Secret Sharing: Design of Higher-Order Masking S-box and Secure Multiplication in Galois Field
-
摘要: 在信息时代,信息安全是最不能忽视的重要问题,对密码设备的攻击和防护是该领域的研究热点。近年来,多种对密码设备的攻击已为人所知,其目的都是为了获取设备中的密钥,在众多攻击中,功耗侧信道攻击是最受关注的攻击技术之一 。掩码技术是对抗功耗侧信道攻击的有效方法,然而随着攻击手段的不断进步,1阶掩码的防护已经不足以应对2阶及以上的功耗分析攻击,因此对高阶掩码的研究具有重要的意义。为了提升加密电路抗攻击能力,该文基于秘密共享的思想,对分组密码算法的S盒变换实施了高阶掩码防护——共享型掩码,并基于Ishai等人在Crypto 2003上发表的安全方案(ISW框架)提出了有限域安全乘法的通用设计方法。通过实验表明,该文提出的共享型掩码方案不影响加密算法的功能,同时能抵御1阶和2阶相关功耗分析攻击。Abstract: In the information era, information security is the priority that cannot be ignored. Attacks and protection against password devices are research hotspots in this field. In recent years, various attacks on cryptographic devices have become well-known, all aimed at obtaining keys from the device. Among these attacks, power side channel attack is one of the most concerned attack techniques. Mask technology is an effective method to combat power side channel attacks, however, with the continuous progress of attack methods, the protection of first-order mask is no longer sufficient to cope with second-order and higher order power analysis attack, so the research on higher-order mask has considerable significance. To enhance the encryption circuit’s capability of anti-attack, high-order masking schemes: N-share masking is implemented on S-box in this paper, and a universal design method for galois field secure multiplication is proposed, which is based on the secure scheme published by Ishai et al. at Crypto 2003 (ISW framework). Through experiments, it has been shown that the encryption scheme adopted in this paper does not affect the functionality of the encryption algorithm, and can resist first-order and second-order correlation power analysis attack.
-
Key words:
- Block cipher algorithm /
- S-box /
- N-share mask /
- Galois field multiplication
-
1. 引言
在导弹靶场试验中,测量目标着靶点坐标和目标运动方向对于评估导弹性能起着关键作用[1]。在导弹与靶平面交会的过程中,天线阵列中接收到目标辐射信号的天线间相位差随时间的变化规律由导弹的速度矢量和矢量脱靶量一共6个参数决定。在目标运动模型已知的前提下,测量系统通过互相关或其他方法可得到接收阵元间的相位差时间序列数据,进一步再通过构建方程组进行求解等方法就能估计出着靶点坐标和目标运动方向[2]。着靶点的测量精度不但与相位差数据提取精度有关,而且也受到天线阵列布放结构的影响,因此天线阵列几何结构的优化问题一直被广泛讨论和研究[3-7]。文献[8-10]对平面阵列的不同布放结构进行了对比和分析,但是其结论不能直接推广应用到3维空间的定位问题中。本文针对3维空间着靶点参数估计问题,建立了观测模型,阐述了采用非线性寻优处理进行参数估计的方法,提出了一种从灵敏度[10]的角度对比不同阵列布放结构性能的方法,并利用着靶点估计CRLB(Cramer-Rao Lower Bound)的理论推导和数值计算验证了该方法的可靠性[11]。
