芯片安全性威胁课件

第一章 绪论 1.1武器系统级芯片面临的新挑战 信息社会的兴起，给全球带来了信息技术飞速发展的契机；信息技术的应用，引起了人们生产、生活方式和思想观念的巨大变化，极大地推动了人类社会的发展和人类文明的进步。信息安全在信息社会中扮演着极为重要的角色，信息资产的保护显得越来越重要，它直接关系到国家安全、企业经营和人们的日常生活。如果信息安全受到危害，将会危及国家、军队，造成重大损失。密码学作为信息安全理论的基石一直是学术界重要的研究内容，密码芯片是能够保存密钥信息，执行密码算法的集成电路芯片。密码芯片的安全性包含两方面内容：密码算法、协议的安全性；密码芯片实现的安全性。对于前者，由于算法牢固的数学安全性基础，通过数学分析破解密码的方法非常困难。但对于后者实现于芯片中的密码算法，由于其运行时会产生功耗、电磁辐射等旁路信息而导致算法信息泄漏，这种实现层面上的安全漏洞常被密码学安全模型忽略。第一章 绪论 1.1武器系统级芯片面临的新挑战 1旁路攻击 国际上对于旁路解密技术研究的主要有：侵入式(invasive)攻击；半侵入式(Semi-invasive)攻击；非侵入式(Non-invasive)攻击。2功耗分析攻击 功耗分析攻击在旁路攻击中占有重要的地位。通常根据对功率消耗的不同分析方法，Kocher等人25将功耗分析攻击分为简单功耗分析（SPA）和差分功耗分析（DPA）。3电磁分析攻击 电磁分析攻击可以通过测量芯片在运算期间辐射的电磁信号，可分为简单电磁分析（SEMA）、差分电磁分析（DEMA）等形式。4FPGA安全性研究 对于FPGA平台上的RSA的安全性攻击目前是旁路攻击研究的新方向。5.硬件木马 硬件木马是对集成电路安全威胁最大的手段之一。6国内研究 国内的旁路攻击及防护研究开展的比较晚，20世纪90年代，我国开始关注信息电磁泄漏防护与侦收技术，初步制订了一些标准，一些单位开始研制防泄漏发射的信息技术设备，研究大多针对计算机及其外设展开。1.2国内外研究动态1旁路攻击1.2国内外研究动态1.3装备级芯片安全性研究 当前，我军武器装备中应用的IC芯片不外两种来源：一是随着进口装备一同引进的各种国外设计和生产的IC芯片；二是国内半导体生产厂商设计或生产的IC芯片，成本非常高，成本率低下，且高端芯片依然要依靠进口。1.3.1 武器装备的安全需求 从用户的观点，当设计一套武器装备时，设计者应该对系统要提供什么样的服务非常明确，而且对这些服务应该进行明确的说明。这样不仅能帮助设计者选择正确的密码原型或算法，而且也能帮助实施者正确的实现协议。一些重要的安全服务包括：机密性、认证性、不可否认性、知识证明和承诺等。机密性（Confidentiality）隐私性、匿名性、不可见性、不可区分性认证（Authentication）数据源、数据完整性、对等实体不可否认性（Non-repudiation）消息发布、消息收据知识证明(Proof of Knowledge)知识拥有权、知识结构 除了上述信息安全服务需求外，武器装备所面临的安全威胁其实更为广泛，讨论装备级芯片安全需求之前，必须考虑到芯片整个生命周期的安全需求。1.3装备级芯片安全性研究 当前，我军武器装备中 威胁模型是评估和证明一个应用系统的安全风险的方法。威胁模型是从敌手的角度看针对一个系统，攻击者如何来达到它的攻击目标。Jia Di论述了集成电路硬件威胁模型的建立步骤，构造硬件威胁模型一般由三步组成，如图所示，包括理解敌手的观点，确定威胁，决定攻击。1.3.2 硬件威胁模型建立步骤集成电路硬件威胁模型建立步骤1.3.3 装备级芯片硬件威胁模型构建 构建装备级芯片的硬件威胁模型，首先描述集成电路芯片的生命周期。如图所示，集成电路芯片的生命周期可分为三个阶段：制造阶段，设计开发阶段及发行使用阶段。与三个阶段相关实体有1.芯片持有者，以下称为用户。安全芯片内存储的敏感数据与用户相关。2.设计开发人员；3.芯片发行者；4.可信第三方；5.应用软件提供方。下面分别对这三个阶段军用器件安全问题进行描述。芯片生命周期 威胁模型是评估和证明一个应用系统的安全风险的方第2章 旁路攻击与RSA 旁路攻击是针对密码设备的攻击手段，通过观测密码芯片工作情况下泄漏的旁路信息实现对密码算法的破解。RSA算法是公钥密码系统中最具有典型意义的方法，大多数使用公钥密码进行加解密和数字签名的产品都应用RSA算法，进行RSA密码芯片的旁路攻击技术研究，具有非常重要的意义。本章主要讨论旁路攻击与RSA密码算法的基本问题，为后续的论文研究奠定基础。2.1密码学相关概念 密码学(Cryptology)是研究密码系统或通信安全的一门科学。它主要包括两个分支，即密码编码学(Cryptography)和密码分析学(Cryptanalysis)。密码编码学的主要任务是寻求产生安全性高的有效密码算法，满足对消息进行加密或认证的要求。密码分析学的主要目的是研究加密消息的破译和消息的伪造。在密码学中，“分析”(Analysis)和“攻击”(Attack)这两个术语涵义相同，论文中一般不加选择地使用。加密器E解密器D明文M加密密钥K1解密密钥K2破译者M公开信道密文C发送方接收方典型的密码系统第2章 旁路攻击与RSA 旁路攻击是针对密码设备2.2 RSA密码算法 RSA公钥系统最早是在1978年，由美国麻省理工学院(MIT)的Rivest、Shamir和Adleman在题为获得数字签名和公开钥密码系统的方法的论文中提出的，是现代密码学发展的里程碑1213。2.2.1RSA算法 令p和q是随机选取的两个大素数(大约为十进制100位或更大)，n=pq，n是公开的，而p、q是保密的。由欧拉函数(n)=(p-1)(q-1)可知，利用此公式的基础是知道n的因式分解。随机选取一个数e，e为小于(n)且与它互素的正整数。利用辗转相除法，得到整数d和r，使 ed+r(n)=1 也即 ed1(mod(n)数n、e和d分别称为模、加密密钥和解密密钥。