結合協方差與變異系數的密碼芯片能量泄漏評估模型

蔡爵嵩，嚴迎建，朱春生

（戰略支援部隊信息工程大學密碼工程學院，鄭州 450002）

0 概述

側信道分析技術［1］的提出為密碼分析學開辟了一個新的研究領域［2-4］，但同時對密碼算法的設計和實現提出了更高要求，使密碼芯片安全性準則面臨挑戰。不同的算法設計使用的不同實現方式會使密碼芯片在工作時泄漏不同程度的能量，這決定了整個密碼系統安全性的強弱。因此，在利用側信道分析技術對密碼芯片進行安全性檢測時，必須評估芯片工作時的能量泄漏情況。

在目前國際認可的信息技術安全性評估通用準則（Common Criteria，CC）［5］中，對芯片安全性的評定主要是利用所有已知的側信道分析方法分析待測芯片，在此基礎上對耗費時間、所用側信道分析技術、芯片工作情況、特定有效時間以及所需要的軟硬件等項目進行評分［6］。然而，該過程依賴于具體的側信道分析方法評估芯片工作時的能量消耗及泄漏情況，不具備普遍性。現有關于側信道能量泄漏檢測的研究多使用t 檢驗［7-9］、連續互信息（Continuous Mutual Information，CMI）［10］和離散互信息（Discrete Mutual Information，DMI）［11］等方式進行，但都必須掌握芯片所使用的算法和實現方式。

本文對能量跡進行研究，通過結合協方差矩陣與變異系數，提出一種密碼芯片能量泄漏評估模型。利用協方差矩陣［12］判斷能量跡上各點的能量泄漏情況，在此基礎上，通過引入變異系數［13］衡量矩陣內各元素的差異程度，從而評估能量泄漏程度。

1 基礎知識

1.1 相關能量分析

相關能量分析（Correlation Power Analysis，CPA）［4］因簡單有效成為側信道分析中的一種常用方法，其基于芯片能量消耗和中間值模型之間的線性關系，通過計算兩者的相關系數評估中間值模型與實際能量消耗的匹配程度。如果密鑰猜測正確，則相關系數達到最大。

設W為芯片真實能量消耗值，H為猜測密鑰對應的中間值，則兩者的相關系數表示為：

一般地，研究者采用的中間值模型為漢明重量（Hamming Weight，HW）模型或漢明距離（Hamming Distance，HD）模型。可通過式（1）計算猜測密鑰對應的中間值與芯片實際能量消耗之間的相關系數，對應相關系數最大的密鑰值即被認為是正確密鑰。

1.2 協方差

在概率論和統計學中，協方差常用于描述兩個變量之間的總體誤差。假設X和Y為兩個樣本，則它們的協方差表示為：

由式（2）可以看出，X和Y的協方差表示兩個樣本總體誤差的期望，即X和Y偏離各自均值的程度。當Cov（X，Y）=0 時，說明X和Y不相關；當Cov（X，Y）＞0時，說明X和Y正相關；當Cov（X，Y）＜0 時，說明X和Y負相關。對于服從正態分布的X和Y，反之也成立，即：當X和Y不相關時，Cov（X，Y）=0；當X和Y正相關時，Cov（X，Y）＞0；當X和Y負相關時，Cov（X，Y）＜0。

在實際應用中，服從正態分布的X和Y對彼此的影響越大，表明X和Y的相關性越大，則Cov（X，Y）的絕對值越大。

1.3 變異系數

變異系數是概率論和統計學中評估總體中各樣本差異程度或離散程度的指標，用于反映數據分布狀況。當兩組數據測量方式不同導致數據量綱不同時，研究者常用變異系數評估數據離散情況。對于一組樣本數據，也可以用標準差來表示其數據離散情況，但當需要比較兩組樣本數據或多組樣本數據的離散程度時，應當首先消除因測量方式導致的量綱不同所帶來的影響，而通過變異系數即可達到此目的。變異系數定義為總體中各樣本的標準差與其均值的相對數，計算公式如下：

其中，σ表示數據的標準差，μ表示數據的平均值。變異系數可消除因量綱不同而帶來的影響，客觀公正地對兩組數據進行比較。

2 結合協方差與變異系數的能量泄漏評估模型

2.1 協方差在側信道分析中的應用

一般地，研究者主要利用側信道分析技術對芯片工作時的能量消耗進行分析。采集到芯片工作時的能量消耗，將所形成的曲線稱為能量跡。一條能量跡上某點的能量泄漏定義為：

其中，Pop為與密碼算法操作相關的能量消耗，Pdata為與數據相關的能量消耗，Pnoise為與噪聲相關的能量消耗，Pconst為常量。

在一條能量跡中，各點的能量消耗是具有相關性的，對于此類關系可以進行可視化分析［14］。分別針對具有強相關性兩點和具有弱相關性兩點進行能量消耗關系的可視化分析，結果如圖1 和圖2 所示。可以看出，具有強相關性的兩點能量消耗所形成的圖形呈橢圓分布且數據點集中，具有弱相關性的兩點能量消耗所形成的圖形更接近于圓形且數據點分散。