2. 定位原理
2.1 观测模型
假设目标做速度为
v 的匀速直线运动,设P0=[x0,y0,z0]T 为起始观测零时刻(t=0) 的目标位置点,Pθ=[xθ,yθ,zθ]T 为着靶时刻的目标位置点,观测长度|P0Pθ| 为L 。当目标绝对速度v 已知时,目标的运动轨迹可用W=[xθ,yθ,zθ,α,β]T 这5个参数表示,其中弹道偏角α 表示目标运动轨迹在xoy 平面上的投影与x 正轴夹角,弹道倾角β 表示目标运动轨迹与xoy 平面夹角。第ti 时刻(i=0,1,···,I−1) 目标轨迹点坐标为Pi=[xi,yi,zi]T ,其中I 为总的数据提取点数,T 为数据提取间隔。天线阵列由Q 个接收天线组成,sq=[xq,yq,zq]T(q=1,2,···,Q) 为接收天线的坐标,目标轨迹与靶平面的相对位置关系如图1所示。以着靶点坐标为参考,目标在
ti 时刻的速度与轨迹点坐标分别满足式(1):vx=vcosβcosαvy=vcosβsinαvz=−vsinβ},xi=xθ−vx[(I−1)T−ti]yi=yθ−vy[(I−1)T−ti]zi=zθ+vz[(I−1)T−ti]} (1) 其中,
vx ,vy ,vz 表示ti 时刻目标在X ,Y ,Z 3个方向上的速度分量。2.2 着靶点坐标估计
在匀速直线运动模型下,导弹在
ti 时刻与天线sq 的距离可以表示为dq,i=√(xq−xi)2+(yq−yi)2+(zq−zi)2,q=1,2,···,Q (2) 假定选取
P 对接收天线进行相位差提取,第p 对天线由天线m 和天线n 组成,则目标在ti 时刻时,接收天线m ,n 间的无模糊相位差可以表示为ϕp,i=2π[dm,i−dn,i]λ,i=0,1,···,I−1;p=1,2,···,P (3) 其中,
λ 为波长。假定每一对接收天线在不同时刻的相位差测量误差服从零均值独立高斯分布,则ti 时刻的观测值可以表示为ˉϕp,i=ϕp,i+ηϕ,ηϕ∼N(0,σ2ϕ) (4) 于是天线对
p 的无模糊相位差时间序列可以表示为ˉfp=[ϕp,0,ϕp,2,···,ϕp,I−1]T,p=1,2,···,P (5) 提取到观测量
ˉfp 后,构造向量X :X=[f1T,f2T,···,fPT]T (6) 对应的观测向量为
ˉX ,即可建立代价函数J=(X−ˉX)(X−ˉX)T (7) 最后可通过求解式(8)最小二乘估计问题,得到着靶点坐标的估计结果
ˆPθ :ˆPθ=argminPθJ (8) 3. 灵敏度分析
3.1 灵敏度
灵敏度反映了待估计参数的变化对观测量的影响情况。2维平面上利用平面阵的目标定位问题中,阵列布放结构与定位精度的关系可以通过几何分析比较直观地得出结论[8],而且不同方向上定位精度的差异与基线分量的排布紧密相关。但是在3维空间下对着靶点参数估计的精度,除了会受到观测量噪声大小、阵列布放结构和落点坐标影响以外,还会受到弹道偏角
α 、弹道倾角β 、观测点数I 和数据提取间隔T 的影响,估计过程更复杂,很难通过几何分析的方式直观地比较不同阵列布放结构的优劣。灵敏度可以反映相位差观测量受目标运动参数的影响情况[10],对于某个运动目标来说,天线阵列布局的不同会造成灵敏度的差异,因此比较灵敏度大小对判断阵列布放结构的优劣有价值。为了简化表达式,令
A=(I−i)cosβcosα,B=(I−i)cosβsinαC=(I−i)sinβcosα,D=(I−i)sinβsinα} (9) 则
ti 时刻目标与天线m 和天线n 的距离可分别表示为dm,i=√[xθ−xm−TvA]2+[yθ−ym−TvB]2+[zθ−zm+(I−i)Tvsinβ]2 (9) dn,i=√[xθ−xn−TvA]2+[yθ−yn−TvB]2+[zθ−zn+(I−i)Tvsinβ]2 (10) 则在速度
v 已知的情况下,第p 个天线对在ti 时刻的相位差ϕp,i 可表达为ϕp,i=(dm,i−dn,i)⋅2π/λ (12) 其中,
Pθ=[xθ,yθ,zθ]T 为着靶点坐标,T 为相位差数据提取间隔,I 为数据提取点数。对ϕp,i 求全微分可以得到Δϕp,i=∂ϕp,i∂xθΔxθ+∂ϕp,i∂yθΔyθ+∂ϕp,i∂zθΔzθ+∂ϕp,i∂αΔα+∂ϕp,i∂βΔβ (13) ∂ϕp,i∂xθ={[xθ−xm−TvA]/dm,i−[xθ−xn−TvA]/dn,i}⋅2π/λ (14) ∂ϕp,i∂yθ={[yθ−ym−TvB]/dm,i−[yθ−yn−TvB]/dn,i}⋅2π/λ (15) ∂ϕp,i∂zθ={[zθ−zm+Tvsinβ]/dm,i−[zθ−zn+Tvsinβ]/dn,i}⋅2π/λ (16) ∂ϕp,i∂α={TvB[xθ−xm−TvA]/dm,i−TvA[yθ−ym−TvB]/dm,i}⋅2π/λ−{TvB[xθ−xn−TvA]/dn,i−TvA[yθ−yn−TvB]/dn,i}⋅2π/λ (17) ∂ϕp,i∂β={TvC[xθ−xm−TvA]/dm,i+TvD[yθ−ym−TvB]/dm,i−(I−i)Tvcosβ[zθ−zm+(I−i)Tvsinβ]/dm,i}⋅2π/λ−{TvC[xθ−xn−TvA]/dn,i+TvD[yθ−yn−TvB]/dn,i−(I−i)Tvcosβ[zθ−zn+(I−i)Tvsinβ]/dm,i}⋅2π/λ (18) 根据式(13)可以得到
