30、针对Skein模加法的蝴蝶攻击

针对Skein模加法的蝴蝶攻击

1. 模加法攻击基础

在模加法攻击中，核心概念是将密钥值的变化控制在可攻击的范围内。若已知在模加法过程中只有特定数量的比特可能发生变化，而密钥的其他比特保持不变，那么在差分功耗分析（DPA）中可以忽略未改变的比特，从而降低复杂度。

常规分析的复杂度为 $2^N$，而掩码分治法将复杂度降低至 $2^\lambda * \lceil\frac{N}{\lambda}\rceil$。DPA 对应的假设函数 $h$ 为：
$h(m’ {\lambda}, k) = HW(m’ {\lambda} + k)$，其中 $0 \leq k < 2^\lambda$。
这里，$m’_{\lambda}$ 是包含可变数据的 $\lambda$ 比特输入块。

根据下一个密钥块的最低有效位，假设的最高有效位产生进位时，整体汉明重量有 50% 的概率增加 1，25% 的概率不变，12.5% 的概率减少 1，6.25% 的概率减少 2 等等。因此，汉明重量增加 1 的可能性最大，我们选择假设函数时不将结果对 $2^\lambda$ 取模。

2. 对称分析

2.1 相关性分析问题

在使用分治法对模加法进行 DPA 时，我们在得到的相关性中观察到了一种特殊现象。常规攻击后，正确密钥具有最高的相关性，但掩码分治法可能导致其他候选密钥的相关性更高，尽管整体相关性会收敛。

在 DPA 结果的相关性中，与正确密钥汉明距离较小的候选密钥仍具有较高的相关性。但可能出现的情况是，正确密钥及其对称密钥在所有可能的候选密钥中都不具有最高的相关性。这使得通过选择相