抗功耗分析攻击的SMS4密码算法VLSI设计技术研究

ＳＭＳ４
ｃｉｐｈｅｒ ａｎｄ ｉｔｓ ｌｉｎｅａｒ ｔｒａｎｓ—
ｏｎ
ｆｏｒｍａｔｉｏｎ厶ａｎｄ ｐｒｅｓｅｎｔ
ａ
ｄｉｆｆｅｒｅｎｔｉａｌ ｐｏｗｅｒ
ａｎａｌｙｓｉｓ（ＤＰＡ）ａｔｔａｃｋ ｍｅｔｈｏｄ
ＳＭＳ４
ｏｎ
ｃｉｐｈｅｒ ｆｏｒ ｔｈｅ ｆｉｒｓｔ ｔｉｍｅ．Ｅｘｐｅｒｉｍｅｎｔ ｒｅｓｕｌｔｓ ｉｎｄｉｃａｔｅ ｔｈａｔ ｔｈｅ ＤＰＡ ａｔｔａｃｋ ｉｓ ｅｆｆｅｃｔｉｖｅ
ｏｎ
ａｎｄ ａｐｐｌｉｅｄ ｗｉｄｅｌｙ．
ＳＭＳ４ ｂｌｏｃｋ ｃｉｐｈｅｒ ｉｓ ｔｈｅ ｆｉｒｓｔ ｃｏｍｍｅｒｃｉａｌ ｃｉｐｈｅｒ ｐｕｂｌｉｓｈｅｄ ｂｙ Ｃｈｉｎａ ａｎｄ ｗａｓ
ｅｍｐｌｏｙｅｄ ｉｎ
ＷＡＰＩ ｓｔａｎｄａｒｄ
ｔＯ ｐｒｏｔｅｃｔ ｔｈｅ ｄａｔａ ｐａｃｋａｇｅｓ ｉｎ
ａ
ａｌｓｏ ｗｉｔｈｓｔａｎｄ
ｓｍａｌｌｅｒ ｃｉｒｃｕｉｔ ａｒｅａ ｔｈａｎ ｔｈｅ ｍｕｌｔｉｐｌｉｃａｔｉｖｅ ｍｅｔｈｏｄ．
Ｍｏｒｅｏｖｅｒ，ａ ｐｏｗｅｒ ａｎａｌｙｓｉｓ ｒｅｓｉｓｔａｎｔ ＳＭＳ４ ｃｉｐｈｅｒ ＶＬＳＩ ｃｈｉｐ ｄｅｓｉｇｎ ｂａｓｅｄ ｏｎ ａｄｄｉｔｉｖｅ
ｏｕｔ． ｍａｓｋｉｎｇ ｍｅｔｈｏｄ ｗａｓ ｃｏｍｐｌｅｔｅｄ ａｎｄ ｔａｐｅｄ
ｏｎ
ＳＭＳ４ ａｎｄ ｉｔｓ ｃｏｕｎｔｅｒｍｅａ－
Ｉｎ ｔｈｉｓ ｔｈｅｓｉｓ，ＶＬＳＩ ｄｅｓｉｇｎ ｏｐｔｉｍｉｚａｔｉｏｎ ｔｅｃｈｎｏｌｏｇｙ，ｐｏｗｅｒ ａｎａｌｙｓｉｓ ａｔｔａｃｋｓ ａｎｄ ｃｏｕｎｔｅｒｍｅａｓｕｒｅｓ
ｏｎ
ＳＭＳ４
ｃｉｐｈｅｒ ａｒｅ ｓｔｕｄｉｅｄ．Ｓｅｖｅｒａｌ ｎｅｗ ｍｅｔｈｏｄ ａｂｏｕｔ ＳＭＳ４ ＶＬＳＩ
ＳＭＳ４ ｒｏｕｎｄ ｏｐｅｒａｔｉｏｎｓ．Ｍｏｒｅｏｖｅｒ＇ａ ｃｏｒｒｅｌａｔｉｏｎ ｐｏｗｅｒ ａｎａｌｙｓｉｓ（ＣＰＡ）ａｔｔａｃｋ ｍｅｔｈｏｄ
ｏｎ
ＳＭＳ４ ｉｓ ｐｒｅｓｅｎｔｅｄ ａｎｄ ｔｈｉｓ ｍｅｔｈｏｄ
ｃａｎ
ｇｅｔ
ａ
ｂｅｔｔｅｒ ａｔｔａｃｋ ｅｆｆｅｃｔ ｔｈａｎ ｔｈｅ ＤＰＡ
ＧＦ（（（２２）２）２）ａｎｄ ｔｈｅ
ｃｉｒｃｕｉｔ ｉｍｐｌｅｍｅｎｔａｔｉｏｎ ｏｐｔｉｍｉｚａｔｉｏｎ．Ａｓ
ｏｎ
ｒｅｓｕｌｔ，ｔｈｅ ｍｕｌ－
ｔｉｐｌｉｃａｔｉｖｅ ｉｎｖｅｒｓｅ ｏｐｅｒａｔｉｏｎ
