# 基于信息熵的 RSA 硬件时间隐通道信息泄露量化研究

毛保磊<sup>1),2)</sup> 胡 伟<sup>1),2)</sup> 慕德俊<sup>1)</sup> 张慧翔<sup>2)</sup> 邰 瑜<sup>2)</sup> 洪 亮<sup>2)</sup>

2)(西北工业大学自动化学院 西安 710072)

RSA 密码算法作为主流的公钥加密和签名算法,其安全性被工业界和学术界广泛关注. RSA 算法的安全 摘 要 性主要包括算法自身的不易破解性和密钥的安全性两个方面.而通过能量和时间隐通道来攻击算法密钥往往比破 解RSA 算法更为有效. 现有的研究大多关注 RSA 算法软件实现的安全性,并未深入探讨硬件 IP(Intellectual Property)核中的时间隐通道对安全性的影响;虽然有基于形式化验证的方法对时间隐通道进行检测和隔离,或者 采用基于类型系统的方法从硬件设计语言的角度消除时间隐通道,但这些硬件方法都只能实现时间隐通道的定性 分析,缺乏有效的模型对时间隐通道进行量化分析.文中针对上述两个基本问题(硬件 IP 核与时间隐通道)开展研 究.首先介绍了 RSA 时间隐通道的研究背景和硬件实现的威胁模型. 然后引入基于信息熵的研究方法,分别建立 了基于信息熵的时间隐通道攻击模型和基于信息熵的时间隐通道量化分析模型. 文中实验对 RSA 密码核进行基 于信息熵的攻击和基于方差的攻击以评估信息熵攻击的效果.同时,针对同一密码核不同密钥信息泄露进行量化 分析:针对多种不同的 RSA 硬件架构量化分析模幂优化算法对时间隐通道信息泄露的影响;针对时间隐通道抵抗 措施评估其减少时间隐通道信息泄露的作用;并通过攻击相应 RSA 核密钥以验证信息熵量化分析的有效性.最后 实验综合评估不同 RSA 架构对设计复杂度的影响.实验结果显示基于信息熵的攻击方法在猜测正确率确信度方 面优于基于方差的攻击方法;信息熵量化分析方法能够有效的评估 RSA 密码核时间隐通道信息泄露,为 RSA 密 码核时间隐通道的研究提供量化分析的理论依据和测试手段.实验结果同时表明信息熵指标能够辅助设计人员权 衡时间隐通道安全性与性能、资源开销之间的关系,为硬件设计自动化提供潜在的时间隐通道硬件安全评价指标, 实现对硬件设计特征更加精细和完善的描述.

关键词 硬件安全;隐通道分析;时间隐通道;信息泄露;RSA 算法;信息熵;量化分析 中图法分类号 TP309 **DOI 号** 10.11897/SP.J.1016.2018.00426

## Quantitative Analysis of Information Leakage Through Hardware RSA Timing Channel Based on Entropy Theory

MAO Bao-Lei<sup>1),2)</sup> HU Wei<sup>1),2)</sup> MU De-Jun<sup>1)</sup> ZHANG Hui-Xiang<sup>2)</sup> TAI Yu<sup>2)</sup> HONG Liang<sup>2)</sup> <sup>1)</sup>(Shenzhen Research Institute, Northwestern Polytechnical University, Shenzhen, Guangdong 518507) <sup>2)</sup>(School of Automation, Northwestern Polytechnical University, Xi'an 710072)

**Abstract** The RSA algorithm is a widely deployed public key cipher for data encryption and digital signature, whose security has drawn attention from both academic and industry fields. Its security relies on both the computation complexity of breaking the algorithm itself and the security of the encryption key. Generally, it is much easier to recover the encryption key than break the RSA algorithm through power and timing side channel analysis. Previous work primarily focuses on timing side channels in software RSA implementations, without in-depth studying the effect of

收稿日期:2016-06-28;在线出版日期:2017-05-24.本课题得到国家自然科学基金(61672433)、深圳市科创委基础研究基金(201703063000517)、国家密码发展基金(MMJJ20170210)、中央高校基本科研业务费专项资金(3102017OQD094)资助. 毛保磊,男,1987 年生,博士研究生,主要研究方向为隐通道分析、硬件设计信息流安全分析. E-mail: maobaolei@mail.nwpu.edu.cn.胡 伟(通信作者),男, 1982年生,博士,副教授,主要研究方向为硬件安全、可重构系统和嵌入式系统设计. E-mail: vinnie@mail.nwpu.edu.cn. 慕德俊(通信作者), 男,1963年生,博士,教授,主要研究领域为信息安全、控制系统设计. E-mail: mudejun@nwpu.edu.cn. 张慧翔,男,1981年生,博士,副教授,中国计算机学会(CCF)会员,主要研究方向为信息安全、模式识别与应用. 邰 瑜,男,1982年生,博士研究生,主要研究方向为硬件 安全、逻辑综合及优化. 洪 亮,男,1979年生,博士,副教授,主要研究方向为信息安全、嵌入式系统应用.

