，可將其分為簡單功耗分析(Simple Power Analysis,SPA)和DPA。SPA是一種直接解釋功率消耗測定值的技術(shù)，SPA能夠給出關(guān)于一個(gè)設(shè)備的運(yùn)行信息以及密鑰信息。在SPA攻擊中，攻擊者直接觀察一個(gè)系統(tǒng)的功率消耗，利用加密操作實(shí)現(xiàn)細(xì)節(jié)與功耗之間的關(guān)系，直接從一次測量的功耗軌跡獲取密鑰信息。而DPA通過對大量的密文和功耗軌跡的統(tǒng)計(jì)分析獲取密鑰信息，而不須了解加密的具體實(shí)現(xiàn)技術(shù)細(xì)節(jié)[1]，此種方法的攻擊力要比 SPA強(qiáng)得多，而且更加難以預(yù)防，甚至一個(gè)完全不懂得智能卡技術(shù)的編程人員也可以利用專用程序?qū)]有DPA防范的智能卡芯片實(shí)現(xiàn)攻擊。

國際上，自從Kocher P發(fā)現(xiàn)密碼芯片運(yùn)算時(shí)泄漏的執(zhí)行時(shí)間信息能被用于密碼分析后，旁路攻擊技術(shù)引起了業(yè)內(nèi)的廣泛關(guān)注，一系列新的攻擊方法和解決方案層出不窮。從攻擊技術(shù)方面來看，幾乎每一種加密算法(如常見的DES、AES、RSA等)實(shí)現(xiàn)都已經(jīng)有了相應(yīng)的攻擊方法，并且攻擊方法的可操作性也在不斷地改進(jìn)和優(yōu)化，近年來又出現(xiàn)了模板攻擊等新型的攻擊方法。Mangard S等人所著的Power Analysis Attack一書，詳細(xì)地介紹了芯片功耗分析的基本原理、技術(shù)方法和防御對策，特別是對于DES差分能量分析有著詳盡的分析和實(shí)踐舉例，此外，對于隱藏技術(shù)和掩碼技術(shù)的攻擊也有獨(dú)到的見解。國際上著名的 CC檢測實(shí)驗(yàn)室，如 Brightsight等，也基于上述理論針對芯片旁路攻擊研制了相應(yīng)攻擊分析工具或檢測設(shè)備。

3 DPA原理和測試方法

3.1 芯片功耗泄露原理

目前多數(shù)加密器件是由晶體管組成的半導(dǎo)體邏輯門實(shí)現(xiàn)的，當(dāng)對邏輯門進(jìn)行充電或放電時(shí)，電子流過半導(dǎo)體襯底，產(chǎn)生功耗和電磁輻射。芯片電路門接通和斷開時(shí)產(chǎn)生功率消耗，功率消耗軌跡同密鑰信息相互密切關(guān)聯(lián)。當(dāng)集成電路內(nèi)部處理的數(shù)據(jù)發(fā)生變化時(shí)，反映在CMOS電路上即為狀態(tài)的變化，這種狀態(tài)的變化導(dǎo)致CMOS電路的功率消耗，通過儀器可在電源端或接地端測量到，即導(dǎo)致芯片功耗泄漏。

以CMOS電路為例，CMOS電路為壓控型電路，只在動(dòng)態(tài)下才消耗電流，靜態(tài)電流為泄漏電流，理想情況下靜態(tài)電流為0。考慮到CMOS電路中存在PN結(jié)漏電和MOS晶體管的亞閾值漏電，因此，實(shí)際的CMOS電路的靜態(tài)功耗并不為0。電路在開關(guān)操作過程中，對負(fù)載電容的充放電所消耗的動(dòng)態(tài)功耗是主要功耗。隨著負(fù)載電容增大和工作頻率的提高，動(dòng)態(tài)功耗將迅速增大。在柵極電壓的施加或釋放的同時(shí)，電流從晶體管的襯底流過，并將電荷傳輸?shù)狡渌w管、連接線以及電路負(fù)載。電荷的充放電表現(xiàn)為功耗的變化并產(chǎn)生電磁輻射，這兩者均可被外界探測到。