如下算法是对RSA加密、解密算法的总结。RSA算法描述2.2 RSA密码算法 RSA公钥系统最早是在12.2.2RSA模幂算法 目前，使用最为广泛的模幂算法是“二进制模幂算法”，也称为“平方-乘积”（squre and multiply）算法，即将模幂运算分解成一系列的平方与乘积的连立运算。下面介绍两种不同形式的“平方-乘积”算法，分别是“从左至右平方-乘积”算法和“从右至左平方-乘积”算法。从左至右平方-乘积算法 从右至左平方-乘积算法2.2.2RSA模幂算法 从左至右平方-乘积算法 从右至左平2.3旁路攻击简介2.3.1旁路攻击概念及分类 定义2-8 旁路攻击：是一种新型的密码分析技术，它通过监控密码设备在进行密码运算期间所呈现的功耗、电磁辐射、运行时间等物理特征信息，结合数学分析的方法，从中萃取出与密码运算相关的信息，并进一步获取运算中涉及到的秘密参量。最常见的旁路攻击类型包括：功耗分析攻击、电磁泄漏分析攻击、声学攻击、计时攻击、差错攻击、光学攻击等。本文着重对功耗分析攻击和电磁泄漏分析攻击进行介绍。加密器E解密器D明文M加密密钥K1解密密钥K2破译者M公开信道密文C发送方接收方声音电磁辐射可见光热功耗运行时间故障输出频率错误信息 旁路攻击环境下的密码系统2.3旁路攻击简介2.3.1旁路攻击概念及分类加密器E解密器2.3.2 功耗分析攻击 按照分析技术的不同，一般功耗攻击可分为简单功耗攻击和差分功耗攻击两种。1简单功耗攻击 简单功耗攻击（Simple Power Analysis，SPA）直接收集、检测和观察系统功率消耗。简单功耗攻击步骤可描述如下：第一步，运行一个加密或解密过程，监控和记录下该过程中整个设备的功耗信息，表现为一组电压值或者电流值，生成一条功耗轨迹。第二步，根据上步生成的功耗信息，推测和计算加密或解密过程中所使用的秘密信息(如私钥或随机数)的部分或全部比特。2差分功耗攻击 差分功耗攻击是更具威胁的功耗攻击方法。2.3.3电磁泄漏分析攻击 电磁泄漏分析攻击是通过测量密码芯片在运算期间发射的电磁信号，研究密码设备在工作时辐射的电磁场与内部处理数据之间的相关性而获取内部秘密参量。进行电磁分析攻击的动机如下：1.芯片的功耗有些时候是不可测的；2.与功耗泄漏相比，电磁泄露可能包含更多信息；3.功耗分析攻击已经为人熟知；4.可以与功耗分析方法应用相同的统计理论。2.3.2 功耗分析攻击 从旁路攻击方面看，几乎对于现存的每一种加密算法(包括对称钥加密和公钥加密)都已经出现了相应的攻击方法，并且攻击方法还向实际操作性强的方向不断发展。此外，除了以上提出的各种攻击分析方法，又出现了模板攻击(Template Attack)等新型的攻击方法。Quisquater 和Samyde94提出由芯片电磁泄漏所得到的大量信息，结合功耗攻击，可以建立一个指令与对应的功耗/电磁轨迹组成的字典，并且使用神经网络等智能识别技术，通过识别处理器所执行的指令达到破译的目的。此外，有研究95表明可采用计算机仿真工具(如PINPAS仿真器)来模拟旁路信息泄露，并用纯软件方式来执行旁路攻击仿真。这样可以在密码设备的设计阶段尽可能地消除旁路攻击的隐患，从而减少或避免设备定型后再考虑安全防护问题所需要的巨大开销。于RSA算法的旁路攻击研究，Messerges96等人提出了三种差分功耗分析方法，目前已被广泛应用 在RSA旁路攻击防护方面，到目前为止，国际上以 Paul Kocher等人积极参与的若干研究小组，已经对各种旁路攻击分析特别是功耗分析进行了深入和广泛的研究；Cryptography Research等密码领域的权威组织也开始就这一领域作产品级的研发，并就防御功耗分析攻击服务申请了专利，开始提供相关业务。现存的RSA旁路攻击防护方法主要可以分为算法级和电路级。其中以算法级最为普遍。2.4有关的RSA旁路攻击研究 从旁路攻击方面看，几乎对于现存的每一种加密算法2.5旁路攻击对于芯片安全性的威胁 RSA旁路攻击威胁1.随机预言模型2.信息熵量化分析3.敌手攻击能力 评估模型1.门电路级2.结构级3.算法级4.协议级1.功耗攻击2.电磁攻击3.计时攻击4.差错攻击5.声、光防护方法攻击方法技术实现理论建模攻击目标RSA旁路攻击 旁路攻击包含多种攻击技术及方法，本文主要论述针对RSA密码算法的功耗及电磁旁路攻击技术，其所属层次如图所示。2.5旁路攻击对于芯片安全性的威胁 RSA旁路第3章 旁路攻击能力分析 目前已经有很多学者在从事密码安全度量的工作，Lowe119通过区分不同行为对代数过程的信息流进行量化；Clarkson120等人建立了模型用于判断攻击者行为的正确与否；Clark121应用信息论方法对未知明文方法进行量化。一般认为从两个方面可以对旁路攻击能力进行度量：信息计算能力；可获得的物理观测数量。击的次数可用数学统计方法如相关性分析计算最小样本量，Mangard123提出了一个评估密码攻击效率的公式,他的工作组在124中提出了计算功耗分析攻击样本量的模型，课题组陈开颜递交的博士论文中详细论述了相关性电磁分析，该论文主要研究了基于电磁泄漏等旁路分析环境下密码攻击复杂度。密码复杂度即抵抗攻击的能力，它随密钥长度增加呈指数增长。但是，C.D.Walter在文献122中指出，密钥长度越长就意味着旁路信息泄漏越多。本章节主要通过信息熵度量量化的方法说明旁路攻击对于解决难解问题的可行性与能力。第3章 旁路攻击能力分析 目前已经有很多学者在从3.1旁路攻击能力的信息熵度量3.1.1信息熵 熵的概念起源于对热力学的研究，最早提出的是物理学家克劳修斯。热力学熵的统计意义是它是系统无序度的度量，一个系统状态的有序度越低，那么它的熵值就越高；反之，一个系统越有序，它的熵值就越低。Thomas M.Cover等.给出了信息熵度量经典论述48。