hardware architecture on timing channel security. Although there is work for detecting and isolating timing channel based on formal verification of timing information flow or building timing channel free hardware design by incorporating new type system into the hardware design language, they can only provide qualitative analysis of timing channel, lacking effective model to perform quantitative analysis of hardware timing channel security. In this work, we will concentrate on hardware RSA cores and provide a quantitative analysis model to evaluate such timing channel leakage. Firstly, we introduce hardware RSA timing channel and its threat model. We then employ the entropy theory to set up timing attack model and quantitative analysis model for RSA architecture timing channel. Besides, we attack RSA implementation based on entropy and variance analysis, respectively. In order to demonstrate the effectiveness of entropy in quantifying hardware RSA implementation leakage, we perform quantitative analysis of different key-pairs information leakage within the same RSA architecture, quantify information leakage for different RSA architecture implementations with timing channel algorithm optimization techniques, evaluate the effect of timing channel countermeasure on reducing information leakage; and also attack each RSA implementation to validate the effectiveness of our quantitative analysis model. Finally, we evaluate the effect of different algorithm optimizations, timing channel mitigation techniques and countermeasures on design complexity in terms of timing channel, performance and resource utilization. Experimental results show that entropy metric can be used to attack RSA timing channel and it can increase the success rate by combining variance analysis with entropy analysis. Entropy metric can be used to quantitatively analyze information leakage from timing channel in RSA hardware architectures effectively and efficiently, which provides an effective theoretical basis and test methodology to assess the severity of timing channel information leakage. In addition, entropy metric can help designers to tradeoff security requirements and design overheads such as performance and resource utilization, which provides a potential security metric to integrate timing channel security with traditional design metrics (e.g. area and performance) to characterize the hardware in more detail.

**Keywords** hardware security; side channel analysis; timing channel; information leakage; RSA algorithm; entropy; quantitative analysis

## 1 引 言

现代密码算法设计通常基于困难问题求解,如 RSA 算法基于大数因式分解的极端困难性.密码算 法的安全实现不仅要求算法本身难以破解,还要求 保障密钥安全性.攻击算法密钥往往比攻击密码算 法本身更为有效.在密码算法的具体实现中,可能会 存在时间或者能量隐通道.例如,加解密程序指令根 据不同的密钥值选择不同执行路径,产生不同时间 延迟,攻击者根据时间延迟的特征使用统计分析等 方法破解密钥<sup>[1-3]</sup>.攻击者亦可通过测量、分析加解 密实现的功耗获取密钥.这些隐通道导致密钥泄露, 严重影响密码算法安全.

Kocher 博士首次实现了对基本 RSA 模幂算法 的时间隐通道的攻击<sup>[1]</sup>. Schindler 成功攻击了基于 中国剩余定理的 RSA 实现并将其时序攻击方法扩 展到其他高级模幂算法[2]. 斯坦福大学进行的实验 进一步验证了广泛应用的 OpenSSL 库中的 RSA 模 幂实现存在时间隐通道,导致其在嘈杂的网络环境 下依然能被攻击,充分暴露 RSA 时间隐通道问题的 严重性[3].同时基于共享机制的处理器硬件结构也 容易遭受时间隐通道影响,被木马进程获取到机密 信息<sup>[4]</sup>. 高速缓冲存储结构 Cache 是共享硬件泄露 信息的重要来源,攻击者可以通过对 Cache 命中率 分析提取 AES 密钥信息<sup>[5]</sup>. 这些研究集中于软件密 码系统,或在 CPU 架构条件下衡量密钥信息泄露. 密码算法属于计算密集型应用,通常通过密码协处 理器、IP核等硬件加速.硬件密码核被广泛地应用 于国防、金融、通讯等社会重要领域的高速加解密计 算中,其硬件体系结构(IP 核)的安全实现对保障国 防、通讯系统的安全性和可靠性具有重要的意义.密 码算法核的安全性问题日益突出.

硬件密码核实现区别于软件层次的实现主要在 于:(1)攻击者可通过调用硬件密码核加解密来精 确测量加解密所需的时间,测量结果是周期精确的, 可以消除测量误差对时序分析的影响;(2)硬件架 构实现的灵活性更高,设计描述方式和逻辑综合都 对实现结果有更显著的影响,导致 RSA 架构的差异 性较大,因此,RSA 密码核中时间隐通道的不确定 性因素更高.

硬件时间隐通道问题受到了研究者的广泛关注,但是,尚无一种有效的方法来检测和消除隐通 道.Ciet等人利用并行的带有余数系统的RSA抵抗 硬件时间隐通道的攻击<sup>[6]</sup>,Zhang等人设计硬件语 言强化硬件时间隐通道的非干扰特性<sup>[7]</sup>,Li等人设 计基于状态机和时间复用(Time Division Multiple Access,TDMA)的硬件语言迁移时间隐通道<sup>[8]</sup>,但 未提供有效的检测方法.Oberg等人提出利用门级 信息流追踪(Gate Level Information Flow Tracking, GLIFT)方法检测时间隐通道<sup>[9]</sup>,能够验证不同模 块间非干扰特性<sup>[10]</sup>,却不能测量时间隐通道容量, 无法量化分析硬件密码核时间隐通道脆弱性:

通信中使用的信息论方法能有效衡量一个通信 信道的带宽容量,量化分析信道传输能力.我们引入 信息熵研究 RSA 硬件结构对时间隐通道的影响,即 量化分析 RSA 硬件结构的时间隐通道的密钥信息 泄露.量化分析能够更加准确地对硬件实现的安全 性进行评估.例如,当硬件密码核只泄露密钥的某一 位,其他密钥位不存在泄露时,虽然违反了非干扰特 性,但是攻击者并不能破解完整的密钥,此时,硬件 结构安全,无需降低性能、耗费资源进行改进和重新 设计. 另外,量化分析能够有效地区分不同硬件密码 结构的信息泄露程度,显露密钥是否容易被破解,即 使攻击者目前尚未找到高效的破解手段.量化分析 亦可有效揭露硬件结构潜在的脆弱性,有利于设计 者降低和消除硬件结构潜在的时间隐通道风险.最 终目的是为硬件设计者提供一种可量化分析和推理 RSA 硬件时间隐通道信息泄露的手段,并在资源、 性能允许情况下,提高 RSA 密码核设计的安全性.

