SM2算法中标量乘的侧信道分析方法

标量乘的简单功耗分析

  简单功耗分析时对正在加解密硬件的电路进行功耗消耗采集，通过直接分析功耗波形特征，进而获得与密钥相关的信息。例如：对于标量乘40P，它对应的二进制表示为：$40P=(101000_2)P=(d_5{d}_4{d}_3{d}_2{d}_1{d}_0{)}_{2}P$,此算法从左至右扫描各个标量位。
#0 $P=1P$
#1a $P+P=2P=10_{2}P$
#1b
#2a $2P+2P=2P=100_{2}P$
#2b $4P+P=2P=101_{2}P$
#3a $5P+5P=10P=1010_{2}P$
#3b
#4a $10P+10P=20P=10100_{2}P$
#4b
#5a $20P+20P=40P=101000_{2}P$
#5b
  因为在SM2算法中，点乘运算中的点加操作和倍点运算的功耗波形特征有着显著的不同，利用简单功耗分析就能区分出点加操作和倍点操作。如下图所示的功耗曲线图，可恢复标量K=0001000。

标量乘的差分功耗分析

  在SM2算法中，可以对标量乘与乘法器实行差分功耗攻击。以标量乘KP来说，DPA攻击按以下几个步骤进行：首先选取算法中与密钥有关系的中间值。第二步是收集密码设备运行时消耗的能量。第三步计算假定的中间值，对不同的K值，计算出对应的假设中间值。第四步将数据中间值映射成对应的能量消耗值。第五步比较假设的能量消耗值域实际能量值，计算相关系数。