Journal of Cryptologic Research
 
引用检索 快速检索 DOI 高级检索
在线期刊
   » 最新录用
   » 网络预发表
   » 当期目录
   » 过刊浏览
   » 按栏目浏览
   » 综述文章
   » 摘要点击排行
   » 全文下载排行
  作者在线投稿
   » 作者投稿/查稿
   » 投稿须知
   » 模版下载
   » 版权协议
  专家在线审稿
   » 审稿登录
   » 审稿政策
   » 自荐为审稿人
热点文章

区块链安全研究综述

斯雪明, 徐蜜雪, 苑超
2018, 5(5): 458-469. 全文: PDF (2061KB) (156)
摘要

区块链是一种去信任化的分布式新型计算范式, 是一种带激励的基于博弈论共识的分布式账本技术. 区块链的出现促进了信息互联网向价值互联网的转化, 加快了可编程货币、可编程金融和可编程社会的产生. 区块链对金融、物联网、征信等领域势必会产生革命性的影响, 在提高生产效率、降低生产成本以及保护数据安全等方面, 区块链将发挥重要的作用. 区块链对数据安全、网络安全将产生积极的影响, 同时区块链本身也面临着严重的安全问题, 受到研究者的广泛关注. 本文将分层介绍区块链的基本技术原理. 重点从算法、协议、使用、实现、系统的角度出发, 对区块链的技术存在的安全问题进行分模块介绍, 讨论区块链面临的安全问题的本质原因, 主要分析协议安全性中的共识算法问题、实现安全性中的智能合约问题、以及使用安全性中的数字货币交易所安全问题. 最后, 分析了现有区块链安全保护措施存在的缺陷, 给出了区块链安全问题的解决思路, 并明确了区块链安全的未来研究方向.

基于区块链技术的高校成绩管理系统

孙韵秋, 王启春
2018, 5(5): 568-578. 全文: PDF (9005KB) (125)
摘要

成绩管理对于高校管理而言具有十分重大的意义.可以帮助学校更好的整理、统计、分析学生的学习情况.因此,成绩管理系统中信息的真实性和安全性尤为重要.目前的成绩管理系统大多采用中心化的管理方式,依赖于管理员通过SQL Server、Oracle等大型中心化数据库来进行数据管理,中心化平台往往会带来信息的泄露和篡改等问题.随着区块链技术的兴起,其具有的去中心化、去信任化的特性逐渐引起人们的关注.本文利用去中心化的区块链技术,为成绩管理系统提出一个安全、防篡改的管理系统.我们利用P2P网络和区块链技术为系统提供一个安全稳定的运行环境,将学生成绩进行Hash,利用时间戳服务OriginStamp的API将Hash后的结果嵌入区块链中,区块链中的数据受到整个网络的管理和监控,防止随意篡改和破坏.同时为用户和底层数据提供交互界面,完成成绩上传、修改以及查询功能.该方案可以有效的保证成绩管理系统中数据的真实性、有效性,对学校管理学生信息、制定教学任务等有着重大的影响.

基于区块链的高效公平多方合同签署协议

高莹, 吴进喜
2018, 5(5): 556-567. 全文: PDF (1387KB) (96)
摘要

随着数字货币发展的广泛应用, 区块链作为其核心支撑迅速成为关注的焦点. 由于区块链可充当一个去中心化的可信第三方, 因此在设计电子合同签署协议时, 可引入区块链来保证其公平性. 现有的基于区块链的合同签署协议大多只适用于两方的合同签署, 当考虑扩展为多方合同签署时, 由于签署方需要对每个签名进行验证, 验证工作量极大. 因此, 设计一个简单又高效的多方公平合同签署协议成为电子商务安全亟待解决的关键问题. 可验证加密签名(verifiably encrypted signature, VES)能够有效地保证互联网上交易过程的公平性, 很自然成为合同签署协议构造的一种常规技术手段. 聚合签名能够聚合多个签名为一个签名, 从而提高签名和验证的效率. 本文结合可验证加密签名和聚合签名, 提出无证书的聚合可验证加密签名方案(CLAVES), 并给出一个具体的构造方案并证明其安全性. 利用该方案设计出基于区块链的多方合同签署协议. 该协议分两个阶段. (1) 在区块链链下阶段, 签署方执行CLAVES方案, 生成各自的CLAVES签名. 若所有的CLAVES签名验证通过, 则进入区块链链上阶段, 否则协议停止. (2) 在区块链链上阶段, 利用基于罚金的公平交换协议(claim or refund, COR)思想, 签署方在区块链上公平地交换各自的秘密值, 最后通过计算, 可提取出各方对合同的普通数字签名, 从而完成合同的签署. 通过分析和与已有的多方合同签署协议对比表明, 本文提出的多方合同签署协议具有高效性和公平性.

基于区块链的公平多方不可否认协议

苑博奥, 刘军, 李戈
2018, 5(5): 546-555. 全文: PDF (2471KB) (85)
摘要

多方不可否认协议有着广泛的应用场景, 诸如多方电子支付和视频会议等. 在这些应用场景中, 各参与方互不信任, 有着事后否认曾参与协议的可能, 多方不可否认协议便是为解决这一问题而产生的一类密码协议. 为实现协议的公平性, 现有的多方不可否认协议都依赖于可信第三方TTP的参与, 中心化的TTP成为了协议的性能瓶颈, 同时, 在现实中很难保证TTP的完全可信, 给协议带来了潜在的安全威胁. 在区块链中, 所有的节点通过共识算法共同维护一个公开链结构, 提供了类似去中心化TTP的功能, 有助于解决由中心化TTP带来的性能和安全问题. 本文基于公开链结构, 提出一个完全无TTP参与的多方不可否认协议, 并用形式化分析方法证明了协议满足不可否认性、公平性和时限性. 与经典协议进行对比, 所提协议在各项指标中均显示了良好的性能.

