基于Bartlett 和多分類F 檢驗側信道泄露評估

王婭茹，唐明

（1.武漢大學國家網絡安全學院，湖北 武漢 430072；2.武漢大學空天信息安全與可信計算教育部重點實驗室，湖北 武漢 430072）

1 引言

自Kocher 等[1]指出可以通過側信道能量分析揭示智能卡中的秘密信息以來，側信道攻擊（SCA,side channel attack）成為加密實現和設備安全的重要威脅之一。多年來，研究者專注于各種側信道攻擊方法和對應防護策略的研究[1-5]，以保護密碼實現免受此類攻擊。隨著防護策略集成到密碼實現中，評估密碼實現對SCA 的抵抗能力成為一個必須思考的問題。泄露檢測是針對此問題的一種簡單、有效的解決方法。泄露檢測通過對黑盒模型下側信道功耗樣本是否包含泄露信息進行檢測，初步評估密碼實現的安全性。泄露檢測原理是通過對功耗樣本的統計分析，檢驗不同明文對應的功耗樣本分布是否可區分。如果可以區分，則認為功耗樣本包含秘密信息，即存在側信道泄露；否則認為不存在側信道泄露。

2011—2013 年，Goodwill 等[6-7]給出了測試向量泄露評估（TVLA,test vector leakage assessment）技術進行側信道泄露檢測。在TVLA 技術中，首次將統計學中的Welch’s t 檢驗[8]用于泄露檢測，以評估不同明文對應的功耗樣本分布是否可區分。TVLA 技術提出后，側信道方向的研究者們利用該方法，進行各種加密設備和實現的泄露檢測和安全評估策略的相關研究[9-11]；為進一步提高側信道安全評估效率，研究者開始對消除泄露檢測中環境噪聲影響的方法[12]和優化側信道泄露檢測流程[13-16]產生興趣。隨著研究的深入，泄露檢測成為側信道研究中一個重要方面。t 檢驗仍是目前泄露檢測中最常用的檢測方法[17-18]，它將明文分成兩類：固定明文集和隨機明文集。通過比較固定明文（和密鑰）集與隨機明文（和密鑰）集在相同加密實現下，產生的功耗樣本分布是否可區分，來判別是否存在側信道泄露。一般認為如果功耗樣本不可區分，即固定明文集和隨機明文對應的功耗樣本分布相同，則無側信道泄露。該方法利用t 檢驗評估待測設備特定采集的兩組功耗曲線均值的差異性，從而判斷是否有信息泄露并給出密碼實現安全性的初步評估。文獻[2,19-20]仔細討論的t 檢驗的主要優勢在于：通過比較兩類（固定明文集與隨機明文集）功耗樣本均值，可以將泄露檢測問題簡化為簡單的統計估計。t 檢驗具有簡單、高效的優點且只利用較少的算法實現知識，但是有2 個缺點[21]：1) 該方法把評估曲線分為兩組，而不是按照目標中間值的實際大小來分組，分類有限，可能會導致實際評估時出現假陰性；2) 檢測樣本的評估結果比較依賴統計距離。t 檢驗僅考慮固定明文集和隨機明文集對應的功耗樣本的均值是否區分，而功耗樣本的不可區分性不僅要求均值不可區分還要求方差不可區分。本文發現當固定明文集和隨機明文集對應的功耗樣本分布均值差異越小，P值越大；當樣本均值差異小于0.01時，t 檢驗的P值大于閾值，t 檢驗會有漏檢的風險。