3.2 功耗分析原理

功耗分析是指通過分析密碼運(yùn)算過程中呈現(xiàn)的電流/電源變化，從而引起消耗能量的變化，獲得密鑰信息。功耗分析技術(shù)從最初的簡單功耗分析技術(shù)，發(fā)展為差分功耗分析技術(shù)，這是一種以能量消耗曲線為基礎(chǔ)，再以統(tǒng)計(jì)分析和誤差修正方式推演密鑰的攻擊技術(shù)[2]。該攻擊利用密碼設(shè)備能量消耗的數(shù)據(jù)依賴性，通過使用大量的能量跡來分析密碼設(shè)備的能量消耗，并將能量消耗視作被處理數(shù)據(jù)的函數(shù)，其優(yōu)點(diǎn)就是無須知道關(guān)于密碼設(shè)備的詳細(xì)知識(shí)，測試人員完全可以利用專用設(shè)備對沒有DPA防范的IC卡芯片的加密算法實(shí)現(xiàn)攻擊[3]。

本文使用均差測試方法[4]。在均差測試中用S表示加密操作過程中的中間預(yù)測值。對于一組足夠數(shù)量的功耗采樣軌跡 Trace，通過數(shù)學(xué)模型對捕捉到的功耗曲線分別按照相應(yīng)位為 0或l進(jìn)行分類，得到集合 S0與S1，T0和 T1分別表示猜測位分別為0或1時(shí)的功耗，然后計(jì)算2個(gè)集合對應(yīng)元素的均差，記如果猜測的密鑰正確，那么會(huì)有差值出現(xiàn)；反之，則沒有差值出現(xiàn)。對集合進(jìn)行分類等同于用一個(gè)隨機(jī)函數(shù)對集合進(jìn)行分類，由數(shù)理統(tǒng)計(jì)理論可知，當(dāng)用一個(gè)隨機(jī)函數(shù)將集合一分為二后，當(dāng)這2個(gè)集合中的元素趨于無窮大時(shí)，2個(gè)子集合的平均值之差將趨于0。如果功耗分析曲線的樣本空間足夠大，模型選擇合適，采樣噪聲的影響足夠小，經(jīng)過上述差分統(tǒng)計(jì)方法可以獲得帶有尖峰的差分功耗曲線，尖峰位置即為猜測的密鑰位置。

DPA攻擊的常規(guī)策略如下：(1)選擇被攻擊密碼設(shè)備所執(zhí)行密碼算法的一個(gè)中間值；(2)測量密碼設(shè)備在加密或解密不同數(shù)據(jù)分組時(shí)的能量消耗；(3)對每個(gè)可能的k值，計(jì)算對應(yīng)的假設(shè)中間值；(4)將中間值映射為能量消耗值；(5)比較假設(shè)能量消耗值和能量跡[5]。

DPA攻擊主要利用了密碼運(yùn)算中中間值的信息泄露。典型DPA攻擊的實(shí)現(xiàn)方法如下：首先進(jìn)行N次密碼運(yùn)算，獲取N個(gè)隨機(jī)輸入的明文PTi(1≤i≤ N)； Si[j]為對第i次密碼運(yùn)算產(chǎn)生的功耗進(jìn)行離散采樣形成的功耗數(shù)組[6]，其中，1≤ i≤ N；j表示采樣的時(shí)間點(diǎn)；對應(yīng)PTi的相應(yīng)密文輸出CTi(1≤ i≤ N)。定義與密鑰相關(guān)的功耗區(qū)分函數(shù) D(C Ti,K b)，D(C Ti,K b)=SBOX1(C TiKb)[7]，其中，CTi取密文擴(kuò)展48 bit后的前6 bit，Kb為第16輪子密鑰的前6 bit，SBOX1為第1個(gè)k盒函數(shù)前4 bit輸出中的1 bit。猜測令Kb＝000000，將基于采樣時(shí)間點(diǎn)j的信號數(shù)組集合{Si[j] |1≤ i≤ N}分成2個(gè)子集合，SBOX1為0的功耗曲線劃分到集合S0，SBOX1為 1的功耗曲線劃分到集合S1：

3.3 DES算法和DPA攻擊

在DPA分析測試中，本文嘗試破解的算法是DES加密算法。DES算法采用16輪迭代，每一輪由8個(gè)S盒完成，每個(gè)S盒有6 bit輸入、4 bit輸出，這樣48 bit的輸入被分為 8個(gè)6 bit的分組，每一個(gè)分組對應(yīng)一個(gè) S盒操作。這48 bit的輸入與明文和子密鑰有關(guān)。