一种清算结算区块链设计

王志鹏, 伍前红
2018, 5(5): 538-545. 全文: PDF (1464KB) (100)
摘要

基于区块链技术的数字货币以其方便自由的支付方式、低廉的支付费用、透明中立的运行机制、安全性较高的隐私保护等特点而风靡全球. 数字货币具有交易记录公开可验证、不依赖中心化第三方等优势, 但由于区块链系统需要保存每一笔有效的交易记录, 随着交易记录的累积, 用户不得不面对系统历史交易数据异常庞大的问题. 同时, 如果某区块链因遭受恶意攻击而数据崩溃, 由于缺少链外备份机制, 现有技术很难恢复原始交易数据. 针对这些问题, 本文提出了一种区块链清算结算设计方案. 在该方案中, 所有交易记录公开的用户链都可以对其交易状态进行数据备份, 用户链崩溃后可据此大致恢复原有的交易记录; 该方案还提出了新的数字货币轻钱包构造思路, 用户节点可通过该设计机制减少对原用户链的数据存储; 此外, 通过计算各种数字货币的相对价格, 该机制可实现所有数字货币的全网并价, 为用户跨链交易提供价值尺度. 本方案具有多层次的可扩展性和由足够算力保证的安全性.

基于Borromean 环签名的隐私数据认证方案

张凡, 黄念念, 高胜
2018, 5(5): 529-537. 全文: PDF (628KB) (92)
摘要

在区块链系统中, 隐私保护是一个非常重要的问题. 事实上, 如果交易的金额比较大, 那么交易的发起者和接收者都不希望将这笔金额公开. 于是, 解决这类隐私保护的直接方法是对交易的金额做同态加密或者承诺, 以达到对该笔金额的隐藏. 然而隐藏后的金额不一定是合法的, 即不是正整数或不在某个规定的范围内(例如[0, 248)), 并且其他人也无法验证该金额的合法性, 进而无法验证该笔交易的合法性. 因此需要附上一个证据来证明该笔交易对应的金额是合法的. 目前基于Borromean环签名的隐私数据认证(范围证明)方案已用在CT (confidential transaction)中, 其基本思想是对隐藏金额按逐比特划分, 进而产生相应的公钥组以及相应的环签名, 最后利用Borromean环签名得到对金额承诺消息的最终签名, 则该签名是对隐藏金额的范围证明. 本文改进CT中的范围证明方案, 通过对隐藏金额的每个比特采用另一种已知的环签名方案, 本文的方案在保持证据长度不变的前提下, 将证据生成的时间缩短了约22%, 并将证据验证的时间缩短了约30%.

一个高传输效率的多值拜占庭共识方案

郭兵勇, 李新宇
2018, 5(5): 516-528. 全文: PDF (492KB) (78)
摘要

拜占庭协议一直是分布式计算领域的重要研究内容, 近年来广泛应用于各种电子货币系统的设计. 由于传统拜占庭协议的应用场景规模较小, 系统着重于良好带宽下的交互简化、计算代价优化等方面. 然而, 在电子货币等部署于大规模网络环境的应用中, 参与节点多而分散, 网络传输时效难以得到保证, 并且传输的数据量往往很大, 这对拜占庭协议在弱同步甚至是完全异步环境下的安全性和传输效率提出了更高的要求. Miller等人在2016年构造的HoneyBadger BFT 是第一个完全异步环境下的实用拜占庭协议. 尽管HoneyBadger BFT的传输效率相比其他异步拜占庭协议具有明显优势, 在本文中我们指出HoneyBadger BFT 的传输效率可以进一步提高. 本文提出了一种"先共识消息哈希, 后请求缺失消息"的共识思路, 进而构造了一个新的共识方案, 通过减少节点之间不必要的消息传输实现了比HoneyBadger BFT更高的传输效率.

基于超奇异同源的鉴别方案

林齐平 高胜
2018, 5(5): 510-515. 全文: PDF (499KB) (62)
摘要

在本文中, 我们构造了一种基于超奇异椭圆曲线同源的身份识别方案, 该方案可用于构造基于同源的零知识证明, 进一步用于设计基于同源的抗量子数字签名方案和基于同源的区块链抗量子密码方案. 我们的方案是De Feo, Jao和Pl\^{u}t的方案的推广, 是一种交互的零知识证明方案. 我们的方案同样也可以使用Unruh的构造方法把交互零知识证明转换为非交互零知识证明. 零知识证明可用于区块链的隐私保护, 为了获得抗量子安全的零知识证明, 需要使用抗量子密码算法. 截止到目前为止, 与其它抗量子密码算法相比, 其中基于同源的抗量子密码在相同的安全水平下, 公钥长度和通信量是最小的. 因此我们尝试寻找基于同源的零知识证明方案和数字签名方案. 目前基于同源的数字签名方案都依赖于De Feo, Jao和Pl\^{u}t的方案. 但是使用De Feo, Jao 和Pl\^{u}t的方案设计的零知识证明效率很低, 每一次交互过程只能确认1比特的安全性. 我们的方案在De Feo, Jao和Pl\^{u}t的方案的基础上推广到一次交互过程可以确认2比特的安全性.

 

可更改区块链技术研究

李佩丽, 徐海霞, 马添军, 穆永恒
2018, 5(5): 501-509. 全文: PDF (1013KB) (94)
摘要

近年来, 区块链技术受到学术界和产业界的广泛关注和研究. 区块链具有透明性、去信任、可追溯、不可更改等特点, 吸引了不少企业开发基于区块链的应用. 区块链不可更改是指区块链上的历史数据一旦确认就不能被更改, 这一特点保证了区块链上历史数据的可靠性和完整性. 然而区块链的不可更改并非绝对, 在一些情况下, 如区块链应用平台存在程序漏洞、某一历史记录存在错误但没被及时发现等, 就有必要对出问题的历史记录做出响应和更改. 针对区块链可更改方面的研究工作较少, 埃森哲公司申请了可编辑区块链专利. 其主要用到变色龙哈希函数这一工具, 哈希函数的陷门由一个用户或多个用户共同掌管, 从而将修改区块的权限交给一方或多方. 因此, 他们的方案需预先选定一个更改者, 或由多个更改者进行交互完成更改. 本文针对联盟链, 设计了新的变色龙哈希函数, 使得在满足修改触发条件的情况下, 联盟链中的每个用户都有修改历史记录的权利. 我们提出了多方共同决策的区块链更改方法, 区块链的更改不依赖于一方, 也不需要多方交互完成更改, 只需要随机选出一个用户即可完成更改, 因此整个过程的交互次数较少.

