SM4抗差分功耗分析轻量级门限实现

doi:10.11772/j.issn.1001-9081.2022101579

《计算机应用》唯一官方网站 ›› 2023, Vol. 43 ›› Issue (11): 3490-3496.DOI: 10.11772/j.issn.1001-9081.2022101579

• 网络空间安全 • 上一篇

SM4抗差分功耗分析轻量级门限实现

蒲金伟, 高倾健, 郑欣(), 徐迎晖

广东工业大学自动化学院，广州 510006

收稿日期:2022-10-24 修回日期:2022-12-29 接受日期:2023-01-03 发布日期:2023-04-12 出版日期:2023-11-10
通讯作者: 郑欣
作者简介:蒲金伟（1998—），男，重庆人，硕士研究生，主要研究方向：密码算法侧信道防护
高倾健（1997—），男，广东普宁人，硕士研究生，主要研究方向：密码算法侧信道防护
郑欣（1993—），女，湖北咸宁人，博士，主要研究方向：SoC设计、软硬件协同设计、图神经网络 xinzheng9209@gmail.com
徐迎晖（1977—），男，湖南长沙人，副教授，博士，主要研究方向：信息安全、嵌入式系统、多媒体信号处理。
基金资助:
广东省基础与应用基础研究基金资助项目(2021A1515110777)

SM4 resistant differential power analysis lightweight threshold implementation

Jinwei PU, Qingjian GAO, Xin ZHENG(), Yinghui XU

School of Automation，Guangdong University of Technology，Guangzhou Guangdong 510006，China

Received:2022-10-24 Revised:2022-12-29 Accepted:2023-01-03 Online:2023-04-12 Published:2023-11-10
Contact: Xin ZHENG
About author:PU Jinwei， born in 1998， M. S. candidate. His research interests include cryptographic algorithm side-channel protection.
GAO Qingjian， born in 1997， M. S. candidate. His research interests include cryptographic algorithm side-channel protection.
ZHENG Xin， born in 1993， Ph. D. Her research interests include SoC （System on Chip） design， software and hardware co-design， graph neural network.
XU Yinghui， born in 1977， Ph. D.， associate professor. His research interests include information security， embedded systems， multimedia signal processing.
Supported by:
Guangdong Basic and Applied Basic Research Foundation(2021A1515110777)

摘要/Abstract

摘要：

针对SM4门限实现（TI）面积大、随机数消耗多的问题，提出一种SM4门限实现的改进方案。在满足门限实现理论的情况下，对S盒非线性求逆进行了无随机共享，并引入面向域的乘法掩码方案，将S盒随机数消耗减少至12 bit；基于流水线思想，设计了新的8 bit数据位宽的SM4串行体系结构，复用门限S盒，并优化SM4线性函数，使SM4门限实现面积更加紧凑，仅6 513 GE，相较于128 bit数据位宽的SM4门限实现方案，所提方案的面积减小了63.7%以上，并且更好地权衡了速度和面积。经侧信道检验，所提出的改进方案具备抗一阶差分功耗分析（DPA）能力。

关键词: SM4, 差分功耗分析, 门限实现, S盒, 非线性求逆, 无随机共享, 面向域的乘法掩码方案

Abstract:

Aiming at the problems of large area and large consumption of fresh randomness in Threshold Implementation （TI） of SM4， an improved threshold implementation scheme of SM4 was proposed. In the case of satisfying the threshold implementation theory， the operation of S-box nonlinear inversion was shared with no fresh randomness， and a domain-oriented multiplication mask scheme was introduced to reduce the fresh randomness consumption of S-box to 12 bits. Based on the idea of the pipeline， a new SM4 serial architecture with 8-bit data width was designed. The threshold implementation of S-box was reused， and the linear function of SM4 was optimized to make the area of threshold implementation of SM4 more compact， only 6 513 GE. In comparison with the TI scheme of SM4 with 128-bit data width， the area of the proposed scheme is reduced by more than 63.7%， and there is a better trade-off between speed and area. The side-channel experimental results show that the proposed scheme has the capability of anti-first-order Differential Power Analysis （DPA）.

Key words: SM4, Differential Power Analysis (DPA), Threshold Implementation (TI), S-box, nonlinear inversion, shared with no fresh randomness, domain-oriented multiplication mask scheme

中图分类号:

TP309.2

蒲金伟, 高倾健, 郑欣, 徐迎晖. SM4抗差分功耗分析轻量级门限实现[J]. 计算机应用, 2023, 43(11): 3490-3496.

Jinwei PU, Qingjian GAO, Xin ZHENG, Yinghui XU. SM4 resistant differential power analysis lightweight threshold implementation[J]. Journal of Computer Applications, 2023, 43(11): 3490-3496.