基于上述問題，本文提出在泄露檢測之前，對樣本的均值、方差等參數差異情況進行評估，并根據參數差異度選擇特定的統計學假設檢驗方法而不是按照TVLA 技術對所有樣本均采用t 檢驗進行檢測，完全不考慮樣本分布參數的差異性。進而提出用Bartlett 檢驗代替t 檢驗對均值差異小于方差差異的功耗樣本進行檢測，以解決t 檢驗可能出現的漏檢。此外，Bartlett 檢驗將功耗樣本按明文漢明權重（HW,Hamming weight）分成多類，可以解決分類有限的問題。對于均值差異大于方差差異的功耗樣本，雖然依然可以使用t 檢驗進行泄露檢測，但基于t 檢驗分類有限的問題，本文提出用多分類F 檢驗代替t 檢驗，進而提出基于Bartlett 和多分類F 檢驗側信道泄露評估（Bartlett-F 檢驗）方法，旨在解決傳統TVLA 技術中存在的問題。當接受假設H0的概率（P值）小于閾值1.0 ×10-5，則功耗樣本有泄露。實驗結果表明，對于均值差異（小于0.01）小于方差差異（大于0.5）的樣本，Bartlett 檢驗的P值小于閾值1.0 ×10-5所需樣本量為1.5 ×104。而對t 檢驗而言，樣本量達到3.0 ×104時，P值大于閾值。為使t 檢驗的P值小于閾值，則需要更大的樣本量。因此，在相同樣本量下，與Bartlett 檢驗相比，t 檢驗存在漏檢。對于方差差異（小于0.3）小于均值差異（小于1.0）的樣本，P值小于閾值的樣本量為2.0 ×102，而F 檢驗擴大了樣本分類，P值小于閾值的樣本量僅為 t 檢驗的因此，本文的Bartlett-F 檢驗可以解決傳統TVLA 技術在泄露檢測中存在的問題。

本文的主要工作如下。

1) 本文發現利用t 檢驗進行泄露檢測，當樣本量相同時，均值差異越小，P值越大；當兩組樣本均值差異小于0.01時，t 檢驗的P值大于閾值，存在漏檢風險。

2) 基于1)發現，本文提出在泄露檢測前，添加對樣本分布參數（均值和方差）的差異度評估。

3) 根據2)中的評估結果，本文提出采用Bartlett檢驗代替t 檢驗解決1) 的問題，并通過比較實驗驗證Bartlett 檢驗的有效性。

4) 基于t 檢驗分類有限可能導致的假陰性，本文提出用多分類F 檢驗代替t 檢驗對均值差異大于方差差異的功耗樣本進行泄露檢測，以降低t 檢驗因分類有限導致的假陰性。

2 Welch’s t 檢驗

TVLA 技術利用統計學中的Welch’s t 檢驗[17-22]來評估加密實現抵抗側信道攻擊的能力。t 檢驗對隨機明文集和固定明文集對應功耗樣本的均值差異進行評估，以判定加密實現或設備是否存在信息泄露。t 檢驗的具體內容如下。

0L和L1分別表示固定明文集和隨機明文集對應的側信道功耗樣本，L0和L1的樣本量、樣本均值和樣本方差分別為。假設H0為固定明文集和隨機明文集對應的功耗樣本均值不存在差異。檢驗統計量t和自由度v的計算式分別為

概率密度函數及接受假設H0的概率P分別為

其中，Γ(·) 是gamma 函數。

t 檢驗通常設定4.5[23-24]為判定接受或拒絕假設H0的閾值，將t 檢驗的統計量與閾值4.5 進行比較。如果，則拒絕假設H0。這是因為當v＞1000，P=2tcdf(4.5,v) ＜ 1.0 ×10-5[20]時，這意味著以小于0.000 01 的概率接受假設H0，即以大于0.999 99 的概率拒絕假設H0。本文將1.0 ×10-5作為閾值，若概率P＜ 1.0 ×10-5，則拒絕假設H0，表明加密實現或設備有側信道泄露。

本文根據明文漢明權重對功耗樣本進行分類，針對不同的輸入類I i∈I進行加密操作，其中I是所有可能的輸入集合，采集不同輸入類Ii對應的功耗泄露記為Li(1≤i≤m)，樣本分類數為m，所有功耗樣本集合為L，總樣本量為N，每類功耗樣本的樣本均值為xi、樣本方差為均值為μi、方差為其中均未知。