對于DES分組加密算法，如果攻擊者猜對某一輪進(jìn)入S盒的子密鑰時(shí)，那么按一定規(guī)則進(jìn)行差分處理后，相關(guān)曲線將顯示出一些很突出的尖峰。DPA攻擊測試中DES密鑰的破解在一般是通過先破解第一輪子密鑰 K1或第 16輪子密鑰K16，進(jìn)而破解整個(gè)DES密鑰[8]。由于48位的子密鑰K16有248個(gè)組合，很難破解，因此把48 bit的子密鑰K16以6 bit為一組成分成8組[9]，K16={K16S1,K16S2,K16S3,K16S4,K16S5,K16S6,K16S7,K16S8}，其中，KiSj(j=1,2,…,8)為子密鑰塊。若一次破解一組，那么一次僅有 26=64個(gè)組合，要破解就相對簡單。

差分功耗分析就是先嘗試破解K16S1，本文使用功耗區(qū)分函數(shù)D函數(shù)，取S盒輸出的第2位進(jìn)行0/1集合分類，功耗區(qū)分函數(shù)D函數(shù)如圖1所示。

圖1 功耗區(qū)分函數(shù)

依據(jù) 3.2節(jié)中闡述的工作原理，如果T[ j]代表的差分功耗曲線出現(xiàn)明顯的尖峰，則表示子輪密鑰 K16S1猜測成功，否則繼續(xù)猜測，6 bit子輪密鑰K16S1最多猜測26次。破解了 K16S1，再破 K16S2，依此類推，最后把子密鑰 K16破解。

當(dāng)獲取DES第16輪子密鑰K16后，根據(jù)DES子密鑰生成算法，可逆推獲取DES 56 bit有效密鑰Key中的48 bit。Key中剩余的8 bit密鑰可通過窮舉搜索獲得，這樣通過K16可以推算出整個(gè)DES的Key。

差分功耗分析DPA最重要的點(diǎn)在于選擇與密鑰相關(guān)的功耗分類D函數(shù)，針對不同的算法和不同的實(shí)現(xiàn)，所選的攻擊D函數(shù)有所不同。

但DPA也有它的局限性，即D函數(shù)只選取1 bit的輸出，沒有考慮其他 S盒輸出位數(shù)的影響，在實(shí)際測試工作中，也可采用Correlation相關(guān)性分析的方式，即D函數(shù)取S盒輸出的多位，并計(jì)算猜測子密鑰輸出多位的漢明重量(Harming Weight,HW)，然后通過統(tǒng)計(jì)分析方法與實(shí)際功耗曲線的HW進(jìn)行相關(guān)性分析。與DPA方式類似，相關(guān)性分析方式猜測子密鑰也從000000開始，如果計(jì)算結(jié)果表明猜測值與實(shí)際值有明顯的相關(guān)性，則猜測子密鑰正確，反之繼續(xù)猜測直到111111，后續(xù)其他步驟與DPA相同。這種分析方法的優(yōu)點(diǎn)是效果更顯著，受噪聲干擾的影響更小。

4 測試平臺(tái)

針對密碼芯片的典型能量攻擊的測試平臺(tái)包括以下組件：被測對象，密碼芯片，時(shí)鐘信號源，電源(讀卡器)，能量測試電路，數(shù)字采樣示波器，信號處理和攻擊分析設(shè)備。

在本文中開展密碼芯片DPA攻擊測試所使用的工具平臺(tái)是Riscure公司的SCA Inspector平臺(tái)。該平臺(tái)由Power Tracer(功耗分析測試工具)、Oscilloscope(示波器)以及控制控制臺(tái)(包含Inspector軟件)等部件構(gòu)成，如圖2所示。

圖2 Riscure SCA Inspector測試平臺(tái)

Riscure Inspector平臺(tái)開放了常見智能卡旁路攻擊和信號處理方法的源代碼，提供超過60種包括對齊、濾波，各類加解密算法的模塊。

5 針對DES算法的DPA攻擊測試

5.1 DPA測試方案

DPA攻擊測試主要分為3個(gè)階段：數(shù)據(jù)采集，數(shù)據(jù)處理和數(shù)據(jù)分析。

(1)數(shù)據(jù)采集處理階段對功耗曲線進(jìn)行采樣形成功耗能量跡。

(2)數(shù)據(jù)處理階段通過濾波、重采樣、對齊和相關(guān)性分析等步驟對功耗能量跡的原始波形進(jìn)行一系列信號數(shù)據(jù)處理，從而在功耗能量跡上找出加密執(zhí)行位置。

(3)數(shù)據(jù)分析階段針對加密位置調(diào)用加密破解模塊嘗試進(jìn)行破解，以獲取芯片加密密鑰。

相關(guān)操作如下：

(1)采樣：在Inspector PowerTracer工具中調(diào)用預(yù)先編制好的芯片初始化腳本，執(zhí)行DES加密，并對功耗波形進(jìn)行采樣。

