16、二阶差分功耗分析（DPA）的再审视

二阶差分功耗分析（DPA）的再审视

在密码系统的安全评估中，侧信道攻击是一种重要的研究方向，尤其是二阶差分功耗分析（Second - Order DPA）。本文将深入探讨二阶DPA中的一些关键问题，包括不同组合函数的性能、信息论分析以及在不同攻击场景下的实验结果。

1. 二阶DPA基础

在8位S盒（如AES的S盒）的环境下，存在9种可能的泄漏分布，对应于秘密状态 $\Sigma_i = Sbox(x_i\oplus s)$ 的9种汉明重量值。这里，$W_H$ 是汉明重量函数，$n_1^i$ 和 $n_2^i$ 是均值为0、标准差为 $\sigma_n$ 的正态分布噪声值。

在一阶攻击中，利用单个泄漏样本 $l_i$ 时，会计算皮尔逊相关系数：
$\hat{\rho}(M_{s^ q}, L_q) = \frac{\hat{E}[(l_i - \hat{E}(L_q)) \cdot (m {s^ i} - \hat{E}(M {s^ q}))]}{\hat{\sigma}(L_q) \cdot \hat{\sigma}(M {s^ _q})}$

为了将其扩展到二阶情况，经典方法是使用组合函数 $C$ 来组合两个泄漏样本 $l_1^i$ 和 $l_2^i$。常见的组合函数有：
- Chari等人提出的两个中心样本的乘积：$C(l_1^i, l_2^i) = (l_1^i - \hat{E}(L_1^q)) \cdot (l_2^i - \hat{E}(L_2^q))$
- Messerges使用的绝对差值：$C(l_1^i,