基于DES密碼電路的差分功耗分析仿真研究

趙鴻雁，范科峰，莫 瑋，王 勇，徐克超，劉 碩

(1.桂林電子科技大學(xué)，廣西 桂林 541004；2.中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007)

基于DES密碼電路的差分功耗分析仿真研究

趙鴻雁1，范科峰2，莫 瑋1，王 勇1，徐克超2，劉 碩2

(1.桂林電子科技大學(xué)，廣西 桂林 541004；2.中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007)

差分功耗分析技術(shù)是目前應(yīng)用廣泛、技術(shù)發(fā)展較成熟的非侵入攻擊技術(shù)，設(shè)計(jì)了一個(gè)功耗分析仿真平臺(tái)，該平臺(tái)具有自動(dòng)化程度高、精度高和仿真速度快的特點(diǎn)。此外，還基于該平臺(tái)實(shí)現(xiàn)了對(duì)DES密碼電路的差分功耗分析，對(duì)數(shù)字電視機(jī)頂盒安全性的提高具有參考意義。

仿真平臺(tái)；差分功耗分析； 數(shù)字電視； 機(jī)頂盒

1 差分功耗分析技術(shù)概述

密碼技術(shù)是保障數(shù)字電視產(chǎn)業(yè)界及其運(yùn)營(yíng)商健康、迅速穩(wěn)健發(fā)展的基石[1]。目前數(shù)字電視機(jī)頂盒[2]芯片的硬件安全水平良莠不齊?，F(xiàn)代攻擊技術(shù)多采用價(jià)格低廉的非侵入式攻擊來(lái)提取機(jī)頂盒中的配對(duì)密鑰。其中差分功耗分析技術(shù)是目前應(yīng)用最廣泛，技術(shù)發(fā)展最成熟的非侵入式攻擊技術(shù)。該技術(shù)通過(guò)測(cè)量芯片在加密和解密控制字的過(guò)程中所泄露的功耗變化信息來(lái)獲取密鑰。如圖1所示為采用差分功耗分析技術(shù)來(lái)提取配對(duì)密鑰，進(jìn)而實(shí)現(xiàn)控制字共享的原理圖。

圖1 采用差分功耗分析技術(shù)提取配對(duì)密鑰來(lái)實(shí)現(xiàn)控制字的共享

2 差分功耗分析攻擊技術(shù)及原理

早在1998年6月，Kocher等人[3]就提出了基于智能卡微處理器的功耗分析攻擊技術(shù)。隨后，國(guó)內(nèi)外的相關(guān)專家學(xué)者對(duì)該方法進(jìn)行了一系列的研究。隨著信息安全攻擊技術(shù)以及大規(guī)模集成電路的發(fā)展，功耗分析的攻擊方向已經(jīng)逐漸從軟件向硬件、集成電路方向轉(zhuǎn)移。而現(xiàn)代數(shù)字機(jī)頂盒大都是采用專用集成電路(ASIC)方式來(lái)實(shí)現(xiàn)的。因此，研究ASIC密碼芯片的抗攻擊能力對(duì)于提高數(shù)字電視機(jī)頂盒芯片的安全性十分重要。到目前為止，有關(guān)ASIC密碼芯片的差分功耗攻擊報(bào)道較少[4]。劉鳴等人提出了一個(gè)適用于研究功耗分析及抗分析的理論研究平臺(tái)[5]，但是該平臺(tái)自動(dòng)化程度不高，仿真精度也不夠。本文在文獻(xiàn)[5]提出的功耗分析研究平臺(tái)基礎(chǔ)上，對(duì)其進(jìn)行了改進(jìn)。此外，還基于該平臺(tái)設(shè)計(jì)了DES密碼電路，并進(jìn)行了差分功耗分析研究。

