公开(公告)号：CN103199983A

公开(公告)日：2013-07-10

申请号：CN201310037424.0

申请日：2013-01-31

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  冯登国 ,  李大为 ,  曹伟琼 ,  侯北萍

IPC: H04L9/00

Abstract: 本发明公开了侧信道能量分析中的n阶局域能量模型，该模型建立步骤如下：(1)采集能量迹，建立采样能量消耗矩阵 (2)根据上步采样的能量迹，确定n阶局域能量消耗(3)选择局域窗口参数T，得到信噪比最大的n阶局域能量消耗，即n阶局域能量，计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵W′(N×L)。以该模型为基础，结合CPA或DPA原理，可以进行高效CPA或DPA分析。利用本发明的模型相对于现有方法使用较少数量的能量迹即可进行具有较高成功率的侧信道能量分析，可大幅提升侧信道能量分析的效率。

公开(公告)号：CN106161007B

公开(公告)日：2019-10-01

申请号：CN201510186068.8

申请日：2015-04-17

Applicant: 上海华虹集成电路有限责任公司 ,  国家密码管理局商用密码检测中心 ,  上海交通大学

Inventor： 顾星远 ,  马博 ,  刘军荣 ,  郭筝 ,  李大为 ,  罗鹏

IPC: H04L9/08

Abstract: 本发明公开了一种安全芯片中抵御模板攻击的密钥装载方法，定义一种密钥数据的变换规则，密钥数据通过该规则进行变换，变换后的密钥数据具有所有字节互不相同的特点，密钥数据后续的存储与传输都在变换后的数据上进行；在密钥存储时，将长度为n个字节的变换后的密钥按字节存储至真实密钥地址，并将另外256‑n个字节的非密钥数据存储至混淆密钥地址；当密钥从密钥区读取传输时，以随机的方式按字节读取所有密钥区的数据，将真实密钥地址的密钥字节传输至正确的目的地址，将混淆密钥地址的非密钥数据传输至无关的目的地址。本发明具有更高的安全性，即使模板攻击能对芯片传输的数据进行完美的解析，仍然很难得到任何的密钥信息。

公开(公告)号：CN104852805B

公开(公告)日：2019-03-22

申请号：CN201510236365.9

申请日：2015-05-11

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 曹伟琼 ,  陈华 ,  郑晓光 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  吴文玲 ,  韩绪仓 ,  李国友 ,  高顺贤

IPC: H04L9/32 ,  G06F21/64

Abstract: 本发明公开了一种抵抗基于格的错误攻击的SM2签名算法防护方法。本方法为：1)签名者A对输入的待签名消息M进行哈希运算，并将运算结果ZA与消息M联合得到；2)对进行杂凑压缩，得到一预处理结果e；3)产生两随机数k，w；分别计算随机数k和基点G的标量乘kG，随机数w与公钥PA的标量乘wPA，然后相加得到一椭圆曲线点Q；4)计算e与点Q的坐标x1模n加得到一r值，5)代入私钥dA、k、w、r，得到签名结果s。使用本发明提出的新方法能够更有效、全面抵抗对SM2签名算法的格攻击。

公开(公告)号：CN104717055B

公开(公告)日：2018-11-20

申请号：CN201510134735.8

申请日：2015-03-25

Applicant: 成都信息工程学院 ,  成都芯安尤里卡信息科技有限公司 ,  国家密码管理局商用密码检测中心 ,  北京南瑞智芯微电子科技有限公司

Inventor： 王敏 ,  吴震 ,  饶金涛 ,  李大为 ,  罗鹏 ,  赵东艳 ,  张海峰 ,  唐晓柯 ,  胡晓波 ,  甘杰 ,  刘辉志

IPC: H04L9/06

Abstract: 本发明公开了一种针对SM4密码算法模板攻击的方法。该方法以SM4算法轮输入作为攻击点，选择汉明重量建立模板，以较少的模板数量就能实现完整的SM4模板攻击；同时在模板匹配阶段以选择性的明文输入作为基础，利用支持向量机作为判别分析的工具，只需要两次匹配就可以破解出子密钥的一个比特。该方法有效解决了现阶段其他方法针对模板攻击模板数据过多、计算量过大的问题。

公开(公告)号：CN104881618B

公开(公告)日：2018-11-13

申请号：CN201410856616.9

申请日：2014-12-31

Applicant: 中国科学院深圳先进技术研究院 ,  国家密码管理局商用密码检测中心

Inventor： 邵翠萍 ,  李慧云 ,  周剑彬 ,  徐国卿 ,  李大为 ,  罗鹏

IPC: G06F21/77

Abstract: 本发明提供了一种量化评估安全芯片安全性的方法及系统，通过对待评估安全芯片进行错误注入攻击，以确定安全芯片在空间上的易受错误注入攻击的敏感点，再对敏感点进行错误注入攻击，确定每个敏感点易受错误注入攻击的敏感时间长度，之后确定安全芯片在时间、空间上的敏感区域其中n表示所述敏感点的个数，t(i)表示第i个敏感点的敏感时间长度，i为正整数，最后根据安全芯片的总面积、安全芯片完成一次加/解密所需要的总时间以及安全芯片在时间、空间上的敏感区域，对安全芯片的安全性进行量化评估。因此，根据本发明实施例的量化评估安全芯片安全性的方法及系统，能够在空间和时间上对安全芯片的安全性进行量化评估。