区块链理论研究进展

单进勇, 高胜
2018, 5(5): 484-500. 全文: PDF (1237KB) (187)
摘要

区块链技术是一门新兴的技术, 受到各行各业的广泛关注. 各个国家正在积极研究区块链技术可能给金融乃至生活的方方面面带来的变革. 本文先从比特币区块链的视角出发, 通过了解它的运行机制、基本特征、关键技术、技术挑战等, 给读者建立一个对区块链的直观感受. 然后给出区块链的形式化定义, 并总结目前区块链在相关密码技术、安全性分析、共识机制、隐私保护、可扩展性等方面的最新研究进展. 密码技术是保障区块链安全的关键技术之一, 也是实现区块链具体应用的基本手段. 本文同时指出了多种密码技术如特殊数字签名、零知识证明、同态密码、安全多方计算等在区块链系统中的(潜在)应用价值. 尽管区块链技术的研究和应用发展迅速并取得很大进展, 但区块链所面临的诸如吞吐量低、延迟高、耗能高等一系列技术瓶颈, 严重影响大规模应用的真正落地, 区块链技术的研究和应用还有很长的路要走, 需要各方共同努力.

比特币挖矿攻击研究

韩健, 邹静, 蒋瀚, 徐秋亮
2018, 5(5): 470-483. 全文: PDF (3452KB) (146)
摘要

比特币是中本聪在 2008 年提出的一种数字货币, 具有去中心化、去信任化、强健壮性、无监管、发行量固定等特点, 一经推出就受到全世界的关注. 作为当前最成功的数字货币, 比特币基于 P2P 网络中众多节点构成的分布式数据库来确认并记录所有的交易行为, 利用工作量证明机制解决共识问题, 并使用密码学的设计来确保货币流通的安全性. 随着比特币价格的提升、用户数的增加, 比特币的安全性越来越引起人们的重视, 比如双重支付问题、交易延展性问题和隐私保护问题. 针对比特币系统的不同方面出现了许多的攻击: 针对网络的日蚀攻击、路由攻击, 针对共识机制的挖矿攻击等等, 特别是矿池出现后, 出现了一些新的针对矿池的攻击行为. 本文主要介绍针对比特币挖矿的各种攻击如 51% 攻击、区块截留攻击、自私挖矿和 FAW 攻击, 分析攻击的基本思想、基本策略和现实危害, 并介绍一些应对攻击的方案.

区块链技术专刊序言(中英文)

冯登国,欧阳永贵
2018, 5(5): 455-457. 全文: PDF (112KB) (161)
摘要
        区块链是一种去信任化的分布式计算范式, 按照时间顺序将数据区块以顺序相连的方式组合成一种链式数据结构, 使用密码学方法, 实现数据的一致存储、不可篡改和防止抵赖. 作为一种在不可信的竞争环境中低成本建立信任的新型计算范式和协作模式, 区块链正在改变诸多行业的应用场景和运行规则, 在数字货币、金融服务、物联网、智能制造、医疗健康、征信等领域得到高度的重视. 实际上, 任何高价值数据的管理、流通和共享都可以使用区块链.
        密码技术是区块链的关键技术之一, 不仅关系到区块链的安全与效率, 而且也是实现区块链具体应用的基本手段. 安全与隐私一直是区块链技术应用过程中的重要评估对象, 对此, 密码技术起到了至关重要的作用. 如哈希函数、数字签名保证了区块链技术的不可篡改性和不可伪造性, 环签名、同态加密和零知识证明等在不同程度上保证了用户的隐私性. 在密码技术保证区块链安全应用的同时, 区块链又促进了密码技术的发展. 如区块链重新引起了对安全多方计算、密钥保护与管理、抗量子攻击等密码技术的研究热潮.
        为了推动区块链技术的发展与研究, 保证区块链的安全应用, 进一步促进密码理论与应用研究, 本刊通过广泛征稿和约稿, 组织了本期``区块链技术''专刊, 本期共包括11 篇论文.
        综述性论文3篇. 斯雪明等人的论文《区块链安全研究综述》阐释了区块链技术架构, 梳理了不同层次下所面临的安全问题, 包括区块链技术面临的各类风险以及各类攻击手段. 比特币的安全问题引起了人们的更多关注, 出现了许多攻击方法. 韩健等人的论文《比特币挖矿攻击研究》介绍了比特币挖矿的常见攻击, 分析了攻击的基本原理、威胁危害, 梳理了一些现存的应对攻击的方案. 区块链理论研究是区块链健康发展的基础. 单进勇等人的论文《区块链理论研究进展》介绍了区块链运行机制、基本特征、关键技术、技术挑战等. 给出了区块链的形式化定义, 总结了热点研究方向, 以及相关密码技术、安全性分析、共识机制、隐私保护、可扩展性等, 突出了密码技术在区块链中的重要作用. 指出特殊数字签名、零知识证明、同态密码、安全多方计算等在区块链中的潜在应用价值, 也介绍了区块链所面临的诸如吞吐量低、延迟高、耗能高等一系列技术瓶颈.
        区块链技术研究论文4篇. 区块链通常具有不可更改的基本特征, 李佩丽等人的论文《可更改区块链技术研究》提出了一种可更改区块链方案, 用以解决联盟链中需要对出错的历史记录做出修改和响应的问题. 林齐平等人的论文《基于超奇异同源的鉴别方案》构造了一种基于超奇异椭圆曲线的鉴别方案, 以抵抗量子计算机的攻击. 共识机制是区块链或分布式账本技术中的关键组件之一. 郭兵勇等人的论文《一个高传输效率的多值拜占庭共识方案》提出了一种改进的Byzantine fault tolerant (BFT)协议方案. 每个节点只广播自己建议共识的消息哈希值. 在达成哈希列表的共识后, 缺少相关消息的节点向多数拥有该消息的节点请求消息原文并最终完成共识. 张凡等人的论文《基于Borromean环签名的隐私数据认证方案》提出了改进的隐私数据认证方案, 对保密的交易金额进行范围证明, 以提高验证效率.
        区块链应用研究论文4篇. 王志鹏等人的论文《一种清算结算区块链设计》给出了一种理论上可对所有数据公开的区块链进行清算结算的设计思路, 提出了一种清算结算设计方案, 可为用户链提供数据备份, 使得用户链遭受恶意攻击后可通过该机制大致恢复原有的交易记录. 苑博奥等人的论文《基于区块链的公平多方不可否认协议》基于公开链结构, 提出了一个完全无 trusted third party (TTP)参与的多方不可否认协议, 并用形式化分析方法证明了协议满足不可否认性、公平性和时限性. 高莹等人的论文《基于区块链的高效公平多方合同签署协议》结合可验证加密签名和聚合签名, 提出了无证书的聚合可验证加密签名方案, 给出了一个具体构造. 孙韵秋等人的论文《基于区块链技术的高校成绩管理系统》通过区块链数据防篡改和可信时间戳, 以解决高校成绩在中心化存储方式下容易被泄露和篡改的问题.
        相对于其它成熟的信息技术, 区块链的研究仍处于初级阶段, 在系统稳定性、应用安全性、业务模式等方面尚待研究与完善. 希望读者能够通过本专刊对区块链技术有一个更全面更系统的了解, 提高对区块链的认识水平.
专刊责任编委: 冯登国, 欧阳永贵