ＧＦ（２８）ｉｓ ｔｒａｎｓｆｏｒｍｅｄ
ｔＯ ｌｏｇｉｃ ＡＮＤ ａｎｄ
ＸＯＲ ｏｐｅｒａ—
ｏｎ
Ｋｅｙｗｏｒｄｓ：ＳＭＳ４ ｂｌｏｃｋ ｃｉｐｈｅｒ，ｐｏｗｅｒ ａｎａｌｙｓｉｓ ａｔｔａｃｋ ａｎｄ ｃｏｕｎｔｅｒｍｅａｓｕｒｅ，
ＶＬＳＩ ｄｅｓｉｇｎ，ｃｏｍｐｏｓｉｔｅ ｆｉｅｌｄ，ｒａｎｄｏｍ ｍａｓｋ ｔｅｃｈｎｏｌｏｇｙ
中国科学技术大学博士学位论文
插
图
插
１．１
图
２ ２
传统攻击技术中的密码设备模型．．．．．．．．．．．．．．．．．．．
３．构建了一个功耗分析攻击软件仿真平台，并提供了三种不同的仿真策略
和流程，用于不同目标密码算法、电路规模和仿真时间的要求，通过灵活选择
和配置，可以在仿真时间、计算机资源消耗和仿真精度之间得到比较理想的折
中方案。
４．分析了ＳＭＳ４算法轮运算的结构和特点，根据线性变换Ｌ的运算特点，首 次提出了一种对ＳＭＳ４算法的差分功耗分析（ＤＰＡ）攻击方法。仿真实验表明，这 种ＤＰＡ攻击方法对ＳＭＳ４算法轮运算可行有效。在此基础上，又提出了ＳＭＳ４算
ＣＢＣ模式加密流程．．．．．．．．．．．．．．．．．．．．．．．．．．．
ｌＯ １４ ２２ ２２ ２２ ２２ ２３ ２３ ２４ ２４
２．６
２．７ ２．８ ２．９ ２．１０
ＣＢＣ模式解密流程．．．．．．．．．．．．．・．．．．．．．．．．．．．． ＣＦＢ模式加密流程．．．．．．．．．．．．．．．．．．．．．．．．．．． ＣＦＢ模式解密流程．．．．．．．．．．．．．．．．．．．．．．．．．．． ＯＦＢ模式加密流程．．．．．…．．．．．．．．．．．．．．．．．．．． ＯＦＢ模式解密流程．．．．．．．．．．．．．．．．．．．．．．．．．．． 基于合成域运算的Ｓ盒算法流程．．．．．．．．．．．．．．．．．．． ＧＦ（２ｓ）域上的乘法求逆运算．．．．．．．．．．．．．．．．．．．．． ＧＦ（２４）域上的乘法求逆运算．．．．．．．．．．．．．．．．．．．．． ＧＦ（２４）域上的乘法运算．．．．．．．．．．．．．．．．．．．．．．．． ＧＦ（２２）域上的乘法运算．．．．．．．．．．．．．．．．．．．．．．．． Ｓ盒的Ｔｗｉｓｔｅｄ ＢＤＤ电路架构．．．．．．．．．．．．．．．．．．．．．
ａｔｔａｃｋ． ５．Ｕｓｉｎｇ ｒａｎｄｏｍ ｍａｓｋ ｔｅｃｈｎｏｌｏｇｙ，ｔｗｏ ｐｏｗｅｒ ａｎａｌｙｓｉｓ ｄｅｓｉｇｎｓ ｂａｓｅｄ