设有一个离散的随机变量X，它有N个可能的取值，分别为a1，a2，aN，各种取值出现的概率分别为p1=P(a1)，p2=P(a2)，pN=P(aN)，且 对这种简单的随机变量，我们一般用下述分布列或密度矩阵来加以描述：信息论关心的是这一随机变量的不确定性，即我们在对这一随机变量进行观察、测量、记录（在概率论中称为“试验”）时，其结果的不确定性。3.1旁路攻击能力的信息熵度量3.1.1信息熵3.1.2信息熵与旁路能力 攻击者利用不同类型的泄漏信息对密钥进行分析，使得部分乃至全部的秘密信息被破解。从旁路攻击的角度讲，对不同攻击方法的攻击性能进行分析，以及对防御策略的安全性进行评估，都可以借助于互信息的相关分析方法。旁路攻击的过程是信息熵衰减的过程即攻击者试图通过统计分析来减少密钥的信息熵。假设H(O)表示旁路观测的信息熵，H(K|O)表示在旁路观测为O的条件下密钥K的条件熵，I(O，K)为旁路观测O和密钥K的互信息量，则旁路泄漏的信息熵和互信息量的相互关系如图所示：旁路泄漏的信息熵与互信息的关系H(O)H(K)I(K,O)通过旁路攻击过程，观测量可以获得关于密钥K的信息，可以表示为3.1.2信息熵与旁路能力 攻击者利用不同类型3.1.3 旁路泄漏信息熵定义 定义3-1 旁路泄漏定义：设K为有限位的密钥，M为有限位的明文，D为任意数组，密码过程可以被认为是这样一个函数F：，假设攻击者可以实施对于函数F的物理观测IF，则其与F(k，m)相关联。设O为可能测量物理量，则旁路攻击函数fIF可以表示为 我们假定攻击者具备实现的全部知识，特别是我们已经假定fIF对攻击者是已知的，通常IF是隐含的fIF简化为f。3.2 RSA旁路攻击能力和目标3.2.1敌手能力划分 由于密码实现过程所承担责任的重要性，已有大量研究工作致力于形式化加密方案在具体实现过程出现的诸如配置问题、安全缺陷等。Abraham等人94定义了数据交换系统的实际安全需求和开发应用设计步骤，并根据潜在的敌手、攻击以及目标产品的安全等级，明确指出存在三类不同的攻击者：1聪明的攻击者；2知识丰富的攻击者；3资金充足的组织。3.2.2攻击目标及手段 一个资金充足，设备齐全的攻击者可以同时使用昂贵的多种传感器采集多种旁路信号，更重要的是，他可能会使用高宽带，高采样率的示波器。国内生产TEMPEST接收机的单位只有中电41所。这种攻击可以需要更少的样本，但效率更高，样本数也可以比传统方法低一个数量级或更多，某些电磁分析接收设备见下表。3.1.3 旁路泄漏信息熵定义 电磁分析设备文中实验所应用的设备的具体参数如下表所示。主要实验设备及参数 电磁分析设备文中实验所应用的设备的具体参数如下表所示。主第4章 RSA功耗旁路攻击研究 功耗攻击是应用最为广泛旁路攻击方法，通过采集密码系统、加密芯片等硬件设备在进行加、解密或签名操作时产生的能量消耗和泄漏信息指标，利用密码学、概率、统计学原理，分析和破译密钥信息的一种攻击方式。4.1功耗旁路信号泄漏分析4.1.1功耗信号泄漏原理 数字集成电路的核心技术是CMOS技术，电路在进行运算时会消耗功率，而对于密码设备来说，电路中的功率消耗情况决定密码设备是否能够被成功攻击。CMOS电路工作的时候，需要给电路输入恒定的电压VDD和输入信号，如图所示。CMOS电路功率消耗图 电路中的逻辑单元处理输入信号并从电源中获取电流。在这里，我们将总的瞬时电流表示为iDD(t)，将瞬时功耗表示为pcir(t)。因此，电路在时间T之内的平均功耗Pcir就可以根据公式计算。第4章 RSA功耗旁路攻击研究 功耗攻击是应用 在倒相器中，网络中包含两个晶体管P1和N1，如图所示。CMOS倒相器 倒相器的功耗从本质上能分成两部分。一部分是静态功耗Pst。第二部分是动态功耗Pdy。静态功耗Pst与动态功耗Pdy的和就是逻辑单元的总功耗。1静态功耗 在关闭的MOS管上只有少量的泄漏电流Ileak，因此静态功耗Pst就可以通过式来计算。2动态功耗 在有内部信号或是外部信号触发翻转的时候就会消耗动态功耗。由于外部信号导致的功率消耗比内部信号导致的功率消耗大得多，在下面的讨论中，我们忽略掉内部信号变换而导致的功率消耗。在某个时间段之内，CMOS单元的输出会导致四种不同的变换，如表所示。CMOS的动态功耗有两部分的原因。一是单元中的负载电容需要充电，二是如果单元的输出信号变化的时候会有短暂的短路电流。在倒相器中，网络中包含两个晶体管P1和N1，如图所4.1.2功耗旁路信号的数学描述 在进行旁路攻击时，电路的实际旁路泄漏信号可以通过硬件设备进行采集。但是在研究过程中，在电路没有真实实现时，对于电路的各个设计阶段，可以通过一定的软件算法来对设备的旁路泄漏情况进行模拟，这就需要建立合适的功耗信号泄漏模型。对功耗泄漏在不同的层面上进行抽象，得到的功耗信号泄漏模型精度也不相同。功耗旁路信号泄漏模型有：晶体管级的功耗泄漏模型；寄存器级的功耗泄漏模型；操作数级的功耗泄漏模型。汉明距离功耗信号泄漏模型可表示为：若令a=1，b=0，上述模型就可简化为：如上公式可简化为汉明重量功耗信号泄漏模型：4.2功耗攻击平台4.2.1目标芯片设计 目前，旁路攻击研究的主要目标大部分为智能卡系统，智能卡系统主要用于测试软件的安全性，其核心其实是一个微型处理机，由它完成所有的加密和解密运算，因此它与普通的单片机很相似。本文以单片机系统为基础，构建原型目标密码芯片模块，作为旁路攻击的主要实施目标，文中的典型攻击实验研究都是基于该原型目标密码芯片模块。4.1.2功耗旁路信号的数学描述 整个密码系统共包含四个工作过程：1.启动密码芯片；2.等待主控计算机串口发送的触发信号和明/密文；3.对明/密文进行加/解密操作；4.将经过加/解密操作的密/明文回送到主控计算机。芯片工作过程如图所示。4.2.2攻击平台设计 简单功耗攻击只需要采集一条或少量功耗轨迹，而差分功耗攻击则需要采集大量样本来完成统计分析，因此就需要设计一个闭合的功耗轨迹自动采集系统来完成功耗分析攻击。其具体的工作步骤也在图中用虚线和序号标出。