ZUC序列密碼算法的選擇IV相關性能量分析攻擊

嚴迎建 楊昌盛 李 偉② 張立朝③

?

ZUC序列密碼算法的選擇IV相關性能量分析攻擊

嚴迎建①楊昌盛*①李 偉①②張立朝①③

①(解放軍信息工程大學 鄭州 450000)②(復旦大學微電子學院 上海 200433)③(天津大學電子信息工程學院 天津 300072)

為了分析ZUC序列密碼算法在相關性能量分析攻擊方面的免疫能力，該文進行了相關研究。為了提高攻擊的針對性，該文提出了攻擊方案的快速評估方法，并據此給出了ZUC相關性能量分析攻擊方案。最后基于ASIC開發環境構建仿真驗證平臺，對攻擊方案進行了驗證。實驗結果表明該方案可成功恢復48 bit密鑰，說明ZUC并不具備相關性能量分析攻擊的免疫力，同時也證實了攻擊方案快速評估方法的有效性。相比Tang Ming等采用隨機初始向量進行差分能量攻擊，初始向量樣本數達到5000時才能觀察到明顯的差分功耗尖峰，該文的攻擊方案只需256個初始向量，且攻擊效果更為顯著。

密碼學；序列密碼；ZUC；能量分析攻擊；評估

1 引言

ZUC序列密碼算法由中國科學院數據通信保護研究教育中心設計，現已被采納為3GPP LTE移動通信加密標準核心算法。該算法自發布以來受到了廣泛關注，密碼分析人員對其安全性進行了大量研究。2012年，文獻[1]對ZUC進行了差分攻擊，文獻[2]對ZUC初始化階段的安全性進行了分析，文獻[3]對ZUC進行了時間攻擊。2013年，文獻[4]對ZUC進行了SAT分析攻擊，文獻[5]對ZUC進行了猜測決定(guess and determine)攻擊。上述攻擊均從數學分析的角度展開，目前尚未發現明顯的安全漏洞，表明ZUC在抵抗代數分析攻擊方面具有很好的安全性。

在物理安全性方面，文獻[6]對ZUC進行了差分能量分析(Differential Power Analysis, DPA)攻擊，文獻[7]針對嵌入式平臺下實現的ZUC算法進行了側信道頻域攻擊，上述攻擊屬于側信道攻擊(Side Channel Attack, SCA)范疇。側信道攻擊屬于交叉學科，需要同時了解密碼學、統計學、測量學和微電學的相關知識體系[8]，因此針對ZUC的側信道攻擊研究較代數分析攻擊要少很多。

能量分析攻擊作為側信道攻擊的重要分支之一，經過十余年的發展，先后出現了簡單能量攻擊(Simple Power Analysis, SPA)、DPA攻擊和相關性能量分析(Correlation Power Analysis, CPA)攻擊等攻擊技術，并廣泛應用于分組密碼和公鑰密碼的分析，對多種密碼算法進行了有效的攻擊[9,10]。盡管能量分析攻擊已成為分組密碼和公鑰密碼算法的有力分析工具，但針對序列密碼的相關研究卻遠不及前者[11,12]。為了分析ZUC序列密碼算法在相關性能量分析攻擊方面的免疫能力，本文進行了相關研究。為了提高攻擊的針對性，首先提出了攻擊方案的快速評估方法，并基于此給出了ZUC的相關性能量分析攻擊方案，最后基于專用集成電路(Application Specific Integrated Circuit, ASIC)開發工具構建的仿真環境，對攻擊方案進行了驗證，得到了理想的攻擊結果。

2 序列密碼算法功耗成分特征分析

能量分析攻擊基于一個重要的假設前提：認為攻擊點函數所產生的功耗與芯片中其他功耗成分相互獨立[13]。針對大量分組密碼和公鑰密碼算法的攻擊也證實了這一假設。然而實驗發現，直接將上述攻擊方法移植于序列密碼算法往往并不可行。