区块链安全研究综述

斯雪明, 徐蜜雪, 苑超
0, (): 458-569. 全文: PDF (2061KB) (0)
摘要

区块链是一种去信任化的分布式新型计算范式, 是一种带激励的基于博弈论共识的分布式账本技术. 区块链的出现促进了信息互联网向价值互联网的转化, 加快了可编程货币、可编程金融和可编程社会的产生. 区块链对金融、物联网、征信等领域势必会产生革命性的影响, 在提高生产效率、降低生产成本以及保护数据安全等方面, 区块链将发挥重要的作用. 区块链对数据安全、网络安全将产生积极的影响, 同时区块链本身也面临着严重的安全问题, 受到研究者的广泛关注. 本文将分层介绍区块链的基本技术原理. 重点从算法、协议、使用、实现、系统的角度出发, 对区块链的技术存在的安全问题进行分模块介绍, 讨论区块链面临的安全问题的本质原因, 主要分析协议安全性中的共识算法问题、实现安全性中的智能合约问题、以及使用安全性中的数字货币交易所安全问题. 最后, 分析了现有区块链安全保护措施存在的缺陷, 给出了区块链安全问题的解决思路, 并明确了区块链安全的未来研究方向.

一种 AES 随机变换掩码方案及抗 DPA 分析

李浪, 欧雨, 邹祎
2018, 5(4): 442-454. 全文: PDF (3273KB) (85)
摘要

随着密码技术与集成电路的发展, 密码设备在人们日常生活中得到了广泛的运用, 人们的生活方式也因此大大改变. 虽然, 目前的密码算法本身已足够强大, 能够对抗传统的密码分析手段, 但由于设备本身的工艺特性, 其运行时会泄露如功耗、电磁、时间等种种侧信道信息, 这些信息能够被攻击者利用从而破解密钥. 旁路攻击的出现引发了人们对密码算法实现平台的安全进行深入研究. 目前有较多对密码算法功耗攻击与防御进行研究的文献, 也提出了不少方法, 但在防御差分功耗攻击的同时如何使密码算法的实现达到面积、速率与安全的平衡一直是研究的重点. 在研究差分功耗攻击与防御的基础上, 对 AES 算法及内部轮函数结构进行研究, 针对 AES 常用的功耗攻击技术, 设计了一种基于随机选择变换的掩码方案, 简称为 RSCM . 该方案随机产生等概率汉明重量的掩码组, 并在每次执行密码算法时随机选择一个组合进行防护, 对 S 盒使用随机转置矩阵变换, 同时结合固定值掩码方案, 对不同的轮函数加以相应的掩码防护. 实验结果表明, RSCM 方案有效保护了中间值不被泄露, 提高了 AES 密码算法抗功耗攻击的能力.

SM4 密码算法的踪迹驱动 Cache 分析

楼潇轩, 张帆, 黄静, 赵新杰, 刘会英
2018, 5(4): 430-441. 全文: PDF (3150KB) (69)
摘要

SM4密码是一种商用分组密码算法, 是重要的国家密码行业标准. 本文研究了SM4 密码的抗踪迹驱动Cache攻击能力, 并提出两种基于踪迹驱动Cache 攻击的分析方法. 首先提出了一种基于SM4算法前4轮加密的踪迹驱动Cache 分析方法, 对其加密前4 轮的Cache 泄露进行了分析. 结果表明当仅考虑Cache 访问命中泄露时, 25 个样本可恢复完整密钥; 当同时考虑Cache 访问命中和失效泄露时, 20 个样本可恢复密钥. 然后引入代数分析方法, 将其和踪迹驱动Cache 分析结合进行优化, 提出了一种踪迹驱动代数Cache 分析方法. 实验结果表明与传统踪迹驱动Cache 分析相比, 踪迹驱动代数Cache 分析具有离线分析简单、通用性好、分析泄露轮数多、攻击数据复杂度低等优点, 并且这一新方法只需要10 个样本即可成功恢复密钥, 大大降低了分析所需的样本量. 本文的结果对其他典型分组密码的踪迹驱动Cache 分析研究有很好的借鉴和参考意义.

针对 SM4 选择明文能量分析的选择明文算法

吴震, 杜之波, 王敏, 王燚, 王恺, 于天凯
2018, 5(4): 421-429. 全文: PDF (6289KB) (80)
摘要

本文提出了针对SM4选择明文能量分析的选择明文算法. 选择明文时, 先选择轮输入中部分字节为随机数. 通过约束条件, 再计算轮输入的剩余字节. 最后根据SM4密码算法的轮函数, 反推出对应的明文. 该明文即是满足针对SM4选择明文能量分析所述约束条件的明文. 该选择明文算法的时间复杂度为常数阶, 不需要穷举搜索明文. 相比通过穷举明文的方式, 该算法降低了时间复杂度, 解决了数据搜索空间的问题, 提高了明文的选择效率. 本文提出的算法解决了Wang Min于2015年提出的针对SM4的选择明文能量分析的问题之一, 即如何高效率的选择满足约束条件的明文, 从而提高分析效率. 目前国内外尚未有公开发表的文献, 所以实际分析时, 实施者可以通过穷举明文且满足约束条件的方式来获取合适的明文, 采集能量曲线, 实施针对SM4的选择明文能量分析, 但这种选择明文方式存在数据搜索空间大、时间复杂度大等问题, 导致该方法实际分析时不可行. 应用本文提出的算法, 通过对SM4选择明文能量分析实验进行了验证, 实验验证了本方法是行之有效的.