本文研究硬件 RSA 时间隐通道的意义不仅在 于从理论和实验中验证具体的密码核时间隐通道的 信息泄露,还着重于建立一个基于信息论熵的计算 模型评估不同 RSA 密码核时间隐通道的容量.通过 这种方法衡量硬件密码核时间隐通道的脆弱性,为 RSA 密码核的设计提供参考标准.

论文主要贡献:(1)提出基于信息熵的攻击方

法攻击 RSA 密码核,并实验验证信息熵的攻击方法 优于统计方差方法;(2)引入信息熵理论量化分析 RSA 密码核时间隐通道,评估 RSA 硬件设计的密 钥信息泄露,量化分析和推理 RSA 密码核改进架构 对时间隐通道安全性的提升,并辅助攻击实验验证 其有效性;(3)综合分析 RSA 信息熵指标与性能、 硬件资源利用情况,指出设计者可依据信息熵指标 完善 RSA 硬件设计,权衡时间隐通道安全性与性 能、资源利用;(4)利用信息熵理论量化分析粗粒度 离散化抵抗措施对时间隐通道的迁移作用.

本文第1、2节介绍硬件 RSA 时间隐通道的研 究背景和相关工作;第3节描述 RSA 密码核时间隐 通道威胁模型;第4节详细阐述了基于信息熵的时 间隐通道量化分析模型和攻击模型;第5节展开实 验并进行讨论;第6节简明分析本文研究工作与相 关工作的区别和改进,指出本文工作贡献和意义; 第7节总结论文并讨论,指出未来研究工作的重点.

### 2 相关工作

#### 2.1 面向信息论与系统设计的研究工作

Clark 等人使用信息论量化分析带有循环语 句的"While"程序的信息泄露,测量私有变量对公 共变量的影响<sup>[11]</sup>; Heusser 和 Malacaria 引入信息 论量化分析方法评估 C 代码,表明了在信息泄露方 面与 Linux 内核相关的系统软件存在脆弱性<sup>[12]</sup>; Newsome等人利用信息通道容量测量 x86 二进制 程序中输入对输出的影响<sup>[13]</sup>; Doychev 等人测量主 流密码算法(AES, eSTREAM 组合)和排序算法(冒 泡排序,插入排序,选择排序)二进制可执行程序在 底层 Cache 中的信息泄露<sup>[14]</sup>; Standaert 等人使用 信息论方法衡量 AES 密码实现的能量隐通道的信 息泄露[15];Batina 等人利用互信息作为分类器实现 对能量隐通道的攻击[16].上述研究大多关注软件层 次编程语言、操作系统内核、密码算法设计的量化安 全分析,或强调密码算法软硬件实现的能量隐通道 信息泄露,并未对软硬件实现的时间隐通道问题进 行分析,也缺乏对不同软硬件设计时间隐通道安全 性强弱的研究.

#### 2.2 面向软件时间隐通道分析的研究工作

Bernstein 对 AES 软件加密算法在 Cache 中的时间隐通道问题进行了研究,成功破解相关密钥<sup>①</sup>;

① Bernstein D. Cache-timing attacks on AES. http://cr.yp. to/antiforgery/cachetiming-20050414.pdf, 2005

Aciiçmez 等人利用条件分支预测实现对密码的破 解[17-18]; Liu 等人对多核、多虚拟机环境下 RSA 密码 算法(Square-and-Multiply 算法和滑动窗口算法) 在共享 Cache 中的时间隐通道信息泄露问题进行了 探讨[19].软件时间隐通道的问题多存在于系统的不 确定性行为,如密码算法在 CPU 共享 Cache 中基于 缓存命中/错失的时间差异,条件分支结构产生的指 令跳转执行时间差异. Köpf 等人利用信息论方法评 估 RSA 算法信息泄露的上限,提出利用"bucket"策 略减少信息泄露<sup>[20-21]</sup>和平衡系统性能,对AES算法 在 ARM 架构 Cache 中信息泄露进行量化分析<sup>[22]</sup>; Askarov 等人对 OpenSSL 中的 RSA 密码算法进行 时间隐通道的迁移和量化分析<sup>[23]</sup>;Wang 等人利用 分区机制抵抗时间隐通道信息泄露[24],这些研究中 的量化分析方法和时间隐通道抵抗措施集中于 CPU 架构软件层次,并未深入探讨硬件结构设计变 化对时间隐通道的影响,也未深入量化分析硬件时 间隐通道抵抗措施的有效性.

#### 2.3 面向硬件时间隐通道分析的研究工作 🛴

Lee 等人对不同 Cache 硬件结构时间隐通道特 性进行量化研究,但其侧重 Cache 设计对 AES 密码 算法的影响<sup>[5]</sup>;Chen等人在微核层次架构下探测共 享处理器硬件中的隐通道信息泄露,共享硬件包括 总线、高速缓存和整数除法器等<sup>[4]</sup>;Zhang 等人则关 注硬件设计语言的时间隐通道问题<sup>[7]</sup>;Oberg 和 Kastner 等人提出的门级信息流追踪安全框架虽然 能够检测硬件时间隐通道并隔离 Cache、密码核、片 上系统网络,但无法评估硬件设计时间隐通道容量 的大小[9,25-26],无法对不同的硬件设计脆弱性完成 量化区分;Li 等人提出的基于 TDMA 的执行租赁 (Execution-Lease)策略能够有效排除时间隐通道, 但使用的非干扰特性过于严苛,会对系统性能造成 严重干扰[8].因此,在保证系统时间隐通道安全性前 提下,降低非干扰特性的严苛要求,不对系统性能造 成过多约束和干扰,寻求一种有效检测和分析硬件 密码核时间隐通道的方法是亟需解决的问题.