(2)濾波：根據(jù)采樣的 Trace信號選取大致的加密運(yùn)算范圍，進(jìn)行頻譜分析，找出芯片精確工作頻率和 Power Tracer讀卡器工作頻率，對采樣信號進(jìn)行濾波處理。

(3)重采樣：依據(jù)芯片工作頻率對 Trace信號進(jìn)行重采樣。

(4)對齊：對重采樣后的Trace信號選取基準(zhǔn)trace進(jìn)行對齊處理，以便去掉差異較大的trace信號。

(5)相關(guān)性分析：分析波形的相關(guān)性，更精確確定DES的運(yùn)算位置。

(6)密鑰分析：即密碼模塊破解，選中加密執(zhí)行位置，調(diào)用相應(yīng)的DES加密分析模塊，設(shè)置相應(yīng)的參數(shù)，嘗試對芯片密鑰進(jìn)行破解。

5.2 針對某款芯片DES密碼模塊的DPA測試

本文針對某款芯片DES加密算法進(jìn)行DPA攻擊測試。

(1)芯片功耗采集

通過編寫測試腳本將工具與被測芯片建立通信，進(jìn)一步采集芯片運(yùn)行時(shí)的功耗特征。根據(jù)芯片DES運(yùn)算過程，編寫DPA功耗采集腳本：

該腳本產(chǎn)生隨機(jī)明文發(fā)送給芯片，用同樣的密鑰進(jìn)行加密后，存取明文和密文結(jié)果。對功耗波形進(jìn)行采樣(采集200000條左右的trace)，Sample frequency為1 GSamples/s，采樣點(diǎn)為1 MSamples。因?yàn)榭紤]到采集200000條功耗波形的時(shí)間較長，先采集 100條 DES運(yùn)算功耗曲線，使用Inspector的Verify工具對DES運(yùn)算的正確性進(jìn)行驗(yàn)證。驗(yàn)證通過后，再進(jìn)行200000條功耗波形的采集。采集到的芯片加密功耗曲線如圖3所示。

圖3 采集到的芯片加密功耗曲線

(2)功耗曲線頻譜分析和濾波

通過頻譜分析找出讀卡器的工作頻率，并將讀卡器工作頻率的波形過濾。

對部分功耗曲線(選擇其中幾百條左右)做傅里葉變換，得到頻譜曲線，對頻譜曲線作平均，在這條平均的頻譜曲線上觀察出智能卡芯片的工作頻率和讀卡器的頻率。功耗曲線頻譜分析結(jié)果如圖4所示。

圖4 功耗曲線頻譜分析結(jié)果

頻域曲線在4 MHz及4 M倍頻位置有明顯的尖峰，是因?yàn)樽x卡工具Power Tracer的工作頻率為4MHz，使用菜單中的Harmonics工具將Power Tracer 4M頻率及其倍頻進(jìn)行濾除。

(3)重采樣Resample

依據(jù)芯片工作頻率對Trace信號進(jìn)行重采樣，重采樣的目的就是根據(jù)工作頻率，把工作頻率上的工作點(diǎn)都重采樣下來，實(shí)現(xiàn)對初始采樣信號的壓縮。此時(shí)可采集10000條左右的trace，以便分析。重采樣功耗曲線如圖5所示。

圖5 重采樣功耗曲線

(4)對齊Alighment

將重采樣到的所有波形位置與基準(zhǔn)波形進(jìn)行靜態(tài)對齊，去除差異較大的波形，以提高相關(guān)性分析的準(zhǔn)確性。對齊的目的一方面確保在分析波形時(shí)比較的是相同的點(diǎn)和相同的操作，另一方面使信號泄露在較小的分布區(qū)間。本文采用的是靜態(tài)對齊，先在波形上選擇一段參考波形，設(shè)置對齊偏離閾值 Threshold 0.6～0.8(數(shù)值越高，對齊精度越高，拋棄的trace數(shù)會(huì)越多)。對齊后再將波形overlap進(jìn)行觀察，如果發(fā)現(xiàn)對齊的質(zhì)量不好，可以選擇后面一點(diǎn)的波形作為基準(zhǔn)波形重新對齊。功耗曲線對齊結(jié)果如圖6所示。

