(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号(10)申请公布号CNCN103647638103647638A(43)申请公布日2014.03.19(21)申请号201310636901.5(22)申请日2013.12.03(71)申请人北京中电华大电子设计有限责任公司地址100102北京市朝阳区利泽中二路2号望京科技创业园A座五层(72)发明人冀利刚陈波涛(51)Int.Cl.H04L9/06(2006.01)权权利要求书2页利要求书2页说明书3页说明书3页附图1页附图1页(54)发明名称一种抵抗侧信道攻击的DES掩码方法(57)摘要本发明提出一种可抵御侧信道攻击技术的DES的掩码方法。该方法通过实现两路DES，其中一路用于掩码后数据的加解密，另一路用于脱掩值的计算。在DES执行流程中，初始IP置换前先进行掩码，并且16个子轮中再分别引入16个不同的随机数进行掩码，大幅度地消除了功耗与操作数据的相关性，极大地增加了攻击者利用侧信道手段攻击DES的代价，因此该方法可广泛应用于带有DES安全运算模块的电子芯片中。CN103647638ACN1036478ACN103647638A权利要求书1/2页1.一种抵抗侧信道攻击的DES掩码方法，其特征在于：在一次DES加密或解密中，采用两路计算路径，其中一路对掩码值进行加密或解密，另一路用于脱掩值的计算，且引入多个随机数进行掩码，使每路加密或解密路径中所有的中间结果与DES标准算法中间结果均不同，最后再还原为DES标准的结果。2.根据权利要求1所述的方法，其特征在于步骤如下：1)外部输入数据M，先用随机数r进行掩码比特将M′输入左边一路DES模块，将r输入右边一路DES模块，用于掩码计算；2)左边一路将掩码后的数据M′进行初始IP置换，同时右边一路将随机数r进行初始IP置换；3)左边一路，将初始置换后的中间值按照DES原始流程分为ML′0、MR′0，同时，右边一路将初始IP置换后的随机数分为rL0、rR0，然后进入DES的子轮运算；-1-14)对子轮运算的结果进行IP逆置换IP，左边一路计算C′=IP(ML′16，MR′16)，右-1边一路计算S=IP(rL16，rR16)；5)脱掩，计算得到标准的运算结果C；其中：M为待加密的明文；IP为DES中的初始置换运算；IP-1为DES中的初始置换的逆置换运算；E为DES中的扩展函数；为异或运算；P为DES中的置换函数；Sbox为DES中的原始S盒运算；SMbox为DES的掩码S盒运算；subkeyi为DES中的轮子密钥；ML′i为DES中第i轮中间值的左比特，是掩码后的值；MR′i为DES中第i轮中间值的右比特，是掩码后的值；r为掩码DES中的随机数，用于掩码；rLi为DES中第i轮掩码的随机数，是左比特；rRi为DES中第i轮掩码的随机数，是右比特；tLi为DES中第i轮掩码新生成的随机数，是左比特；tRi为DES中第i轮掩码新生成的随机数，是右比特；C′为掩码的密文；S为用于脱密文掩码的随机数；C为密文，即加密结果。3.根据权利要求2所述的方法，其特征在于子轮运算步骤如下：①按照原始DES流程，左边一路对MR′i-1进行扩展运算E(MR′i-1)，右边一路对rRi-1进行扩展运算E(rRi-1)，1≤i≤16；②左边一路进行密钥加运算，即计算③左边一路进行S盒运算，得到中间值X2=Sbox(X1)；右边一路将X1、E(rRi-1)都进行掩码SMbox盒运算，得到中间值Y2=SMbox(X1，E(rRi-1))，其中掩码的盒是进；④左边一路对X2进行置换运算，得到X3=P(X2)；右边一路对Y2进行置换运算，得到Y3=P(Y2)；⑤子轮中再用随机数tLi及随机数tRi进行掩码，左边一路计算右边一路计算⑥按照步骤①-⑤完成DES剩下轮运算。4.根据权利要求3所述的方法，其特征在于所述步骤③中的预计算SM盒方法为：遍历掩码明文m′及掩码随机数r，计算其中Sbox为对应的DES的S盒。5.根据权利要求3所述的方法，其特征在于：所述步骤⑤中所述掩码方法为：在每个子2CN103647638A权利要求书2/2页轮运算中都需要重新生成不同的随机数tLi、tRi，然后分别计算及6.根据权利要求2所述的方法，其特征在于：所述步骤5)中所述的脱掩方法：在IP-1运算之后进行脱掩但不限于此，亦可在IP-1之前进行脱掩，然后再进行IP-1运算，即3CN103647638A说明书1/3页一种抵抗侧信道攻击的DES掩码方法技术领域[0001]本发明涉及在电子部件中安全地执行DES密码算法的方法，尤其涉及电子部件在执行DES算法时抗侧信道攻击的方法。背景技术[0002]1、DES安全漏洞[0003]Kocher提出的简单功耗攻击(simple