17、轻量级分组密码的差分故障分析攻击研究

轻量级分组密码的差分故障分析攻击研究

1. LED 分组密码的故障攻击

在对 LED 分组密码的研究中，通过分析发现存在两个故障元组，分别为 (9, 2, 8, 5) 和 (9, 2, B, 5)，对应的密钥候选集元素数量分别为 224 和 223。有问题的方程是 Ec,i（i ∈{0, 1, 2, 3}），可能的故障值为 8 和 B。目前无法确定哪个集合包含正确密钥，所以需要对两个集合进行搜索。在这个例子中，正确密钥包含在故障元组 (9, 2, B, 5) 对应的候选集中。

1.1 密钥集过滤

为了确定密钥候选集是否包含真正的密钥，进行如下分析：
设 xi ∈F16（i ∈{0, 4, 8, 12}）是第 31 轮开始时状态矩阵第一列的元素。根据故障传播，故障元素 x′i 满足以下方程：
- x′0 = x0 + 4f ′
- x′8 = x8 + Bf ′
- x′4 = x4 + 8f ′
- x′12 = x12 + 2f ′

设 yi ∈F16 是将 xi 加上轮常数后输入 S 盒得到的值，这些值满足：
- S(x0 + 0) = y0
- S(x4 + 1) = y4
- S(x8 + 2) = y8
- S(x12 + 3) = y12
- S(x′0 + 0) = y0 + a
- S(x′4 + 1) = y4 + b
- S(x′8 + 2) = y8 + c
- S(x′12 + 3) = y12 + d

对这些方程应用逆 S 盒并取涉及相同元素 yi 的方程的差值，得到以下方程组： <