一种高效的基于高阶 DPA 的掩码安全性评价方案

唐明, 王蓬勃, 杨国峰, 于艳艳
2018, 5(4): 411-420. 全文: PDF (2861KB) (82)
摘要

高阶掩码是一种能够有效对抗侧信道攻击的防护技术. 基于Ishai等提出的Ishai-Sahai-Wagner框架, 出现了一系列行之有效的掩码设计方案, 如门限实现方案、多项式掩码方案等. 一般认为满足ISW框架的$d$ 阶掩码可以对抗$d+1$阶以下所有的侧信道攻击. 2013 年, Moradi等发现在一些设计上甚至测试过程中安全的掩码方案, 在实际应用中可能会出现单变量泄露导致防护失效, 这一发现对包括RP11等方案在内一系列时域分拆掩码方案的安全性提出了新的挑战. 另一方面, 尽管高阶掩码技术已提出多年, 但目前对高阶掩码安全性的量化分析方案仍存在对计算能力、样本数量要求过高的不足. 本文将在Moradi、Lomné等研究工作的基础上, 对电路的记忆效应及单变量泄露的成因进行研究, 给出电路记忆效应的统一化描述. 同时, 通过联立多个共享因子的差分功耗特征对高阶DPA攻击的所需曲线量进行预测, 量化高阶掩码的安全性. 与之前的高阶掩码安全性的分析方案相比, 本方案在量化安全性的同时, 大大降低了测试人员进行高阶分析的计算复杂度及数据复杂度.

Keccak 的一种新二阶门限掩码方案及实现

姚富, 韦永壮, 刘争红, 李登辉
2018, 5(4): 399-410. 全文: PDF (1983KB) (64)
摘要

Keccak算法作为新一代Hash函数新标准SHA-3后, 其安全性受到业界的广泛关注. 针对Keccak算法提供掩码防护以抵御差分功耗攻击 (differential power analysis, DPA) 是目前的研究热点之一. 现存的Keccak掩码防护方法瓶颈在于其所占用芯片面积都很大, 且所需额外注入的随机数个数也特别多. 如何给出Keccak算法新型的掩码是研究的难点. 本文基于Keccak算法的结构和S盒的性质, 提出了一个使用$3$个掩码分量构造抵抗二阶DPA的新型Keccak门限掩码方案, 使其所需的掩码分量个数达到最小值. 此外, 在FPGA平台上实现时, 我们采用分时存储线性部件和非线性部件的方法进行优化, 从而使该二阶Keccak门限掩码方案所占的芯片面积进一步减少. 结果表明, 在UMC130 nm工艺库下, 并行结构与串行结构所占的芯片面积分别为185.27 kGE及33.87 kGE, 且均不需要注入额外的随机数. 与已有的掩码方案相比, 新的二阶掩码方案在串行和并行结构下, 所占的芯片面积及额外注入的随机数个数均显著降低.

侧信道分析实用案例概述

王安, 葛婧, 商宁, 张帆, 张国双
2018, 5(4): 383-398. 全文: PDF (7618KB) (166)
摘要

侧信道攻击技术是国际密码学研究的热点方向, 它能够通过物理信道直接获得密码运算的中间信息, 也能够分段恢复较长的密钥, 因而它比传统密码分析更容易攻击实际密码系统. 目前国际主流的密码产品测评机构均把侧信道攻击的防护能力作为衡量设备或芯片安全性的主要指标, 但产品即使取得了权威的安全认证, 仍然可能会被侧信道攻击攻破. 本文归纳了近年来国际上的学者、黑客们利用侧信道攻击破解密码模块或安全产品的技术与案例, 分别从能量攻击、电磁辐射攻击、故障攻击、中距离电磁与声音攻击、缓存攻击等角度进行详细阐述, 并对未来发展趋势进行了探讨. 尤其是近三年内, 物联网设备、工业控制系统、手机、智能终端等流行设备都成了侧信道攻击者们热衷研究的对象, 多种常见密码设备已被侧信道攻击技术破解, 为个人财产、集体利益带来了极大的安全威胁. 希望能够通过本文的综述, 引起业界对物理安全问题的高度重视, 新产品在快速研发、占领市场的同时, 也应达到足够的安全等级.

侧信道分析专栏序言 (中英文)