ｏｎ
ｒｅｓｉｓｔａｎｔ ＳＭＳ４
ｃｉｒｃｕｉｔ
ｒｅ。
ｍｕｌｔｉｐｌｉｃａｔｉｖｅ ａｎｄ ａｄｄｉｔｉｖｅ ｍａｓｋｉｎｇ
ｃａｎ
ａｒｅ
ｐｒｅｓｅｎｔｅｄ．Ｅｘｐｅｒｉｍｅｎｔｓ
ａ
ｆａｓｔ
ａ
ＳＭＳ４
ｃｉｒｃｕｉｔ ｂａｓｅｄ
ｏｎ
ｔｗｉｓｔｅｄ ＢＤＤ ａｒｃｈｉｔｅｃｔｕｒｅ ｉｓ ｃｏｍｐｌｅｔｅｄ．
３．Ｃｏｎｓｔｒｕｃｔ
ｐｏｗｅｒ ａｎａｌｙｓｉｓ ｓｉｍｕｌａｔｉｏｎ ｐｌａｔｆｏｒｍ ａｎｄ ｐｒｏｖｉｄｅ ｔｈｒｅｅ ｄｉｆｆｅｒｅｎｔ
ｓｉｍｕｌａｔｉｏｎ ｓｔｒａｔｅｇｉｅｓ ａｎｄ ｆｌｏｗｓ ｆｏｒ ｖａｒｉｏｕｓ ｒｅｑｕｉｒｅｍｅｎｔｓ ａｂｏｕｔ ｔａｒｇｅｔ ｃｉｐｈｅｒｓ，ｃｉｒｃｕｉｔ ｓｃａｌｅｓ ａｎｄ ｓｉｍｕｌａｔｉｏｎ ｔｉｍｅ．Ｂｙ ｓｅｌｅｃｔｉｎｇ ａｎｄ ｃｏｎｆｉｇｕｒｉｎｇ ｔｈｅ ｓｉｍｕｌａｔｉｏｎ ｐｌａｔｆｏｒｍ，
ｏｎｅ ｏｎ
ｃｏｍｐｏｓｉｔｅ ｆｉｅｌｄ ｏｐ—
ｂａｓｅｄ
ｏｎ
ｔｗｉｓｔｅｄ ＢＤＤ ａｒｃｈｉｔｅｃｔｕｒｅ ｈａｓ ｔｈｅ ｆａｓｔｅｓｔ
２．Ｃｏｍｐｌｅｔｅ ｔｈｅ ａｌｇｏｒｉｔｈｍ ｄｅｒｉｖａｔｉｏｎ ｆｏｒ Ｓ－ｂｏｘ ｃｏｎｓｔｒｕｃｔｉｏｎ
ｆｉｅｌｄ
ｏｎ ａ
ｔｈｅ ｃｏｍｐｏｓｉｔｅ
１．对几种ＳＭＳ４算法Ｓ盒电路架构进行了实现和性能对比评估，实验数据证
明，基于合成域运算的Ｓ盒电路具有最小的面积，而基于Ｔｗｉｓｔｅｄ ＢＤＤ架构的Ｓ盒 电路则具有最快的速度。
２．完成了在合成域ＧＦ（（（２２）２）２）上构造Ｓ盒的算法推导及电路实现方案的
优化设计，把有限域ＧＦ（２８）上的乘法求逆运算转化为适于电路实现的逻辑与 和逻辑异或操作，提出了一个基于合成域运算的紧凑型面积优化的ＳＭＳ４密码 算法电路设计。针对ＳＭＳ４算法优化ＴＴｗｉｓｔｅｄ ＢＤＤ中的参数取值，并实现了基 于Ｔｗｉｓｔｅｄ ＢＤＤ的快速ＳＭＳ４算法电路。
法电路的相关功耗分析（ＣＰＡ）攻击方法，这种方法可以获得比ＤＰＡ更优的攻击效
摘
要
中国科学技术大学博士学位论文
果。
５．利用随机掩码技术，提出了基于乘法掩码和加法掩码的两种ＳＭＳ４算 法功耗分析攻击防护方法，实验证明，这两种防护方法能够有效对抗一 阶ＤＰＡ和ＣＰＡ攻击。其中，加法掩码方法不仅可以抵抗功耗分析攻击，还能 够防护零值攻击，并且电路面积更小，是较优的一种防护方案。在此基础上，完 成了一个基于加法掩码的抗功耗分析攻击ＳＭＳ４算法ＶＬＳＩ的后端设计并流片。 关键词：ＳＭＳ４分组密码算法功耗分析攻击与防护集成电路设计合成域