圖1 具有強相關性兩點的能耗散點圖Fig.1 Scatter diagram of energy consumption for two points with strong correlation

圖2 具有弱相關性兩點的能耗散點圖Fig.2 Scatter diagram of energy consumption for two points with weak correlation

由1.2 節分析可知，可使用協方差來刻畫能量跡上各點之間的相關性。因為在密碼算法實現過程中，與密鑰值相關的操作通常需要多個時鐘周期，所以側信道能量泄漏的點通常包含多個與目標中間值對應的樣本點。一般將這些與中間值相關的點稱為特征點PPOI。此外，根據Nyquist-Shannon 采樣定律，信號采集設備的采樣頻率需要設置為芯片工作頻率的數倍［15］。因此，每一個時鐘周期即對應多個測量點。將測量點內除特征點PPOI以外的點稱為非特征點Pelse。PPOI為能量跡上包含泄漏信息最多的點，Pelse為冗余無用的點［14］。

因為Pelse是信號采集設備為采集PPOI而出現的點，其各點間的相關性小于Pelse和PPOI之間的相關性，所以在計算特征點PPOI與非特征點Pelse的協方差時，表現為PPOI與Pelse的協方差遠大于Pelse之間的協方差，即：

從側信道分析角度來看，對協方差大的點進行分析，容易對芯片實施攻擊，得到芯片密鑰；而從評估芯片抗側信道分析角度來看，如果從芯片泄漏的能量中能夠明顯找到協方差大的點，則表明該芯片抗側信道分析的能力較弱，易于被攻擊。因此，在對能量跡上各點進行能量泄漏分析時，可以關注是否有明顯較大的協方差出現。

2.2 基于變異系數的能量泄漏評估原理

由式（5）可知特征點PPOI與非特征點Pelse的協方差和非特征點Pelse之間協方差的關系，據此得到如下推論：

推論特征點PPOI與能量跡上各點P（POI+else）的協方差之和遠大于非特征點Pelse與能量跡上各點P（POI+else）的協方差之和，即：

證明：已知特征點PPOI包含最多能量泄漏［14］，以信息論中信號的方差表示信號的能量消耗，可得Cov（PPOI，PPOI）＞＞Cov（Pelse，Pelse）。由于特征點PPOI自身相關性必定遠大于特征點PPOI與非特征點Pelse之間的相關性，即Cov（PPOI，PPOI）＞＞Cov（PPOI，Pelse），因此可得：

證畢。

在分析能量跡上各點的能量泄漏情況時，可以關注是否有明顯較大的協方差出現。結合上述推論給出的關系，本文引入概率論和統計學中的變異系數，將求得的所有協方差組合成為協方差矩陣，通過計算變異系數得到各個協方差在矩陣中的分布情況，從而判斷是否有明顯較大的協方差出現。

在評估能量跡上各點的能耗泄漏程度時，將各點的協方差組成一個能量跡的協方差矩陣，通過計算該矩陣的變異系數判斷能量跡的能量泄漏情況。若變異系數較大，則有明顯的能量泄漏；若變異系數較小，則沒有明顯的能量泄漏。

2.3 能量泄漏評估模型

本文提出的能量泄漏評估模型，通過計算能量跡某點與能量跡各點的協方差之和，同時量化各點協方差的偏離情況來評估整條能量跡的能量泄漏情況。具體步驟如下：

1）采集大量能量跡，將能量跡集合表示為T=｛t1，t2，…，tn｝。其中，T為N×n的矩陣（N代表能量跡條數，n代表采樣點個數），ti（i=1，2，…，n）為一個N×1的向量，表示這N條能量跡在相同位置i處采樣點的值。

2）為減少協方差矩陣的計算量，對ti（i=1，2，…，n）進行均值化處理：

3）計算ti′和tj′之間的協方差：

4）構建采樣點協方差矩陣：

5）對協方差矩陣進行變換，得到S矩陣，本文將其定義為協方差行和矩陣，即：

其中，Sum（Cov（tj′，ti′））表示N條能量跡中第j個采樣點與能量跡各點之間的相關性。根據式（6）可知，若S矩陣中各個變量的值分布均勻，即無特別大的波動，則表示能量跡中各采樣點的能量近似，沒有特征點的存在，即沒有明顯的能量泄漏；若S矩陣中存在波動較大的值，則表示能量跡中各采樣點的能量會集中于波動較大的點，即存在明顯的能量泄漏。

