超级会员免费看
低熵掩码方案的脆弱性剖析
1. 动机
侧信道攻击(如功耗分析和电磁分析)一直是嵌入式加密解决方案,特别是加密智能卡面临的重大问题。掩码技术是早期且被广泛研究的对抗措施之一。若正确实施掩码,能显著增加攻击的复杂度,甚至能证明在适当掩码实现和相应假设下,一阶攻击是不可能成功的,这使得经典差分功耗分析(DPA)、相关功耗分析(CPA)和互信息分析(MIA)等简单且流行的攻击变得不切实际甚至不可行。
然而,掩码方案存在一个主要缺点,即实现时需要显著的开销,尤其是对于像高级加密标准(AES)这样的流行密码算法。计算开销通常很大,这是由于掩码处理以及其他调整计算(如即时重新计算查找表或冗余存储)造成的。此外,掩码方案通常假设随机掩码是均匀分布的,这意味着除了受保护的加密方案外,还需要实现并查询一个足够好的随机数生成器。因此,掩码通常会给硬件和软件中的加密实现增加显著的时间和空间开销。
为了减少这种开销,人们提出了降低掩码熵的想法。使用较少的掩码值可以减少实现中需要处理的特殊情况数量,从而在侧信道抗性和性能之间实现合理的权衡。虽然已有一些工作提出在架构层面应用低熵掩码,但对其可能的弱点缺乏深入分析。
2. 背景
2.1 低熵掩码方案
低熵掩码方案(LEMS)是一种对抗侧信道攻击的措施。与其他掩码方案一样,它试图通过向中间状态应用随机值来随机化观察到的泄漏。然而,它减少了掩码字母表的大小,从而限制了泄漏状态的随机化程度。
例如,对于受LEMS保护的AES实现,掩码集M是{0, 1}^8的一个严格子集,使得适用的掩码值数量远小于256。旋转S盒掩码(RSM)方案是LEMS的一个实例,它是一种布尔掩码方案,使用1
订阅专栏 解锁全文
扫一扫
77
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
