基于機器學習的側信道分析研究及RSA算法的應用示例

◆王潔

基于機器學習的側信道分析研究及RSA算法的應用示例

◆王潔

（北京銀聯金卡科技有限公司 北京 100041）

基于機器學習的密碼算法側信道分析是一個較新的研究領域，自首個分析結果發表以來，大量的研究結果表明機器學習算法相比傳統方法在側信道分析中具有很大的性能優勢。因此，基于機器學習的側信道分析應在相關的安全檢測技術領域得到充分的應用。本文針對目前側信道攻擊中常用的機器學習算法進行介紹，并針對密碼算法RSA進行分析，設計了基于機器學習的側信道攻擊實驗并對比實驗結果。

機器學習；側信道；RSA算法

機器學習是一種實現人工智能的方法，使用算法來解析數據，從中學習，然后對未知事件做出決策和預測。機器學習分監督學習和無監督學習，其中監督學習通過對帶標簽數據進行學習，獲得對未知標簽數據進行正確分類的能力。

密碼算法的側信道分析是一種從設備執行密碼算法過程中的能耗、電磁等側信息中恢復密鑰等敏感信息的攻擊方法，它基于這樣一個事實——密碼設備的瞬時能耗、電磁等側信息依賴于設備所處理的數據和所執行的操作，對智能芯片等設備的實際安全造成極大威脅。

基于機器學習的側信道分析與傳統側信道分析中的模板攻擊方法有相同的攻擊場景，即攻擊者能夠首先在自主操控密鑰的場景下獲取設備運行密碼算法時的側信息曲線，進行相應操作，然后對未知密鑰的側信息曲線進行分析，得到密鑰等敏感信息。傳統的模板攻擊對已知密鑰曲線進行的操作是構造不同敏感信息下的多元高斯分布模板，然后計算未知密鑰曲線符合各模板的概率。基于機器學習的側信道分析則根據曲線和作為標簽的已知敏感信息通過學習得到一種方法，然后將方法應用于新的曲線得到敏感信息。

1 機器學習側信道背景

大量的研究結果表明機器學習算法相比傳統方法在側信道分析中具有很強的性能優勢，尤其可以克服掩碼、隨機延時等給傳統側信道分析帶來極大困擾的防護手段。

1.1 機器學習側信道的優勢體現：

（1）具有更小的人為假設。使用中間值作為標簽直接訓練，避免傳統分析方法下從中間值到側信息數據的模型假設。

（2）可以獲取更高的學習維度。傳統側信道分析方法需要通過統計方法定位特征點以獲取更好的攻擊效果。機器學習方法使用更多的采樣點參與學習，避免特征點的選取。

（3）天然高階分析。傳統側信道分析方法需要對采樣點進行預處理獲取高階特征，機器學習通過學習完成采樣點的組合，自動實現高階分析。

（4）直接學習非對齊曲線。無需對曲線進行對齊預處理，克服隨機延時和時鐘抖動等防護。

1.2 深度學習模型的建立

深度學習是一種實現機器學習的技術，建立類似神經網絡的結構模型，在輸入層之后包含多個隱含層，每個神經網絡層由若干神經元節點構成，每個節點以上一層的輸出作為輸入，經過計算產生輸出，繼續傳遞直到輸出層，輸出層對應于各個標簽。神經元節點的計算涉及參數，對模型訓練的過程就是不斷調節參數使分類錯誤率不斷降低的過程。

多層感知機模型（MLP）和卷積神經網絡模型（CNN）是兩種在側信道分析中常用的模型。多層感知機模型由全連接層構成，全連接層中每一個節點的輸入都包含了上一層全部節點的輸出，每個節點上進行線性運算；卷積神經網絡模型的核心是卷積神經網絡層，通過若干卷積核在相應步長下滑動對輸入數據進行線性運算。為了提高模型的泛化能力，池化層、標準化層、隨機斷連等方法常穿插在網絡層中，防止出現僅在訓練集上有較高正確率的過擬合現象。

基于機器學習側信道的研究目前主要集中在對稱算法，比如國際算法DES、AES等，國內SM4算法。非對稱算法RSA、ECC相關研究比較少。本文主要針對RSA算法進行機器學習側信道分析，并設計相關實驗進行分析，對比不同深度學習模型算法得到的結果。

2 RSA算法機器學習側信道分析

RSA 是目前使用最廣泛的公鑰密碼體制之一。所謂的公開密鑰密碼體制就是使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導出解密密鑰在計算上是不可行的”密碼體制。在公開密鑰密碼體制中，加密密鑰（即公開密鑰）PK是公開信息，而解密密鑰（即秘密密鑰）SK是需要保密的。側信道攻擊技術就是對RSA算法的解密密鑰進行分析和攻擊。RSA算法的簽名流程如下：

M = Cdmod N，C為明文消息，M為密文簽名數據，d為簽名密鑰。

從左到右的實現方式如下所示：

M = 1

for each bit di

M = （M * M） mod N

if （di == 1） M = （M * C） mod N

return M

簽名密鑰d為我們需要分析的對象，從RSA算法的簽名流程可以看到運算中d的每一位決定需要做的運算，當d的數據位為0時，進行平方運算；當d的數據為1時，進行模平方和模乘運算。所以我們通過傳統側信道的方式，采集算法運算的功耗和電磁信號，分析每一個模乘和模平方運算。