圖1 序列密碼算法功耗成分(僅初始化階段)

文獻[15]指出，攻擊點功耗與其它功耗成分之間存在相關性是導致序列密碼能量分析攻擊困難的主要原因，同時還提出通過選取特定初始向量以避免或減弱功耗相關性的攻擊思路。本文延續了這一思想，并結合對多種序列密碼算法進行能量分析攻擊的經驗，就初始向量選取問題，總結出以下幾點策略：

對于序列密碼的能量分析攻擊，攻擊點和初始向量的選取是攻擊方案的核心內容。而對于具體的算法，很容易找到滿足基本要求的攻擊點和初始向量選取方案，如果對于每一種方案都進行完整的實驗，必然會帶來很高的攻擊成本，為了解決這一問題，本文提出攻擊方案的快速評估方法。

3 攻擊方案的快速評估方法

即：(1)當且僅當猜測密鑰與實際密鑰相一致時，攻擊點模擬功耗與算法整體模擬功耗具有最強的相關性；(2)當猜測密碼與實際密鑰不一致時，攻擊點模擬功耗與算法整體模擬功耗的相關性遠小于猜測正確時的情況。

4 ZUC的能量分析攻擊

ZUC[16]是一種面向字(word-oriented)的序列密碼算法，密鑰和初始向量長度均為128 bit，主要由16個31 bit位寬的反饋移位寄存器(Feedback Shift Register, FSR)、比特重組(Bit-Reorganization, BR)和非線性函數F 3部分組成，在密鑰流生成階段每個時鐘周期輸出1個32 bit的密鑰字(key-word)。

4.1攻擊點的選取

4.2初始向量的選取

其中，iv的位置選取需滿足以下條件：(a)不能位于FSR反饋函數的抽頭位置；(b)不能參與攻擊點函數或的運算。在該方案下，各寄存器組的功耗保持固定，因此攻擊點功耗僅與寄存器和的功耗有關，而寄存器的功耗為

表1第0輪以f1為攻擊點時H與U的相關系數矩陣C

可以看到，該方案下當且僅當猜測密鑰與實際密鑰一致時，攻擊點功耗與整體功耗具有最大相關性，滿足評估方法中的特征要求。

按照攻擊方案，可以實施6次攻擊，每次恢復1個密鑰字節，共計48 bit密鑰。

4.3攻擊方案驗證

本文基于ASIC開發環境構建驗證平臺：在SMIC 65 nm工藝下，使用Design Compiler和IC Compiler工具對ZUC算法的HDL(Hardware Description Language)代碼進行綜合、布局布線并提取寄生參數信息，使用VCS對反標寄生參數后的ZUC網表進行仿真，得到包含所有邏輯門翻轉信息的VCD文件，最后使用功耗分析工具PrimeTime PX對VCD文件進行分析，得到算法芯片加載不同初始向量樣本時的總體功耗，仿真驗證即以該功耗作為芯片的實際功耗數據。實驗中，設定密鑰為=055555556789，按照前文提出的攻擊方案，成功實施了6次攻擊，限于篇幅，下面僅展示了前4次的攻擊結果，如圖2和圖3所示。圖中橫軸為猜測密鑰()序號，從1開始，即密鑰字節000對應橫軸坐標1, 0對應256，縱軸表示攻擊時刻攻擊點功耗與算法總體功耗之間的相關系數。

圖2 第0輪的攻擊結果

圖3 第1輪的攻擊結果

文獻[6]使用的驗證環境與本文的相似，其采用隨機初始向量樣本，樣本數達到5000時才能觀察到明顯的差分功耗尖峰。與之相比，本文的攻擊方案只需256個初始向量，且攻擊效果更為顯著。上述實驗證實了所提出的攻擊方案的快速評估方法的有效性，同時也表明ZUC并不具備相關性能量分析攻擊的免疫能力。

