DPA的執行（上）

步驟

• 數據收集和準備
• 使用選擇函數生成假設
• 求平均值
• 評估

1.數據收集和準備

????????DPA利用的泄漏可能比一組能量跡中的噪聲水平小得多，但更好的信噪比需要更少的能量跡。在評估實驗室或對抗環境中，時間通常至關重要，初始數據收集的改進可以通過改善信號質量來縮短恢復密鑰的時間。

1.1設備儀表

????????影響功率測量信號質量的因素很多。例如，在靠近加密IC的地方進行測量通常可以改善跟蹤。在具有多個電源和接地連接的大型ASIC/SOC上，為執行密碼計算的電路供電的輸入可能提供更好的數據。類似地，在板級，去除去耦電容器或使用外部試驗級電源可以降低噪聲。

????????雖然電阻與電源線或地線串聯是獲得能量跡的最簡單方法，但我們也成功地開發了電池和內部電源的內部電阻。如果直接電源線不可用或質量較差，則可以使用其他傳感器。

例如，磁場傳感器對于較大的集成電路是有效的。雖然熱成像和聲學效應被認為是可能的旁道，但由此產生的測量質量可能較低。如果集成電路已被去屏蔽，光子發射測量和其他側信道可供選擇。

????????在某些情況下，信號質量受設備工作參數的影響，如電壓、溫度和時鐘頻率/波形。通過在設備運行包線邊緣附近運行設備來對其施加應力，可能會增強泄漏目標或降低某些對策的有效性。

例如，降低輸入電壓可能會對電壓調節器造成壓力并增加泄漏。工作臺級時鐘可以減少定時抖動，特別是當與測量設備的采樣時鐘同步時。使用正弦波時鐘可以減少測量中的高頻噪聲。

????????對于一些設備，可以控制在給定命令中執行的加密操作的數量，例如，通過選擇輸入消息長度。通常首選執行更多加密操作的命令，因為增加每個跟蹤的加密操作數通常會加快數據收集階段。雖然許多DPA攻擊使用隨機或任意輸入消息（如典型的密文），但選擇的輸入消息有時會顯示額外的泄漏或簡化分析。

1.2測量

????????數據采集采用高速模數轉換系統。數字存儲示波器非常適合此任務。在選擇范圍時，合理的內存深度（用于捕獲較長的跟蹤）和觸發器靈活性（用于幫助在適當的時間開始跟蹤捕獲）是有幫助的。此外，快速觸發重新啟動時間和快速傳輸速率有助于加快數據采集階段。（數據采集最長時間消耗DPA步驟）

????????根據我們的經驗，信號保真度和校準不太重要，因為廉價實驗室設備引入的失真類型通常不會干擾DPA利用的泄漏信號。雖然在處理非常小的相關性時，采樣分辨率似乎非常重要，但DPA的主要關注點是信噪比，采樣誤差通常比其他噪聲源小得多。

????????在某些情況下，在A/D轉換之前對原始信號進行模擬預處理是有幫助的。例如，在現場供電設備和某些類型的EM分析的情況下，AM或角度解調步驟有助于隔離感興趣的信號。類似地，簡單的帶寬限制（許多示波器的一項功能）可以幫助消除不必要的高頻偽影。

????????為了盡量減少收集的無關數據量，檢查任何SPA信號也可能有助于縮小加密過程發生時的范圍。在其他情況下，使用已知輸入和輸出位作為選擇函數的初步DPA測試可以突出顯示執行加密操作的精確位置。表征設備泄漏的更通用技術是使用基于密碼操作中預期中間值的選擇函數執行DPA測試。只有當攻擊者能夠獲得具有已知密鑰的設備時，才能進行這種“已知密鑰”分析。使用這些中間產物的測試有助于識別從實現中泄漏的信息。

1.3數據處理

以數字形式收集記錄道后，額外的數字信號處理可以顯著提高DPA過程其余部分的效率并改善其結果。

????????能量跡對齊（識別每條能量跡中的參考時間位置）通常執行，是最簡單的信號處理技術。為了將能量跡Ti與參考能量跡T0對齊，采用簡單的相關測試來找出使T0[j]和Ti[j+d]之間的差異（或差異的平方）最小化的時間偏移d。有時，需要更復雜的對齊方法。）通常，仔細對齊或信號再同步可以減少或消除這些影響。雖然正確的對齊不是DPA成功的必要條件，但良好的對齊確實減少了提取密鑰所需的能量跡數量。

????????DPA測試可能是一項高度數據密集型任務，尤其是在執行大量能量跡時，每個能量跡包含大量測量點。能量跡中存在的許多信息在DPA測試中沒有用處；通常只有少數能量跡偏移顯示DPA信號。一旦一個特定的設備被特征化，通過丟棄除少數重要點之外的所有點，可以大大壓縮跟蹤。

2.使用選擇函數生成假設

????????DPA攻擊通過利用對計算某些方面的預測來利用泄漏的信息，該預測以依賴于密鑰的方式變化。設備狀態的許多方面可能會泄漏，例如，當總線或寄存器中的字的值發生變化時，會發生變化的位的“漢明距離”泄漏。真正的泄漏可能很復雜。在某些設備中，從0到1的轉換與從1到0的轉換不同。漢明權重和漢明距離模型獨立處理比特，但在實際設備中，不同比特的泄漏幅度差異很大，可能會受到多比特效應的進一步調制。一些設備具有面向字的泄漏，這些泄漏可能與符號、零、溢出或進位等標志位相關。

????????在SASEBO-GII AES實現中，當寫入圓形寄存器的字節值為0時，FPGA使用的功耗明顯低于平均值。當寫入圓形寄存器的字節與被覆蓋字節的值相同時，它使用的功率甚至更低。對這些效應的了解，通常是通過反復試驗發現的，有助于制定選擇函數。

????????在許多情況下，DPA攻擊所針對的秘密常數是圓密鑰的可識別部分。在其他情況下，如在計數器模式下使用未知起始計數器分析DES-X、HMAC-SHA或AES時，攻擊會恢復一個常數，該常數是多個秘密常數（或密鑰）的函數。一次攻擊可能需要重復幾輪，以恢復足夠的機密材料來解決所有密鑰。在某些情況下（如HMAC-SHA），分析不會恢復原始密鑰，而是生成中間值，使攻擊者能夠執行與原始密鑰相同的操作。? ??

????????選擇的消息分析對于公鑰算法特別有用。一種常用于公鑰算法的策略是僅猜測部分密鑰（例如，幾個最重要的位）并使用該值預測中間值。最佳預測將提供最接近的密鑰近似值，但仍偏離實際中間狀態。該方法可以迭代應用，以連續獲得更好的近似值，直到知道關鍵點。

????????選擇函數的值通常為0/1。在某些情況下，特別是當設備的泄漏特性眾所周知時，選擇函數可以具有非二進制輸出。然后在最后的平均步驟中將該輸出用作權重，其中權重可以是零、正或負。這種類型的分析與第節中描述的相關功率分析密切相關。一般來說，當關于設備泄漏的假設成立時，非二進制和多位選擇函數可以提高攻擊的效率，而二進制、單位選擇函數可以在不需要關于多位泄漏的額外假設的情況下使用。

????????假設生成階段的最后一步是計算每條軌跡的每個選擇函數的輸出。例如，如果256個選擇函數試圖求解AES密鑰的一個字節，則此階段的輸入通常為每條能量跡的密文或明文，輸出為每條能量跡的256位向量。

總結

以上是生活随笔為你收集整理的差分能量分析介绍（四）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。