DPA contest v4 攻击

最新推荐文章于 2024-07-16 15:11:55 发布
最新推荐文章于 2024-07-16 15:11:55 发布
阅读量341 收藏 3
点赞数
分类专栏: 测信道攻击 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/monica_ysl/article/details/131293724
版权

DPA contest v4 攻击

DPA contest v4收集了10 0000条trace,trace只涉及了AES-256 RSM 第一轮的加密。AES-256 RSM是在一个连接到SASEBO-W板的ATMega-163智能卡上实现的。

AES RSM介绍

AES-256 RSM 添加了掩码保护,Subbytes操作被替换成了嵌入掩码的版本 MaskedSubBytes:
M a s k e d S u b B y t e s i ( X ) = S u b B y t e s ( X ⊕ M i ) ⊕ M i + 1 MaskedSubBytes_i(X) = SubBytes(X \oplus M_i)\oplus M_{i+1} MaskedSubBytesi(X)=SubBytes(XMi)Mi+1
其中掩码 M i M_i Mi是公开的:
M i ∈ 0 , 15 = { 0 x 00 , 0 x 0 f , 0 x 36 , 0 x 39 , 0 x 53 , 0 x 5 c , 0 x 65 , 0 x6a , 0 x 95 , 0 x 9 a , 0 xa3 , 0 x x c , 0xf6 , 0 x c9 , 0 xf0 , 0 xff } . \begin{aligned} M_{i \in 0,15}= & \{0\text{x}00,0\text{x}0f, 0\text{x}36,0\text{x}39,0\text{x}53,0\text{x}5c, 0\text{x}65,0\text{x6a}, \\ & 0\text{x}95,0\text{x}9a, 0\text{xa3}, 0x\text{x}c, \text{0xf6}, 0x\text{c9}, 0\text{xf0},0\text{xff}\} . \end{aligned} Mi0,15={0x00,0x0f,0x36,0x39,0x53,0x5c,0x65,0x6a,0x95,0x9a,0xa3,0xxc,0xf6,0xc9,0xf0,0xff}.

AES RSM实现

AES RSM 泄露分析

在AES 256 RSM实现第一轮中X首先异或 M a s k Mask Mask得到 X ′ X' X,然后用 X ′ X' X异或 R o u n d K e y RoundKey RoundKey最后经过 M a s k e d S u b B y t e s MaskedSubBytes MaskedSubBytes。分析$ MaskedSubBytes_i$的输入输出的异或:
X [ i ] ⊕ M i ⊕ R o u n d K e y 1 [ i ] M a s k e d S u b B y t e s i ( X [ i ] ⊕ R o u n d K e y 1 [ i ] ⊕ M i ⊕ M i ) ⊕ M i + 1 = X [ i ] ⊕ R o u n d K e y 1 [ i ] ⊕ S u b B y t e s i ( X [ i ] ⊕ R o u n d K e y 1 [ i ] ) ⊕ M i ⊕ M i + 1 \begin{align*} X[i]\oplus M_i\oplus RoundKey_1[i]{ Masked}SubBytes_i(X[i]\oplus RoundKey_1[i]\oplus M_i \oplus M_i)\oplus M_{i+1}\\ =X[i]\oplus RoundKey_1[i]\oplus SubBytes_i(X[i]\oplus RoundKey_1[i])\oplus M_i\oplus M_{i+1} \end{align*} X[i]MiRoundKey1[i]MaskedSubBytesi(X[i]RoundKey1[i]MiMi)Mi+1=X[i]RoundKey1[i]SubBytesi(X[i]RoundKey1[i])MiMi+1
M i ⊕ M i + 1 M_i\oplus M_{i+1} MiMi+1是不均匀的!
M i ⊕ M i + 1 i ∈ 0 , 15 = { 0 x0f , 0 x39 , 0 x0f , 0 x6a , 0 x0f , 0 x39 , 0 x0f , 0 xff , 0 x0f , 0 x39 , 0 x0f , 0 x6a , 0 x0f , 0 x39 , 0 x0f , 0 xff } . \begin{align*} \underset{i\in 0,15}{M_i\oplus M_{i+1}}= & \{0\text{x0f},0\text{x39}, 0\text{x0f},0\text{x6a},0\text{x0f},0\text{x39},0\text{x0f},0\text{xff},\\ & 0\text{x0f},0\text{x39}, 0\text{x0f},0\text{x6a}, 0\text{x0f},0\text{x39},0\text{x0f},0\text{xff}\} . \end{align*} i0,15MiMi+1={0x0f,0x39,0x0f,0x6a,0x0f,0x39,0x0f,0xff,0x0f,0x39,0x0f,0x6a,0x0f,0x39,0x0f,0xff}.
8 个 0x0f, 4 个 0x39, 2 个0x6a, 2 个 0xff, 分布不均匀!