對(duì)于現(xiàn)代密碼設(shè)備來(lái)說(shuō)，大部分是以半導(dǎo)體邏輯門為基本單元構(gòu)建的。其中CMOS邏輯門是使用最為廣泛的一種，由互補(bǔ)型的上拉PMOS和下拉NMOS晶體管電路組成的，功耗模型可以表示為

Ptotal=Pstat+Pdyn

(1)

式中：Pstat為靜態(tài)功耗，即漏電流導(dǎo)致的功耗。在CMOS元件沒(méi)有任何轉(zhuǎn)換活動(dòng)時(shí)，電源和地之間仍然存在少量的漏電流，可將其近似為0。Pdyn為動(dòng)態(tài)功耗，只發(fā)生在邏輯門翻轉(zhuǎn)時(shí)刻，由瞬時(shí)短路電流功耗和輸出電容充電功耗組成。從本質(zhì)上來(lái)說(shuō)，密碼設(shè)備處理不同數(shù)據(jù)所對(duì)應(yīng)的功耗，主要表現(xiàn)為內(nèi)部邏輯門電路翻轉(zhuǎn)所產(chǎn)生的功耗。差分功耗分析則主要通過(guò)探測(cè)電路內(nèi)部邏輯門翻轉(zhuǎn)導(dǎo)致的功耗泄露，進(jìn)而獲取到密鑰等隱秘信息。以CMOS反相器為例，當(dāng)輸入電壓為高電平時(shí)，NMOS管導(dǎo)通，PMOS管截止，輸出為低電平；當(dāng)輸入電壓為低電平時(shí)，NMOS管截止，PMOS管導(dǎo)通，輸出為高電平。圖2給出了基于HSPICE仿真的CMOS反相器功耗圖，其中橫坐標(biāo)表示時(shí)間，縱坐標(biāo)表示反相器總的功率消耗。從圖中可以看出來(lái)反相器在未發(fā)生翻轉(zhuǎn)時(shí)，功耗接近于0，翻轉(zhuǎn)時(shí)刻功耗迅速增加(圖2中的電流尖峰位置)。因此，攻擊者可以通過(guò)分析電路的功耗特征來(lái)推斷邏輯門是否發(fā)生翻轉(zhuǎn)，進(jìn)而推測(cè)電路內(nèi)部的數(shù)據(jù)運(yùn)行狀態(tài)。

圖2 CMOS反相器功耗圖

對(duì)DES密碼電路實(shí)施差分功耗分析攻擊，首先需要N個(gè)隨機(jī)明文輸入PTI。對(duì)每個(gè)明文輸入PTIi(1≤i≤N)執(zhí)行密碼運(yùn)算過(guò)程中所泄露的功耗信息進(jìn)行離散采樣，采集到的功耗記為Si[j](j為采樣時(shí)間點(diǎn))，相應(yīng)的密文輸出為CTOi。定義一個(gè)與密鑰及已知非常量數(shù)據(jù)密切相關(guān)的區(qū)分函數(shù)，記為D(·)，依據(jù)D值，可以將采集到的功耗信息Si[j]分成以下2個(gè)集合

(2)

(3)

對(duì)集合S0和集合S1中的功耗信號(hào)分別求平均值

(4)

(5)

T[j]=A0[j]-A1[j]

(6)

如果猜測(cè)密鑰正確，則T[j]中會(huì)出現(xiàn)明顯的偏差尖峰。反之，猜測(cè)密鑰錯(cuò)誤。

3 功耗分析仿真研究平臺(tái)設(shè)計(jì)

