(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN108055126A(43)申请公布日2018.05.18(21)申请号201711309235.9(22)申请日2017.12.11(71)申请人哈尔滨理工大学地址150080黑龙江省哈尔滨市南岗区学府路52号哈尔滨理工大学(72)发明人黄海冯新新厚娇赵玉迎刘红雨(74)专利代理机构哈尔滨东方专利事务所23118代理人陈晓光(51)Int.Cl.H04L9/08(2006.01)H04L9/28(2006.01)H04L9/06(2006.01)权利要求书1页说明书4页附图3页(54)发明名称基于随机加法链的抗功耗攻击的方法(57)摘要一种基于随机加法链的抗功耗攻击的方法。目前存在的基于加法链的字节替换方案中，只有固定的一条加法链，这些方案很难抵抗高阶侧信道攻击。十六个输入使用的是同一条加法链，攻击者只要成功攻击其中一条，就能破解密钥，这给密码算法带来严重的威胁。一种基于随机加法链的抗功耗攻击的方法，通过随机数发生器生成不同的数字，其大小在1到16之间且互不相等。每个字节根据对应位置生成的随机大小来调用相应的加法链，这样的操作使得每一轮字节替换各字节调用的加法链都不完全相同，提高了侧信道攻击的难度，攻击者需要通过更加复杂的运算才能破解密码算法。本发明应用于随机加法链的抗功耗攻击的方法。CN108055126ACN108055126A权利要求书1/1页1.一种基于随机加法链的抗功耗攻击的方法，其特征是：该方法包括如下步骤，具体提出如下两种方案：（1）循环调用加法链：在每轮字节替换开始时，生成一个1～16的随机数，假设生成a，则第一个字节调用第a条加法链，第2个字节调用(a%16+1)条加法链，即是16个字节根据随机数循环调用加法链，保证16条加法链同时用上；字节替换的输入为16个字节，记为{m1,m2,…m16},16条加法链分别表示为{S1(x),S2(x),…S16(x)}，由于每轮生成的随机数可能都不一样，所以每轮的每一个字节调用的加法链也不同;（2）随机调用加法链：在每轮字节替换前，通过随机数发生器生成16个1-16不重复的数，组成一个数组，比如{3,6,10,8,7,1,11,13,16,5,2,4,12,14,9,15}，这种情况就是第一个字节调用第3条加法链，第二个字节调用第6条加法链……第十六个字节调用第15条加法链，这样的数组是1-16随机排列，共有16！种情况，所以每轮的调用加法链的情况基本上是不一样，这一点增加了加密算法的随机性，在增加不多的随机数的情况下，很大程度提高了加密算法的安全性，成16个1-16的不同随机数。2CN108055126A说明书1/4页基于随机加法链的抗功耗攻击的方法[0001]技术领域：本发明涉及一种基于随机加法链的抗功耗攻击的方法。[0002]背景技术：自从Rijndael算法被定为高级加密标准（AdvancedEncryptionStandard,AES）以来，国内、外密码研究人员对它的研究兴趣越来越大。由于AES算法拥有安全和高效等优点，所以它被广泛应用于移动电话、智能芯片和移动支付等各种实际应用中。因为字节替换是AES算法中唯一的非线性操作，所以对AES的字节替换的研究一直也是一个热门方向。[0003]目前实现字节替换的方法主要有三类：查找表、复合域、加法链。查找表这种方法运算速度快，但是往往以牺牲资源为代价，即这类方法存在占用面积大，耗费资源的缺点。基于复合域这类方法的算法，通过将高阶有限域内的计算转化为低阶的有限域内的计算，该方法尽管减少了占用面积，但是运算速度也降下来了。利用加法链这种方法比其他两种方式更安全。由于侧信道攻击(SideChannelAttack,SCA)的出现，给密码算法的安全带来严重的威胁。所以提高密码算法的安全性尤为重要。[0004]基于有限域GF（28）上的性质x255=1,则有限域GF（28）上元素x的乘法逆元,，现有加法链方法通过求有限域上一元素的乘法逆元，即求这个元素的254次方就行。通过有限域中的乘法和平方运算得到元素的254次方，其中中间结果构成了一条加法链，x->x254的一条最短加法链如公式（1）。[0005]其中S代表平方操作，M代表乘法操作。[0006]这样就得到元素的乘法逆元，再做仿射变换，最后异或0x63,就得到字节替换的输出。基于加法链的字节替换算法在抵抗高阶侧信道攻击上比其他两种方式更有效。[0007]目前存在的基于加法链的字节替换方案中，只有固定的一条加法链，这些方案很难抵抗高阶侧信道攻击。十六个输入使用的是同一条加法链，攻击者只要成功攻击其中一条，就能破解密钥，这给密码算法带来严重的威胁。[0008]为了使字节替换随机使用加法链，这就要求找