3 關鍵技術

3.1 問題描述

t 檢驗一般用于檢測兩類樣本的均值是否存在差異。本文發現在側信道泄露檢測中，檢測結果與固定明文集和隨機明文集對應功耗樣本的均值差異相關。當均值差異較大時，t 檢驗檢測效果較好；當兩樣本均值相同、方差不同時，統計學判定兩樣本服從不同分布，而t 檢驗結果顯示兩樣本服從相同分布。因此，利用t 檢驗對均值近似相同、方差不同的樣本進行泄露檢測時，存在漏檢（加密算法或設備事實上存在泄露的，t 檢驗未發現泄露）風險。

利用t 檢驗分別對該樣本進行泄露檢測，檢測結果如圖1(b)所示。由圖1(b)可知，當樣本量相同時，均值絕對值差越小，P值越大；當樣本均值差的絕對值小于0.01 時，t 檢驗的P值大于閾值，存在漏檢風險。為避免出現此種漏檢，本文提出在泄露檢測前對樣本參數差異進行評估。

圖1 不同均值差下執行t 檢驗

3.2 樣本參數差異評估

本文以每類樣本參數差異的絕對值來評估樣本參數差異。在t 檢驗中，固定明文集和隨機明文集對應的功耗樣本分別為L0和L1，L0和L1的樣本量、樣本均值和方差分別為。當將功耗L樣本分成m類樣本集Li(1≤i≤m)時，Li(1≤i≤m)的樣本量、樣本均值和樣本方差為

3.3 Bartlett-F 檢驗

本節提出了基于Bartlett 和多分類F 檢驗側信道泄露檢測。Bartlett -F 檢驗流程如圖2 所示。

圖2 Bartlett -F 檢驗流程

Bartlett -F 檢驗過程如下。

1) 將明文Mi按漢明權重分成m類，對應功耗曲線記為Li。假設每類檢測樣本集的樣本量均為n（n可以根據實驗需要進行調整）。

2) 從分類中隨機選擇j(1≤j≤m)類功耗樣本Li，計算Li的樣本均值和樣本方差記為

3) 對|d1-d2|進行評估，如果|d1-d2|趨于d2，即d1趨于0，則樣本間方差差異大于均值差異；如果|d1-d2|趨于d1，則均值差異大于方差差異。

4) 如果樣本間均值差異小于方差差異，則使用Bartlett 檢驗代替t 檢驗；如果樣本間均值差異大于方差差異，使用多分類F 檢驗代替t 檢驗。

3.3.1 Bartlett 檢驗

如果|d1-d2|趨于d2，即d1趨于0，則兩樣本均值近似相等，樣本間均值差異小于方差差異。利用Bartlett 檢驗對樣本的方差是否可區分進行檢驗。假設H0為各樣本類的方差相同，則統計量2X和自由度v計算式分別為

由于自由度為v=m-1，接受假設H0的概率表示自由度，Γ(·) 表示gamma 函數。統計量X2越大，P0越小，則以較大概率拒絕H0。

3.3.2 多分類F 檢驗

如果|d1-d2|趨于d1，即d2趨于0，則兩樣本方差近似相等，樣本間方差差異小于均值差異。通過多分類F 檢驗代替t 檢驗對樣本的均值是否可區分進行檢驗。根據明文漢明權重將采集到的功耗分成m類，記為Li(1≤i≤m)，其中每個分類的樣本量為ni。假設H0為各樣本類的均值相同，則統計量F為

其中，為總樣本均值，N為總樣本量，n i為第i類樣本的樣本量，為第i類樣本均值，m為分類數，則接受假設H0的概率

其中，v1=m-1、v2=N-m表示自由度。接受假設H0的概率P0越小，拒絕H0的證據越充分。

此外，設檢測有泄露概率均為P，t 檢驗僅將功耗樣本分為兩類，對兩類樣本均值進行比較，整個檢測過程只進行一次比較判定。因此，假陰性的概率為P。而Bartlett 檢驗和多分類F 檢驗將按明文漢明權重（也可以按照其他分類標準分類，如漢明距離），將功耗樣本按明文漢明權重分成m類，比較各類對應的功耗樣本的均值或方差是否相同，需要進行m-1次判定，假陰性概率為Pm-1。與t 檢驗相比，假陰性概率為t 檢驗的1%。因此，擴大分類可以降低t 檢驗由于分類有限導致的假陰性。