P 对接收天线的相位差时间序列受着靶点坐标Pθ=[xθ,yθ,zθ]T 影响的灵敏度F(Pθ)=P∑p=1I−1∑i=0(|∂fp,i∂xθ|+|∂fp,i∂yθ|+|∂fp,i∂zθ|) (19) 以及受目标运动方向
S=[α,β]T 影响的灵敏度F(S)=P∑p=1I−1∑i=0(|∂ϕp,i∂α|+|∂ϕp,i∂β|) (20) F(Pθ) 和F(S) 的值体现了着靶点坐标的变化对相位差时间序列整体值的影响,F(Pθ) 和F(S) 越大,理论上定位效果也会更好。3.2 CRLB
为了验证利用灵敏度信息比较不同阵列布局定位性能的可靠性,推导了利用无模糊相位差对匀速直线运动目标参数进行估计的CRLB。令
g(i)=[ϕ1,i, ϕ2,i,···,ϕP,i]T ,为ti 时刻观测的P 组无模糊相位差,则多次观测的无模糊相位差H=[g(1)T,g(2)T,···, g(i)T,···,g(I)T]T ,则待估计参数w=[x0,y0,z0,α,β]T 的方差为var(wi)≥[F−1(w)]ii (21) 其中,
F(w) 为5×5 的Fisher信息矩阵,则[F(w)]ij=−E[∂lnp(H;w)∂wi∂lnp(H;w)∂wj] (22) 设来波信号的信噪比为
SNR ,则ϕp,i 的均方根误差σϕ=√1/SNR 。则由式(22)可以得到待估参数的CRLB界为CRLB(w)={(∂H∂w)TR−1(∂H∂w)}−1 (23) 其中,
R=σ2ϕIPI 为协方差矩阵,IPI 为PI×PI 的单位阵,可见信号的信噪比越大,Fisher信息矩阵中各项的值越大,CRLB越小。式(23)中∂H∂w=[∂g(1)∂w···∂g(i)∂w···∂g(I)∂w]T∂g(i)∂w=[∂ϕ1,i∂w∂ϕ2,i∂w···∂ϕp,i∂w]T} (24) 其中,
∂ϕp,i∂w=[∂ϕp,i∂xθ,∂ϕp,i∂yθ,∂ϕp,i∂zθ,∂ϕp,i∂α,∂ϕp,i∂β]T ,式(14)—式(18)给出了各项的解析式。因此,可以得到着靶点坐标估计及角度估计的CRLB。为了方便与灵敏度计算结果进行对比,将着靶点坐标Pθ=[xθ,yθ,zθ]T 和目标运动方向A=[α,β]T 的CRLB分别表示为C(Pθ)=CRLB(x)+CRLB(y)+CRLB(z)C(A)=CRLB(α)+CRLB(β)} (25) 3.3 计算机仿真
选择了3种空间阵列类型进行灵敏度的分析,分别是常见的中心辐射阵、面心辐射阵和参考阵元位于平行于
z 轴棱边中点的顶角辐射阵,如图2所示。为了更好地比较和分析3种阵型的着靶点坐标估计性能,3种阵型都选取了8组天线对来提取相位差数据,参考阵元分别位于坐标[0,0,2]T m,[0,0,0]T m和[−2,−2,2]T m处。在
xoy 平面上x∈[−50,50] m,y∈[−50,50] m的方形区域上以2×2m2 的方格为单位均匀地选择2601个点作为待测的着靶点。以中心辐射阵为例,天线阵列与所选靶平面的相对位置关系如图3所示。设目标匀速直线运动速度为800m/s ,波长λ= 0.15m ,数据提取点数I=500 个,信噪比SNR=9dB ,数据提取间隔T=1ms 。选取弹道偏角α=10∘ ,弹道倾角β=80∘ ,观测量对着靶点坐标变化的灵敏度和坐标估计CRLB分布情况如图4和图5所示。为了更清晰地对比靶平面上3种阵列灵敏度和CRLB由近到远的变化情况,在坐标原点O 到点[50,50,0]T m这条线段上均匀选择6个点来做比较,如表1所示。表 1 不同阵列的灵敏度和CRLB对比坐标 (m) (0,0,0) (10,10,0) (20,20,0) (30,30,0) (40,40,0) (50,50,0) 中心辐射阵灵敏度 90.47 59.27 49.49 44.13 40.43 37.60 面心辐射阵灵敏度 132.31 83.81 69.89 62.36 57.23 53.34 顶角辐射阵灵敏度 92.06 59.83 50.14 44.83 41.16 38.35 中心辐射阵CRLB 3.9e-5 5.9e-4 0.0017 0.0031 0.0049 0.0071 面心辐射阵CRLB 4.8e-5 3.7e-4 0.001 0.0019 0.0029 0.0041 顶角辐射阵CRLB 4.7e-5 4.1e-4 0.0011 0.002 0.0031 0.0045 由图4、图5和表1可见,中心辐射阵和面心辐射阵对着靶点坐标的灵敏度分布特征比较相似,在各个方向上灵敏度变化比顶角辐射阵更加均匀,并且具有着靶点距离靶中心越远灵敏度越低、CRLB越大的特点。从数值上看,面心辐射阵的灵敏度值最高,顶角辐射阵次之,中心辐射阵最低。这说明同样是选取8对接收天线提取相位差的情况下,面心辐射阵的相位差观测量对着靶点坐标的变化最敏感,而中心辐射阵最迟钝。CRLB的计算结果也验证了这一点,如图5所示,从靶平面上的整体数值分布来看,面心辐射阵的CRLB界最低,即无偏估计理论上可以达到的精度最佳,顶角辐射阵次之,中心辐射阵最差,与灵敏度计算结果反映的3种阵列的优劣情况一致。