6）計算協方差和矩陣S的變異系數，即：

3 模型分析與攻擊驗證

本節利用2.3 節提出的能量泄漏評估模型對4 個數據集進行評估，具體步驟如下：

1）對協方差行和矩陣S進行可視化分析，驗證使用S分析得到能量泄漏情況的合理性。

2）對變異系數進行分析，驗證使用變異系數評估能量泄漏的有效性，即本文模型的有效性。

3）對數據集進行側信道攻擊實驗，從攻擊角度驗證本文模型的有效性。

本文將第1 步和第2 步設置為實驗1，將第3 步設置為實驗2。

3.1 實驗設置與數據集

3.1.1 實驗設置

本文使用4 個數據集并設置兩個實驗對泄漏評估模型的有效性進行分析，將DPA contest v2［16］官方給出的能量跡作為數據集data1，將SAKURA-G 開發板［17］上采集的能量跡作為數據集data2，將DPA contest v4［18］的能量跡作為數據集data3，將基于ATMEGA2560 芯片開發板采集的能量跡作為數據集data4。

實驗1對4 個數據集分別構建協方差行和矩陣S，并按2.2 節所述的可視化分析方法驗證其合理性。在此基礎上，分別求出變異系數Cdata1、Cdata2、Cdata3和Cdata4并加以分析，得到能量泄漏關系。本文在data1 和data2 上分析基于FPGA 不同實現方式的芯片能量泄漏情況，在data1、data2 和data4 上分析芯片串/并行的能量泄漏情況，在data1～data4 上分析芯片加入防護和未加防護的能量泄漏情況。

實驗2對實驗1 結果進行攻擊驗證。采用1.1 節所述的相關能量分析技術對data1、data2 和data4 分別進行攻擊，以驗證本文模型的正確性。

3.1.2 實驗數據集

DPA contest v2 是2010 年由巴黎高科電信學院舉辦的側信道競賽，其提供了基于SASEBO-GII 開發板的能量跡，并分為1 個1 000 000 條的template 能量跡集和32 個20 000 條的public 能量跡集。其中，template 能量跡集，為隨機明文和隨機密鑰，public 能量跡集為同一密鑰下20 000 個隨機明文。由于相關能量分析技術只能針對同一密鑰、不同明文的情況，因此本文模型分析和攻擊驗證均使用public 能量跡集。與基于SAKURA-G 開發板的能量跡相比，兩個數據集均為硬件實現的并行AES 算法的能量泄漏曲線，其不同在于DPA contest v2 中的S 盒實現為布爾函數法［19］，而SAKURA-G 中的S 盒實現為查表法［20］。

DPA contest v4 是2013 年由巴黎高科電信學院舉辦的側信道競賽，其提供了基于ATMega-163 的SASEBO-W 開發板的能量跡，并加入掩碼，對一階側信道分析進行防護。基于ATMEGA2560 芯片開發板實現的AES 與DPA contest v4 相比，未加入任何側信道防護措施，而與DPA contest v2 和SAKURA-G相比，使用串行實現方式。

3.2 泄漏評估模型驗證實驗

3.2.1 協方差行和矩陣的合理性驗證

本節選取data1，計算該數據集的協方差行和矩陣Sdata1，并將其可視化，利用2.1 節中的相關性可視化分析方法，驗證是否能夠使用行和矩陣Sdata1來描述能量跡上某點與整條能量跡所有點之間的相關性。此處任意選取兩個協方差行和矩陣中不同的兩個點進行分析。data1 協方差行和曲線如圖3 所示。

圖3 data1 協方差行和曲線Fig.3 Covariance row curve of data1

從圖3 可以看出，在data1 中，781 號點的協方差行和遠小于1 380 號點的協方差行和。通過上文分析可知，1 380 號點與整條能量跡所有點的相關性大于781 號點與整條能量跡所有點的相關性。根據2.1節所述，選擇3個點（1號點、700號點和1 300號點）對781號點和1 380號點分別進行相關性可視化分析。選點依據是選擇兩個分別為781 號點和1 300 號點附近的點，以及1 個離781 號點和1 300 號點距離都較遠的點。

通過圖4 和圖5 可以看出，1 380 號點與能量跡上各點的能量消耗均呈橢圓分布，而781 號點與能量跡上各點的能量消耗更接近于圓形。根據1.3 節的描述可知，1 380 號點與能量跡上各點的相關性強于781 號點與能量跡上各點的相關性，與圖3 描述一致，這說明通過協方差行和矩陣描述能量跡上某點與整條能量跡所有點的相關性是合理的。

圖4 781 號點與1 號、700 號、1 300 號點的能耗散點圖Fig.4 Scatter diagrams of energy consumption for point 781 with point 1,point 700 and point 1 300