工作步骤描述如下：PC机通过USB线向示波器发出指令，初始化示波器。PC机向密码芯片发送明文。密码芯片开始对明文进行加密，同时向示波器发送触发信号。示波器通过测量电阻上的压降，采集功耗轨迹。示波器通过USB线将测得的功耗轨迹传输给PC机，供功耗分析使用。密码芯片将密文发送给PC机。下图是闭合的功耗攻击实验平台原理图密码芯片工作原理图 整个密码系统共包含四个工作过程：4.2.2攻击平功耗分析测试平台原理图根据设计原理图，搭建了功耗分析测试平台，如图所示。功耗分析测试平台根据设计原理图，搭建了功耗分析测试平台，如图所示。功耗分析测4.3RSA简单功耗攻击4.3.1攻击算法 简单功耗分析（SPA）通过直接收集、检测和观察得到系统功耗，功耗大小直接取决于微处理器输入指令、处理数据和运行算法的不同。在执行算法时，电路在不同时期处于不同的状态，比如存数据、取数据、算术或逻辑运算等。耗轨迹由密码设备工作时采集到的一组功耗测量结果组成。本文总结出RSA简单功耗攻击算法，其算法描述如下：RSA简单功耗攻击算法4.3RSA简单功耗攻击4.3.1攻击算法4.3.2攻击实验 根据上节提出的简单功耗攻击原理，按照RSA简单攻击算法流程，本节完成了对于目标单片机的RSA加密算法的简单功耗攻击实验。目标单片机运行RSA加密程序，其中密钥预先存储在单片机的内存中。单片机与电源之间串连一个电阻R，并利用数字存储示波器测量电阻R上的压降的变化。下图是实验中测得的RSA从左至右“平方-乘积”模幂算法的功耗轨迹。平方-乘积”模幂运算的功率轨迹a不添加空操作的简单功耗攻击的功耗轨迹图如下图所示。平方-乘积”模幂运算的功率轨迹b4.3.2攻击实验平方-乘积”模幂运算的功率轨迹a不添加空操4.4 差分功耗攻击方法 相对于简单功耗分析，差分功耗分析具有更强的分析能力，所以也相对更加难以防范。简单功耗分析主要是通过人工观察来发现需要得到的功耗信息，而差分功耗分析则采用了统计的分析方法以及错误校正技术来得到与芯片内部密钥相关的功耗特性，其分析过程可分为两个阶段：功耗轨迹采集和数据分析。4.4.1假设检验 统计分析的数学基础是假设检验理论136。根据样本对提出的关于总体的假设作出判断：是接受，还是拒绝，在统计学中称作假设检验。被检验的假设H0称为原假设，它的否命题H1称为备择假设。假设检验大致可分为以下6个步骤：提出假设H0。即写明假设H0和备择假设H1的具体内容。选统计量。根据H0的内容，选取适当的统计量，并能确定出相应的统计量的分布。给定检验水平。一般的值取0.01，0.05或0.10。确定拒绝域。由H0和H1的内容确定拒绝H0的临界值，通常是在检验水平下，查相应分布的分位数表来确定。并表示成一般的拒绝形式拒绝域W。实际计算。由样本观测值算出统计量的具体值。作出判断。若由前面计算出的实际值落入拒绝域W中，则在检验水平下拒绝原假设H0，而接受备择假设H1；否则就接受原假设H0。4.4 差分功耗攻击方法 相对于简单功耗分析，差4.4.2差分功耗攻击原理 在差分功耗攻击中，攻击者首先作出一个关于检测数据的假设H0，相应地存在一个备择假设H1，然后由实际功耗样本计算检验统计量，判断假设H0是否正确。上述假设往往被转化为对于这两个分布是否相同的判断，最常用的假设检验方法是均值差检验：检验与是否相等。在实际应用中往往用两个总体的样本均值差作为检验统计量。均值差检验：设总体X，Y，Xl，X2，.，Xn是来自X的样本，Yl，Y2，.，Yn是来自Y的样本，样本均值为与，样本方差分别为 ，检验假设为 ；H1：取检验统计量 ，其中 统计量t服从自由度为n1+n2-2的t分布。其拒绝域的形式为 其中是自由度为n1+n2-2的t分布的。分位点，即满足:h(t)是的概率密度函数。4.4.2差分功耗攻击原理4.4.3差分功耗攻击步骤 具体的差分功耗攻击可划分为如下五个步骤：步骤1：首先进行N次密码运算，获取 （1）N个随机的明文输入PTi（1 i N）；（2）Sij：对第i次密码运算产生的功耗进行离散采样形成的功耗数组，其中1iN，j表示采样的时间点；（3）对应于PTi的相应密文输出CTi（1 i N）。事实上PTi和CTi只需要知道其中之一就可以了。下面以获取CTi为例。步骤2：定义一个与密钥密切相关的函数D(CTi，Kb)，并猜测令Kb=0，将基于采样时间点j的信号数组集合 Sij|1 i N 分成两个子集合：步骤3：计算集合S0与S1平均功耗值 并得到DPA的差分信号数组 步骤4：如果T j代表的差分功耗曲线上在某个位置出现明显的尖峰，那么代表Kb猜测正确，继续执行步骤5。否则，转步骤2，并修改猜测令Kb=Kb+1(Kb2b)。循环运行直到Kb猜测正确。步骤5：按上述方法获取所有的子密钥块以后，计算得到整个密钥。4.4.3差分功耗攻击步骤 4.5 RSA差分功耗攻击4.5.1单指数多输入攻击算法及实验 Messerges7等人首先提出了针对RSA模幂算法的单指数多输入差分功耗攻击算法和多指数单输入算法，经过研究人员在实践中的不断改进，目前已广泛应用。单指数多输入攻击算法 4.5 RSA差分功耗攻击扩展的欧几里德算法扩展的欧几里德算法4.5.2多指数多输入改进算法 1原有的多指数单输入算法 多指数单输入(Multiple-Exponent Single-Data，MESD)攻击算法算法成立的前提条件是：（1）攻击者有权选择私钥指数进行模幂运算。（2）攻击者有权对同一数据进行不限次数的输入操作。设Sdj为秘密私钥对输入进行运算的功耗值，为攻击者设计的私钥，i为的第i比特位。多指数单输入算法具体描述如下：多指数单输入攻击算法4.5.2多指数多输入改进算法 2多指数多输入算法描述 本文在多指数单输入算法的基础上，提出多指数多输入算法。多指数多输入算法延用单指数多输入算法逐位判断的思想，对传统的多指数单输入算法进行改进，该算法需要以下三个前提：（1）攻击者有权选择私钥指数进行模幂运算。（2）攻击者能够进行任意输入的模幂运算。