對(duì)于ASIC密碼芯片來(lái)說(shuō)，除了遵從一般ASIC芯片的設(shè)計(jì)流程之外，還需要對(duì)其安全性進(jìn)行驗(yàn)證。其中，安全性驗(yàn)證主要體現(xiàn)為對(duì)芯片的抗功耗分析能力的驗(yàn)證。雖然生產(chǎn)后的安全性測(cè)試可以對(duì)其抗功耗分析能力進(jìn)行驗(yàn)證，但是這并不能有效降低芯片的生產(chǎn)風(fēng)險(xiǎn)。尤其是芯片從設(shè)計(jì)、生產(chǎn)到測(cè)試驗(yàn)證本來(lái)就需要耗費(fèi)一定的時(shí)間和資源，這給密碼芯片的生產(chǎn)研制流程提出了更高的要求。因此，在生產(chǎn)前利用軟件平臺(tái)對(duì)芯片的安全性進(jìn)行驗(yàn)證，生產(chǎn)后再通過(guò)相應(yīng)的硬件平臺(tái)驗(yàn)證，可以大大降低密碼芯片的生產(chǎn)風(fēng)險(xiǎn)。本文立足目前主流的EDA工具，參考一般IC設(shè)計(jì)流程，開(kāi)發(fā)了一個(gè)功耗分析仿真研究平臺(tái)。圖3所示為平臺(tái)流程圖。

圖3 功耗分析仿真研究平臺(tái)

與文獻(xiàn)[5]中提出的功耗分析研究平臺(tái)相比，本平臺(tái)在以下兩個(gè)方面進(jìn)行了改進(jìn)：

1)自動(dòng)化程度

利用本平臺(tái)進(jìn)行功耗分析仿真研究時(shí)，無(wú)需額外設(shè)計(jì)轉(zhuǎn)換程序等，只要按照?qǐng)D2給出的相應(yīng)軟件進(jìn)行各階段設(shè)計(jì)，即可完成功耗分析能力驗(yàn)證。

2)仿真速度及精度

本平臺(tái)采用XA和Hspice軟件進(jìn)行電路仿真，該部分是本平臺(tái)的核心。這2個(gè)軟件均為Synopsys公司的電路仿真工具。其中，Hspice是業(yè)界精確電路仿真領(lǐng)域的“黃金標(biāo)準(zhǔn)”，其提供了一流的仿真及分析算法，并使用經(jīng)晶圓廠認(rèn)證過(guò)的 MOS 器件模型進(jìn)行仿真。XA是一種易于上手的快速仿真工具，具有嵌入式仿真智能，能自動(dòng)識(shí)別器件、拓?fù)浜蛯蛹?jí)，并部署最高效的技術(shù)，以達(dá)到對(duì)任何設(shè)計(jì)類型的精確仿真。此外，該工具支持Hspice器件模型輸入以及Hspice網(wǎng)表仿真，可以直接使用Hspice網(wǎng)表在XA中運(yùn)行仿真。當(dāng)set_sim_level為7時(shí)，采用 XA仿真即可達(dá)到Hspice的仿真精度。對(duì)于本文設(shè)計(jì)的DES密碼電路來(lái)說(shuō)，采用Hspice進(jìn)行一次功耗采集大約需要30～40 min，而采用XA僅僅需要2～3 min?；谝陨戏治?，Hspice通常用于芯片內(nèi)部分電路的精確仿真(如S盒)，而XA通常用于對(duì)整個(gè)芯片的電路仿真。

4 基于DES密碼電路的差分功耗分析

依據(jù)以上提出的功耗分析仿真研究平臺(tái)，本文設(shè)計(jì)了一個(gè)DES密碼電路，并對(duì)其進(jìn)行差分功耗分析研究。如圖4所示為DES密碼算法的原理圖。圖中還給出了實(shí)施差分功耗分析攻擊時(shí)所選取的區(qū)分函數(shù)D。由于本文所實(shí)施的僅為一般差分功耗分析攻擊，這里將圖中S盒輸出中的某一位作為區(qū)分函數(shù)D。

圖4 DES算法原理圖

為了方便研究，本文忽略初始置換及其逆置換步驟。因?yàn)檫@2個(gè)階段對(duì)差分功耗分析沒(méi)有影響。本文是基于 0.18 μm 的CMOS工藝庫(kù)來(lái)設(shè)計(jì)DES密碼電路的，并采集了分別加密200組隨機(jī)明文時(shí)產(chǎn)生的功耗信息。這里選取第1輪加密運(yùn)