圖5 1 380 號點與1 號、700 號、1 300 號點的能耗散點圖Fig.5 Scatter diagrams of energy consumption for point 1 380 with point 1,point 700 and point 1 300

3.2.2 數據集變異系數分析

本文通過Matlab 實現2.3 節中的模型，分別輸入data1～data4 得到變異系數Cdata1～Cdata4，如表1 所示。

表1 4 個數據集在不同能量跡數量下的變異系數Table 1 Variation coefficients of four datasets under different energy trace numbers

從表1 可以看出，4 個數據集協方差行和的變異系數大小排序為Cdata4＞Cdata2＞Cdata1＞Cdata3。由2.2 節的原理分析可知：data1 中能量跡的能量泄漏小于data2中能量跡的能量泄漏，data1 和data2 的能量泄漏小于data4 的能量泄漏，data3 的能量泄漏為4 個數據集中最小的。下面對這一結論進行詳細分析：

對基于FPGA 硬件實現的密碼芯片而言，能量消耗分為動態功耗和靜態功耗。芯片工作時，能量消耗以動態功耗為主，寄存器的變化是引起能量泄漏的主要因素。對AES 算法實現而言，寄存器的輸入端都是一系列布爾函數的輸出。data1 的S 盒為布爾函數實現，與其他操作的實現方式相同。當芯片工作時，所有操作引起的變化相同，所以就不存在明顯的能量泄漏。data2 的S 盒為查表實現，并不會導致寄存器的變化，而算法的其他操作是基于布爾函數實現的，所以就會存在明顯的能量泄漏。因此，data1 的能量泄漏小于data2 的能量泄漏。

對于芯片串/并行實現方式而言，串行實現的AES 算法每輪中的每個S 盒均有能量泄漏，則至少有16×10=160 個泄漏點存在，而并行實現的AES 算法每輪中的16 個S 盒均在同一個位置，即只存在16 個泄漏點。因此，data1 和data2 的能量泄漏小于data4 的能量泄漏。

對加入防護的芯片進行分析可知，加入防護的目的就是為了增強芯片的安全性，通過無效操作掩蓋有效信息，減少芯片工作時能量泄漏包含的有效信息，因此，顯然data3 的能量泄漏應該是最小的。

3.3 攻擊驗證

利用相關能量分析技術對data1～data4 數據集分別進行攻擊來驗證本文模型的有效性。攻擊前對數據集中的能量跡進行對齊處理。

由于data1 和data2 數據集均為基于FPGA 硬件實現的AES 算法的能量泄漏曲線，因此模型選擇為能夠刻畫寄存器值變化的漢明距離模型。初步選擇能量跡數量為2 000 條，無法攻擊獲得正確密鑰時，則增加能量跡條數，最多增加至20 000 條。

對data1 的最后一輪S 盒進行攻擊，計算最后一輪S 盒的輸入與密文之間的漢明距離同能量跡之間的相關系數。當能量跡數量為2 000 條時，無法攻擊獲得該輪子密鑰；直到14 000 條時，攻擊獲得4 Byte 的子密鑰。當能量跡條數達到最多20 000 條時，使用經典的CPA 攻擊依然只能攻擊獲得4 Byte的子密鑰。

對data2的第1輪S盒的輸入進行攻擊，計算第1輪S 盒的輸入與上一輪密文之間的漢明距離同能量跡之間的相關系數。當能量跡數量為2 000 條時，使用經典的CPA 攻擊便能攻擊獲得完整的密鑰值。

對data4的攻擊，中間值模型選擇為漢明重量模型，計算第1 輪S 盒輸出的漢明重量同能量跡之間的相關系數，只需要48 條能量跡便能攻擊獲得完整的密鑰值。

由于data3 加入掩碼防護，因此使用與data1、data2 和data4 相同的攻擊方法無法對其進行攻擊。

攻擊實驗結果表明，能量跡的能量泄漏從大到小依次為data4、data2、data1 和data3，與3.2.2 節分析結果一致，驗證了本文模型的有效性。

4 結束語

現有芯片安全性評估標準依賴于具體的側信道分析方法，并且能量泄漏檢測需要掌握芯片使用的算法和實現方式。為避免這些前提條件，本文提出一種基于協方差矩陣變異系數的能量泄漏評估模型。該模型在評估能量跡的能量泄漏情況時無需對芯片實施具體的側信道分析，也不需要使用芯片所用算法和實現方式，大幅降低了芯片設計者、攻擊者和測評者對側信道分析方法的使用要求，可以在芯片設計完成時、側信道攻擊前和安全測評初期對芯片安全性進行準確評估。下一步將利用本文模型對現有密碼芯片進行評估分析，研究評判實際產品能否通過側信道安全性評估的標準。