同样仿真条件下,观测量对目标运动角度参数变化的灵敏度和角度估计CRLB分布情况如图6和图7所示。
比较观测量对角度参数的灵敏度和角度估计CRLB的计算结果可以看出,在整个靶平面上,顶角辐射阵的灵敏度最大,CRLB也最低。中心辐射阵的灵敏度高于面心辐射阵,靶平面中部区域的CRLB也优于面心辐射阵,但是对于着靶点位于靶平面边缘的运动目标,面心辐射阵的目标参数估计CRLB则小于中心辐射阵。可见,对某些轨迹存在着观测量对角度参数灵敏度越大,CRLB反而越差的现象。通过式(13)和式(21)可以看出,观测量对某一个目标运动参数变化的灵敏度与其它参数的变化无关,而CRLB的计算过程中,不同的运动参数则互相影响。当假设其余参数已知时,即排除参数间相互影响,某个参数的CRLB与灵敏度的分布情况更加一致。仿真条件不变,假设着靶点坐标
Pθ= [xθ,yθ,zθ]T 和弹道倾角β 已知,弹道偏角α 的CRLB和灵敏度对比结果如图8和图9所示。通过仿真计算结果可以看出,顶角辐射阵灵敏度最高同时CRLB最优,中心辐射阵次之,面心辐射阵最差。可见,当假设除弹道偏角
α 外的参数均为已知时,观测量对α 变化的灵敏度和α 估计CRLB分布情况更为一致。4. 结论
本文针对基于PDOA着靶点参数估计问题提出了一种利用灵敏度分析来判断不同阵列类型定位性能的方法。通过灵敏度和CRLB的计算结果对比可以看出,灵敏度分析的方法可以较为直观和准确地体现不同阵列定位性能的差异,为工程设计提供了一种阵列结构选型和比较的方法。
-
1 确定下标(i,j)所属集合
输入:软件上定义的GF(28)乘法:Gfmult。 输出:集合Uk,k=0,1,2,3,4,5,6,7。 (1) for ( k=0; k<7; k++ ) do (2) Uk=∅; (3) for ( j=0; j<7; j++ ) do (4) b=2 j; (5) for ( i=0; i<7; i++ ) do (6) a=2i; (7) if (Gfmult(a,b)的二进制表示的第k位等于1) then (8) Uk=Uk ∪ {(i,j)}; //有限域上乘积的某一比特等于1,将下标加入对应的集合 (9) end if (10) end for (11) end for (12) end for (13) return Uk,k=0,1,2,3,4,5,6,7; 表 1 下标(i,j)分布表
ai c7 c6 c5 c4 c3 c2 c1 c0 bj b0 7 6 5 4 3 2 1 0 b1 6 5 4 3,7 2,7 1 0,7 7 b2 5 4 3,7 2,6,7 1,6 0,7 6,7 6 b3 4 3,7 2,6,7 1,5,6 0,5,7 6,7 5,6 5 b4 3,7 2,6,7 1,5,6 0,4,5,7 4,6,7 5,6 4,5 4 b5 2,6,7 1,5,7 0,4,5,7 3,4,6 3,5,6,7 4,5 3,4,7 3,7 b6 1,5,6 0,4,5,7 3,4,6 2,3,5 2,4,5,6,7 3,4,7 2,3,6 2,6,7 b7 0,4,5,7 3,4,6 2,3,5 1,2,4,7 1,3,4,5,6,7 2,3,6 1,2,5,7 1,5,6 -
[1] 王永娟, 樊昊鹏, 代政一, 等. 侧信道攻击与防御技术研究进展[J]. 计算机学报, 2023, 46(1): 202–228. doi: 10.11897/SP.J.1016.2023.00202.WANG Yongjuan, FAN Haopeng, DAI Zhengyi, et al. Advances in side channel attacks and countermeasures[J]. Chinese Journal of Computers, 2023, 46(1): 202–228. doi: 10.11897/SP.J.1016.2023.00202. [2] HASNAIN A, ASFIA Y, and KHAWAJA S G. Power profiling-based side-channel attacks on FPGA and Countermeasures: A survey[C]. The 2nd International Conference on Digital Futures and Transformative Technologies (ICoDT2), Rawalpindi, Pakistan, 2022: 106–113. doi: 10.1109/ICoDT255437.2022.9787473. [3] KOCHER P, JAFFE J, and JUN B. Differential power analysis[C]. The 19th Annual