（3）攻击者能获得所有的输出值。多指数多输入攻击算法 2多指数多输入算法描述 3多指数多输入算法攻击实验 单指数多输入算法虽然不能够实现对单片机运行的RSA加密算法的攻击，但从对下图的分析可以证明如果采用逐位判断的方法，实现RSA攻击可行。单指数多输入算法实验结果图 未知密钥为 ，已知密钥为 ，分别采集100条利用已知密钥进行加密的功耗轨迹。利用matlab工具进行差分，所得结果如下图所示。未知密钥差分结果图 3多指数多输入算法攻击实验 电磁攻击是对功耗攻击研究的一种延伸，相对于功率分析攻击来说，电磁分析攻击具有自身一些独特的优势：非接触式信号采集方式。信号定位相对方便。信号信息量更为丰富。5.1电磁旁路信号分析第5章 RSA电磁旁路攻击研究5.1.1 麦克斯韦方程组 1864 年麦克斯韦（J.C.Maxwell）总结了已有的电磁学理论，从数学形式上预言了电磁波的存在和光的电磁波本质。它阐明了电磁场与场源（电荷、电流）的联系及其与介质相互作用的规律。真空中大家常接受的Maxwell 方程组为 式中：和 分别为在真空或自由空间中媒质的磁导率和介电常数。时谐电磁波（正弦电磁波）对应的Maxwell 方程组表示成复域形式 电磁攻击是对功耗攻击研究的一种延伸，相对于功5.1.2 基本元件的电磁场 电流元的辐射 研究电流元的辐射是研究更复杂天线辐射特性的基础。电流元及其坐标 取球坐标 ，将电流元沿z轴置于坐标原点，用矢位法求其空间电磁场分布 其中 为自由空间中波阻抗。5.1.2 基本元件的电磁场5.1.3 电磁泄漏分析 由麦克斯韦尔的理论可知：导体上存在随时间变化的电荷和电流时，它的周围就有随时间变化的电场和磁场。电磁场间的相互作用，在一定的条件下离开导体向远处运动，形成向自由空间传播的电磁波，被称为电磁辐射。电磁辐射来源自于控制、I/O、数据处理或器件其他部分的电流。器件中携带电流的部件除了自身产生辐射外，还会由于耦合或电路结构而影响其他部件产生辐射。在这些辐射中，数据处理操作产生的辐射携带着绝大部分涉密信息。在CMOS器件中，电流只存在于器件的逻辑状态发生变化时。实际上，CMOS器件不是理想的，它可能在电路某些部分产生很小的泄漏电流，即产生噪声，一般认为噪声向量服从均值为零方差为B高斯分布：根据楞次定律，穿过天线的电感力取决于磁通量的变化率，其表示如下：，基于安培定理的麦克斯韦方程将磁场的产生表示如下：其中 表示电流密度，表示电场，表示电导率而 表示磁导率。5.1.3 电磁泄漏分析5.2 电磁信号采集天线设计 但是通过试验，我们认为，采用小型线圈所获得的电磁泄漏信号轨迹不是十分清晰，有用信息常常淹没在噪音信号中，所以我们自制了天线如下图所示。天线由细铜丝缠绕的线圈构成，其大小与单片机芯片的大小相仿。缠绕线圈的铜线在150-500微米之间，铜线越细，获得的电磁泄露信号轨迹越明显；缠绕的线圈匝数越多，获得的电磁泄漏信号轨迹越明显。自制电磁采样天线 选择正确的天线进行测量对于从密码芯片中获取电磁泄漏信息极为重要。不同的天线会使整个实验产生完全不同的效果。文献中测量电磁辐射信号的天线应用自制的铜线圈来完成，其中缠绕线圈的铜丝直径应该在150-500微米之间。以上几部文献的共同点在于，文献作者都认为，天线应该尽可能的小，从而可以通过将天线安放在芯片的不同位置来获得不同的电磁辐射信号。文献中的自制天线如图所示。电磁采样天线5.2 电磁信号采集天线设计 但是通过试验，我们5.3电磁攻击平台设计 图直接给出闭合的电磁信号轨迹自动采集系统的原理图，其具体的工作步骤也在图中用虚线和序号标出。工作步骤描述如下：PC机通过USB线向示波器发出指令，初始化示波器。PC机向密码芯片发送明文。密码芯片开始对明文进行加密，同时向示波器发送触发信号。示波器通过测量天线上测量到的电磁信号，采集电磁轨迹。示波器通过USB线将测得的功耗轨迹传输给PC机，供电磁分析使用。根据设计原理图，搭建了电磁分析测试平台，整体平台与功耗采样平台一致，图给出芯片测试部分。密码芯片将密文发送给PC机。电磁分析测试平台原理图电磁分析测试平台5.3电磁攻击平台设计 图直接给出闭合的电磁信号轨迹自动 5.4.1频谱分析 信号采集只是设备状态检测与故障诊断的准备工作，更重要的是需要对采集到的信号进行分 析与处理，从而实现设备的状态检测。信号分析一般可分为时域和频域两个角度：如图所示，一个复杂的波形是由一系列频率 不同的谐波复合而成，各次谐波可以按其频率高低依次排列起来成为谱状，按照以频率为横坐标的各次谐波的总体称为频谱。组成时域波形的谐波分量5.4电磁信号的频谱分析 傅里叶变换有以下几种可能的形式：傅立叶变换 傅立叶级数 序列的傅 立叶变换 离散傅立叶 变换（DFT）5.4.1频谱分析5.4电磁信号的频谱分析 傅里5.4.2电磁轨迹的幅频特性 分析电磁轨迹的幅频特性之前，首先进行功耗轨迹的幅频特性分析。采集原型目标平台上执行RSA运算的一条功耗轨迹（如图所示）单片机中RSA运行一次的功耗轨迹 利用matlab工具对该轨迹进行FFT处理后得到功耗轨迹的频谱图（如图所示）功耗轨迹的频谱5.4.2电磁轨迹的幅频特性5.5 RSA电磁攻击实验5.5.1 RSA简单电磁攻击实验 简单电磁攻击实验与简单功耗攻击实验类似。目标单片机运行RSA加密程序，其中密钥预先存储在单片机的内存中。利用自制天线连接数字存储示波器测量芯片的电磁辐射。数字示波器采集了的电磁辐射会通过接口反馈到与示波器相连的计算机上，并由基于虚拟仪器的采集系统转化为分析所用的电磁轨迹。示波器的采样率为100M次/秒。下图是实验中测得的RSA从左至右“平方-乘积”模幂算法的电磁轨迹。“平方-乘积”模幂运算的电磁轨迹5.5 RSA电磁攻击实验5.5.1 RSA简单电磁攻击实验5.5.2 RSA多指数多输入算法差分电磁旁路攻击实验 设置已知密钥为d=2047=(11111111111)2，采集300条利用已知密钥进行加密的电磁轨迹。