算時(shí)S1盒輸出的第1位為選擇函數(shù)D，對(duì)輸入S1盒的前6 bit子密鑰進(jìn)行猜測(cè)。依據(jù)差分功耗分析原理，對(duì)采集到的功耗圖進(jìn)行處理，可以得到實(shí)驗(yàn)結(jié)果見(jiàn)圖5。圖中，橫坐標(biāo)表示時(shí)間，縱坐標(biāo)表示DES密碼電路所獲取的電源電流。此外，正確密鑰對(duì)應(yīng)的功耗曲線是用黑色繪制的，其余是用灰色繪制的。從圖中可以找到最明顯的偏差尖峰位置(畫圈部分)，即猜測(cè)密鑰正確。剩余的42位子密鑰可以通過(guò)同樣的方法獲得。

圖5 實(shí)驗(yàn)結(jié)果

5 結(jié)論

本文開(kāi)發(fā)了一個(gè)功耗分析仿真平臺(tái)，并基于該平臺(tái)對(duì)設(shè)計(jì)的DES密碼電路進(jìn)行了差分功耗分析。本文的研究工作提高了對(duì)相關(guān)密碼芯片進(jìn)行生產(chǎn)前安全性檢測(cè)的效率，為數(shù)字電視機(jī)頂盒安全性的提高提供了參考。

[1] 魯業(yè)頻， 蔣全勝， 陳初俠. 密碼學(xué)技術(shù)在數(shù)字電視應(yīng)用中的現(xiàn)狀與發(fā)展[J]. 電視技術(shù)， 2011， 35(17)： 4-7.

[2] 魯業(yè)頻，陳兆龍，張鵬. 淺談數(shù)字電視機(jī)頂盒的關(guān)鍵件[J]. 電視技術(shù)，2006，30(5)：19-21.

[3] KOCHER P，JAFFE J，JUN B. Introduction to differential power analysis and related attacks[R].[S.l.]：Cryprography Research Inc.， 1998.

[4] ?RS S B， GüRKAYNAK F， OSWALD E，et al. Power-analysis attack on an ASIC AES implementation[C]//Proc. ITCC’04. [S.l.]：IEEE Computer Society，2004：546-552.

[5] 劉鳴， 陳弘毅， 白國(guó)強(qiáng). 功耗分析研究平臺(tái)及其應(yīng)用[J]. 微電子學(xué)與計(jì)算機(jī)， 2005， 22(7)： 134-138.

責(zé)任編輯：閆雯雯

Simulation Research on Differential Power Analysis Based on DES Cipher Circuit

ZHAO Hongyan1，F(xiàn)AN Kefeng2，MO Wei1，WANG Yong1， XU Kechao2， LIU Shuo2

(1.GuilinUniversityofElectronicTechnology，GuangxiGuilin541004，China； 2.ChinaElectronicsStandardizationInstitute，Beijing100007，China)

Differential powar analysis is a widely used, more mature non-invosive attach technique.A power analysis simulation platform is designed with following advantages： high degree of automation， high precision and high simulation speed. Furthermore， differential power analysis for DES cipher circuit is carried out on this platform. The work in this article can be used as reference for improving security of digital TVs set top boxes.

simulation platform； differential power analysis； digital TVs； set top boxes

【本文獻(xiàn)信息】趙鴻雁，范科峰，莫瑋，等.基于DES密碼電路的差分功耗分析仿真研究[J].電視技術(shù),2015，39(13).

國(guó)家242信息安全計(jì)劃課題(2014A104)；國(guó)家自然科學(xué)基金項(xiàng)目(61172053；61202266)；國(guó)家“863”計(jì)劃項(xiàng)目(2015ZX03003007；2012ZX01045-006-002)

TN941

A

10.16280/j.videoe.2015.13.025

2015-04-05