International Cryptology Conference on Advances in Cryptology - CRYPTO’99, Santa Barbara, USA, 1999: 388–397. doi: 10.1007/3-540-48405-1_25. [4] BRIER E, CLAVIER C, and OLIVIER F. Correlation power analysis with a leakage model[C]. The 6th International Workshop on Cryptographic Hardware and Embedded Systems, Cambridge, USA, 2004: 16–29. doi: 10.1007/978-3-540-28632-5_2. [5] CHARI S, JUTLA C S, RAO J R, et al. Towards sound approaches to counteract power-analysis attacks[C]. The 19th Annual International Cryptology Conference on Advances in Cryptology - CRYPTO’99, Santa Barbara, USA, 1999: 398–412. doi: 10.1007/3-540-48405-1_26. [6] GOLIĆ J D and TYMEN C. Multiplicative masking and power analysis of AES[C]. The 4th International Workshop on Cryptographic Hardware and Embedded Systems - CHES 2002, Redwood Shores, USA, 2002: 198–212. doi: 10.1007/3-540-36400-5_16. [7] ISHAI Y, SAHAI A, and WAGNER D. Private circuits: Securing hardware against probing attacks[C]. The 23rd Annual International Cryptology Conference on Advances in Cryptology -- CRYPTO 2003, Santa Barbara, USA, 2003: 463–481. doi: 10.1007/978-3-540-45146-4_27. [8] RIVAIN M and PROUFF E. Provably secure higher-order masking of AES[C]. The 12th International Conference on Cryptographic Hardware and Embedded Systems - CHES 2010, Santa Barbara, USA, 2010: 413–427. doi: 10.1007/978-3-642-15031-9_28. [9] KIM H S, HONG S, and LIM J. A fast and provably secure higher-order masking of AES S-Box[C]. The 13th International Workshop on Cryptographic Hardware and Embedded Systems – CHES 2011, Nara, Japan, 2011: 95–107. doi: 10.1007/978-3-642-23951-9_7. [10] TAOUIL M, ALJUFFRI A, and HAMDIOU S. Power side channel attacks: Where are we standing?[C]. The 16th International Conference on Design & Technology of Integrated Systems in Nanoscale Era (DTIS), Montpellier, France, 2021: 1–6. doi: 10.1109/DTIS53253.2021.9505075. [11] SINGHA T B, PALATHINKAL R P, and AHAMED S R. Securing AES designs against power analysis attacks: A survey[J]. IEEE Internet of Things Journal, 2023, 10(16): 14332–14356. doi: 10.1109/JIOT.2023.3265683. [12] XU Yongkang, DENG Feng, XU Weihan, et al. Unified coprocessor for high-speed AES-128 and