利用matlab工具进行差分，所得结果如图所示。电磁分析攻击多指数多输入算法实验结果图a 对上图所得的实验结果进行分析，更改已知密钥的第三个密钥位，构建新的已知密钥d=1791=(11011111111)2进行下一轮猜测，新已知密钥与未知密钥的差分结果如下图所示。电磁分析攻击多指数多输入算法实验结果图b其中：x轴为时间轴 y轴为电压轴5.5.2 RSA多指数多输入算法差分电磁旁路攻击实验其中：5.6 RSA可信加密卡电磁攻击实验5.6.1可信加密卡设计 1可信计算平台基础 “可信计算”可以从几个方面来理解：用户的身份认证，这是对使用者的信任；平台软硬件配置的正确性，这体现了使用者对平台运行环境的信任；应用程序的完整性和合法性，体现了应用程序运行的可信；平台之间的可验证性，指网络环境下平台之间的相互信任。可信计算是安全的基础，从可信根出发，解决结构所引起的安全问题。TPM的硬件结构图如图所示：TPM的硬件结构图 2可信加密卡功能分析 可信计算的思想是要从终端、从平台根源解决现有的安全问题。它通过对现有平台的改造，使其成为可信平台。3设计方案选择及整体电路设计 本 文利用S2500型PCI-E接口FPGA开发实验平台（如下图所示）进行RSA可信功能卡的设计5.6 RSA可信加密卡电磁攻击实验5.6.1可信加密卡设计 S2500型PCI-E接口 FPGA开发平台 本文主要是在PCI-E总线基础上实现了RSA加密/解密计算，硬件整体电路如图所示，RSA加密/解密算法及两者接口，实现PCI数据传输及数据的加密与解密计算，其配置采用相应的EEPROM芯片EPCS4。硬件整体设计图芯片安全性威胁课件5.6.2可信加密卡电磁攻击平台设计 下图直接给出闭合的电磁信号轨迹自动采集系统的原理图，其具体的工作步骤也在图中用虚线和序号标出。RSA可信加密卡电磁分析测试平台原理图 下图是RSA可信加密卡电磁分析平台的实物图。SA可信加密卡电磁分析平台示意图5.6.2可信加密卡电磁攻击平台设计5.6.3可信加密卡电磁攻击实验 1简单电磁攻击实验分析 前面我们已经进行了基于单片机平台的简单电磁攻击实验与简单功耗攻击实验，RSA可信加密卡的电磁分析实验与之类似。右图是实验中测得的RSA算法的电磁轨迹。2差分电磁攻击实验分析 由上面的分析可知，在目前电路条件下，简单电磁分析不能够对RSA可以信加密卡实施有效攻击。下图是对RSA可信加密卡进行差分电磁分析时得到的结果图，考虑到示波器的数据处理能力，实验中我们设置RSA可信加密卡中n的取值为不超过8位。可信加密卡电磁分析攻击实验结果图 (A)(B)可信加密卡简单电磁分析轨迹其中：x轴为时间轴 y轴为电压轴5.6.3可信加密卡电磁攻击实验 2差分电磁攻击第6章 硬件木马机理研究 本课题针对装备级芯片研究主动失效技术，以硬件木马的形式为装备预留后门，使控制者能够通过隐密的旁路信道，实现修改控制芯片功能、泄漏秘密信息、拒绝使用者操作及装备自毁等功能，改变装备在特定使用环境下的既定使用寿命及战技术效能。6.1 硬件木马产生 现代经济全球化的趋势，芯片开发商为了在竞争中生存并充分利用其它公司甚至其它国家提供的现有的技术和低价的劳动成本，外包（outsourcing）了它们许多的生产步骤。其中，芯片的制造，作为芯片设计最昂贵的一部分是被外包的。下图列出了芯片产品设计和制造的主要步骤。一个芯片制造过程包括三个主要步骤：1）设计，主要由芯片开发商完成：包括芯片设计，使用设计软件，最后形成芯片制造所需的掩码文件。2）制造，包括掩膜，制造和封装，3）测试，主要是对芯片进行功能检测和故障测试。芯片设计、制造、封装，测试过程第6章 硬件木马机理研究 本课题针对装备级芯片研6.2 硬件木马分类 X.Wang等人第一次详细论述了硬件木马的分类。木马的全面分类方法能够为不同类型的木马设计及检测提供依据。6.2.1 硬件木马的物理特征分类 物理特征分类描述了硬件木马不同的硬件表现形式，可以根据类型、尺寸、分布和结构四个属性继续对硬件木马分类。硬件木马的分类 6.2.2 硬件木马的激活特征分类 激活特征是指导致木马工作并执行破坏功能的触发条件。根据木马激活特征可以划分为两个子类，分别称为外部激活型木马与内部激活型木马。6.2 硬件木马分类 X.Wang等人第一次详细论6.2.3 硬件木马的行为特征分类 行为特征用于区分硬件木马产生的破坏行为的类型。木马行为分为三类：功能修改、规格修改和信息泄露。功能修改型木马是指木马通过增加、删减逻辑，或绕过已有逻辑的方式以改变芯片的功能。功能修改型与规格修改型木马之间的重要区分特征是它们破坏能力的不同。规格修改型木马限定它们的破坏能力是导致系统失效。木马激活后导致的恶意行为在很大程度上取决于芯片应用。尽管功能修改型木马的行为能力，看起来更为强大，但是从敌手的角度来看它们也是更为“危险”的，更容易为检测者所检测到。6.3 硬件木马设计目标及原则 由硬件木马的分类可以得出，硬件木马的攻击目标通常依赖于芯片的应用。大多数目标能够分成以下三类：1信息泄露：硬件木马能够直接将芯片中的重要的私密信息、数据泄露出来，以使攻击者达到偷取秘密信息的目的。2篡改数据：一旦芯片开始工作，木马电路能够监听并且修改芯片内部的数据，达到恶意破坏的目的。3拒绝服务：木马电路修改芯片内部电路的结构，导致电路在特定的运行环境下出现故障或者是停机。6.2.3 硬件木马的行为特征分类 主动失效技术通过在装备电气系统中隐藏硬件木马电路，使控制者能够通过隐密的旁路信道，实现修改控制芯片功能、泄漏秘密信息、拒绝使用者操作及装备自毁等功能，改变装备在特定使用环境下的既定使用寿命及战技术效能，必要时使整个武器系统主动失效，实现敌不可用。7.1原始开发平台（1）可信计算平台基础 可信计算平台是能够提供可信计算服务的计算机软硬件实体，它能够提供可信系统的可靠性、可用性和行为的安全性。