面向ASIC 實現的CPA 研究平臺及其應用

王晨旭，張凱峰，喻明艷，王進祥

1.哈爾濱工業大學 微電子中心，哈爾濱150001

2.哈爾濱工業大學（威海）微電子中心，山東 威海264209

1 引言

差分功耗分析（DPA）攻擊是一種利用密碼設備的功率消耗信息來獲取密碼設備中私密信息的攻擊方法[1]。自1999 年Paul Kocher 首次提出以來，該方法以其攻擊效率高、代價小等優勢，給國防、安全、金融、個人信息保護等多個信息領域的信息安全構成了巨大威脅，因而受到了科學界的廣泛關注。

功耗分析攻擊之所以能夠成功的破譯智能卡、密碼芯片等多種設備的密鑰，是因為在密碼設備中，設備的瞬時功率消耗與設備所處理的數據和正在執行的操作存在相關性。為了能夠抵御功耗分析，即打破這種相關性，研究人員已經提出了多種防御措施，例如基于環形振蕩器的抗DPA 防御措施[2]、基于掩碼技術的抗DPA 攻擊方法[3-4]、基于時鐘隨機化的防御措施[5]等。過去，對抗功耗分析攻擊效果的評估多采用對實際芯片進行功耗曲線（Power Trace）測量，然后進行攻擊。該方法雖然更有說服力，但存在兩個缺陷：一是不能在設計周期評估防御措施的效果，當芯片實測效果不理想時需要重新設計芯片，增加了設計成本，致使產品上市時間滯后；二是實際測量難度較大，并且由于測量噪聲的存在，需要更多的功耗曲線，這就造成了測量時間的增加，因而不適用于對抗功耗分析理論的研究。為了能夠準確快速地研究抗功耗分析攻擊的新方法，并評估各種防御措施的實際效果，一些研究人員開發了評估平臺。文獻[6]基于軟硬件協同設計和仿真的思想，開發了一款以FPGA 為載體的抗DPA 攻擊評估平臺，加速了早期設計階段的DPA 評估，但其應用背景主要面向基于單片機軟件實現的密碼芯片抗攻耗分析攻擊評估。在國內，軍械工程學院的研究人員在文獻[7]中，基于LabVIEW 開發了一個針對真實硬件系統的評測平臺。該平臺的不足之處也是只能用于單片機軟件實現密碼算法的DPA 攻擊實驗或評估，而不能用于專用集成電路（Application Specific Integrated Circuit，ASIC）的DPA 防御措施的預估。清華大學的研究人員則在文獻[8]中，面向密碼芯片的ASIC 實現，提出一種基于電路級模擬器Star-Sim 的功耗分析研究平臺。該平臺用Star-Sim 模擬出功耗曲線，然后用均值差的DPA 攻擊方式，進而評估ASIC 芯片的抗攻耗分析能力。Star-Sim 是一款晶體管級仿真器，功耗模擬結果比較精確，但是該平臺只能在設計周期的后期才能評估芯片的抗功耗分析能力，而且晶體管級仿真器的仿真速度極慢，導致功耗曲線的獲取效率較低，給評估工作帶來不便。相形之下，如果能夠獲取密碼芯片門級功耗曲線，則可以在設計周期的早期進行功耗分析攻擊和評估。雖然其結果不及Star-Sim 精確，但是功耗分析攻擊能否成功的關鍵不在于功耗的絕對值（即功耗準確性），而是在于單條功耗曲線不同點之間和不同功耗曲線相同點之間的相對數值。因此這種基于門級網表的功耗獲取方法依然有一定的實際意義，而且極快的門級功耗模擬速度必將給評估工作帶來方便。本文基于PrimeTime PX 模擬輸出的門級功耗曲線，使用MATLAB 建立CPA 攻擊平臺，通過MATLAB 建立功耗模型并計算相關系數后，再進行相應的數據分析處理以實現攻擊。

2 CPA 研究平臺的設計思想

功耗分析攻擊是一種通過分析密碼設備的電流信息來獲得密鑰的方法。這種方法之所以能夠奏效，是因為密碼設備在使用不同明文進行加密的過程中，元件的翻轉次數會有所不同，這就造成了設備消耗的功耗會有微小的不同，瞬時功耗依賴于設備所處理的數據和設備所執行的操作。

PrimeTime PX 是Synopsys公司的功耗模擬軟件，它提供了較為精確的動態和靜態功耗分析能力，可以對門級電路的功耗進行模擬，進而得出密碼芯片的功耗曲線，因此可以將其用于密碼芯片的算法級DPA 防御能力的評估。密碼算法芯片的功耗模擬過程如圖1 所示，流程如下：（1）對編寫的加密算法HDL 設計文件進行功能模擬；（2）將模擬無誤的設計文件進行邏輯綜合；（3）綜合后模擬，并記錄所用的明文和加密后的密文信息；（4）將綜合后產生的網表文件、相應的波形文件和庫文件經PrimeTime PX 模擬功耗，生成功耗曲線文件。重復（3）、（4）過程，完成多組功耗曲線的測量。圖2 給出了使用PrimeTime PX 模擬出的AES 算法功耗曲線直觀效果圖。

