论文笔记：针对盲化的 RSA算法的水平聚类侧信道攻击

论文笔记：针对盲化的 RSA算法的水平聚类侧信道攻击

作者：史凡玉（天津大学，2020年1月硕士学位论文）
其文章发表：
Shi F , Wei J , Sun D , et al. A Systematic Approach to Horizontal Clustering Analysis on Embedded RSA Implementation[C]. 2019 IEEE 25th International Conference on Parallel and Distributed Systems (ICPADS). IEEE, 2019.

论文笔记：Systematic Approach to Horizontal Clustering Analysis on Embedded RSA Implementation

选择明文水平侧信道攻击

本文特殊明文𝑀 = 1，算法 5 只有步骤 6 与密钥位的值相关:
当𝑑𝑖−1 = 0，步骤 6 执行R[1] = R[1] × 1 𝑚od 𝑛 = 𝑟−1 × 1 𝑚od 𝑛.；
当𝑑𝑖−1 = 1，步骤 6 执行R[0] = R[0] × 1 𝑚od 𝑛 = r × 1 𝑚od 𝑛。
𝑀 = 1时，R[0]中寄存器的值维持为r；R[0]中寄存器的值维持为𝑟−1。

以 100M/s 的采样率采集加密的整个功耗曲线。在 RSA 加密算法中，很难分辨模幂曲线和蒙哥马利转化域曲线（图 3-1 中模幂开始点和结束点）。
比特位对齐：

水平侧信道攻击中，每个密钥位相关的功耗曲线必须两两对齐，即模幂中每次循环造成的功耗曲线进行对齐。模幂功耗曲线记作 T，它由一维向量(1 × L)表示。每次循环操作的时间长度相等。以 Boscher 的从右到左算法为例，每个循环都由这两个模乘操作组成。因此，功耗曲线 T 可以平均分为 s 个子迹𝑂1:𝑠，其中 s 为密钥位的比特长度。功耗曲线 T 可以表示为以下矩阵：

𝑂1:𝑠分别对应各个密钥位。𝑡𝑖,𝑗记为功耗曲线 T 的各个元素。

基于希尔伯特-黄变换模幂边界检测结果

由于时域上的不连续性导致频域上的突变，通过分析瞬时频率函数便能找出有效功耗的边界位置。鉴于功耗曲线非平稳非线性，以及希尔伯特-黄变换的局部特性，用希尔伯特-黄变换进行了谱分析。经验模态分解可根据自身信号自动分解出由高频到低频排序的信号分量，且分解产生的经验模态函数两两正交。经验模态函数分解有以下假设：

1）信号具有至少两个极值，分别是一个极大值和一个极小值。
2）时间的特征尺度是两极值之间的时间长度。
3）如果数据完全没有极值，但仅包括突变点，可以对信号进行一次或者多次的差分来得到极值点。

记RSA 加密算法执行的功耗曲线为𝑋(𝑡)。首先根据三次样条插值，计算极大/极小值包络线。𝑚1记为两个包络的均值，ℎ1记为第一个分量，则：