所以我们利用的泄露模型为:
H = X ⊕ R o u n d K e y 1 ⊕ S B o x ( X ⊕ R o u n d K e y 1 ) H=X \oplus RoundKey_1 \oplus SBox(X \oplus RoundKey_1) H=XRoundKey1SBox(XRoundKey1)
利用上式可以消除掩码的保护。
使用1000个trace 求平均值画出波形,可以发现200 μ s \mu s μs到 400 μ s \mu s μs 是 Subbytes的过程,可以大致分辨出16个state分别操作的过程如下图:在这里插入图片描述

使用10000条trace,针对明文的第一字节们进行测试,测试 X [ 1 ] ⊕ R o u n d K e y 1 ∗ [ 1 ] ⊕ S u b B y t e s i ( X [ 1 ] ⊕ R o u n d K e y 1 ∗ [ 1 ] ) X[1]\oplus RoundKey_1^{*}[1]\oplus SubBytes_i(X[1]\oplus RoundKey_1^{*}[1]) X[1]RoundKey1[1]SubBytesi(X[1]RoundKey1[1])与trace的相关度( R o u n d K e y 1 ∗ RoundKey_1^{*} RoundKey1是真实的轮密钥),发现正确密钥对应的相关度是可与其他错误密钥明显区分开。明文的其他字节与trace的相关度图也类似的形状。

在这里插入图片描述

实施攻击

根据DPA Contest 的规则,密钥的猜测必须是稳定的。这意味着,当算法在继续使用更多trace时,能够持续保持其正确的密钥,密钥稳定的阈值固定在100。
在此条件下恢复第一轮密钥 K K K的各个字节所需要的trace条数如下:

密钥字节number of traces
K[0]200
K[1]529
K[2]442
K[3]401
K[4]401
K[5]401
K[6]423
K[7]401
K[8]643
K[9]948
K[10]511
K[11]423
K[12]835
K[13]504
K[14]471
K[15]401

攻击在Python下实施,由于需要不断计算皮尔逊相关系数(Pearson correlation coefficient),十分耗时,所以恢复正确密钥花费了11h。

攻击代码的改进

由于测信道攻击中频繁使用科学计算,所以为了方便一直使用 python,但
python 实在太慢,然后了解并学习了 C++的科学计算库 Eigen。
Eigen 是一个高层次的 C ++库,有效支持线性代数,矩阵和矢量运算,数
值分析及其相关的算法。
使用 eigen 库实现与上周攻击 DPA Contest v4 的 python 程序相同的功能。
在 python 版本的攻击程序运行 11h 才完成,而利用 Eigen 库编写的 C++程序只
需要 64 分钟,速度提升 10 倍之多。