它的基本目标就是建立一个网络中的可信域，并基于该信任域的管理系统将单个的可信计算平台扩张到网络中，形成网络的可信域 TPM的硬件结构图如图所示：TPM的硬件结构图第7章 硬件木马技术实现 主动失效技术通过在装备电气系统中隐藏硬件木马 （2）设计方案选择及整体电路设计 可信计算的思想是要从终端、从平台根源解决现有的安全问题。它通过对现有平台的改造，使其成为可信平台。本节设计并实现了基于S2500型PCI-E接口芯片开发实验平台（如图所示）的TPM功能卡。该卡基于PCI-E局部总线接口，使用方便，易插拔以保护计算机信息安全。S2500型PCI-E接口芯片开发平台 设计的主要功能是在PCI-E总线基础上实现了AES加密/解密计算，硬件整体电路如图所示，核心芯片 芯片采用ALTERA 公司的新型CYCLONE2系列芯片，型号为EP2C20F484C8，容量为20000个逻辑宏单元，等效于标准60万逻辑门电路，综合实现后系统速度可以达到100MHz。硬件整体结构图 （2）设计方案选择及整体电路设计 设计 （3）PCI-E桥接电路设计 目前主要有二种方案来实现PCI-E的连接：1、桥接方案，即在现有纯PCI或PCI-X芯片上增加桥以建立PCI-E协议；2、纯PCI-E方案，即开发新的纯PCI-E的CPU芯片解决方案，并利用该芯片创建控制器插卡。（4）核心芯片硬件电路设计 在芯片中主要实现PCI总线IP核，AES加密/解密核，及两者的接口。三部分分别设计，在顶层图中进行集成综合。AES密码核主要实现AES的加密，解密计算。综合后顶层电路图如图所示：密码模块结构图 （5）驱动程序和测试程序设计 因为PCI-E总线是即插即用设备，因此必须开发相应的驱动程序以操作该总线加密卡。（3）PCI-E桥接电路设计7.2 硬件木马原型电路实现 针对可信加密卡攻击，攻击者能够绕过可信加密卡的可信机制，在TPM芯片中嵌入硬件木马，在不妨碍加密卡正常工作的条件下将用户的私密信息或者是密码算法的密钥泄露出来。嵌入硬件木马后的芯片内部整体设计如右图所示，其中虚线框内为硬件木马电路。硬件木马电路具体设计如下图所示：芯片内部电路结构载波泄露型硬件木马设计7.2 硬件木马原型电路实现芯片内部电路结构载波泄露型硬件木第8章 硬件木马电路的生存性 研究如何实现木马电路的隐蔽工作，提高硬件木马的防检测能力。与现代密码学中密码的安全性基于密钥保密，而非基于密码算法的实现细节保密这一基本要求不同，由于硬件木马占用资源有限，一般结构与功能较为简单，因此它的生存能力要基于实现细节与工作模式的保密。8.1 安全芯片攻击技术 随着信息技术的不断发展，现今的安全系统中，信息的加、解密操作通常是采用微处理器芯片执行加、解密程序或是直接采用定制的集成电路芯片来实现的。I侵入式攻击技术 侵入式攻击也可以称为物理攻击，是一种破坏性的攻击技术。右图所示即是采用化学腐蚀的方法去除智能卡芯片外围的塑胶封套的过：芯片物理攻击第8章 硬件木马电路的生存性 研究如何实现木马电路 当攻击者成功去除安全芯片的封装结构后，还可以在裸露的硅片电路外围添加相应的附属结构以便于实施进一步的攻击手段。比如下图中的压焊设备就是在为裸露的硅片重新连接压焊引线，便于攻击者在后续的过程中为芯片施加测试激励。裸片焊接引线 版图的逆向提取过程通常是帮助攻击者了解芯片的工作原理以及芯片中密码算法的实施细节，为进一步的攻击提供指导。如下图所示，左图是芯片中一个两输入与门的版图，右图是同一个与门去除上层金属后的视图。通过右图攻击者可以很容易的识别出这个单元的逻辑功能，而左图则显示了这个逻辑门和电路中其他逻辑门的连接关系。探针测试台显示逻辑门电路 当攻击者成功去除安全芯片的封装结构后，还可以在 微探针技术通常用于探测芯片中的总线数据、模块IO信号以及存储模块的输入输出信号。下图是一个被用于微探针探测的芯片总线电路的版图照片。图中横向的9根金属线是芯片上的总线，其中下面的8根线事先被攻击者利用激光刻蚀的技术在芯片的钝化层上刻蚀了8个坑洞。在进行微探针探测时只要将微探针插入这些坑洞就可以连接到相应的总线，并在芯片工作的过程中探测到总线上传输的数据。常规微探针技术 在刻蚀出所需要的坑洞后，再利用淀积技术将白金蒸汽淀积在刻蚀好的坑洞中就可以实现对芯片内层金属的电接触。这样通过常规的微探针技术就可以探测到内层金属中传输的数据信号。下图是一个采用了FIB刻蚀技术将内部金属层信号引到芯片顶部的钝化层上的实例。图中的十字图形就是淀积的白金金属，做成十字形是为了便于微探针的接触。版图逆向分析技术 微探针技术通常用于探测芯片中的总线数据、模块IO8.2旁路分析于硬件木马应用 旁路分析是通过监测密码芯片在工作时泄露的物理特征信息（例如功耗、声波、运行时间、电磁辐射等）利用数学分析（重点是统计分析）方法来获取芯片中的秘密信息。目前，旁路分析于硬件木马中有两大应用：8.2.1芯片的旁路信息成为硬件木马隐蔽的信息泄露通道硬件木马在设计与实现时需要考虑许多问题，比如硬件木马的植入方式、激活方式、实现功能等。对于不同的硬件木马植入者（芯片设计者或制造商）来说，面临的实现难度也不尽相同。大部分研究均侧重于硬件木马的生存性与可用性研究。所谓生存性，是指木马电路如何实现隐蔽的工作，用于衡量硬件木马的防检测能力。旁路攻击技术的一个重要方面是从多种噪声中提取有用的旁路信息。这些噪声包括测量噪声，环境噪声和其它在电路运行中的随机信号变量。在采用旁路分析方法之前，有用信号能很好地隐藏在芯片噪声中，避免检测者的检测。8.2.2芯片的旁路信息能够成为检测硬件木马的有效手段 旁路通道能够成为硬件木马泄露私密信息的隐蔽通道。相反，旁路信息检测也成为检测硬件木马的一种方法。在硬件木马分类中已提到，条件激活型木马需要与已有逻辑进行“连接”。这种“连接”会对它们所连接的线路产生电容负载，并从而改变芯片的能耗与热特性。基于旁路的“指纹”识别方法不需要对现有芯片的设计和制造的过程进行任何改变，特别是，它不需要可信的工厂。