白国强, 王安
2018, 5(4): 376-382. 全文: PDF (387KB) (89)
摘要
密码学是现代信息安全的基石, 自20世纪70年代 DES 算法和 RSA 算法相继提出以来, 密码学得到了迅猛发展, 学者们主要采用数学手段设计密码算法, 并对其进行完全基于算法本身的安全性分析. 然而任何密码算法, 在被应用于工程实践以取得其算法功能时, 首先必须通过某种物理手段或方法来实现其计算流程. 在具体工程技术中, 为获取密码算法的功能, 通过某种物理手段来完成特定密码算法的具体加密或解密流程的过程, 我们称为密码算法的实现.
大约在1844年电报发明前的很长时期内, 人们主要是通过手工的方法完成加密和解密流程的, 这一时期的密码我们一般称作手工密码. 当人类文明进入到近代的机械和电气时代后, 人们有了相比于手工而言更先进的机械和电气技术. 借助于这种机械和电气技术, 人们可以较好地实现相对复杂的加密和解密流程, 从而推动人类的加解密技术上升到了机械电气密码时代. 第二次世界大战前, 以及二战之后较长一段时间内, 机械电气密码技术达到了鼎盛.
从1944年计算机发明和1958年集成电路发明后至今的几十年内, 人类的通讯技术飞速地步入了一个以计算机、集成电路和光纤技术为核心的新时代. 其中, 特别是集成电路技术的发明和发展, 在为数据提供强大、低廉的计算与存储能力的同时, 也为各种复杂密码算法的实现提供了全新的技术手段, 并引导人们不断提出各种新颖和复杂的密码算法, 以满足现代安全通讯技术的需求, 创造出新的安全供给, 使得现代密码学得以创立并在当代得到了蓬勃发展. 当下现代密码学空前繁荣, 但是我们不能忘记这种繁荣是以当前人类最先进的一种技术——集成电路技术为前提的. 近年来, 人们正在尝试以量子技术来取代集成电路技术以获取更高的计算能力. 这一情况使得目前量子计算、量子通信、量子密码等等成了最时髦的术语. 然而, 这些量子密码、量子计算等技术是否最终能够击败当下的传统密码技术, 主要看量子技术能否成功取代集成电路技术, 目前我们只能拭目以待.
当前以集成电路技术为基础的密码算法的实现大致又可以分为两种方式, 一种是软件方式, 另一种是硬件方式. 所谓的软件方式是指以通用计算机指令集为基础的一种编程实现方法. 这一过程中, 实现通用计算机指令的物理载体仍然是集成电路芯片. 所谓的硬件方式是指针对特定密码算法所需的计算流程, 定制特定的集成电路来高效完成这种计算流程的一种方式. 当前硬件方式通常又分为FPGA方式和ASIC方式.  FPGA方式中提前预置了可编程逻辑电路, 该电路可通过现场编程方法生成用户需要的特定电路. 而ASIC方式则是完全依据需求来定制电路的一种方式. 无论是软件方式还是硬件方式, 在完成计算流程的过程中都需要花费时间、消耗能量和向外辐射电磁波. 1996年, Paul Kocher发现在手持密码设备的应用场景下, 攻击者一方面能够通过时间、能耗、电磁辐射、声音等侧信道来观测密码运算过程中的中间值信息, 另一方面可通过激光、电源毛刺、时钟毛刺、电磁脉冲等手段干扰密码运算, 从其错误输出中推导密钥信息. 这类``旁门左道''的攻击被称作侧信道分析 (side-channel analysis), 又称旁路分析.
从学术创新的角度来讲, 侧信道分析是一个天马行空、不拘一格的思维方式. 这是因为, 物质和信息进行传递的物理信道多种多样, 与密码算法结构相对应的分析模型花样繁多, 借助相关学科提高分析效率的方法也大相径庭. 在攻击方面, 简单能量分析、相关能量分析、模板攻击、碰撞攻击、差分聚类分析、互信息分析、差分故障分析、故障灵敏度分析等多种密钥恢复模型被提出; 相应地, 芯片设计方提出了掩码、伪操作、随机延时、乱序执行、功耗平衡、错误校验等多种抗侧信道攻击防护对策; 然而, 道高一尺魔高一丈, 攻击者随后发现差分频域分析、二阶侧信道攻击、组合攻击可以攻破某些防护对策; 进而, 设计者们又从设备级、芯片级、系统级、算法级、门级、晶体管级等多个层面来设计综合防护方案. 一时间, 侧信道分析学术领域呈现百花齐放、百家争鸣的局面.
只要密码算法的实现过程中未加入任何防护对策, 侧信道攻击几乎适用于所有的密码算法. 但即使一个密码设备完全没有进行侧信道防护, 侧信道攻击也未必能真正攻破它, 因为侧信道攻击通常有一定的假设条件, 例如攻击者需要持有设备、或跟设备的距离在一定范围内; 攻击者需要对密码算法实现方案有一定了解; 攻击者具备驱动设备快速多次重复加密的权限; 攻击者能够选择特定的明文进行加密等等.
对于密码产品的生产厂商而言, 他们通常会将各种先进的防护技术加入到自己的产品中, 并选择不公开其实现方案. 测评机构则对这些产品在白盒条件下进行安全性测试与评估, 并对产品赋予一定的安全等级. 然而, 即使是达到足够安全等级的产品, 仍然可能被学者或黑客们发现弱点, 并实施侧信道攻击. 厂商、测评机构、学者、黑客们分别从不同的角度开展研究, 相辅相成地推动着侧信道分析与防护技术的实用化.
我国侧信道分析领域已有十余年研究积累, 自2010年起, 中国密码学会密码芯片专委会每年组织一次密码芯片学术会议, 主要讨论以侧信道分析为代表的密码芯片相关研究领域中最新研究成果与进展. 然而, 我国在侧信道分析领域的研究水平较发达国家尚有一定差距. 侧信道分析领域公认的唯一顶级国际学术会议CHES (International Workshop on Cryptographic Hardware and Embedded Systems) 自1999年创办至今已召开近20届, 中国大陆研究团队仅发表了6篇CHES论文, 期待我国优秀的密码学者们在侧信道分析领域创造更多前沿成果.
在本期《密码学报》的``侧信道分析''专栏中, 我们刊登了6篇论文, 希望给侧信道分析从业者带来理论支撑与实践帮助.
第1篇论文题目是《侧信道分析实用案例概述》. 由于时效、成本、技术等因素, 许多密码产品在设计时, 厂商并未考虑进行侧信道攻击的防护, 或者加入的防护对策并不足够强. 因而, 目前已经有多个商用产品被学者和黑客们用侧信道分析技术攻破. 文章总结了国际上商用密码产品被能量分析、电磁分析、故障分析、缓存分析等技术攻破的案例, 从技术上对其进行深入浅出的介绍, 同时也归纳了近年来出现的一些新奇的侧信道分析方法. 该文既可作为一篇侧信道分析的综述文章, 也能够为芯片厂商和测评机构提供丰富的经验参考.
第2篇论文题目是《Keccak的一种新二阶门限掩码方案及实现》. Keccak算法是美国国家标准局2015年发布的SHA-3杂凑算法标准, 文章基于Keccak算法的结构和S 盒的性质, 用3个掩码分量构造了一种可抵抗二阶能量攻击的新型Keccak门限掩码方案. 作者基于FPGA环境给出了串行、并行的两种具体实现方案, 以应用于不同的应用场景. 与现有方案相比, 新方案特点是面积小、所需随机数少, 这对于密码芯片厂商来讲, 有很高的实用价值.
第3篇论文题目是《一种高效的基于高阶DPA的掩码安全性评价方案》. 在侧信道分析测评过程中, 一些理论上安全的掩码方案, 在实测中可能会出现单变量泄露的现象, 从而导致防护失效. 文章从电路记忆效应的角度入手, 为单变量泄露的成因给出了理论解释, 并归纳出电路记忆效应的统一化描述. 同时, 借助多个共享因子的差分功耗特征, 提出了一种高阶侧信道攻击所需曲线量的预测算法. 该算法能够对高阶掩码方案的安全性提供可量化的评价标准, 对密码芯片安全性测评工作具有很高的参考价值.
第4篇论文题目是《针对SM4选择明文能量分析的选择明文算法》. SM4算法是我国自主设计的商用分组密码算法, 其显著的雪崩效应给侧信道分析带来了很大的密钥搜索空间. 文章提出了一种选择明文能量分析, 对于无任何侧信道防护的SM4实现, 该方法能够高效恢复其密钥. 文章表明, SM4算法本身是安全的, 但SM4芯片设计者需在芯片中加入掩码、伪操作等足够的抗侧信道攻击防护对策, 以确保其实现上的物理安全性.
第5篇论文题目是《SM4密码算法的踪迹驱动Cache分析》. 文章同样针对国密SM4算法开展侧信道分析研究, 首先给出一种踪迹驱动Cache分析方法, 在只借助失效泄露信息的条件下, 用25个样本完成分析; 随后结合代数分析, 提出了一种踪迹驱动代数Cache分析方法, 用10个样本即可完成分析. 作者基于ARM处理器LPC2124 进行了实验验证, 这意味着计算机、ARM等平台中实现SM4算法时, 需要针对Cache分析做相应防护.
第6篇论文题目是《一种AES随机变换掩码方案及抗DPA分析》. 作者设计了一种基于随机选择变换的掩码方案RSCM, 通过随机产生等概率汉明重量的掩码组, 在每次执行密码算法时随机选择一个组合进行防护. 同时, 可对S盒使用随机转置矩阵变换, 并结合固定值掩码方案, 对不同的轮函数加以相应的掩码防护. 该方案具有良好的普适性, 可用于多种常见分组密码算法.
上述6篇论文中, 2篇讨论分析技术、2篇讨论防护技术、1篇讨论测评技术, 另有1篇综述. 攻和防一直是密码学关注的焦点, 虽然我国密码芯片的设计与测评水平较发达国家还有一定差距, 但国内学术界在侧信道攻防领域的研究已有较多积累. 希望本专栏能够为工业界设计安全高效的密码芯片提供理论依据, 并为测评机构带来前沿的分析技术和实验参考. 相信不久的将来, 我国密码芯片产业会有飞速的发展,整体技术水平赶超发达国家.
  