通常密碼設備的大數運算的算子都是由硬件實現，硬件實現的模乘和模平方運算的功耗或者電磁曲線是無法通過觀察分辨出來的。但是由于模乘和模平方運算有操作或者數據導致的細微差別，可以通過采用基于機器學習的側信道的方法進行分析攻擊。

采集幾條已知密鑰的RSA算法運算的功耗或者電磁曲線，將運算過程中的模乘和模平方曲線截取出來，并對應到密鑰位來判定運算為模乘或者模平方運算，對這些數據采用深度學習模型進行訓練，然后使用訓練后的模型進行評估和預測。

3 RSA的機器學習側信道實驗分析

本節將利用上一節提出的方法，對RSA算法做基于機器學習的側信道攻擊實驗，以驗證方法的有效性。本節我們主要采用MLP、CNN、VGG三種深度學習算法模型進行側信道分析和攻擊。

實驗數據是通過Riscure的Power Tracer給一張支持RSA算法的智能卡下發簽名指令，執行10次RSA簽名指令，使用Lecroy示波器對加密過程采集能量消耗數據。示波器的采樣率設置為250M/s，采樣點數是15000000，可以包含RSA簽名運算的全部運算。采集的能量曲線中間較高的一段就是在進行模冪運算即由多個模乘和模平方運算組成。放大模冪運算的部分結果為每個幅值較高的運算為模平方或者模乘運算，從圖中觀察很難找到規律來分辨模平方和模乘運算。使用基于機器學習的側信道分析，首先要先進行數據收集。包括單個的模乘或者模平方運算，以及每個運算的對應的標簽數據。曲線截取采用模板相關性匹配的方法。選取一個運算850個樣本點作為模板進行相關性匹配，每個運算的相關性最高的點作為起始點，截取850個點作為一個運算元素，對以上截取得到的模乘模平方運算進行運算類型打標，根據已知密鑰推算出運算的類型，并記錄。本次實驗采用的數據集一共為16000，訓練集和驗證集數據為15000比例為95：5，測試集數據為1000。對以上數據分別使用MLP算法模型、CNN算法模型和VGG算法模型進行模型訓練和驗證。

3.1 MLP模型訓練驗證

本小節介紹所采用MLP模型及訓練驗證結果，實驗使用的MLP模型為4層神經網絡，激活函數為ReLu，Softmax為全連接層。

利用以上MLP模型進行訓練和驗證，訓練次數設置為40結果訓練集準確率達到91%，驗證集準確率達到88%。對于RSA算法的分析來說準確率不夠，無法完全恢復密鑰。

3.2 CNN模型訓練驗證

本小節介紹所采用CNN網絡模型及訓練驗證結果，實驗使用的CNN網絡模型為5層神經網絡，卷積核大小通過設置為5-8進行效果對比，最后選定為6。池化層選用最大化池化。

利用以上CNN模型進行訓練和驗證，訓練次數設置為100，結果如圖1所示。

圖1 CNN模型訓練驗證結果

CNN模型訓練和驗證結果數據如圖1所示，訓練集準確率達到91%，驗證集準確率達到92%。對于RSA算法的分析來說準確率不夠，無法完全恢復密鑰。

3.3 VGG 模型訓練驗證

本小節介紹所采用VGG網絡模型及訓練驗證結果，實驗使用2014年提出的經典深層卷積神經網絡，由10層卷積層和3層全連接層組成。卷積核大小通過設置為3。池化層選用最大化池化。

利用以上VGG模型進行訓練和驗證，訓練次數設置為40，結果如圖2所示。

圖2 VGG模型訓練驗證結果

VGG模型訓練和驗證結果數據如圖6所示，訓練集準確率達到99.6%，驗證集準確率達到100%。對于RSA算法的分析來說準確率基本達到100%，可以有效恢復密鑰。

3.4 實驗結論

本小節對比三種不同的機器學習算法模型的參數及準確率，如表1所示。

表1 三種機器算法模型參數及準確率對比

通過嘗試不同的算法模型及算法參數，找到了RSA算法中模平方和模乘算法的有效區分模型，可以準確有效恢復出RSA的私鑰。

[1]Martinasek Z，Zeman V. Innovative Method of the Power Analysis. Radio engineering，2013，22（2）：586-594.

[2]Martinasek Z，Hajny J，Malina L. Optimization of power analysis using neural network. CARDIS 2013.

[3]Maghrebi H，Portigliatti T，Prouff E. Breaking cryptographic implementations using deep learning techniques. SPACE 2016.

[4]Cagli E，Dumas C，Prouff E. Convolutional Neural Networks with Data Augmentation Against Jitter-Based Countermeasures. CHES 2017

[5]Benadjila R，Prouff E，Strullu R，et al，Study of Deep Learning Techniques for Side-Channel Analysis and Introduction to ASCAD Database.

[6]Qi Lei，Chao Li，Kexin Qiao.VGG-based side channel attack on RSA implementation.