23、未知算法加密未知固定消息且无结果返回时提取未知密钥及光盘指纹技术研究

未知算法加密未知固定消息且无结果返回时提取未知密钥及光盘指纹技术研究

未知密钥提取相关内容

在密码学领域，除了常见的复杂性假设外，还默认秘密信息可在防篡改位置得到物理保护。所有密码操作都是物理过程，数据元素需由物理结构中的物理量表示，这些物理量由构建防篡改设备的基本器件（门）进行存储、感知和组合。随着复杂数字通信系统的快速发展，物理秘密信息泄露（密码泄露）问题引发了新的学术关注。目前，尽管侧信道泄露的多数方面已被充分理解，但针对完全未知算法的攻击方法尚未出现。这里的“完全未知”指攻击者对算法的数学描述（包括明文大小）、微处理器以及芯片的功耗模型均一无所知。

攻击思路与假设

我们通过对测试芯片的实验，探索了一种新的侧信道攻击方法。攻击者会得到一个用未知密钥 K 加密的设备 HK(•) 和一个物理上相似的空白设备 H•(•)，攻击者可随意对空白设备重新设置密钥，且仅知道明文大小和密钥大小。给定密钥 k 和密文 c，Ek(c) 表示用 k 解密 c 时的功耗曲线（辐射），为简化，我们使用常量 c（如全零密文），并记 dk = Ek(c)。了解微处理器的字长 w（8 位、16 位或 32 位）并非必需，但可加速攻击，常见的对策可能会减缓或阻止攻击。

我们的攻击思路基于以下直觉：首先收集目标设备的功耗轨迹并求平均值，得到更清晰的 dK 表示。假设目标是 8 位机器，用任意候选密钥 k 解密 c 时，设备的功耗在 k 和 K 开始被设备处理之前，原则上应与 dK 一致。因此，样本相减 Δk = dK - dk 会产生一个差分曲线，其起始部分是平坦的，直到某一点 Δk 突然变得嘈杂。由于 8 位机器一次只能处理一个字节，一旦正确猜出 K 的第一个字节，Δk 的平坦部分就