李玮 等: 基于代数关系的轻量级密码          DEFAULT  统计故障分析                                     2271


                 analysis  requires  at  least  1 344  faults  to  achieve  the  reliability  of  99%  in  the  recovery  of  the  128-bit  secret  key  of  DEFAULT.  The
                 theoretical analysis and experimental results show that the DEFAULT lightweight cryptosystem is not resistant to the statistical fault attack
                 based  on  the  algebraic  relationship.  This  study  provides  an  important  reference  for  the  security  analysis  of  the  other  lightweight
                 cryptosystems.
                 Key words:  DEFAULT; lightweight cryptosystem; cryptanalysis; statistical fault analysis; algebraic relationship

                    随着  5G  通信、嵌入式和云计算等技术的快速发展, 越来越多的设备被赋予万物互联和智能化的能力. 物联
                 网设备已经广泛融入了人们生活的各个领域, 智能家居、智慧监测设备和智能传输设备极大地方便了人们的生
                 活, 智能制造、智慧医疗和智能农业等极大地提高了工作效率, 但同时也带来了数据隐私和信息安全的挑战                                   [1−3] .
                 这些物联网设备通常专注于采集和记录传感器信息, 并将这些信息上传至云服务器. 因此在使用过程中, 这些设备
                 难免会收集到用户的敏感信息和隐私数据. 如果这些信息和数据不加防护地通过公开信道传输至云服务器, 很可
                 能被攻击者截获、篡改和伪造, 造成严重的信息泄露威胁, 因此保证物联网设备的信息安全十分重要. 在信息安全
                 领域, 密码算法常用于来保护信息的安全性. 但是, 物联网设备如射频识别标签                        (RFID)、无线传感器和微控制器
                 等, 通常体积小巧且算力有限, 传统密码算法难以保证效率和能耗, 因此轻量级密码算法应运而生                             [4,5] . 这些轻量级
                 密码算法具有资源消耗低、安全等级高和易于软硬件实现等特点, 可以兼顾安全、高效和节能, 并且易在物联网
                 设备上实现, 因此被广泛用于保证物联网设备信息的保密性、完整性和可认证性                          [6−10] .
                    侧信道分析是指攻击者利用密码设备运行过程中的功耗、耗时和故障等信息来破译密码算法                                 [11−13] . 在物联网
                 环境中, 攻击者可以相对轻松地接近物理设备, 获取其使用权限, 甚至破坏这些设备, 从而迫使设备中的密码在运
                 行过程中产生故障并且输出错误信息. 攻击者通过收集这些错误信息进行分析, 进而可以快速破译出密码的密钥,
                 该攻击方法称为故障分析         [14] . 随着故障分析技术的不断发展, 国内外学者逐渐提出了差分故障分析、统计故障分
                 析和代数故障分析等多种方法           [15−22] , 这些故障分析方法对密码的安全性造成了极大的威胁. 随着微电子技术的发
                 展, 异常电流、时钟干扰和激光照射等故障注入的方式日益多样化, 故障注入的位置也愈发精细. 因此, 故障分析
                 已经成为检测密码算法实现安全性的重要方法之一.
                    常见的密码分析方法根据攻击者的不同能力可以划分为: 选择明文攻击、已知明文攻击、选择密文攻击和唯
                 密文攻击等. 其中, 差分分析、线性分析、代数分析等经典密码分析, 以及差分故障分析、功耗分析等侧信道分析
                 均属于已知或选择明文攻击的范畴. 统计故障分析基于唯密文的基本假设, 仅需攻击者截获密码设备的密文, 然后
                 利用中间状态的统计变化和区分器实现错误密钥的筛除从而破译密钥, 对攻击者的能力要求最弱, 所以在实际中
                 更容易实施, 常用于检测物联网设备的实现安全性                [23−25] .
                    DEFAULT  是  Baksi 等人  [26] 在  2021  年亚洲密码学年会中提出的一种新型轻量级分组密码, 采用             128  比特的
                 分组长度和密钥长度, 具有良好的安全性和兼容性. 并且它采用特别的                     S  盒设计, 可以有效地抵抗常见的经典密码
                 分析和侧信道分析, 增加分析难度          [26−28] . 设计者仅用  2 377  个等效电路门即在台积电    65  纳米标准单元库上进行了
                 物理实现, 较低的实现代价和良好的安全性使其可以应用于                    RFID、无线传感器和微控制器等物联网设备               [26] . 目
                 前, 国内外尚未有针对      DEFAULT  密码实现统计故障分析的公开成果.
                    本文基于唯密文攻击, 结合统计故障分析和代数关系构造, 使用随机半字节故障模型, 提出了基于代数关系的
                 新型统计故障分析方法. 鉴于该密码中             S  盒的特殊设计, 若采用传统的统计故障分析方法, 仅能完成不低于                   2 89.84
                 候选密钥空间的恢复, 难以破译唯一的原始密钥. 本文构造基于代数关系的统计故障分析方法, 能够有效降低候选
                 密钥空间, 从而快速破解        DEFAULT  密码的唯一密钥. 并且, 本文提出了基于安德森达林拟合度检验                    (Anderson
                 Darling test, AD  检验) [29] 的新型区分器, 譬如  AD  检验-平方欧氏距离   (Anderson Darling test-square Euclidean
                 imbalance, AD-SEI)、AD  检验-极大似然估计      (Anderson Darling test-maximum likelihood estimate, AD-
                 MLE) 以及  AD  检验-汉明重量    (Anderson Darling test-Hamming weight, AD-HW). 理论分析和实验结果表明, 新方
                 法能够以   99%  及以上成功率恢复      DEFAULT  密码的   128  比特原始密钥, 在提升攻击的成功率, 降低故障数、耗时
                 和复杂度等方面均有较佳表现.
                    本文第    1  节简述  DEFAULT  密码的安全性分析、代数分析和统计故障分析的相关工作. 第                         2  节介绍