密碼算法的軟硬件實現(xiàn)對其安全性提出了新的挑戰(zhàn)，算法在理論上的安全性并不能代表其在具體實現(xiàn)和應(yīng)用上的真正安全，算法的設(shè)計除了要抵抗常規(guī)的數(shù)學分析，還需要能夠抵抗算法運行時針對泄漏出的電磁、能耗、時間等信息的側(cè)信道分析。對密碼設(shè)備抗側(cè)信道敵手攻擊能力的評估，成為一個越來越重要的問題，泄漏檢測技術(shù)，也因此成為當前一個新的研究熱點。

泄漏檢測及其關(guān)鍵技術(shù)

區(qū)分器初探

側(cè)信道分析和泄漏評估方法都是區(qū)分器(Distinguisher)的應(yīng)用，大家可能對這個概念很陌生。其實，這里的“區(qū)分器”就是我們常說的分類器(Classifier)。舉一個簡單的例子，讓一個人蒙著眼睛對一堆不同面值的硬幣(含1元、5毛和1毛)進行分類，他能夠根據(jù)硬幣的不同重量，準確地將硬幣分成三堆。也就是說，硬幣的重量泄漏了硬幣的面值信息，可以利用(硬幣，重量)構(gòu)建一個區(qū)分器，將硬幣成功分類。如果仍然讓這個蒙著眼睛的人去分一堆黑子和白子重量相同的五子棋棋子。那么，他分類得到的兩堆子中，黑子和白子仍然約占一半。即(棋子，重量)不能作為一個分類器。但是，摘下眼罩，他能夠通過不同的顏色對棋子進行分類。也就是說，(棋子，顏色)可以構(gòu)建一個區(qū)分器。

圖1 一堆不同面值的硬幣和一堆五子棋棋子

泄漏檢測原理

為了提高設(shè)備的效率，運算中間值(Intermediate Value)通常會暫存于寄存器(Register)中。寄存器存儲數(shù)值的變化將引發(fā)功耗(Power Consumption)的變化。如，一個8位的寄存器，就像一個房間里的八個燈。由4盞燈切換到另外4盞，總線上的電流值基本不變。但若由4盞切換到8盞，那么我們能夠顯著地檢測到電流變化。因為電流的大小與開燈的數(shù)量有明顯的線性相關(guān)關(guān)系，根據(jù)電流的變化情況，我們就可以判斷房間里面開了多少盞燈。

圖2 亮不同數(shù)量的燈時，總線上的電流區(qū)別

跟燈與電流變化例子的道理類似，泄漏檢測(Leakage Detection)算法如相關(guān)性檢驗(ρ-test)，t檢驗，互信息檢驗等，利用不同的中間值與其產(chǎn)生不同的功耗泄漏的密切關(guān)系來進行檢驗。假設(shè)泄漏檢測者采集到了加密過程中的功耗泄漏，現(xiàn)在他要確定泄漏是否與密鑰運算的中間值相關(guān)。以相關(guān)性泄漏檢驗為例，只需根據(jù)正確的密鑰對每一個樣本點進行劃分。若正確的密鑰下，信號呈現(xiàn)較好的分類，使得每一類的功耗值與中間值的功耗模型(如漢明重量模型)呈較高的相關(guān)性，即可認為存在泄漏。

以AES-128在AT89S52微控制器系統(tǒng)上軟件實現(xiàn)的相關(guān)性泄漏檢驗為例，當采集了1300個明文加密的泄露信息時，第一個密鑰字節(jié)(值為213)對應(yīng)的第一個S盒輸出的功耗，每條信號包含5000個樣本點(Samples)。正確密鑰下，第2141個樣本點的功耗與中間值具有較高的相關(guān)性。因而得到檢測結(jié)果：該點泄漏了第一個S盒輸出的與密鑰相關(guān)的中間值(如下圖左圖所示)。但第700個樣本點的相關(guān)性泄漏檢驗結(jié)果如下圖右圖所示，可以認為該點不存在密鑰相關(guān)泄漏。

圖3 樣本點2141(左)、700(右)的相關(guān)性泄漏檢測結(jié)果

當然，上面兩圖僅僅反映了兩個樣本點是否存在泄漏。對于泄漏檢測而言，評估者需要對所有的樣本點進行檢驗，才能得到最終結(jié)論。下圖所示，對S盒輸出中間值的相關(guān)性泄漏檢測表明，在AT89S52上實現(xiàn)的AES-128加密算法的第一個S盒多次泄漏了密鑰相關(guān)信息。可以通過修改算法，消除信號與敏感信息的相關(guān)性，從而消除泄漏，保證算法的安全實現(xiàn)。

圖4 所有5000個樣本點的相關(guān)性泄漏檢測結(jié)果

泄漏檢測平臺

常用側(cè)信道分析平臺，如Riscure公司的Inspector分析測試平臺，也可以用作泄漏檢測。該平臺主要包括泄漏采集(示波器)和泄漏分析設(shè)備(臺式機)等。泄漏檢測過程一般為，攻擊者利用示波器等信號采集設(shè)備采集泄漏信息并進行預(yù)處理，利用泄漏檢測算法進行檢驗，評估設(shè)備泄漏情況和安全性。