Cryptography is the cornerstone of modern information security. It has rapidly developed since DES and RSA were put forward one after another in the 1970s. Scholars mainly use mathematical methods to design cryptographic algorithms and analyze them completely based on the security of the algorithm itself. However, any cryptographic algorithm when applied to engineering practice to achieve its algorithmic functions, must first achieve its computational flow through some physical means or methods. In specific engineering technology, the process of completing the specific encryption or decryption of a particular cryptographic algorithm is aimed at obtaining the function of the cryptographic algorithm through some physical methods, which is called the implementation of cryptographic algorithms.
For a long time before the invention of the telegraph in 1844, people mainly used manual methods to complete the encryption and decryption process. Thus, the ciphers of this period were generally known as manual ciphers. But people have more advanced mechanical and electrical technology than manual technology after human civilization entering the modern era of electrical and mechanical engineering.  With this advanced technology, relatively complicated encryption and decryption process can be better implemented, thereby promoting human encryption and decryption technology into the era of mechanical electrical cipher. Before the World War II and after a long time of the war, mechanical electrical cipher technology reached a period of great prosperity.
In the decades since the invention of the computer in 1944 and the integrated circuit in 1958, human communication technology has rapidly stepped into a new era which is cored on computers, integrated circuits and optical fiber. Among them, especially the invention and the development of integrated circuit technology, apart from providing powerful and inexpensive computing and storage capabilities for data, also provides brand new technical means for the implementation of various complex cryptographic algorithms. Besides, people are guided to constantly propose kinds of novel and complicated cryptographic algorithms to meet the needs of modern secure communication technology and create new security supplies, thus modern cryptography has been established and has flourished in the contemporary. Modern cryptography is unprecedentedly prosperous, but we cannot forget that this prosperity is premised on the most advanced technology——integrated circuit technology. In recent years, people are trying to replace integrated circuit technology with quantum technology to obtain better computing capability, in which case quantum computing, quantum communication, and post-quantum cryptography, etc. have become the most fashionable terms currently. However, whether such technology as post-quantum cryptography, quantum computing and so on can eventually defeat the current traditional cryptography technology, mainly depends on whether quantum technology can successfully replace integrated circuit technology. At present, we can only wait and see.
At the moment, the implementation of cryptographic algorithms based on integrated circuit technology can be roughly summarized into two ways. One is software method and the other is hardware method. The so-called software method refers to a programming method using a general computer instruction set as the foundation, yet the physical carrier for implementing general computer instructions is still integrated circuit chips in this process. The so-called hardware method is to customize specific integrated circuits to efficiently accomplish this calculation process which is required for specific cryptographic algorithms. Moreover, the current hardware method is usually divided into FPGA method and ASIC method. Programmable logic circuits are preset in advance in the FPGA method, and this circuit can generate the specialized circuits required by the users through an on-site programming approach. While the ASIC method customizes a circuit according the demand. Nevertheless, both of them take time, consume power, and radiate electromagnetic waves during the process of computation whether using a software approach or a hardware approach. In 1996, Paul Kocher discovered that in the application scenario of hand-held cryptographic devices, the attacker can observe the intermediate value information generated during cryptographic operations through time, power consumption, electromagnetic radiation, sound, etc. On the other hand, cryptographic operations may be disturbed by means of lasers, power glitches, clock glitches, electromagnetic pulses, etc. And then the key information may be derived from its faulty output. Such fantastic attack is called side-channel analysis.
From the perspective of academic innovation, side-channel analysis is an imaginative and eclectic approach of thinking, which is because that there are varieties of physical channels for the transfer of material and information, and there are many analytical models corresponding to different structures of cryptographic algorithms. In addition, the methods with related disciplines used to improve the analysis efficiency are also widely divergent. In terms of the attack, simple power analysis, correlation power analysis, template attack, collision attack, differential cluster analysis, mutual information analysis, differential fault analysis, fault sensitivity analysis and other key recovery models were put forward. Correspondingly, the chip designers proposed masking, dummy operation, random delay, shuffling, power balance, error checking and some other countermeasures against side-channel attacks. However, ``while the priest climbs a foot, the devil climbs ten'', the attackers then discovered that some countermeasures can still be broken through differential frequency domain analysis, second-order side-channel attacks and some combination attacks. Furthermore, designers gave comprehensive protection schemes from the device level, chip level, system level, algorithm level, gate level, transistor level and so on. For a while, the academic field of side-channel analysis presented a popular situation.
Side-channel attacks can be applied to almost all cryptographic algorithms so long as no countermeasures are added during the implementation of the cryptographic algorithm. However, even if a cryptographic device does not perform side-channel protection at all, side-channel attacks may not be able to actually break it. For instance, the attacker usually needs to hold the device or keep the distance to the device within a limited range; the attacker should have some knowledge of the implementation details of the cryptographic algorithm; the permission of driving the device to repeat encryption multiple times are supposed to obtained; and the attacker can choose specific plaintexts for encryption, etc.