圖6 功耗曲線對齊結(jié)果

(5)相關(guān)性分析

分析對齊后波形的相關(guān)性，找出DES加密輸入和輸出的位置，以便更精確地確定DES的運(yùn)算位置。因?yàn)镈ES分組是64 bit/8 Byte，為方便測試，本文選擇相關(guān)性分析的單位為Byte，范圍為16個(gè)Byte(輸入、輸出各8個(gè)Byte)。相關(guān)性分析結(jié)束后，將波形疊加，可以分別清楚地看到前8 Byte明文輸入的位置和后8 Byte密文輸出的位置。將對齊后的波形和Resample+Align后的波形進(jìn)行坐標(biāo)對齊，輸入和輸出之間的位置(即圖7左右8個(gè)尖峰中間的位置)可確定為DES運(yùn)算的位置。

圖7 功耗曲線相關(guān)性分析結(jié)果

(6)DES密鑰的破解

確定 DES加密位置后，運(yùn)用DES加密算法分析模塊Crypto-AdvancedDES嘗試破解DES加密密鑰，分析目標(biāo)選擇S-BOX，比較位置選擇S-BOX輸出的HW，破解位置選擇DES加密第1輪和第2輪。執(zhí)行破解，經(jīng)過2輪破解，先破解第1輪的輪密鑰，再破解第2輪的輪密鑰，最終即可破解整個(gè)密鑰。

使用被破解的密鑰通過軟件DES算法進(jìn)行驗(yàn)證，與硬件算法實(shí)現(xiàn)一致，可以確認(rèn) DPA攻擊測試破解芯片 DES密鑰成功。

6 結(jié)束語

本文在分析DPA的原理和方法的基礎(chǔ)上，完成了某款芯片DES加密算法的DPA攻擊測試。通過攻擊測試實(shí)驗(yàn)過程及結(jié)果可以看出，差分功耗分析是一種有效的分析芯片DES等加密算法的手段。同理，如后續(xù)需對3DES加密算法進(jìn)行破解，則在功耗分析曲線上找到位置后，需進(jìn)行密鑰 K1、K2的加密、解密、加密的破解操作，從而獲取 K1和 K2。當(dāng)然本文的攻擊測試是在沒有對芯片加密算法做額外防護(hù)的情況下進(jìn)行，如果對芯片進(jìn)行了加大幅值噪聲水平，隨處理中斷引入時(shí)間噪聲和不同的時(shí)鐘頻率，采用隨機(jī)處理順序來減少相關(guān)的信號等干擾防護(hù)措施，采用DPA分析測試的難度將大大增加，則需要引入高階DPA分析方法[10]，這也是下一步的研究方向。

[1]賴?yán)やh.智能卡 SPA/DPA 攻擊[J].現(xiàn)代電子技術(shù),2005,28(17): 28-29.

[2]錢思進(jìn),張凱澤,王衍波,等.DES加密算法差分能量分析的研究[J].計(jì)算機(jī)工程與應(yīng)用,2007,43(32): 146-149.

[3]周開民,陳開顏,趙 強(qiáng),等.DPA 方法對加密系統(tǒng)的FPGA旁路攻擊研究[J].軍械工程學(xué)院學(xué)報(bào),2006,18(2):51-54.

[4]陳開顏,趙 強(qiáng),褚 杰,等.差分功耗分析單片機(jī)DES加密實(shí)現(xiàn)的旁路攻擊[J].計(jì)算機(jī)科學(xué),2007,34(11): 58-61.

[5]Paul K,Jaffe J,Jun B.Differential Power Analysis[C]//Proc.of CRYPTO’99.[S.l.]: IEEE Press,1999.

[6]孫海濤,趙 強(qiáng),何遁來.面向 DES加密算法的差分功耗分析攻擊方法[J].網(wǎng)絡(luò)與信息技術(shù),2007,26(6): 53-55.

[7]鄭建新,張翌維,沈緒榜.SPA和DPA攻擊與防御技術(shù)新進(jìn)展[J].小型微型計(jì)算機(jī)系統(tǒng),2009,4(4): 726-729.

[8]Canovas C,Clédière J.What Do DES S-boxes Say in Differential Side Channel Attacks[EB/OL].(2005-03-11).http://eprint.i-acr.org/2005/311.pdf.

[9]Sommer R M.Smartly Analyzing the Simplicity and the Power of Simple Power Analysis on Smart Cards[C]//Proc.of CHES’00.[S.l.]: IEEE Press,2000.

[10]Waddle J,Wagner D.Towards Efficient Second-order Power Analysis[C]//Proc.of CHES’04.[S.l.]: IEEE Press,2004.