然而，它需要一个附加的芯片旁路指纹，和可信的芯片测试设备来执行检测步骤。8.2旁路分析于硬件木马应用 旁路分析是通过监测8.3 硬件木马旁路信息传递技术研究 2009年Lang Lin等人提出了一种基于旁路的片外信息泄漏（MOLES）硬件木马设计思想，通过功耗信息测量及差分分析技术进行逐位检测来获取秘密密钥。本节首先研究并实现了这种新型的硬件木马，利用芯片密码芯片运行时的功耗旁路泄露，有意形成功耗旁路通道来达到泄露密码电路的密钥信息与数据的目标。8.3.1 扩频基础 扩展频谱（SS:Spread Spectrum）通信技术是一种非常重要的抗干扰通信技术，目前已广泛用于在军事与民用通信系统中，它与光纤通信、卫星通信，一同被誉为进入信息时代的三大高技术通信传输方式。1PN码设计原则 在扩频抗干扰通信系统中，码的设计主要考虑码的相关特性、码的保密性(码的复杂度)、码容量等方面性能。具体要求如下：(1)强自相关特性 设有两个长度为N 的序列和，则序列的自相关函数定义为：实际应用中，要求扩频通信中伪随机序列的自相关函数是二值的，即自相关函数为：式中：N为序列自相关峰值，它等于序列的周期，即；为序列自相关的旁瓣值，它满足。8.3 硬件木马旁路信息传递技术研究 2009年 （2）弱互相关特性 在无线通信系统中，为了减少多径干扰，实现多址通信，在自相关性能的基础上，还要求不同码之间的互相关性值低，因此在多用户系统中经常使用互相正交的PN序列。对于序列和，正交定义为：（3）码容量大 由上述分析可以知道，在多用户系统中，正交码的多少决定了系统容量，因此希望在设计扩频码时要选择容量大的码序列。2码序列设计基础 伪随机序列的产生可以通过线性或者非线性移位寄存器来实现。m序列是由n级线性移位寄存器产生的周期为的码序列，是最长线性反馈移位寄存器（LFSR）序列的简称，具有优良的自相关特性，其产生原理如图所示。m序列发生器框图特征多项式为：（2）弱互相关特性8.3.2 硬件木马电路设计 为达到使硬件木马信息隐蔽泄露的设计目标，采用芯片本身的功耗旁路泄露以达到泄露私密信息的目的。硬件木马的原理是：利用扩频技术，通过特定的长伪随机数（PN）序列对每位密钥进行调制，将每位密钥的功耗泄漏分布到多个时钟周期中，以达到同时泄露多位密钥，并互不干扰的目的。芯片内部电路整体原理图如图所示，虚线框内为硬件木马电路，PRNG表示伪随机数发生器产生电路，LC表示泄露电路。硬件木马芯片的整体设计设计PRNG如图所示：8.3.2 硬件木马电路设计8.4 旁路信息提取技术 本节研究硬件木马的生存性，利用旁路攻击手段对前文设计的木马进行检测，图为FPGA功率分析平台。图 8-15 旁路攻击平台 为采集FPGA的功耗变化，在FPGA的接地端与电路板的接地端接一个20欧的小电阻，通过差分探头接电阻的两端，将FPGA的功耗信号传送给示波器（Tektronix DPO4032，被动探头P6139A，差分探头TDP0500）进行采集并通过USB传输到PC机存储，示波器的采集过程由PC机（Pentium 4 2.8G Hz，160G HDD，1G DDR RAM，USB及RS232接口）上用LabWindow编写的虚拟仪器控制平台实现自动控制，整个控制流程为：1）虚拟仪器控制平台首先初始化示波器，设置采集参数，并通过RS232接口给FPGA提供随机明文输入。2）当FPGA接收到明文以后，运行密码算法，进行加密计算并将密文数据回送给PC机，同时触发示波器记录电阻两端的功耗输出，虚拟仪器控制平台控制示波器实时向PC机传输功耗数据，PC机存储数据。然后重复上述过程，实现数据采集的完全自动化。3）在采集数据完成以后，在PC机上用C+或MATLAB编写的信号处理与分析软件进行数据分析从而获取密钥。8.4 旁路信息提取技术主要实验设备及参数 利用低成本的设备实施攻击具有很大意义与可行性：从理论和实验上说明了低成本攻击是可行的，实现了电磁，功耗旁路攻击和硬件木马攻击的方法和试验过程；证明了如果进一步提高敌手能力，如改进计算法，采用性能指标更好的采集设备，对商用密码设备以及更高等级的密码设备攻击破解密钥是可行的。相关设备照片如图所示：波器、探头相关设备主要实验设备及参数8.4.1功耗泄露信息提取原理 攻击者对硬件木马产生的功耗泄漏信息进行检测，可以采用旁路分析中的差分分析技术提取密钥。考虑攻击8比特密钥中一位密钥K0的例子。整个泄露密钥提取过程为：攻击者首先采集多个时钟周期的功耗曲线；然后做出密钥猜测，例如将K0猜测为“1”，然后基于该密钥猜测和多个时钟周期内PN码的异或（XOR）的结果X0，可以将多个时钟周期的功耗曲线分成两组（组0:X0=0和组1:X0=1）。采用汉明距离模型，则密钥比特Ki在时间t导致木马电路的瞬时旁路功耗泄露可以表示为：表示泄露电路产生的功耗。此时，芯片的总体功耗消耗能够被建模成木马电路功耗 和噪声功耗 ，信噪比表示为 与 的比值：基于该密钥猜测及已知PN顺序，在时间周期nTc，攻击者能够计算得到：然后基于为逻辑“1”和逻辑“0”可将采集到功耗曲线进行分组。对N条功耗曲线，假设有m0条功耗曲线位于组1，对应于等于逻辑“1”；则另有N-m0条功耗曲线位于组0，对应于等于逻辑“0”。N条功耗曲线的差分结果DP(N)为组1的平均功耗减去组0的平均功耗，表示为：8.4.1功耗泄露信息提取原理8.4.2 电磁泄露信息提取 该硬件木马可以通过功耗旁路通道泄露密钥，但在针对实际密码系统的攻击中，通过功耗泄露私密信息具有以下两个缺点：1进行功耗测量需要在地端接上一个测量电阻，这在实际的密码系统中是很难实现的，它需要对现有的电路板进行破坏性的改动。2当芯片内部电路较复杂时，相对于硬件木马电路的功耗噪声会非常大，它会严重影响泄露信息提取的信噪比。要提高信噪比，只有增大LC泄露电路的体积，但这样会增加硬件木马被检测到的概率。对芯片近场的电磁信号获取，根据其电磁幅射模型，采用环形天线。我们分别对自制环形线圈（线圈数量50