## 3 RSA 时间隐通道威胁模型

在片上系统(System-on-Chip,SoC)中,专用硬 件模块通常被集成到系统中作加速使用,通过原语 被嵌入式系统核访问和调用,例如 RSA、AES 核作 为 ARM 核的加解密协处理器.虽然独立的函数模 块可有效加速嵌入式系统运算,但也带来了潜在的 隐通道信息泄露问题,例如时间隐通道,攻击者通过 测量硬件函数模块执行时间获取硬件函数的重要信 息.例如图1所示,以机密性规则为例,高安全级别 IP核和低安全级别 IP核都可调用 RSA 密码核进 行加解密,并观测到执行时间,当高安全级 IP核调 用密码核加解密时,低安全级 IP核可通过请求调用 密码核的延迟时钟周期数观测到高安全级 IP 核加 解密原语的运行时间,进而推断高安全级别 IP 核的 密钥信息.



本文主要以 RSA 密码核为例研究时间隐通道 密钥信息泄露问题,但研究方法可推广应用到其它 受系统时钟驱动、与运行时间相关的硬件函数模块. RSA 算法是公钥算法,其加密过程中的密钥是公开 的,需要加密的信息是机密信息;而解密过程中的私 钥是机密信息,需要解密的密文可以是公开的,可被 攻击者获取.本文研究建立在 RSA 解密过程基础 上,密钥是机密信息,使用非选择性密文攻击,密文 数据随机输入。

本文假设攻击者能够确定硬件函数模块的执行 时间.硬件函数模块一般基于系统时钟驱动,其硬件 接口中包含时序信号端口,攻击者依据时序信号可 确定硬件函数操作的起止时钟,如依据图 2 中的开 始和结束等时序信号.同时,假设攻击者可以访问硬 件函数模块的输入和输出,例如,可以为图 2 中 RSA 密码核提供不同的密文、密钥等输入并获得结 果输出.因此攻击者能够对给定输入数据的硬件函 数模块的执行时间进行测量.



本文实验建立在 FPGA(Field Programming Gate Array)平台基础上,对不同的 RSA 密码核实现进

行评估,通过相应的辅助逻辑电路对 RSA 密码核 时序信息处理并收集执行时间,例如图 2 所示,根 据 RSA 密码核的开始、结束信号,截取开始结束信 号之间的时钟周期的个数表示解密时间长短,对 不同密文输入的执行时间进行周期精确的记录和 分析.

## 4 RSA 时间隐通道分析与攻击方法

### 4.1 RSA 模幂算法和时间隐通道

RSA 算法中的模乘可采用不同算法实现,如移 位加算法(Blakley 算法)等. 模幂可采用 Squareand-Multiply 算法实现. 模幂运算中的 IF-ELSE 条 件分支语句存在延时差异是造成时间隐通道的根本 原因,如算法1所示,由于语句 3~4 的模乘运算和 语句 5~6 的赋值运算存在明显的时间差异导致不 同的密钥会产生不同的解密运算时间. 另外密文、密 钥和模都参与模乘运算,对语句 4 和语句 7 中的模 乘时间亦造成影响. 上述两种因素是造成 RSA 密码 算法时间隐通道信息泄露的重要原因.

**算法1.** RSA 模幂算法.

输入:m,e,n(m为密文,e为私钥,n为模)

- 输出: $c = m^e \mod n$
- 1. LET  $s_0 = m$ ,  $c_0 = 1$
- 2. FOR i=0 TO w-1:
- 3. IF (bit i OF e ) IS 1 THEN
- 4. LET  $c_{i+1} = c_i \times s_i \mod n$
- 5. ELSE
- 6. LET  $c_{i+1} = c_i$
- 7. LET  $s_{i+1} = s_i^2 \mod n$
- 8. ENDFOR
- 9. RETURN  $c_w$
- 4.2 信息熵

本文引入香农信息熵(Shannon Entropy)<sup>[27]</sup>理 论进行时间隐通道的研究.香农将信息定义为离散 随机事件出现的概率.假设 *x* 是采样空间 *X* 中的一 个随机变量,*p* 代表 *X* 空间中变量的概率分布密度 函数,香农信息熵的定义为

$$H(\mathbf{X}) = -\sum_{x \in \mathbf{X}} p(x) \log p(x) \tag{1}$$

信息熵衡量系统不稳定性.

方差是衡量数据集合中变量值偏离期望的程度的参数.当方差较小时,表示数据分布集中于均值附近,当方差较大时,则数据分布分散.Kocher 在文献[1]中使用方差攻击时间隐通道.为了与本文中使

用的信息熵作对比,在此给出方差的定义: $x_1$ ,  $x_2$ ,…, $x_n$ 是变量X的采样值,可得方差计算公式:

$$VAR(\mathbf{X}) = \sum_{i=1}^{n} (x_i - \bar{x})^2$$
 (2)

x 表示变量 X 的期望值. 下面本文将描述信息熵衡 量信息泄露的模型和相应的攻击模型,并在 5.2 节 中通过实验比较分析基于信息熵和基于方差的攻击 方法.