Ｉｌｌ
ＡＢＳＴＲＡＣＴ
中国科学技术大学博士学位论文
ｔｈｅ ｂｅｓｔ ｂａｌａｎｃｅ
Ｃａｎ
ｂｅ ｇｏｔ ｂｅｔｗｅｅｎ ｓｉｍｕｌａｔｉｏｎ ｄｕｒａｔｉｏｎｓ，ｃｏｍｐｕｔｅｒ
ｒｅｓｏｕｒｃｅｓ
ａｎｄ
ｓｉｍｕｌａｔｉｏｎ ｐｒｅｃｉｓｉｏｎ． ４．Ａｎａｌｙｓｉｓ ｔｈｅ ａｒｃｈｉｔｅｃｔｕｒｅ ａｎｄ ｃｈａｒａｃｔｅｒｓ ｏｆ
随机掩码技术
中国科学技术大学博士学位论文
ＡＢＳＴＲＡＣＴ
Ａｂｓｔｒａｃｔ
Ｐｏｗｅｒ ａｎａｌｙｓｉｓ ａｔｔａｃｋｓ ｔｈｅ ｓｅｃｒｅｔ ｋｅｙｓ ｓｔｏｒｅｄ ｉｎ ｃｒｙｐｔｏｇｒａｐｈｉｃ ｈａｒｄ—
ｃａｎ ｒｅｃｏｖｅｒ
ｗａｒｅ ｄｅｖｉｃｅｓ ｂｙ ａｎａｌｙｚｉｎｇ ｔｈｅ ｉｎｐｕｔ ａｎｄ ｏｕｔｐｕｔ ｄａｔａ
ＷＬＡＮ．Ｓｏ，ｉｔ
ｉｓ ｖｅｒｙ ｉｍ‘
ｐｏｒｔａｎｔ ｆｏｒ ｔｈｅ ａｐｐｌｉｃａｔｉｏｎ ａｎｄ ｄｅｖｅｌｏｐｍｅｎｔ ｏｆ Ｃｈｉｎｅｓｅ ｃｉｐｈｅｒ ｓｔａｎｄａｒｄｓ．Ｂｕｔ ｔｏ ｄａｔｅ， ｔｈｅｒｅ ｉｓ
ＳＵｒｅＳ． ｎｏ
ｓｔｕｄｙ ｐｒｅｓｅｎｔｅｄ
ｏｎ
ｐｏｗｅｒ ａｎａｌｙｓｉｓ ａｔｔａｃｋｓ
中国科学技术大学博士学位论文
摘
要
摘
要
功耗分析攻击技术利用密码硬件设备工作过程中产生的功耗，结合输入和 输出数据进行分析，获取电路内部保存的密钥。由于其便于实现并且攻击效果 比较好，功耗分析攻击得到了广泛的研究和应用。 ＳＭＳ４分组密码算法是我国公布的第一个商用密码算法，并用于ＷＡＰＩ标准 中以保护无线局域网数据的安全性，对我国密码标准的推广和发展都具有重要 的意义。但是，关于ＳＭＳ４算法的功耗分析攻击与防护方面的研究目前尚未见公 开报道。 本文对ＳＭＳ４密码算法的集成电路优化实现技术、功耗分析攻击与防护方 法、抗功耗分析攻击的集成电路设计进行了研究，。提出了ＳＭＳ４算法集成电路设 计及功耗分析攻击与防护的几种新方法，给出了理论推导、实验过程和结果，并 进行了分析。主要工作特色和创新点如下：
ａｓ
ｆｏｌｌｏｗｓ：