在这里插入图片描述

适千里者-三月聚粮
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
matlab神经网络30案例分析原代码-dpav4-contest:dpav4-竞赛
05-27
matlab神经网络30案例分析原代码dpav4-竞赛 提交给DPA v4竞赛的DPA分析代码:。 为了掌握AES的视觉理解,我绝对建议您观看精湛的AES闪存 该攻击混合了仅在400条迹线上训练的模板攻击和一种新颖的约束求解器。 提取偏移量的方法是尝试所有16种掩码可能性,计算纯xor掩码值,然后根据学习的模板和给定的迹线计算这16个字节的概率。 概率最高的蒙版是正确的蒙版。 密钥的提取是通过将模板分类器的部分,不完善的分类结果输入到定制的约束求解器中来完成的。 这提供了数千名关键候选人。 将这些关键候选对象与第二条迹线中的候选对象相交通常会将候选对象组的大小缩小到1。 在CHES 2014上与Yossef Oren和Avishai Wool共同撰写的一篇论文中对这种攻击进行了全面描述:“基于约束的概率模板侧通道攻击的新框架”。 Stefan Mangard,Mario Kirschbaum和Yossef Oren编写了一些代码片段。 这是提交给DPA v4竞赛的Matlab资料。 已在具有神经网络工具箱的Matlab 2012b上对其进行了测试。 发起攻击: 编辑LaunchRSMA
DPA Contest V2
01-07
DPA Contest V2相关情况简介~
SPA与DPA 攻击【转】
weixin_33816821的博客
02-17 800
转自:http://blog.sina.com.cn/s/blog_6cb58dbf0102v7ym.html SPA SPA是一种直接解释能量消耗测定值的技术。系统消耗能量的大小随微处理器执行的指令不同而不同, 当微处理器在对加密算法的不同部分执行运算时, 能量消耗变化有的会很明显。借助这种特征, 攻击者能区分出单条指令, 达到破解算法的目的。 DPA(Differential Power ...
在旋转对称类中搜索高度非线性的,DPA抵抗的平衡布尔函数
03-02
在旋转对称类中搜索高度非线性的,DPA抵抗的平衡布尔函数
有学习的高阶DPA攻击
01-14
在侧信道攻击中,作为抵抗一阶 DPA 攻击的对策,掩码策略是当前使用最为广泛的防御方式之一。目前,针对掩码策略,通常使用高阶DPA及高阶模板攻击攻击方式。但由于高阶DPA攻击的是多种信息的联合泄露,需要对多个位置的能耗进行交叉组合,导致其攻击效率低下。高阶模板攻击则需要在学习阶段了解每次加密中使用的随机掩码,攻击条件往往难以满足。针对目前这些攻击方式的不足与局限性,有学习的高阶 DPA 采用神经网络建立能耗对无掩中间组合值的拟合模型,基于拟合无掩中间组合值与猜测无掩中间组合值的相关系数进行攻击。这种方法消除了在学习阶段必须了解掩码的要求,同时避免了高阶 DPA 对能耗交叉组合的需求,降低了攻击条件,且提高了攻击的效率。实验证实了该攻击算法的可行性和高效性。
针对密码算法的高阶DPA攻击方法研究
10-17
差分能量分析(DPA)是一种强大的密码算法攻击技术。一种有效的防御措施是对参与运算的中间数据进行掩码,然而采用掩码技术的密码算法仍然可以用高阶DPA进行攻击。高阶DPA攻击与一般DPA攻击相比较存在很多难点,包括建立正确的攻击模型、选取正确的攻击点、构造适当的组合函数以及提高攻击模型的信噪比等。通过对一种经典的掩码方案进行分析,逐一阐述在高阶DPA攻击中如何解决上述难点,并在硬件实现的算法协处理器上对攻击方法进行了验证。
DPA攻击中功耗采集技巧研究
10-17
功耗分析(Differential Power Analysis,DPA)是一种强大的侧信道攻击技术,它利用微电子设备在执行计算任务时产生的功耗变化来推断出内部的秘密信息,如加密密钥。DPA攻击通常用于破解安全芯片,这些芯片在执行...
智能卡抗DPA攻击的设计与实现
11-11
然而,随着技术的发展,智能卡面临着越来越多样化的攻击手段,尤其是差分功耗分析(DPA攻击,这是一种通过分析智能卡在执行加密操作时的功率消耗模式来破解密钥的威胁。DPA攻击利用统计分析来推测敏感信息,对于不...
基于FPGA平台的抗DPA攻击电路级防护技术研究
01-19
 DPA是SCA(Side Channel Attacks,旁路攻击)技术的一种,其攻击思想为:以电路的功耗特性为基础,利用功耗与内部密钥的关系,将大量采样到的包含该内部密钥运算的功耗波形数据根据所猜测的密钥进行划分,使得所划分...
通用模拟DPA攻击的评估和改进
03-07
通用模拟DPA攻击的评估和改进
什么是DPA 攻击?
热门推荐
禅与计算机程序设计艺术
03-15 1万+
利用指令的电流变化来分析密码算法 DPA (Differential Power Analysis) ,差分功耗分析, DPA 攻击技术具有很强的攻击性和解密效率,它的的原理是:当芯片在执行不同的指令进行各种运算时,对应的功率消耗也相应变化。通过使用特殊的电子测量仪和数学统计技术,来检测和分析这些变化,从而得到芯片中的特定关键信息。这是一种利用指令的电流变化来分析密码算法和密码...
DES的s盒输出CPA和DPA攻击
薛定谔的cat
06-06 4907
CPA和DPA CPA(Connectional Power Analysis):相关性能量攻击,主要通过分析相关性来猜测密钥。 DPA(Differential Power Analysis):差分能量攻击,主要通过计算差值,比骄傲大小来分析猜测密钥的合理性。 完成的内容 攻击对象: 其中sbox是des中的6入4出的s盒子,C和K是6bit数,Sout是4bit的数。 要求:已知C的值和Sout(c,k)对应的信号值,攻击K。 测量仿真阶段: 输入20个随机明文C(C1至C20),固定密钥Ktrue
学习笔记——CPA相关功耗分析
cozair的博客
08-03 3117
最近在学习偏信道攻击,很多论文里都会提到或者用到DPA,它们主要讲的是DPA的步骤,但是对于为什么要那么做我看得不太懂,下面是我的一些个人理解,如果有理解错误的地方欢迎指正。内容除了相关的博硕论文以外,主要参考《能量分析攻击》一书。 首先DPA的特点是它主要是分析能量消耗和被处理数据间的依赖关系,不像SPA通沿着时间直接分析密码设备的能量消耗。其他的相关概念就不再多提,基本都可以查得到,下面介绍DPA的每个步骤: 1.选择所执行算法的某个中间值。 这个中间值表现为一个函...
A. Mishka and Contest
Sean
08-07 185
A. Mishka and Contest time limit per test 1 second memory limit per test 256 megabytes input standard input output standard output Mishka started participating in a programming contest. There...
DNSSec:网络安全的守护者
jiamisoft的博客
07-12 408
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 237
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
医疗健康信息的安全挑战与隐私保护最佳实践
2301_79955948的博客
07-12 1350
随着医疗信息化的发展,医疗健康数据呈现出爆炸式的增长,医院信息系统、电子病历、健康管理等产生了海量的数据,这些数据的管理和保护成为了巨大的挑战。最新的研究和政策动态显示,国家卫生健康委员会等政府部门正在积极推动医疗健康信息安全管理规范的制定和实施,以加强数据安全和个人健康医疗数据相关的隐私保护。隐私保护的最佳实践包括建立完善的数据安全管理制度、规范医疗健康数据的收集、存储和传输过程,防止数据泄露。这些要求和措施有助于确保医疗健康信息的安全性和个人隐私的保护,减少信息泄露的风险,并促进医疗行业的健康发展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值