### 4.3 时间隐通道量化分析模型

针对某个具体 RSA 核,不同密文、密钥对解密 消耗的系统时钟数不同,产生时间隐通道,泄露相关 密钥信息;针对不同架构 RSA 核实现时,可能因为 应用不同运算方法使得一个密码核的模乘运算比另 一个核的模乘运算消耗时钟少,造成不同的密码核 对同一个解密测试(相同的密文、密钥对)产生不同 运算时间,导致不同密码核时间隐通道存在差异.基 于观测到的事实我们引入定义1的描述.

**定义 1.** RSA 硬件体系结构在密文、密钥对 (密钥和模)等输入数据的作用下产生时间信息流.

依据第3节中威胁模型和定义1建立信息泄露 模型.以机密性为安全规则来定义相关信息:高安全 级别的信息包括密钥 K;低安全级别的信息包括 RSA 核的解密时间 T,因为解密时间 T 是攻击者可 以观测的. RSA 硬件密码核时间隐通道信息泄露的 特征函数用 F 表示,密码核时间隐通道会导致密钥 K 的信息流入到低安全域中.其特征反映相应 RSA 密码核的时间隐通道的特性.

依据定义1以数学形式抽象完整描述 RSA 信息泄露如式(3)所示,表示密钥 K,密文C 和模M 的信息通过函数 F 流入到时间域 T 中:

$$T \leftarrow F(K;C;M) \tag{3}$$

RSA 是公钥算法,模 M 的值是公开的,并与私 钥 K 成对出现,可将模型简化为

$$T \leftarrow F(K; C) \tag{4}$$

由于密文和密钥分布是离散的,本文使用离散概率 密度函数来刻画 RSA 密码核关于密钥 K 的时间隐 通道.假设当密文和密钥确定时(K=k,C=c),T=t 是 RSA 核关于密钥信息泄露的一次采样,即一条密 文模幂时间是攻击者对密钥的一次时间隐通道的采 样.那么,刻画时间隐通道特征函数 F 的泄露函数 L(K,C)可定义为

$$L(K,C) = \underset{c \in C, k \in K}{p} \{T = t | C, K\}$$
(5)

若能够采集所有的实验数据(密文、密钥、时间 T 能 够遍历其空间中所有值),理论上可以构造完整精确 的泄露函数 L. 但实际应用中只能选择适当数目的 测试向量(一定数目的密文和密钥)来近似估计函数 L. 本文将此估计函数表示为 L.

基于估计函数 *L* 的假设,若密文数目固定(例 如指定 5000 条密文),随着采样样本数目的增加,解 密时间的概率密度函数将会随着采样样本的变化而 变化,并显现密钥的特征.本文中将其抽象为时间隐 通道,并利用信息熵的概念量化通道容量.将式(5) 代入式(1),获得相应信息熵计算公式:

$$H(T) = -\sum_{k \in K, c \in C} p(T=t) \log p(T=t)$$
 (6)

4.4 时间隐通道攻击模型

Kocher 在建立 RSA 时间隐通道攻击方案时假 设每个密钥位的处理时间相互独立<sup>[1]</sup>. 基于我们对 文献[1]中描述的方差攻击过程的观测,当密钥位数 较大时,每个密钥位攻击成功率之间的影响微弱. 例 如,一个 RSA 密码核密钥是 W 位,前 s 位(s 《W) 密钥位攻击成功率对后面密钥位攻击成功率影响很 小.本文攻击模型也遵从同样的前提假设.

**假设1.** 当密钥位数较大时处理每个密钥位的时间是相互独立的.

本文以 Kocher 的攻击方案为基础,描述基于 信息熵的攻击方法.当攻击者从最低位 LSB(Least Significant Bit)开始攻击 RSA 核时,会逐渐猜测 出各个密钥位的值,直到密钥最高位 MSB(Most Significant Bit)被破解.

假设正确的密钥的概率分布密度获得的信息 熵为 H,由式(6)计算获得;由已猜测密钥位及其 处理时间产生的概率分布密度获得的信息熵表示为 Hs,  $\hat{T}_s$ 表示前 s 位已猜测密钥位的处理时间,则

 $H_{s}(T) = -\sum_{p} (T = \hat{T}_{s}) \log_{p}(T = \hat{T}_{s})$  (7) 考虑到单个密钥位处理时间可近似相互独立,将未 猜测密钥位的值及其处理时间也描述为一个概率分 布密度函数并以熵  $\Delta H$  的形式来表述其特征, $\Delta \hat{T}$ 表示余下未猜测密钥位的运算时间,则

 $\Delta H(T) = -\sum p(T = \Delta \hat{T}) \log p(T = \Delta \hat{T})$  (8) 随着密钥位被逐渐破解,熵  $\Delta H$  逐渐减小,如果所 有密钥比特位都猜测正确, $\Delta H$  最终减少至 0. 但如 果存在密钥比特位猜测错误, $\Delta H$  不能减少至 0. 基 于此事实分析,我们提出定理 1.

**定理 1.** 猜测正确的密钥位将使 ΔH 减小,并 逐渐减少至 0.

依据定理 1,当 Hs 趋近于 H 时, $\Delta H$  趋近于 0,

可得

当 
$$Hs \rightarrow H$$
 时,  $\Delta H \rightarrow 0$  (9)  
 $\Delta H \propto H - Hs$ 

本文采用的攻击步骤算法流程如下:

过程1. 信息熵攻击过程.