公开(公告)号：CN104734842B

公开(公告)日：2018-06-08

申请号：CN201510112314.5

申请日：2015-03-13

Applicant: 上海交通大学 ,  上海华虹集成电路有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 刘军荣 ,  王伟嘉 ,  季欣华 ,  李大为 ,  罗鹏 ,  莫凡

IPC: H04L9/06

Abstract: 一种计算机安全技术领域的基于伪操作的电路旁路攻击抵御方法，以m个伪轮密钥和1个真实轮密钥组成轮密钥序列进行第一轮SMS4加密计算，并将真实轮密钥参与的第一轮SMS4加密计算结果进行第二轮SMS4加密计算，得到所需密文。本发明生成的第一轮真实运算的位置随机，使攻击者无法对齐功耗曲线，从而无法实现攻击。此外本发明相对于无防护的电路，其能耗不会超过原能耗的两倍。

公开(公告)号：CN104796250B

公开(公告)日：2018-05-25

申请号：CN201510168212.5

申请日：2015-04-11

Applicant: 成都信息工程学院 ,  成都芯安尤里卡信息科技有限公司 ,  国家密码管理局商用密码检测中心 ,  北京中电华大电子设计有限责任公司

Inventor： 吴震 ,  杜之波 ,  饶金涛 ,  王敏 ,  李大为 ,  罗鹏 ,  郑晓光 ,  刘剑峰

IPC: H04L9/06

Abstract: 本发明公开了一种针对RSA密码算法中幂剩余计算M‑ary实现时乘法输出的侧信道能量分析攻击的方法，其核心在于幂剩余计算用M‑ary实现时，以乘法输出作为攻击对象实施CPA攻击。包括以下步骤：（1）采集信号，建立采样矩阵；（2）选择乘法输出作为攻击对象；（3）确定相关性模型；（4）猜测轮指数值，计算出中间值矩阵；（5）计算仿真能量消耗矩阵；（6）计算（1）和（5）所确定矩阵之间的线性相关系数，攻击出正确的轮指数。（7）重复（4）至（6），攻击得到所有正确的轮指数，串接后得到完整指数。本发明的方法给出了一种新的M‑ary侧信道攻击方法，增强了RSA密码算法分析攻击的灵活性、有效性和成功率。

公开(公告)号：CN104967509B

公开(公告)日：2018-05-18

申请号：CN201510221467.3

申请日：2015-05-05

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼 ,  冯秀涛 ,  陈华 ,  李国友

IPC: H04L9/06 ,  H04L9/00

Abstract: 本发明公开了一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，通过随机数得到带掩码输入R1+m1、R2+m2；(2)对于前N轮中每1轮的输入X1和X2分别加上掩码防护后通过转化函数为g(x，y)将加法运算转成异或运算；(4)进行16位移运算，L1和L2线性运算；(5)分别进行进行SL′、SR′运算；(6)对于F函数的W输出，通过转化函数h(x，y)转换成加法运算获得正确的W输出。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。

公开(公告)号：CN104753668B

公开(公告)日：2018-04-13

申请号：CN201510120633.0

申请日：2015-03-19

Applicant: 成都信息工程学院 ,  成都芯安尤里卡信息科技有限公司 ,  国家密码管理局商用密码检测中心

Inventor： 杜之波 ,  吴震 ,  饶金涛 ,  王敏 ,  李大为 ,  罗鹏

IPC: H04L9/08

Abstract: 本发明公开了一种针对SM4密码算法线性变换输出的侧信道能量分析攻击方法，包括以下步骤：S1：选择两次攻击的字节，每次对应的输入为 (Xi+1⊕Xi+2⊕Xi+3) 中和要攻击的字节对应的字节为随机数，其它为固定数，采用侧信道能量攻击方法攻击出轮子密钥的字节和对应的线性变换中的固定数，将两次攻击的轮子密钥字节和固定数，进行相应的运算，即可获得完整的轮子密钥rki，其中，i=0,1,2,3；S2：根据所述前四轮轮子密钥rk0、rk1、rk2和rk3，通过密钥扩展算法，逆向计算出初始密钥。采用上述分析方法不仅实现了针对SM4线性变换输出的侧信道能量分析攻击，而且降低攻击完整密钥所需的攻击次数，增强了攻击效率和成功率。

公开(公告)号：CN104753665B

公开(公告)日：2018-04-06

申请号：CN201510120694.7

申请日：2015-03-19

Applicant: 成都信息工程学院 ,  成都芯安尤里卡信息科技有限公司 ,  国家密码管理局商用密码检测中心

Inventor： 杜之波 ,  吴震 ,  饶金涛 ,  王敏 ,  李大为 ,  罗鹏

IPC: H04L9/06

Abstract: 本发明公开了一种针对SM4密码算法轮函数输出的选择明文或密文侧信道能量攻击的方法，包括以下步骤：S1：选择明文或密文输入，使(Xi+1⊕Xi+2⊕Xi+3)的其中一个字节为随机数，其它字节为相同的固定数，采用侧信道能量攻击方法首先攻击出轮子密钥的字节和线性变换中的固定数，然后攻击出线性变换中的其它所有固定数，将攻击出的数据，进行相应的运算，即可获得完整的轮子密钥rki，其中i=0,1,2,3；S2：根据所述前四轮轮子密钥rk0、rk1、rk2和rk3，通过密钥扩展算法，逆向计算出初始密钥。采用上述分析方法可以降低攻击采集曲线次数和选择明文次数，增强了分析的灵活性、攻击效率和成功率。