圖1 PrimeTime PX 功耗模擬流程圖

在使用PrimeTime PX 快速準確地得出功耗曲線之后，為了能夠達到攻擊的目的，通過MATLAB 建立功耗模型并計算相關系數后，再進行相應的數據分析處理，如圖3所示。

使用MATLAB進行CPA攻擊，按照以下5個步驟進行[4]：

（1）選擇所執行算法的某個中間值。這個中間值必須是一個函數f(d,k),其中d 是已知的非常量數據，一般為加密算法的明文或密文，k 是密鑰的一小部分。

（2）使用PrimeTime PX 模擬密碼設備加密或解密D個不同數據分組時的功耗，產生一個D×T 的功耗曲線矩陣T 。

（3）對每一假設的k 值計算對應的中間值，對所有D次加密和所有K 個密鑰假設，可以得到一個D×K 的中間值矩陣V,V 中的每一個元素vij=f(di,kj)。

圖2 PrimeTime PX 模擬出的AES 功耗曲線圖

圖3 CPA 攻擊研究平臺的實現方式

（4）根據元件輸出翻轉次數的變化，利用漢明距離模型，將矩陣vij映射為D×K的功耗值矩陣H。

（5）對假設功耗值和模擬出的能量值進行相關系數分析。相關系數是表征向量之間線性關系緊密程度的量，其計算公式如公式（1）。計算H矩陣的每一列hi和矩陣T的每一列tj的相關系數ri,j,得到一個K×T的矩陣R。

最大的相關系數表征了實際功耗和功耗模型的最相關，這樣，矩陣R中的最大值的索引即為所選擇的中間值進行處理的位置和設備所使用的密鑰。

3 平臺應用研究與實驗結果分析

3.1 普通AES 實現方式的CPA 攻擊

高級加密標準（Advanced Encryption Standard，AES）作為傳統對稱加密算法DES 加密標準的替代者，由美國國家標準與技術研究所（NIST）于2001 年12 月發布。AES 的最后一輪運算過程如圖4 所示，明文經前9 輪的運算，得到128 位的中間結果，該結果經由SubBytes、ShiftRows、AddRoundKey 運算過程后得到最終的密文結果cipher。

圖4 AES 最后輪抽象框圖

選用密文攻擊的方式，對AES 算法最后輪的輪密鑰roundKey10 的每個字節逐個實施攻擊，通過已知的密文按式（2）計算出plain_dummy，S-1 代表SubByte 的逆運算，SR表示ShiftRows 運算；利用漢明距離模型，按式（3）刻畫假設功耗，并與PrimeTime PX 產生的功耗數據進行相關系數的計算，完成攻擊。圖5 為MATLAB 程序攻擊AES 的流程圖。

圖5 MATLAB 攻擊AES 的流程圖

攻擊過程中采用700 條功耗曲線，針對第10 輪的輪密鑰roundKey10 中的每8 位，找出0 到255 每個密鑰猜測值的最大相關系數，如圖6 所示。限于篇幅，圖6 中只包含4個子圖，每個子圖表示對roundKey10 其中8 位的攻擊結果，橫軸為密鑰猜測值（0～255），縱軸為相關系數。以第3個子圖為例，相關系數在猜測值為167 時出現最高尖峰，故roundKey10 的第81 到88 位推測應為10100111。圖7 給出了功耗曲線數量對roundKey10[81:88]相關系數的影響，其中處于上方的曲線為真實密鑰時的情況。可以看出，隨著樣本數量的增加，正確密鑰猜測值與錯誤密鑰猜測值相關系數的區別不斷加大。

3.2 Threshold 防御措施CPA 攻擊結果

圖6 相關系數與密鑰猜測值之間的關系

圖7 相關系數與樣本數量的關系

Threshold 技術是一種秘密分享（Secret Sharing）思想，它的基本思想是將原先的單數據通路拆分成N條數據通路（為了達到面積和復雜度的折衷，N一般取3），任何一條數據通路只攜帶1/N 的有用信息，這就給功耗分析攻擊增加了難度[9]。目前已有采用這種技術的有效ASIC 芯片報道，文獻[10]采用了串行化實現方式成功將Threshold 思想應用于PRESENT 密碼算法，并取得了滿意的結果。為了評估Threshold 思想在AES 中的應用效果，基于Nikova 提出的Threshold 的思想重新設計了AES 算法。像其他掩碼技術一樣，Threshold 實現的難點在于非線性S 盒的實現。圖8 是本文完成的基于Threshold 思想的AES 的S 盒實現方式（N=3），假設AES 算法原始S 盒輸入輸出分別為Sbox_in 和Sbox_out，Threshold 型S 盒滿足等式（4）。由于Threshold 型S 盒包含了3 個平行的數據通路，與之相對應，AES 的其他運算和存儲單元也需要3 條平行通路，如圖9所示。

