公开(公告)号：CN103138917A

公开(公告)日：2013-06-05

申请号：CN201310027794.6

申请日：2013-01-25

Applicant: 国家密码管理局商用密码检测中心

Inventor： 李大为 ,  罗鹏 ,  冯登国 ,  曹伟琼 ,  邓开勇

IPC: H04L9/06

Abstract: 本发明公开了以S盒输入为基础的汉明距离模型在SM4密码算法侧信道能量分析的应用，其核心在于进行SM4密码算法侧信道能量分析过程中，选择S盒或轮函数作为攻击点建立汉明距离模型，以S盒的输入作为汉明距离模型的前续状态v1，对S盒进行攻击时，汉明距离(HD(v1，v2))模型的后继状态v2是S盒输出；对轮函数进行攻击时，汉明距离(HD(v1，v2))模型的后继状态v2是轮函数输出/输入。该方法可应用于SM4密码算法的CPA/DPA侧信道能量分析。利用本发明的方法提高了正确猜测密钥与能量信息之间的相关性，增强了分析有效性和成功率。

公开(公告)号：CN103227717B

公开(公告)日：2016-10-19

申请号：CN201310027804.6

申请日：2013-01-25

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  冯登国 ,  李大为 ,  曹伟琼 ,  侯北萍

IPC: H04L9/06

Abstract: 本发明公开了选择轮密钥异或输入进行SM4密码算法侧信道能量分析的应用，其核心在于进行SM4密码算法侧信道能量分析过程中，选择S盒或轮函数作为攻击点建立汉明距离模型，以轮密钥异或输入作为汉明距离模型的前续状态v1，对S盒进行攻击时，汉明距离(HD(v1，v2))模型的后继状态v2是S盒输出；对轮函数进行攻击时，汉明距离(HD(v1，v2))模型的后继状态v2是轮函数输出/输入。该方法可应用于SM4密码算法的CPA/DPA侧信道能量分析。利用本发明的方法提高了正确的猜测密钥与能量信息之间的相关性，增强了分析有效性和成功率。

公开(公告)号：CN103457719B

公开(公告)日：2016-06-08

申请号：CN201310310011.5

申请日：2013-07-23

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  曹伟琼 ,  李大为

IPC: H04L9/06 ,  H04L29/06

CPC classification number: G06F21/556 ,  G06F21/00

Abstract: 一种对SM3密码算法HMAC模式的侧信道能量分析方法，该方法分析了SM3密码算法及其HMAC模式的实现特征，基于DPA和CPA的攻击方法，结合SM3密码算法HMAC模式的特征及能量消耗泄漏点，成功地破解SM3密码算法HMAC模式，可任意伪造输出摘要。技术方案要点是：一、采集HMAC的能量迹；二、分析得到Kin，Kin为第1次杂凑运算中的中间状态值，三、分析获得Kout，Kout为第2次杂凑运算中的中间状态值，其中三中的方法与二中方法一致。本发明的技术方案为SM3密码算法的侧信道分析实施提供了解决方案。

公开(公告)号：CN103199983B

公开(公告)日：2016-04-27

申请号：CN201310037424.0

申请日：2013-01-31

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  冯登国 ,  李大为 ,  曹伟琼 ,  侯北萍

IPC: H04L9/00

Abstract: 本发明公开了侧信道能量分析中的n阶局域能量模型，该模型建立步骤如下：(1)采集能量迹，建立采样能量消耗矩阵(2)根据上步采样的能量迹，确定n阶局域能量消耗(3)选择局域窗口参数T，得到信噪比最大的n阶局域能量消耗，即n阶局域能量，计算所有能量迹各时间点上的n阶局域能量，从而得到一个极大信噪比的能量消耗矩阵W′(N×L)。以该模型为基础，结合CPA或DPA原理，可以进行高效CPA或DPA分析。利用本发明的模型相对于现有方法使用较少数量的能量迹即可进行具有较高成功率的侧信道能量分析，可大幅提升侧信道能量分析的效率。

公开(公告)号：CN104967509A

公开(公告)日：2015-10-07

申请号：CN201510221467.3

申请日：2015-05-05

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼 ,  冯秀涛 ,  陈华 ,  李国友

IPC: H04L9/06 ,  H04L9/00

Abstract: 本发明公开了一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，通过随机数得到带掩码输入R1+m1、R2+m2；(2)对于前N轮中每1轮的输入X1和X2分别加上掩码防护后通过转化函数为g(x，y)将加法运算转成异或运算；(4)进行16位移运算，L1和L2线性运算；(5)分别进行SL′、SR′运算；(6)对于F函数的W输出，通过转化函数h(x，y)转换成加法运算获得正确的W输出。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。

公开(公告)号：CN103441846A

公开(公告)日：2013-12-11

申请号：CN201310348111.7

申请日：2013-08-12

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼

IPC: H04L9/32 ,  H04L9/08

Abstract: 一种对P域的ECC算法选择明文侧信道能量分析方法，涉及到密码算法实现、侧信道能量分析等领域。本发明为了对ECC算法未加防御方法的实现和某些加入防御方法的实现进行侧信道能量分析，提出了一种新型的对素数域上的椭圆曲线基于选择明文的侧信道能量分析方法，使得ECC算法中标量乘的运算产生能量消耗差异，以获取密钥信息。技术方案要点是：所述方法包括以下步骤：(1)采集两组kP运算时的能量迹；(2)基于上步得到的能量迹进行侧信道能量分析，识别出隐藏的点加操作；(3)映射到能量迹上，实施侧信道能量分析，推断出k的密钥序列。本发明为对P域的ECC算法选择明文侧信道能量分析实施提供了理论依据。