 1. 假设 T 表示使用正确密钥处理 n 条密文消耗时间 的向量,T<sub>i</sub>表示使用正确密钥处理第 j 条密文的时间,则

$$\boldsymbol{T} = \{T_1, T_2, \cdots, T_n\}$$
(10)

2. 假设前 *s*-1 位密钥位已被猜出,需要猜测第 *s* 位密 钥位时:处理第 *j* 条密文,当密钥第 *s* 位为 0 时,密钥前 *s* 位 处理时间是  $\hat{T}_{sj}(k_s=0)$ ,当密钥第 *s* 位是 1 时,其前 *s* 位处理 时间是  $\hat{T}_{sj}(k_s=1)$ .可计算:

$$\Delta \hat{T}_{0j} = T_j - \hat{T}_{sj} (k_s = 0) \tag{11}$$

$$\Delta \hat{T}_{1j} = T_j - \hat{T}_{sj} (k_s = 1)$$
(12)

考虑到共有 n 条密文,则

$$\Delta \hat{\boldsymbol{T}}_{0} = \{ \Delta \hat{T}_{01}, \Delta \hat{T}_{02}, \cdots, \Delta \hat{T}_{0n} \}$$
(13)

$$\Delta \hat{\boldsymbol{T}}_{1} = \{ \Delta \hat{T}_{11}, \Delta \hat{T}_{12}, \cdots, \Delta \hat{T}_{1n} \}$$
(14)

3. 依据定理 1 和式(9),  $\Delta H$  越小,则该密钥位越可能 被猜测正确. 若  $\Delta \hat{T}_0$  的熵  $\Delta H(\Delta \hat{T}_0)$ 比  $\Delta \hat{T}_1$  的熵  $\Delta H(\Delta \hat{T}_1)$ 小,则密钥 s 位的值为 0;反之,密钥 s 位值为 1.

4. 重复步骤 2、3,直至攻击至密钥最高位.

另外本文直接测量系统时钟周期数,已经内在 排除了由于时间测量误差引起的噪声.影响密钥破 解的因素集中于未知密钥位引起的时间变化,这也 是如果所有密钥位都猜测正确,熵 ΔH 会减少至 0 的原因.本文将在实验部分详细描述信息熵在 RSA 时间隐通道攻击方面较方差具备更好的特性.

## 5 实验结果分析和讨论

5.1节简要介绍实验设计框架.为检验硬件 RSA 密码核时间隐通道安全性和攻击模型的有效 性,5.2节利用信息熵攻击 RSA 密码核,并实验验 证基于信息熵的方法优于基于方差的攻击方法.为 验证量化分析模型的有效性,5.3节首先利用信息 熵量化分析同一密码核不同密钥的信息泄露;然后 量化不同 RSA 架构的信息泄露,并辅助以攻击实验 进行佐证;最后综合评估 RSA 密码核设计复杂度. 5.4节利用信息熵量化分析时间隐通道抵抗措施对 RSA 密码核时间隐通道信息泄露的迁移作用.实验 结果表明了信息熵量化分析对 RSA 密码核安全设 计工作的改进和意义.设计者可依据信息熵指标完 善着 RSA 硬件安全设计.

#### 5.1 实验设计

为了对 RSA 密码核中时间隐通道进行评估,本 文使用 Xilinx ML605 评估板构建硬件测试平台.整 个实验环境由两部分组成:FPGA 端和主机端测试 程序.具体框架如图 3 所示.



图 3 RSA 时间隐通道测试框架

FPGA 端程序包括可综合的 RSA 设计和相应 的控制逻辑,主要完成 RSA 计算时间的测量、存储 和传输. RSA 核选用两种不同方案产生. 第一种方 案依据 4.1 节中 RSA 密码算法的时间隐通道特征, 设计产生五种不同的 RSA 架构,分别检验模乘器时 间差异和条件分支语句时间差异对时间隐通道特征 的影响;第二种方案采取时间离散化抵抗措施产生 五种不同粒度的 RSA 时间隐通道的迁移设计.

主机测试程序主要完成两项功能:第一、向 FPGA发送测试向量(密文、密钥、模),从 FPGA读 取所测量的 RSA运算时间;第二、对相应 RSA 核进 行攻击和量化分析.主机端程序模拟片上系统中可 以访问密码核的处理器运算.

5.1.1 基于 Xilinx ML605 的板级实现

依据第3节中时序测量模型的描述,我们在 FPGA 端设计并实现对 RSA 解密时间的记录、保存 和传输. RSA 密码核的控制逻辑包括控制命令状态 机模块,RSA 时序测量包模块和通信接口模块. 控 制命令状态机完成通信接口模块提供的命令和数据 的编解码,为 RSA 密码核提供密文、密钥和模值信 息. 当控制命令状态机完成对密文、密钥和模值信 息. 当控制命令状态机完成对密文、密钥和模的解析 转化后,若遇到主机端来的开始解密命令,则会通知 RSA 时序测量包启动 RSA 核开始进行第一条密文 的解密.由于量化信息泄露的过程和密钥攻击过程 都需要大量的密文,实验中利用块存储器来存储数 据,控制命令状态机同时维护块存储器的数据存取.

RSA 时序测量包模块主要完成每个 RSA 解密 操作的时间记录和控制,例如控制 RSA 解密操作启 动和停止的时间,需要的解密操作个数(即解密多少 条密文)以及每个解密操作的时钟周期数的记录存 储等. 通信接口模块完成 FPGA 端 RSA 时间数据的 发送和主机端发来的命令和数据的接收.这些命令 和数据经过控制命令状态机进行编解码,其具体的 命令和数据格式定义如表 1 所示.由于解密速度可 能快于通信传输速度,为防止时间数据被覆盖而 导致数据丢失,使用 Xilinx 的 FIFO(First-In-First-Out) IP 核以缓存数据.