圖8 Threshold 型S 盒 結構

對完成的Threshold 型AES 設計采用與3.1 節中相同的明文產生的功耗曲線進行密鑰破解。攻擊過程中采用10 000條功耗曲線，攻擊結果如圖10 所示。限于篇幅，圖10 中只包含4 個子圖，每個子圖表示對roundKey10 其中8 位的攻擊結果。橫軸為密鑰猜測值（0～255），縱軸為相關系數。子圖的標題中包含了本段子密鑰攻擊密鑰值和實際密鑰值。以第3 個子圖為例，本段子密鑰的攻擊值為174，而實際的密鑰值為167，說明10 000 條明文并沒有成功攻擊本段子密鑰。從圖中還可以看出，相關系數的值都非常小，正確的密鑰值并沒有明顯的尖峰存在，所有的密鑰都未被破解。

圖9 Threshold 型AES 算法明文數據通路

圖10 Threshold 型相關系數與密鑰猜測值之間的關系

圖11給出了功耗曲線數量不同時，對第一個字節的各個猜測密鑰相關系數的變化（其中黑色為真實密鑰），可以看出當功耗曲線的數量達到10 000 條時真實密鑰未能從其余密鑰猜測中分離開來，密鑰破解仍然沒有成功。由此可以看出，基于Threshold 的AES 算法實現可以很好地抵御所使用的一階針對觸發器的差分功耗分析攻擊。

4 結束語

圖11 Threshold 型AES 實現的相關系數與樣本數量的關系

搭建功耗分析攻擊平臺是研究抗攻耗分析攻擊理論首當其沖的問題，本文針對現有的功耗分析攻擊平臺的一些不足，設計出一種面向ASIC 設計實現的CPA 研究平臺。該平臺可以摒棄示波器等設備的昂貴價格和測試帶來的不便，能夠在芯片設計周期早期快速模擬出芯片的功耗信息并實施CPA 攻擊，這為開拓及評估抗功耗分析的新方法提供了便利，也為抗攻耗分析攻擊理論研究提供了重要支持。作為應用，利用本文平臺分別對AES 算法和帶有Threshold 防御措施的AES 算法進行了功耗分析攻擊實驗，展示了該平臺的有效性和便捷性。下一步，準備對AES 的上述兩種實現方式進行版圖后的功耗分析攻擊實驗，以進一步印證該輔助平臺的有效性。

[1] Kochet P，Jaffe J，Jun B.Differential power analysis[C]//Advances in Cryptology（CRYPTO’99）.Berlin：Springer-Verlag，1999，1666：388-397.

[2] Liu P C，Chang H C，Lee C Y.A low overhead DPA countermeasure circuit based on ring oscillators[J].IEEE Transactions on Circuits and Systems-II，2010，57（7）：547-550.

[3] Akkar M，Giraud C.An implementation of DES and AES，secure against some attacks[C]//Proceedings of Cryptographic Hardware and Embedded Systems，Paris，France，May 14-16.Berlin：Springer-Verlag，2001，2162：309-318.

[4] Rivain M，Prouff E.Provably secure higher-order masking of AES[C]//Proceedings of Cryptographic Hardware and Embedded Systems，Santa Barbara，USA，August 17-20.Berlin：Springer-Verlag，2010，6225：413-427.

[5] Mangard S，Oswald E，Popp T.Power analysis attacks：revealing the secrets of smart cards[M].Berlin：Springer-Verlag，2007：173-175.

[6] Krieg A，Bachmann B，Grinschgl J，et al.Accelerating early design phase differential power analysis using power emulation techniques[C]//Proceedings of the IEEE International Symposium on Hardware-Oriented Security and Trust，San Francisco，California，USA，June 5-6，2011：81-86.

[7] 褚杰，趙強，丁國良.基于虛擬儀器的差分功耗分析攻擊平臺[J].電子測量與儀器學報，2008，22（5）：123-126.

[8] 劉鳴，陳弘毅，白國強.功耗分析研究平臺及其應用[J].微電子學與計算機，2005，22（7）：134-138.

[9] Nikova S，Rijmen V，Schl?ffer M，Secure hardware implementations of non-linear functions in the presence of glitches[C]//Proceedings of International Conference on Information Security and Cryptology，Seoul，Korea，December 3-5.Berlin：Springer-Verlag，2008，5461：218-234.

[10] Poschmann A，Moradi A，Khoo K.Side-channel resistant crypto for less than 2300 GE[J].Journal of Cryptology，2011，24（2）：322-345.