圖5 Riscure公司的Inspector分析測試平臺

設(shè)備的安全性度量

就目前而言，并沒有哪一種檢測方法能夠以100%的概率得到設(shè)備是否存在泄漏的結(jié)論。故而，檢測者需要根據(jù)密碼算法的實現(xiàn)，多嘗試幾種泄漏檢測方法，提高檢測結(jié)果的可信度(Confidence)。

評估者會想，需要采集多少條信號來檢測泄漏呢?現(xiàn)在用條信號都沒有檢測到泄漏，那么是否沒有泄漏呢?不盡然，也許當我們使用條信號進行檢測時，就檢測到泄漏了。因此，評估者通常將安全性劃分成若干等級。如，條信號沒有檢測到泄漏，將安全等級劃分6級;條信號沒有檢測到泄漏，將安全等級劃分5級;以此類推。

研究現(xiàn)狀和未來發(fā)展趨勢

隨著側(cè)信道分析的發(fā)展，攻擊者能夠更加精確地刻畫設(shè)備的泄漏信息、提出更加精準的功耗模型、提出更加高效的區(qū)分器，使得其能夠在更少的能量跡、更小的代價下成功恢復(fù)密鑰。而最好的防御側(cè)信道攻擊的方法，就是設(shè)備不存在敏感信息相關(guān)的泄漏。泄漏檢測的目的，就是檢測密碼芯片在密碼運算過程中，是否泄漏與密鑰相關(guān)的關(guān)鍵信息，以便于更好地防止泄漏。

泄漏檢測與評估框架完善

相對于側(cè)信道分析和防御的研究，側(cè)信道泄漏檢測的研究比較滯后。最早可追溯到2009年，Standaert等人側(cè)信道評估(Side Channel Assessment)框架的首次提出。2011年，NIST組織招開研討會，希望能夠建立被公認的方法來評估設(shè)備的安全性，并首次通過實驗來檢測泄漏。這些方法通過觀測對設(shè)備執(zhí)行一系列攻擊實驗時的是否成功，以及在成功的情況下所消耗的代價(如時間復(fù)雜度、空間復(fù)雜度和采樣復(fù)雜度等)來評估設(shè)備的安全性。相關(guān)的工作為側(cè)信道泄漏檢測與評估提供了參考。但是，側(cè)信道泄漏檢測與評估體系十分不完善，大量的工作有待研究。

泄漏檢測算法的優(yōu)化

2013年，Luke等人提出了新的泄漏評估方法，他們在一系列實際相關(guān)的側(cè)信道分析場景中，比較了t檢驗、連續(xù)互信息和離散互信息這三種檢驗的效果，并考慮樣本容量、泄漏函數(shù)、噪聲和其他假設(shè)檢驗標準對檢測性能的影響。但是，他們的方案具有較高的復(fù)雜度。在單核CPU上，需要近1一個月的時間。在使用兩個AMD Radeon 7970型號的GPU，吞吐量達到每秒3000億次浮點運算的情況下，仍需要約14個小時來完成校驗?？梢姡褂迷摲椒▉碓u估設(shè)備的安全性，仍然十分的困難。類似的研究是近幾年的主流，更多的檢測算法和優(yōu)化算法被陸續(xù)提出。

高階掩碼泄漏檢測

Durvaux等人利用基于相關(guān)性的漏檢實驗來檢測不同信噪比和漢明重量下的信息泄漏情況，并使用該方法改進了其在COSASE 2015 上提出的高階掩碼(Higher-Order Masking)算法特征點的快速檢測工具，為泄漏檢測開辟了一個新的研究方向。

高階掩碼將中間值分成多片，至少要尋找到一組分片的樣本點才能恢復(fù)該中間值。串行實現(xiàn)的高階掩碼的泄漏檢測，其困難性在于隨著掩碼階數(shù)的增加，分片的位置越難找。比如10個點里有5個點分別對應(yīng)5個分片的泄漏，窮舉很快就可以找到這5個點。但是100萬個點里面尋找5個點將變得十分困難。此外，隨著分片的增加，組合分片得到的信號的噪聲迅速增大，這使得即使設(shè)備存在泄漏仍然難以被檢測出來。而且，檢測需要大量的信號，也極大增加了檢測難度。

掩碼方案泄漏預(yù)檢驗

Oscar于FSE 2016上提出了一種帶掩碼方案的密碼算法在設(shè)備實現(xiàn)上之前，驗證其是否存在泄漏的方法。該方案的好處在于，省去泄漏采樣和特征點檢測環(huán)節(jié)。此外，直接利用中間值的組合進行泄漏檢測，避免了噪聲對檢測的影響。這是目前較好的泄漏檢測方法。但是，密碼實現(xiàn)是否存在泄漏，還與設(shè)備密切相關(guān)，所以該方法還有待進一步改進。

總結(jié)

泄漏檢測和評估對密碼芯片安全有著至關(guān)重要的作用，是目前側(cè)信道分析領(lǐng)域的研究熱點之一，但是其理論體系目前尚不完善，大量研究工作有待進行!

【本文為51CTO專欄作者“中國保密協(xié)會科學技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文