SM4 encryption[C]. The IEEE 6th Advanced Information Technology, Electronic and Automation Control Conference (IAEAC), Beijing, China, 2022: 640–644. doi: 10.1109/IAEAC54830.2022.9929737. [13] SATOH A, MORIOKA S, TAKANO K, et al. A compact rijndael hardware architecture with S-Box optimization[C]. The 7th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology, Gold Coast, Australia, 2001: 239–254. doi: 10.1007/3-540-45682-1_15. [14] WOLKERSTORFER J, OSWALD E, and LAMBERGER M. An ASIC implementation of the AES SBoxes[C]. The Cryptographer’s Track at the RSA Conference 2002, San Jose, USA, 2002: 29–52. doi: 10.1007/3-540-45760-7_6. [15] CANRIGHT D. A very compact Rijndael S-box[C]. Cryptographic Hardware and Embedded Systems – CHES 2005, Edinburgh, UK, 2005: 441–455. [16] IYER V, WANG Meizhi, KULKARNI J, et al. A systematic evaluation of EM and power side-channel analysis attacks on AES implementations[C]. 2021 IEEE International Conference on Intelligence and Security Informatics (ISI), San Antonio, USA, 2021: 46–51. doi: 10.1109/ISI53945.2021.9624778. [17] 段晓毅, 王思翔, 崔琦, 等. 一种带掩码AES算法的高阶差分功耗分析攻击方案[J]. 计算机工程, 2017, 43(10): 120–125. doi: 10.3969/j.issn.1000-3428.2017.10.021.DUAN Xiaoyi, WANG Sixiang, CUI Qi, et al. A high-order differential power analysis attack scheme with Masked AES algorithm[J]. Computer Engineering, 2017, 43(10): 120–125. doi: 10.3969/j.issn.1000-3428.2017.10.021. [18] 郭筝, 杨正文, 张效林, 等. 一种基于乘法掩码的AES 防护方案[J]. 密码学报, 2023, 10(1): 209–218. doi: 10.13868/j.cnki.jcr.000590.GUO Zheng, YANG Zhengwen, ZHANG Xiaolin, et al. A side-channel countermeasure for AES based on multiplication mask[J]. Journal of Cryptologic Research, 2023, 10(1): 209–218. doi: 10.13868/j.cnki.jcr.000590. [19] 郭志鹏. 高阶掩码防护方案设计及安全检测技术研究[D]. [博士论文], 武汉大学, 2019.GUO Zhipeng. Design of high-order masking scheme and security detection technology[D]. [Ph. D. dissertation], Wuhan University, 2019. [20] RAMEZANPOUR K, AMPADU P, and DIEHL W. RS-mask: Random space masking as an integrated countermeasure against power and fault analysis[C]. 2020 IEEE International Symposium on Hardware Oriented Security and Trust (HOST), San Jose, USA, 2020: 176–187. doi: 10.1109/HOST45689.2020.9300266. -