For the manufacturers of cryptographic products, they generally add various advanced protection technologies to their products, and do not expose their implementation schemes. After the security of these products is evaluated under white-box conditions by evaluation institutions, they will be endowed a certain security level. Yet, scholars or hackers still may find out the weakness of products and then conduct side-channel attacks on them even if they have reached a sufficient security level. Manufactures, evaluation institutions, academics, and hackers carry out the research from different point of view, which complements and promotes the practical application of side-channel analysis and protection technology.
The research on side-channel analysis in China has lasted more than 10 years. Since 2010, the Society of Cryptographic Chip of the China Association for Cryptologic Research has organized annual conference on cryptographic chips, focusing on the latest research results and progress in research field of cryptographic chips such as side-channel analysis. Nevertheless, compared with developed countries in this field, China still has a certain gap in the research level. The only recognized top international academic conference in the field of side-channel analysis CHES (International Workshop on Cryptographic Hardware and Embedded Systems) was founded in 1999 and has been hold for nearly 20 times so far. But the research team of China mainland has only published 6 papers on CHES. Therefore, it is expected that Chinese excellent cryptographers will achieve more frontier achievements in the field of side-channel analysis.
In this special column of the ``Side-channel Analysis'' of the Journal of Cryptologic Research, we publish six papers and hope to bring theoretical support and practical help to the practitioners of side-channel analysis.
The title of the first paper is ``Practical Cases of Side-channel Analysis''. Due to factors of time, cost, technology, etc., some manufacturers do not consider the side-channel resistance in their products, or their countermeasures are not effective enough. Therefore, there are some commercial products that have been attacked by scholars and hackers by side-channel analysis. This paper summarizes the cases where international commercial cryptographic products were attacked by power analysis, electromagnetic analysis, fault attack, cache attack, and explains profound theories in simple language. In addition, the paper summarizes some of the novel side-channel analysis methods that have emerged in recent years. Apart from being served as a popular science reading about side-channel analysis, this paper can also provide a wealth of experience reference for chip manufacturers and evaluation institution.
The second paper titled ``New Second Order Threshold Masking Scheme of Keccak and Its Implementation''. The Keccak algorithm is the SHA-3 hash algorithm standard issued by the National Institute of Standards and Technology in 2015. Based on the structure of the Keccak algorithm and the S-box, this paper constructs a novel Keccak threshold masking scheme with three mask components that can resist second-order power attacks. The authors present two concrete implementation schemes of serial and parallel in view of FPGA environment for different applications scenarios. Compared with existing solutions, the characteristics of the new solution are smaller area and few random numbers, which are of high practical value for cryptographic chip manufacturers.
The title of the third paper is ``Efficient Evaluation Scheme for Mask Security Based on Higher Order DPA''. During side-channel analysis and evaluation, some masking schemes which are theoretically secure may show univariate leakage in actual measurement, thereby leading to failure protection. The paper starts from the perspective of circuit memory effects, provides a theoretical explanation for the causes of univariate leakage, and summarizes the unified description of circuit memory effects. At the same time, based on differential power consumption characteristics of multiple sharing factors, a prediction algorithm for the amount of curve required for high-order side-channel attacks is proposed. This algorithm can provide a quantifiable evaluation standard for the security of high-order masking schemes, and has a high reference value for the evaluation of security of cryptographic chip.
The title of the fourth paper is ``Chosen-plaintext Algorithm for the Chosen-plaintext Power Analysis Against SM4''. SM4 algorithm is a commercial block cipher algorithm designed in China, and its significant avalanche effect brings a large key search space to side-channel analysis. This paper presents a chosen-plaintext power analysis, which can efficiently recover the key of SM4 implementation without any side-channel protection. It is showed that SM4 algorithm itself is secure, but SM4 chip designers should add masks, dummy-operations, and other countermeasures against side-channel attacks in the chip to ensure their physical security.
The title of the fifth paper is ``Research on Trace Driven Cache Analysis on SM4''. The paper also focuses on the side-channel analysis of SM4 algorithm. A trace-driven cache analysis method is first given, and 25 samples were employed for analysis under the condition of only using the invalid leakage information. Subsequently, combined with algebra analysis, a trace-driven algebra cache analysis method was proposed. As a result, 10 samples are enough for this analysis. The authors performed a verification on ARM processor LPC2124, which means that when implementing the SM4 algorithm in the computer, ARM and other platforms, it is necessary to perform corresponding countermeasures against cache analysis.
The title of the sixth paper is ``On AES Random Transform Masking Scheme Against DPA''. The authors design a masking scheme named RSCM which is based on the random selection transformation. It generates a mask group with equal probability Hamming weight, and then randomly selects a combination to defend power analysis during the operation of cryptographic algorithm. Furthermore, random transposed matrix can be applied to S-box, combining with fixed value mask scheme, so that different round functions can be protected by corresponding masking. This scheme is universal and can be applied to many block ciphers.
Among the six papers mentioned above, two discuss analysis, two discuss countermeasure, one discusses evaluation, and the rest is an overview. Attack and defense have always been the focus of cryptography. Although there is still a certain gap in the design and evaluation level of cryptographic chips between China and developed countries, domestic research on this field has been accumulated much. It is hoped that this column can provide a theoretical basis for the industry to design secure and efficient cryptographic chips, as well bring forward frontier analysis technology and experimental reference to the evaluation institutions. We believe that in the near future, China's cryptographic chip industry will develop rapidly, and the overall technological level will catch up with developed countries.
Page 1 of 14 267 records
版权所有 © 密码学报
技术支持: 北京玛格泰克科技发展有限公司