表 1 控制命令和数据命令格式定义

| 命令类型 | 命令编码 | 数据类型 | 数据名称 |
|------|------|------|------|
| 开始命令 | 0xAA |      |      |
| 结束命令 | 0x00 |      |      |
| 数据命令 | 0x05 | 0xA5 | 密文   |
| 数据命令 | 0x05 | 0x55 | 密钥   |
| 数据命令 | 0x05 | 0x5A | 模    |

#### 5.1.2 主机端实现

本文使用 Python 脚本实现主机端主程序设计,包括利用 OpenSSL0.9.8h 程序产生测试向量(RSA 密钥和模),利用 Python 的内置随机函数库产生随机密文数据,使用 Python 的科学计算包Numpy进行统计方差和信息熵的计算,利用 Python的 PySerial 构建通信接口模块.

主机端程序主要完成两项计算任务:第一,给 定密钥情况下,采集多条密文的完整解密时间,进 而利用4.3节信息熵量化方法测量 RSA 密码核的 信息泄露;第二,持续向 FPGA 发送测试向量,收集 相应的时间信息进行计算,采用4.4节中的攻击步骤 (过程1)完成攻击(Kocher 采用基于统计方差的方 法[1],本文使用信息熵的攻击方法).

#### 5.2 利用信息熵攻击 RSA 密码核

在此实验中,本节对 Blakley 算法实现的密码 核进行攻击,使用 5000 个密文测试 50 个不同密钥 对.如图 4 所示为使用方差、信息熵攻击 RSA 密码 核的成功率.



基于对攻击过程的观察,随着猜测密钥位的逐渐增加, $\Delta H$ 呈现逐渐减小的趋势,假设猜测第一位 之后, $\Delta H$ 值为 $\Delta H_1$ ,猜测第二位之后 $\Delta H$ 值为  $\Delta H_2$ ,…,可得

$$\nabla H_i = \Delta H_i - \Delta H_{i+1} \tag{15}$$

当 $\nabla H_i$ 值较大时,第*i*位密钥位猜测正确的可能性就很高,而当 $\nabla H_i$ 很小时,通常意味着第*i*位密钥位猜测错误.为衡量对每个密钥位猜测正确性的确信度,本文首先引入方差和熵的猜测信心域参数%V和% $H_i$ 

$$\% V = \frac{1}{2} \times \frac{\nabla Var_i}{\max(\nabla Var_i)} \times 100\% + 50\% (16)$$
  
$$\% H = \frac{1}{2} \times \frac{\nabla H_i}{\max(\nabla H_i)} \times 100\% + 50\% (17)$$

将信心域参数值平均分成 10 个区间,即[50%, 55%],[55%,60%],...,[95%,100%].统计对应区 间下,一共存在的密钥位个数 N,以及猜测正确密 钥位的个数 Nr.获取确信度的计算公式.

$$D = \frac{Nr}{N} \times 100\%$$

绘制相关曲线如图 5 所示,例如,[55%,60%] 区间中的 Entropy-Local 的节点表示由  $\nabla H_i$ 的值获 得的% H 值在区间[55%,60%]中,则攻击者有 81%的确信度认为此密钥位的猜测是正确的.而 Variance-Local 在[55%,60%]区间中的确信度 几乎为 0. 当 Entropy-Global 信息熵的信心域参数 达到[65%,70%]时,其猜测正确率确信度达到 100%,而方差 Variance-Global 的信心域参数需达 到[75%,80%],其猜测正确率确信度达到 100%. 局部(Local)的 max( $\nabla H_i$ )中的 $\nabla H_i$ 本文使用测量 的单个指定密钥的所有密钥位 $\nabla H_i$ ;全局(Global)



的 max( $\nabla H_i$ )中的 $\nabla H_i$ 文中使用测量的 100 个密钥 所有密钥位的 $\nabla H_i$ . 方差分析亦然.

由图 4 实验结果,基于熵的攻击方法与基于方 差的攻击方法具备相当的密钥破解能力,图 5 实验 结果表明基于熵的攻击方法在全局、局部猜测信心 域参数和猜测正确率确信度方面较方差具备更好的 性能.图 4 结果的方差-信息熵曲线表明同时利用信 息熵和方差攻击相应密钥,能显著提高密钥的破解 成功率.

5.3 信息熵量化 RSA 密码核信息泄露应用分析

5.3.1 信息熵量化 RSA 密码核不同密钥信息泄露

本节实验使用 Blakley 算法 RSA 核,随机测试 30 个不同的密钥.为更好佐证密钥信息泄露,实验 对相应的密钥进行实际攻击.使用 4.3 节中的信息 熵量化分析方法衡量密钥信息的泄露,并利用 4.4 节 中的攻击方法(过程 1)攻击对应的 30 个密钥,结果 如图 6 所示.



实验结果表明,由信息熵量化的信息泄露能够 较好的反映不同密钥导致的时间隐通道泄露.当信 息熵较大时,攻击成功率明显增加;而信息熵较小时 攻击成功率则呈现减小趋势.

