2、基于少量加密的持久故障分析

基于少量加密的持久故障分析

1. 利用最大似然法改进攻击

在密码分析领域，Zhang等人提出的攻击方法可以通过最大似然原理进行改进。具体步骤如下：
1. 提取最可能的密钥值 ：对最后一轮密钥的每个字节，从最可能到最不可能进行排序。
2. 组合策略猜测密钥 ：使用组合策略来猜测完整128位最后一轮密钥的每个字节。
3. 提取主密钥 ：从最后一轮密钥中提取正确的AES主密钥。

需要注意的是，最后一轮密钥的值不一定正确，特别是当密钥调度使用了有故障的SBOX时。但这种情况较为少见，因为大多数时候密钥调度一次后会多次复用。若SBOX的永久故障发生在密钥调度之后，那么轮密钥是正确的，可从最后一轮密钥恢复主密钥；否则，虽然可以反转密钥调度，但存在一定不确定性。可能的主密钥数量约为 (2^{256}×16×10 (< 2^{256}))，是可以枚举的。

2. 最优区分器

2.1 最大似然最优性

在这部分，使用 (n) 次AES加密来寻找最可能的密钥。为便于理解，仅考虑AES密文的第一个字节和最后一轮密钥的第一个字节。这里的“密钥”指的是AES最后一轮密钥的一个字节。

首先假设在进行任何观察之前，每个可能的密钥概率相等，即对于256个可能的密钥 (k)，(P(k) = 1/256)。尽管故障会影响轮密钥，但密钥调度器中SBOX的有偏输出在输出轮密钥之前会与 (F_{256}) 中的均匀随机变量相加，最终使得轮密钥均匀分布。因此，即使存在故障，在观察之前假设每个AES轮的密钥均匀分布