6、基于多项式的MAC方案单轨迹侧信道分析

基于多项式的MAC方案单轨迹侧信道分析

1 引言

在认证加密（AE）系统中，Poly1305的密钥安全至关重要。一旦攻击者获取其密钥，就能伪造认证标签，这对AE系统来说是严重的安全漏洞。因此，评估Poly1305的侧信道分析（SCA）安全性十分必要。

本文提出了针对基于多项式的消息认证码（MAC）的首个单轨迹SCA攻击，成功获取了Poly1305的哈希密钥并伪造了认证标签。与以往对AES - GCM（即GMAC）标签生成的攻击不同，本文攻击适用于Poly1305，且能在实际应用场景中发挥作用。

2 预备知识和相关工作

2.1 基本符号

以下是Poly1305和AES - GCM的MAC（即GMAC）的数学符号定义：
|符号|含义|
| ---- | ---- |
|H|16字节哈希密钥|
|S|最终加法的密钥|
|T|输出标签|
|A|MAC的输入，由16字节输入块$A_1, A_2, …, A_i, …, A_n$组成，n为输入块数量|
|$X_i$|多项式求值中的第i个中间值，$X_i = A_1H_i + A_2H_{i - 1} + … + A_iH$|
|$W_i$|第i次加法的输出，$W_i = (2^{128} + A_i) + X_{i - 1}$|
|U|多项式求值的输出，$U = X_n$|
|$h_j, s_j, t_j, a_{i,j}, x_{i,j}, w_{i,j}, u_j$|分别为H、S、T、$A_i$、$X_i$、$W_i$和U的第j个字节|

对于Poly1305和GMAC，上述