5 結束語

本文對ZUC在相關性能量分析攻擊方面的免疫能力進行了研究，提出了一種有效的攻擊方案。盡管同屬對稱密碼體制，但序列密碼的能量分析攻擊相比分組密碼更加困難。為了提高攻擊的針對性，提出了序列密碼能量分析攻擊方案的快速評估方法，據此給出了ZUC的相關性能量分析攻擊方案，并進行了驗證，結果表明ZUC并不具備相關性能量分析攻擊的免疫能力，同時也證實了攻擊方案快速評估方法的有效性。相對于一般的攻擊方案，本文所提出的方案避免了一般方案中容易出現的攻擊點功耗與其他功耗成分之間存在相關性、錯誤猜測密鑰與正確密鑰攻擊結果區分度低以及所需初始向量樣本量過大等問題。

不足之處在于，由于單純的側信道攻擊普遍存在可分析輪數少的局限性[18]，目前的攻擊方法只能進行前3輪共6次攻擊，僅恢復48 bit密鑰，后續可結合代數分析方法進行代數旁道攻擊的相關研究。

參考文獻

[1] Wu H J, Huang T, Phuong H N,Differential attacks against stream cipher ZUC[C]. Proceedings of the 18th International Conference on the Theory and Application of Cryptology and Information Security, Beijing, China, 2012: 262-277.

[2] Zhou C F, Feng X T, and Lin D D. The initialization stage analysis of ZUC v1.5[C]. Proceedings of the 10th International Conference, Sanya, China, 2011: 40-53.

[3] Gautham S. The stream cipher core of the 3GPP encryption standard 128-EEA3: timing attacks and countermeasures[C]. Proceedings of the 7th International Conference, Beijing, China, 2011: 269-288.

[4] L afitte F, M arkowitch O, and Vav Heule D. SAT based analysis of LTE stream cipher ZUC[C]. Proceedings of the 6th International Conference on Security of Information and Networks, Aksavay, Turkey, 2013: 110-116.

[5] 關杰, 丁林, 劉樹凱. SNOW 3G與ZUC流密碼的猜測決定攻擊[J]. 軟件學報, 2013, 24(6): 1324-1333.

Guan Jie, Ding Ling, and Liu Shu-kai. Guess and determine attack on SNOW 3G and ZUC[J]., 2013, 24(6): 1324-1333.

[6] Tang M, Cheng P P, and Qiu Z L. Differential power analysis on ZUC algorithm [OL].IACR ePrint. http://eprint.iacr.org/ 2012/299.pdf. 2013-12-01.

[7] 唐明, 高劍, 孫樂昊, 等. 嵌入式平臺下ZUC算法的側信道頻域攻擊[J]. 山東大學學報(理學版), 2014, 49(9): 29-34.

Tang Ming, Gao Jian, Sun Le-hao,Side channel attacks in frequency domain for ZUC algorithm in embedded platform[J].(), 2014, 49(9): 29-34.

[8] Reddy E K. Overview of the side channel attacks[J]., 2013, 4(6): 1799-1808.

[9] Paul K, Joshua J, Benjamin J,.. Introduction to differential power analysis[J]., 2011, 1(1): 5-27.

[10] 汪鵬君, 張躍軍, 張學龍. 防御差分功耗分析攻擊技術研究[J] 電子與信息學報, 2012, 34(11): 2774-2784.

Wang Peng-jun, Zhang Yue-jun, and Zhang Xue-long. Research of differential power analysis countermeasures[J].&, 2012, 34(11): 2774-2784.

[11] 趙永斌, 胡予濮, 賈艷艷. 一種抵抗能量攻擊的線性反饋移位寄存器[J]. 西安電子科技大學學報(自然科學版), 2013, 40(3): 172-179.

Zhao Yong-bin, Hu Yu-pu, and Jia Yan-yan. New design of LFSR based stream ciphers to resist power attack[J].(), 2013, 40(3): 172-179.

