17、分组密码的线性故障分析：原理与实践

分组密码的线性故障分析：原理与实践

1. 背景与动机

在密码分析领域，侧信道攻击近年来成为分析各类加密设备的重要且高效工具。这类攻击利用诸如功耗、运行时间、故障状态下的输入输出行为等容易获取的信息，并借助统计方法对这些泄露信息进行评估。在侧信道攻击中，故障分析是一类旨在干扰加密计算以恢复密钥的实现攻击。

差分故障分析（DFA）是针对分组密码最有效的密码分析方法之一。它通过利用正确密文和错误密文之间的差异来获取分组密码的密钥信息。攻击者通常通过电压变化、干扰、激光等外部手段使设备产生故障，从而得到错误密文。目前，许多研究都围绕DFA在各种分组密码上的应用展开，如DES、AES、IDEA等，这些研究揭示了分组密码在DFA面前的脆弱性，也凸显了在嵌入式实现中加入对抗措施的必要性。

然而，大多数DFA技术主要针对分组密码的最后几轮，即通过在最后几轮引入故障来诱导信息泄露。因此，常见的对抗DFA的方法是通过冗余保护密码的最后几轮。但随着保护轮数的增加，这种对抗措施的实现成本更高且效率更低，所以实际应用中会尽量减少保护轮数。

为了应对这一情况，研究人员提出了一种新的分组密码故障攻击方法——线性故障分析（LFA）。LFA利用分组密码连续几轮的线性特征，而非DFA中利用S盒的差分分布。这种新方法在合适的线性近似存在的情况下，能够处理比DFA更早几轮引入故障的情况，从而对已采取DFA保护措施的分组密码实现构成威胁。

2. 预备知识

在详细介绍LFA之前，先了解一些本文使用的符号：
|符号|含义|
| ---- | ---- |
|⊕|按位异或（XOR）|
|·|按位内积|
||x||实