图/表 12

图1 复合域S盒结构

Fig. 1 Composite domain S-box structure

图 2 SM4 S盒门限实现结构

Fig. 2 Structure of threshold implementation of SM4 S-box

图3 DOM乘法掩码结构

Fig. 3 DOM-based multiplication mask structure

图4 线性函数优化结构

Fig. 4 Linear function optimization structure

图5 SM4门限实现串行体系结构

Fig. 5 Structure of the serialized threshold implementation of SM4

图6 SM4状态寄存器

Fig. 6 SM4 state registers

图7 SM4密钥寄存器

Fig. 7 SM4 key registers

图8 关闭与开启PRNG的功耗曲线

Fig. 8 Power consumption curves with PRNG close and open

图9 关闭与开启PRNG的CPA结果

Fig. 9 CPA results with PRNG close and open

图10 关闭与开启PRNG的一阶t检验结果

Fig. 10 First order t-test results with PRNG close and open

表1 SM4门限实现设计比较

Tab. 1 Comparison of threshold implementation of SM4

方案来源	面积/GE		时钟数	随机数/bit	ATP
方案来源	compile	compile_ultra	时钟数	随机数/bit	ATP
文献［9］	18 709	—	160	—	59.86
文献［7］	28 000	—	160	58	89.60
文献［8］	22 000	—	192	108	84.40
本文方案	6 796	6 513	292	12	38.00

表2 SM4门限实现模块面积

Tab. 2 Module area of threshold implementation of SM4

模块	面积/GE		模块	面积/GE
模块	compile	compile_ultra	模块	compile	compile_ultra
门限S盒	2 197	2 095	控制模块	240	177
状态寄存器	2 682	2 603	门限SM4	6 796	6 513
密钥寄存器	1 677	1 638

参考文献 18

1	Office of State Commercial Cipher Administration. Block cipher for WLAN products — SMS4 ［EB/OL］. ［2022-03-21］. .
2	KOCHER P C. Timing attacks on implementations of Diffie-Hellman， RSA， DSS， and other systems［C］// Proceedings of the 1996 Annual International Cryptology Conference， LNCS 1109. Cham： Springer， 1996： 104-113.
3	NIKOVA S， RECHBERGER C， RIJMEN V. Threshold implementations against side-channel attacks and glitches［C］// Proceedings of the 2006 International Conference on Information and Communications Security， LNCS 4307. Cham： Springer， 2006： 529-545.
4	BILGIN B， GIERLICHS B， NIKOVA S， et al. Trade-offs for threshold implementations illustrated on AES［J］. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems， 2015， 34（7）： 1188-1200. 10.1109/tcad.2015.2419623
5	LIU F， JI W， HU L， et al. Analysis of the SMS4 block cipher［C］// Proceedings of the 2007 Australasian Conference on Information Security and Privacy， LNCS 4586. Berlin： Springer， 2007： 158-170.
6	LIANG H， WU L J， ZHANG X M， et al. Design of a masked S-box for SM4 based on composite field［C］// Proceedings of the 10th International Conference on Computational Intelligence and Security. Piscataway： IEEE， 2014： 387-391. 10.1109/cis.2014.59
7	李新超，钟卫东，张帅伟，等.一种基于门限实现的SM4算法S盒实现方案［J］.计算机工程与应用，2018，54（17）：83-88.
	LI X C， ZHONG W D， ZHANG S W， et al. New S-box of SM4 based on threshold implementation ［J］. Computer Engineering and Applications， 2018， 54（17）： 83-88.
8	李新超，钟卫东，张帅伟，等.一种SM4算法S盒的门限实现方案［J］.密码学报，2018，5（6）：641-650.
	LI X C， ZHONG W D， ZHANG S W， et al. A new threshold implementation of the S-box in SM4［J］. Journal of Cryptologic Research， 2018， 5（6）： 641-650.
9	武小年，李金林，潘晟，等.SM4算法门限掩码方案设计与实现［J］.计算机应用研究，2022，39（2）：572-576.
	WU X N， LI J L， PAN S， et al. Threshold masking schema design and implementation on SM4 algorithm［J］. Application Research of Computers.2022，39（2）： 572-576.
10	NIKOVA S， RIJMEN V， SCHLAFFER M. Secure hardware implementation of nonlinear functions in the presence of glitches［J］. Journal of Cryptology， 2011， 24（2）： 292-321. 10.1007/s00145-010-9085-7
11	BILGIN B， GIERLICHS B， NIKOVA S， et al. A more efficient AES threshold implementation［C］// Proceedings of the 2014 International Conference on Cryptology in Africa， LNCS 8469. Cham： Springer， 2014： 267-284.
12	DE CNUDDE T， REPARAZ O， BILGIN B， et al. Masking AES with d+1 shares in hardware［C］// Proceedings of the 2016 International Conference on Cryptographic Hardware and Embedded Systems， LNCS 9813. Berlin： Springer， 2016： 194-212.
13	WEI M， SUN S W， WEI Z H， et al. A small first-order DPA resistant AES implementation with no fresh randomness ［J］. Science China Information Sciences， 2022， 65（6）： No.169102. 10.1007/s11432-019-1469-7
14	GROSS H， MANGARD S， KORAK T. Domain-oriented masking： compact masked hardware implementations with arbitrary protection order ［C］// Proceedings of the 2016 ACM Workshop on Theory of Implementation Security. New York： ACM， 2016： 3. 10.1145/2996366.2996426
15	SHANG M， ZHANG Q L， LIU Z B， et al. An ultra-compact hardware implementation of SMS4［C］// Proceedings of the 2014 IIAI 3rd International Conference on Advanced Applied Informatics. Piscataway： IEEE， 2014：86-90. 10.1109/iiai-aai.2014.28
16	郑朝霞，资义纯，吴旭峰，等.SMS4算法串行化设计及其轻量级电路实现［J］.华中科技大学学报（自然科学版），2016，44（2）：61-64.
	ZHENG Z X， ZI Y C， WU X F， et al. Serialized design of SMS4 and lightweight implement［J］. Journal of Huazhong University of Science and Technology （Nature Science Edition）， 2016， 44（2）： 61-64.
17	BRIER E， CLAVIER C， OLIVIER F. Correlation power analysis with a leakage model ［C］// Proceedings of the 6th International Workshop on Cryptographic Hardware and Embedded Systems， LNCS 3156. Berlin： Springer， 2004： 16-29.
18	ROY D B， BHASIN S， PATRANABIS S， et al. Testing of side-channel leakage of cryptographic intellectual properties： metrics and evaluations［M］// Hardware IP Security and Trust. Cham： Springer， 2017： 99-131. 10.1007/978-3-319-49025-0_6