１．Ｃｏｍｐｌｅｔｅ ａｎｄ ｅｖａｌｕａｔｅ ｓｅｖｅｒａｌ ｃｉｒｃｕｉｔ ａｒｃｈｉｔｅｃｔｕｒｅｓ ｏｆ Ｓ－ｂｏｘ ｉｎ ＳＭＳ４ ｃｉｐｈｅｒ． Ｔｈｅ ｅｘｐｅｒｉｍｅｎｔ ｒｅｓｕｌｔｓ ｉｎｄｉｃａｔｅ ｔｈａｔ，ｔｈｅ Ｓ－ｂｏｘ ｃｉｒｃｕｉｔ ｂａｓｅｄ ｅｒａｔｉｏｎ ｉｓ ｔｈｅ ｓｍａｌｌｅｓｔ ａｎｄ ｔｈｅ ｓｒｃｕｉｔ ｉｍｐｌｅｍｅｎｔａｔｉｏｎｓ．Ａ ｃｏｍｐａｃｔ
ＳＭＳ４
ｃｉｐｈｅｒ ＶＬＳＩ ｄｅｓｉｇｎ ｂａｓｅｄ
ｖａｌｕｅ ｉｎ ｔｗｉｓｔｅｄ ＢＤＤ ｉｓ ｃｏｍｐｏｓｉｔｅ ｆｉｅｌｄ ｏｐｅｒａｔｉｏｎ ｉｓ ｐｒｅｓｅｎｔｅｄ．Ａｌｓｏ，ｔｈｅ ｐａｒａｍｅｔｅｒ ｏｐｔｉｍｉｚｅｄ ａｎｄ
ｓｕｉｔ ｉｎｄｉｃａｔｅ ｔｈａｔ ｔｈｅｓｅ ｔｗｏ ｍａｓｋｉｎｇ ｍｅｔｈｏｄ
ｂｏｔｈ ｗｉｔｈｓｔａｎｄ ｔｈｅ ｆｉｒｓｔ—ｏｒｄｅｒ ＤＰＡ
Ｃａｌｌ
ａｎｄ ＣＰＡ ａｔｔａｃｋｓ ｅｆｆｅｃｔｉｖｅｌｙ．Ａｎｄ ｔｈｅ ａｄｄｉｔｉｖｅ ｍａｓｋｉｎｇ ｍｅｔｈｏｄ ｔｈｅ ｚｅｒｏ．．ｖａｌｕｅ ａｔｔａｃｋｓ ａｎｄ ｌｅａｄｓ
１．２密码设备工作中的侧信道信息泄露．．．．．．．．．．．．．．．．．
２．１ ２．２ ２．３ ２．４ ２．５
ＳＭＳ４算法加密流程．．．．．．．．．．．．．．．．．．．．．．．．．． ＳＭＳ４算法Ｓ盒的代数计算过程．．．．．．．．．．．．．．．．．．．． ＥＣＢ模式加密流程．．．．．．．．．．．．．．．．．．．．．．．．．．． ＥＣＢ模式解密流程．．．．．．．．．．．．．．．．．．．．．．．．．．．
ｃｏｍｂｉｎｉｎｇ ｗｉｔｈ ｔｈｅ ｐｏｗｅｒ
ｃｏｎ・
ａｔ－ ｓｕｍｐｔｉｏｎ ｄｕｒｉｎｇ ｔｈｅ ｃｉｐｈｅｒ ｐｒｏｃｅｓｓｉｎｇ．Ｂｅｃａｕｓｅ ｔｈｅｙ ａｒｅ ｅａｓｉｌｙ ｐｅｒｆｏｒｍｅｄ ａｎｄ ｔｈｅ
ｔａｃｋ ｅｆｆｅｃｔｓ ａｒｅ ｖｅｒｙ ｗｅｌｌ，ｐｏｗｅｒ ａｎａｌｙｓｉｓ ａｔｔａｃｋｓ ａｒｅ ｒｅｓｅａｒｃｈｅｄ
ｏｎ
ｄｅｓｉｇｎ ａｎｄ ｐｏｗｅｒ ａｎａｌｙｓｉｓ ａｔｔａｃｋｓ ａｎｄ ｃｏｕｎｔｅｒｍｅａｓｕｒｅｓ
ＳＭＳ４ ａｒｅ ｐｒｅｓｅｎｔｅｄ，ａｎｄ
ｔｈｅ ｔｈｅｏｒｙ ｄｅｒｉｖａｔｉｏｎｓ，ｅｘｐｅｒｉｍｅｎｔ ａｐｐｒｏａｃｈｅｓ，ｒｅｓｕｌｔｓ ａｎｄ ｔｈｅ ａｎａｌｙｓｅｓ ａｒｅ ｇｉｖｅｎ．Ｔｏ ｓｕｍ ｕｐ，ｔｈｅ ｍａｉｎ ｉｎｎｏｖａｔｉｏｎ ａｎｄ ｃｒｅａｔｉｖｅ ｐｏｉｎｔｓ ａｒｅ