13、改进的AES侧信道碰撞攻击与缓存攻击对策分析

改进的AES侧信道碰撞攻击与缓存攻击对策分析

1. 改进的AES侧信道碰撞攻击

在AES的侧信道碰撞攻击中，为解决特定情况下的系统 $S_m$，需为子系统 ${SS_i^m}_{i = 1}^q$ 中的 $q$ 个变量分配 $q$ 字节值，最终会有 $2^{8q}$ 个密钥候选值，再利用已知的明文 - 密文对来识别正确密钥。

1.1 随机图连通分量的渐近行为

随机图的连通分量数量有如下渐近行为：设 $G$ 是具有 $n$ 个标记顶点的随机图，$N = \lfloor\frac{1}{2}n\log n + cn\rfloor$（$c$ 为常数），$q = q_{n,N}$ 为 $G$ 中连通分量的数量，则 $\lim_{n\rightarrow\infty}Pr{q = i + 1} = \frac{(e^{-2c})^i}{i!}\exp(-e^{-2c})$。不过，由于 $S_m$ 关联图只有16个顶点，此估计不能直接应用。

1.2 随机二项式方程的期望数量

若AES中的广义字节碰撞总能被检测到，经过 $t\geq1$ 次测量后，第一轮AES关联图 $G_m$ 中的边的期望数量 $E(m)$（等同于 $S_m$ 中二项式方程的期望数量）为：
$E(m) = 120\cdot\left(1 - \left(\frac{119}{120}\right)^{16t - 256 + 256\cdot\exp{16t\cdot\ln\frac{255}{256}}}\right)$
其推导过程如下：
- 经过 $t$ 次测量后，第一轮中的广义碰撞期望数量 $N_{1R}$ 可估计为：$N_{1R} = 16t