21、PICARO：高效抗高阶侧信道攻击的分组密码设计

PICARO：高效抗高阶侧信道攻击的分组密码设计

1. 引言

在当今的密码学领域，侧信道攻击（SCA）对嵌入式设备中密码原语的安全性构成了严重威胁。攻击者通过观察密码操作执行时的环境信息，如时序、功耗、电磁辐射等，来获取与密钥相关的信息。其中，差分侧信道分析（DSCA）及其众多变体和扩展，能够绕过密码算法的强度，对嵌入式设备上的密码系统造成持续的威胁。

为了应对DSCA攻击，研究人员提出了各种对策。一些对策侧重于添加噪声，如在密码执行过程中插入随机延迟，虽然能增加传统DSCA攻击的复杂度，但这些方法无法被证明是鲁棒的。目前，唯一具有安全证明的对策是掩码方案，它通过在每次执行时对密码的秘密相关内部值进行随机化来保护密码系统。然而，这种对策通常会带来较高的性能开销，使得在小型嵌入式设备中实现变得困难。

本文采取了一种逆向的方法，研究一种经过验证的掩码方案，并设计一种新的分组密码，使其能够很好地适应掩码约束，从而降低掩码带来的性能开销。

2. 高阶掩码方案基础

差分侧信道攻击通过收集分组密码内部状态的侧信道观测信息来恢复密钥。为了增强攻击的复杂性，研究人员提出了多种改进方法，如相关功率分析（CPA）、互信息分析（MIA）以及高阶差分侧信道分析（HO - DSCA）。在HO - DSCA攻击中，攻击者能够在一次密码执行中观察d个不同的内部变量。

掩码方案作为对抗（HO - ）DSCA的最受研究的对策，具有安全证明。然而，由于其性能开销较大，在实际应用中很少使用。本文将重点关注Rivain和Prouff提出的（HO - ）掩码方案。

2.1 掩码方案

d阶掩码方案是一种算法级的对策，