[12] Kumar S, Lemke K, and Paar C. Some thoughts about implementation properties of stream ciphers[C]. Proceedings of State of the Art of Stream Ciphers Workshop, Brugge, Belgium, 2004: 311-319.

[13] Stefan M, Elisabeth O, and Thomas P著. 馮登國, 周永斌, 劉繼業, 等譯. 能量分析攻擊[M]. 北京: 科學出版社, 2010: 45-46.

[14] 金晨輝, 鄭浩然, 張少武, 等. 密碼學[M]. 北京: 高等教育出版社, 2009: 149-150.

Jin Chen-hui, Zheng Hao-ran, Zhang Shao-wu,Cryptography[M]. Beijing: Higher Education Press, 2009: 149-150.

[15] 楊昌盛, 于敬超, 嚴迎建. Grain-128同步流密碼的選擇初始向量相關性能量攻擊[J]. 計算機應用, 2014, 34(5): 1318-1321.

Yang Chang-sheng, Yu Jing-chao, and Yan Yin-jian. Chosen initial vector correlation power attack on synchronous stream cipher Grain-128[J]., 2014, 34(5): 1318-1321.

[16] Specification of the 3GPP confidentiality and integrity algorithms 128-EEA3 & 128-EIA3. document 2: ZUC specification version: 1.5[OL]. ETSI/SAGE Specification. http://www.gsma.com/technicalprojects/wp-content/uploads/2012/04/eea3eia3zucv16.pdf. 2011-01-04.

[17] 劉澤藝, 高能, 屠晨陽, 等. 一種抗能量分析攻擊的復合寄存器系統[J]. 密碼學報, 2014, 1(5): 411-421.

Liu Ze-yi, Gao Neng, Tu Chen-yang,A compound register system against power analysis attack[J]., 2014, 1(5): 411-421.

[18] 劉會英, 趙新杰, 王韜, 等. 基于漢明重的SMS4密碼代數旁路攻擊研究[J]. 計算機學報, 2013, 36(6): 1183-1193.

Liu Hui-yin, Zhao Xin-jie, Wang Tao,Research on hamming weight-based algebraic side-channel attacks on SMS4[J]., 2013, 36(6): 1183-1193.

Chosen-IV Correlation Power Analysis Attack of ZUC Stream Cipher

Yan Ying-jian①Yang Chang-sheng①Li Wei①②Zhang Li-chao①③

①(,450000,)②(,,200433,)③(,,300072,)

To analyze the immunity of ZUC stream cipher in aspect of correlation power analysis attack, some relevant researches are conducted. In order to improve the pertinence of attack, a rapid assessment method of the attack scheme is presented, and accordingly a correlation power analysis scheme of ZUC is proposed. Finally, based on the simulation platform raised by ASIC development environment, the attack scheme is validated. Experiment results turn out that the scheme can successfully attack 48-bit key, confirming that ZUC is unable to resist the correlation power analysis attack, and the proposed assessment method of attack scheme takes effect. Compared with Tang Ming’s experimental, which conducted differential power analysis of ZUC with random initial vectors and observing distinct differential power peak with 5000 initial vectors, the proposed attack scheme only uses 256 initial vectors, and gets better results.

Cryptography; Stream cipher; ZUC; Power analysis attack; Assessment

TN918.4

A

1009-5896(2015)08-1971-07

10.11999/JEIT141604

楊昌盛 ycs3317@126.com

2014-12-15收到，2015-04-14改回，2015-06-09網絡優先出版

國家自然科學基金(61404175, 61302107)資助課題

嚴迎建： 男，1973年生，博士，教授，研究方向為安全專用芯片側信道攻擊與防護.

楊昌盛： 男，1990年生，碩士生，研究方向為序列密碼側信道攻擊與防護.

李 偉： 男，1983年生，博士生，講師，研究方向為安全專用芯片設計.

張立朝： 男，1979年生，博士生，講師，研究方向為安全SoC設計、嵌入式系統安全防護.