3.4 推廣到多變量

隨著高階掩碼應用到軟件實現和硬件設計中，每個共享因子泄露產生的時刻不同。所以進行泄露檢測時，不能再通過對單個時刻的功耗進行檢驗來確定是否有泄露，需要利用覆蓋所有共享因子泄露時刻的組合功耗來確定是否有泄露。常用的方案是利用組合函數對所有泄露時刻的功耗進行預處理，以獲取組合功耗，然后再對其進行泄露檢測。文獻[25]已證明是漢明權重模型下最優的組合函數，其中表示ti時刻的功耗，表示該時刻的功耗樣本均值，d表示共享因子的數量。本文用此函數對功耗樣本進預處理。

4 實驗及結果分析

4.1 仿真

由圖3(b)可知，當樣本量為0.5 ×104時，Bartlett檢驗接受假設H0概率P小于閾值，且樣本量為2.0 ×104時，P值為1.0 ×10-16，遠小于閾值。而對t檢驗而言，當樣本量大于5.0 ×104時，概率P小于閾值。由于|d1-d2|趨于d2，即d1趨于0，則兩樣本均值近似相等，樣本間均值差異小于方差差異。因此，在相同樣本量下，與Bartlett 檢驗相比，用t檢驗對均值差異小于方差差異的功耗樣本進行泄露檢測，會存在漏檢風險。

圖3 對均值差異小于方差差異的樣本執行Bartlett 檢驗和t 檢驗

由圖4(a)可知，樣本均值差異接近1，方差差異小于0.3。根據3.2 節差異度大小的描述可知，如果|d1-d2|趨近d1，則該樣本均值差異大于均方差差異。利用多樣本F 檢驗和t 檢驗分別對該樣本進行泄露檢測，檢測結果如圖4(b)所示。

由圖4(b)可知，t 檢驗的P值小于閾值所需的樣本量2.0 ×102，而多樣本F 檢驗所需的樣本量是t 檢驗的1 10。因此，與t 檢驗相比，擴大分類的F檢能降低因t 檢驗分類有限導致的假陰性。

圖4 對均值差異大于方差差異的樣本執行F 檢驗和t 檢驗

泄露檢測時，檢測結果與信噪比、樣本分類等因素密切相關。在檢測時應該考慮這些因素的影響。為了便于控制影響因素的大小，本文利用仿真功耗采樣來研究信噪比、樣本分類等對檢測結果的影響。

為研究擴大樣本分類對檢測結果的影響，分別將樣本分為四類、五類和六類，利用Bartlett 檢驗對分類數m=4、利m=5和m=6的情況進行檢測，檢測結果如圖5 所示。

圖5 對分類數不同的樣本執行Bartlett 檢驗

由圖5 可知，當m=6時，Bartlett 檢驗的P值小于閾值的樣本量2.5 ×103；當m=4和m=5時，P值小于閾值所需樣本量分別為8.5 ×103和4.0 ×103。實驗結果表明，隨著樣本分類的增加，Bartlett 檢驗的P值小于閾值所需的樣本量降低。

本文利用 Bartlett 檢驗分別對不同信噪比SNR=0.1 dB、SNR=1.0 dB 和SNR=10.0dB 環境下的功耗樣本進行檢測，檢測結果如圖6 所示。