[1]	石一鹏, 刘杰, 祖锦源, 张涛, 张国群. 基于混合整数线性规划模型的SPONGENT S盒紧凑约束分析[J]. 《计算机应用》唯一官方网站, 2023, 43(5): 1504-1510.
[2]	霍珊珊, 李艳俊, 刘健, 李寅霜. 密码组件安全指标测试工具设计与实现[J]. 《计算机应用》唯一官方网站, 2023, 43(10): 3156-3161.
[3]	蔡婧雯, 韦永壮, 刘争红. 基于GPU的密码S盒代数性质评估方法[J]. 《计算机应用》唯一官方网站, 2022, 42(9): 2750-2756.
[4]	赵耿, 张森民, 马英杰, 高世蕊. 基于抗退化混沌系统的动态S盒设计与分析[J]. 《计算机应用》唯一官方网站, 2022, 42(10): 3069-3073.
[5]	丛旌, 韦永壮, 刘争红. SM4密码算法的阶梯式相关能量分析[J]. 计算机应用, 2020, 40(7): 1977-1982.
[6]	赵颖, 叶涛, 韦永壮. 几类高强度密码S盒的安全性新分析[J]. 计算机应用, 2017, 37(9): 2572-2575.
[7]	胡志华, 颜硕, 熊宽江. 不可能差分性质更优的动态S盒构造方法[J]. 计算机应用, 2016, 36(5): 1257-1261.
[8]	付荣. 基于智能卡实现的分组加密算法的功耗分析[J]. 计算机应用, 2015, 35(9): 2546-2552.
[9]	覃冠杰, 马建设, 程雪岷. 基于组合式爬山算法提高S盒非线性度的方法[J]. 计算机应用, 2015, 35(8): 2195-2198.
[10]	李灵琛, 韦永壮, 朱嘉良. 11轮3D分组密码算法的中间相遇攻击[J]. 计算机应用, 2015, 35(3): 700-703.
[11]	蔡泽民王奕李仁发. 基于代数表达式功耗模型的差分功耗分析攻击[J]. 计算机应用, 2014, 34(2): 448-451.
[12]	徐开勇方明杨天池孟繁蔚黄惠新. 差分功耗分析攻击下密码芯片风险的量化方法[J]. 计算机应用, 2013, 33(06): 1642-1645.
[13]	何远田四梅. 基于混沌S盒的无线传感器网络分组加密算法[J]. 计算机应用, 2013, 33(04): 1081-1084.
[14]	杨宏志韩文报赵龙. 适于硬件实现的S盒构造方法[J]. 计算机应用, 2010, 30(3): 674-676.
[15]	杨宏志韩文报. 一类分组密码的S盒重组算法[J]. 计算机应用, 2009, 29(08): 2198-2199.

SM4抗差分功耗分析轻量级门限实现

SM4 resistant differential power analysis lightweight threshold implementation

RichHTML

PDF

可视化

摘要/Abstract

引用本文

使用本文

图/表 12

参考文献 18

相关文章 15

编辑推荐

Metrics