公开(公告)号：CN103166752A

公开(公告)日：2013-06-19

申请号：CN201310027784.2

申请日：2013-01-25

Applicant: 国家密码管理局商用密码检测中心

Inventor： 李大为 ,  罗鹏 ,  冯登国 ,  曹伟琼 ,  邓开勇

IPC: H04L9/06

Abstract: 本发明公开了选择轮函数为攻击对象进行SM4密码算法侧信道能量分析的应用，其核心在于加密/解密攻击对象为轮函数。该应用在对SM4密码算法的CPA侧信道能量分析步骤如下：(1)采集能量迹，建立采样能量消耗矩阵；(2)选择轮函数作为攻击对象；(3)确定攻击对象和模型后，猜测轮密钥，计算轮运算的中间值确定中间值矩阵；(4)中间值及中间值矩阵映射为仿真能量消耗值和仿真能量消耗矩阵；(5)计算仿真能量消耗矩阵与采样能量消耗矩阵的线性相关系数，得到正确的猜测密钥。本发明的方法提高了正确的猜测密钥与能量信息之间的相关性，增强了分析有效性和成功率。

公开(公告)号：CN106066785A

公开(公告)日：2016-11-02

申请号：CN201610371562.6

申请日：2016-05-30

Applicant: 中国科学院软件研究所

Inventor： 朱少峰 ,  陈华 ,  范丽敏 ,  高思 ,  冯婧怡 ,  曹伟琼 ,  陈美会

IPC: G06F7/58

CPC classification number: G06F7/588

Abstract: 本发明公开一种基于环形振荡器的真随机数发生器累积抖动估计方法及电路。本方法为：1)以采样间隔内振荡信号边沿计数作为统计样本；2)计算样本方差；3)判断样本方差是否大于d∈[1/12,0.2098]，若样本方差大于d∈[1/12,0.2098]，累积抖动估计值为样本方差减1/12后的算数平方根，否则估计值为样本标准差。本方法利用样本的频数分布计算样本方差，削减直接公式计算样本方差所需的大量乘法运算；设计的估计电路以采样信号、振荡信号为输入，累积抖动平方的估计值为输出，包括边沿计数模块、均值估计模块、样本空间生成模块、样本频数统计模块、累积抖动估计模块。本发明可准确、高效的估计基于环形振荡器的真随机数发生器累积抖动，结合熵评估理论，可评估其真随机性。

公开(公告)号：CN116545612A

公开(公告)日：2023-08-04

申请号：CN202310467882.1

申请日：2023-04-27

Applicant: 中国科学院软件研究所

Inventor： 周锋 ,  陈华 ,  范丽敏 ,  姚富 ,  曹伟琼

IPC: H04L9/06 ,  H04L9/32 ,  G06F17/15

Abstract: 本发明公开了一种基于探测集约减的掩码安全性验证方法，其步骤为：1)将给定掩码防护方案解析为有向无环图G，并计算图G中每个顶点n的辅助数据结构；2)按字典序不重复地选取图G中的d个顶点组成的集合Nd，若仍有未被选取的组合则计算d阶探测集否则判定给定掩码方案通过安全性验证并退出；3)根据变量的掩码情况将分为两两之间不共享掩码的若干子集；4)当某一子集不服从独立均匀分布时，若其不可扩展，则输出Nd并退出，否则将扩展并进入步骤3)；5)当某一子集服从独立均匀分布时，从中删除子集并进入步骤3)。采用本方法使用较少的内存和处理器资源高效地验证抗侧信道掩码防护方案的安全性。

公开(公告)号：CN106066785B

公开(公告)日：2019-04-23

申请号：CN201610371562.6

申请日：2016-05-30

Applicant: 中国科学院软件研究所

Inventor： 朱少峰 ,  陈华 ,  范丽敏 ,  高思 ,  冯婧怡 ,  曹伟琼 ,  陈美会

IPC: G06F7/58

Abstract: 本发明公开一种基于环形振荡器的真随机数发生器累积抖动估计方法及电路。本方法为：1)以采样间隔内振荡信号边沿计数作为统计样本；2)计算样本方差；3)判断样本方差是否大于d∈[1/12,0.2098]，若样本方差大于d∈[1/12,0.2098]，累积抖动估计值为样本方差减1/12后的算数平方根，否则估计值为样本标准差。本方法利用样本的频数分布计算样本方差，削减直接公式计算样本方差所需的大量乘法运算；设计的估计电路以采样信号、振荡信号为输入，累积抖动平方的估计值为输出，包括边沿计数模块、均值估计模块、样本空间生成模块、样本频数统计模块、累积抖动估计模块。本发明可准确、高效的估计基于环形振荡器的真随机数发生器累积抖动，结合熵评估理论，可评估其真随机性。