圖6 對不同信噪比環境下的樣本執行Bartlett 檢驗

由圖6 可知，當信噪比SNR=0.1 dB 時，P值小于閾值所需的檢測樣本量為時，所需的樣本量為時，所需的樣本量僅為實驗結果表明，在Bartlett 檢驗中，SNR=1.0 dB 時，P值小于閾值所需的樣本量大約為SNR=10.0 dB 時的34 倍。因此，SNR 的減小降低Bartlett 檢驗優勢。

4.2 實驗

本文還利用公開數據集技術 DPA Contest-V4[26]，按照Bartlett-F 檢驗和TVLA 技術的泄露檢測過程進行實驗。實驗前，首先對數據進行預處理；在實驗中，利用峰值提取技術和CPA 技術，提取出泄露產生時刻。由于DPA Contest-V4 數據集是AES 在RSM 掩碼實現下的功耗采集，泄露不在同一時刻發生。因此，在實驗中選取作為預處理函數，對功耗樣本進行預處理。相關系數與采樣時刻如圖7 所示。

圖7 相關系數與采樣時刻

隨后對預處理后的功耗樣本進行均值差異和方差差異評估，如圖8(b)所示。由圖8(a)可知，樣本絕對值差趨于0 且樣本均值差異小于方差差異。利用Bartlett 檢驗和t 檢驗分別進行泄露檢測，檢測結果如圖8(b)所示。

由圖8(b)可知，Bartlett 檢驗的P值小于閾值所需的樣本量1.5 ×104；當樣本量達到3.0 ×104，P值小于閾值1.0 ×10-5，而對t 檢驗而言，樣本量達到3.0 ×104時，P值大于閾值。為使t 檢驗的P值小于閾值，則需要更大的樣本量。因此在相同樣本量下，與Bartlett 檢驗相比，t 檢驗存在漏檢。

圖8 執行Bartlett 檢驗和t 檢驗

5 結束語

傳統TVLA 技術通過比較固定明文集和隨機明文集對應的功耗樣本的均值是否存在差異，來判定樣本是否服從相同分布，以說明加密實現是否存在泄露。而事實上，樣本服從相同分布，不僅要求樣本均值而且要求樣本方差均相同。本文發現，當固定明文集和隨機明文集對應的功耗樣本量相同時，均值差異越小，P值越大；且均值差異小于0.01 時，t 檢驗的P值大于閾值，t 檢驗會有漏檢的風險。另外，t 檢驗將功耗分為兩組，而不是按照中間值的大小來分組，樣本分類有限，可能會導致評估時出現假陰性。基于上述問題，本文提出在泄露檢測前，對樣本的均值和方差等參數差異進行評估，并根據參數差異選擇檢驗方法，提出將Bartlett 檢驗代替t 檢驗用于各樣本類的均值差異小于方差差異的功耗樣本的泄露檢測，以解決t 檢驗在檢測中存在的漏檢風險，同時Bartlett 檢驗將功耗樣本按明文漢明權重分成多類，可以解決分類有限的問題。此外，對均值差異大于方差差異的功耗樣本，本文建議用多分類F 檢驗代替t 檢驗，擴大樣本分類，提出Bartlett F 檢驗來解決傳統TVLA 技術中存在的問題。實驗結果表明，Bartlett 檢驗的P值小于閾值的樣本量，僅為1.5 ×104。當樣本量達到3.0 ×104時，P值小于閾值1.0 ×10-5。而對t 檢驗而言，當樣本量達到3.0 ×104時，P值大于閾值。在相同樣本量下，Bartlett 檢驗可以解決t 檢驗出現的漏檢。對于方差差異小于均值差異的樣本，t 檢驗的P值小于閾值所需的樣本量，為2.0 ×102，而多樣本F 檢驗所需的樣本量是t 檢驗的1 10。當樣本量為2.0 ×102時，多樣本F 檢驗的P值大于1.0 ×10-16而t 檢驗的P值僅為1.0 ×10-5，多樣本F 檢驗可以降低t 檢驗假陰性概率。因此，在側信道泄露檢測時，本文提出的 Bartlett-F 檢驗可以有效解決TVLA 技術存在的問題。