5.3.2 信息熵量化不同 RSA 密码核信息泄露

本节实验使用五个不同的 RSA 密码核,其中三 个采用不同模乘算法,分别是 Blakley 算法<sup>[28]</sup>、 Barrett 算法<sup>[29]</sup>、Montgomery 算法<sup>[30]</sup>.另外一种设 计采用 Power-Ladder 模幂算法<sup>[31]</sup>,是基本模幂算 法的一种改进设计用以平衡条件分支语句执行时 间.第五种设计是一个改进的并行 RSA 密码核<sup>①</sup> (两个模乘运算器并行执行,后文以 Parallel 设计表 示).由于前四个密码核结构中的模乘和模平方操作

① http://opencores.org/project, basicrsa

使用同一个模乘器,模乘和模平方操作在时序上交 替进行.而 Parallel 设计利用两个模乘器,模乘和模 平方可以并行执行.

同样利用 4.3 节中的信息熵量化密钥信息的泄露,利用 4.4 节中的攻击方法(过程 1)攻击相应 RSA 密码核,结果如图 7 所示.Blakley 算法密码核 是五种设计中攻击成功率最高的,其信息熵也是五 种设计中最大的.Barrett 算法设计的攻击成功率和 信息熵比 Blakley 设计都要减小.Power-Ladder 设 计与 Barrett 设计攻击成功率和信息熵相近,Power-Ladder 设计信息熵和攻击成功率较 Blakley 设计 显著减小.而 Montgomery 设计和 Parallel 设计则 是五种设计中时间隐通道安全性最高的,二者的 攻击成功率相同,但是 Parallel 设计的信息熵较 Montgomery 设计的信息熵减小...



图 7 五种 RSA 设计信息熵和攻击结果

具体分析五种 RSA 密码核结构, Blakley 设计 解密时间受到密钥和模乘运算的影响变化很大,实 现 Blakley 算法的模乘器对每个密钥位的处理时间 随密文变化显著.而 Barrett 设计在实现模乘器时首 先进行乘法运算,然后进行模运算,但所用的乘法器 运算时间固定,只有做模运算时才会有时间变化,其 模乘时间随密文变化较小.因此 Barrett 设计信息熵 和攻击成功率较 Blakley 设计减小. Power-Ladder 设计将模平方操作移入条件分支语句内,并改进算 法流程,使每次密钥位的处理都要实施模乘和模平 方的计算,有效减小了因为密钥位值的不同引起的 IF-ELSE条件分支语句的延时差异.如图7所示, 其时间隐通道安全性获得提高. Montgomery 设计 的模乘的时间只随着模变化,对不同密文的解密时 间是不变的,只有当密钥发生变化时,解密时间才会 改变. 而 Parallel 设计利用算法 1 模幂算法的特殊 性(在同一个密钥位的处理时间范围内,模乘和模平

方运算之间不存在数据依赖关系;但在相邻密钥位 处理时,模乘和模平方运算存在数据依赖关系)和 FPGA 资源丰富的特点(可在空间上增加模乘器数 量)实现模乘器的并行性运算,而做模平方运算的模 乘器时间总是多于或者等于做模乘运算的模乘器时 间,且时间趋于一致,解密时间几乎完全由密钥的最 高位位置决定,解密时间受密文影响变化微弱. Montgomery 设计和 Parallel 设计时间隐通道特征 的共同之处在于二者的解密时间都(几乎)不受密文 的影响.不同之处在于,Montgomery设计的解密时 间会随着密钥的变化而变化,不仅受到密钥最高位 位置的影响,还受到其他密钥位的影响;而 Parallel 设计的解密时间受到密钥最高位位置影响显著.在 攻击 RSA 核时,主要利用不同密文解密的时间差异 获得的信息熵破解密钥,因此,若攻击 Montgomery 设计,当猜测密钥的密钥位值给定时,所有密文解密 时间都相同.此时攻击过程1中步骤3密钥位0值 获得的熵和密钥位1值的熵都等于0,攻击者无法 判断密钥位取 0 值或取 1 值;当攻击 Parallel 设计 时,所有密钥位猜测的值都为1.基于熵和方差的攻 击方法对这两种设计是失效的. 在量化分析 RSA 核 时,信息熵量化分析的计算包含了不同密钥引起的 解密时间的变化,导致 Parallel 设计的信息熵较 Montgomery 设计减小,而两种设计的信息熵都不 会减小为 0.但 Montgomery 设计的密钥依旧面临 被破解的威胁,例如,使用暴力破解方法找到猜测密 钥,使其解密时间与正确密钥解密时间相同即可.而 Parallel 设计即使使用暴力破解方法依然无法利用 时间隐通道破解完整的密钥,因其解密时间几乎完 全由密钥的最高位 MSB 位置确定,确实只有密钥 最高位才能被准确破解.

图 7 实验结果表明,信息熵量化分析结果完全 符合相关 RSA 设计的时间隐通道密钥信息泄露的 特征:Barrett 设计和 Montgomery 设计通过减小或 消除模乘器运行时间的差异以减少时间隐通道信息 泄露;Power-Ladder 设计通过减小条件分支语句执 行时间差异以减少密钥信息泄露;Parallel 设计通过 增加并行性操作减少信息泄露.实验结果亦显示即 使在已知攻击方法不能破解相关密钥情况下,信息 熵量化分析亦可揭露 RSA 密码核潜在的密钥信息 泄露的风险(如 Montgomery 设计).信息熵可有效 量化分析 RSA 改进设计对时间隐通道的影响.

5.3.3 权衡信息熵与性能、资源利用率之间的关系 上述实验结果显示信息熵可以量化不同密钥信 息泄露的程度和不同 RSA 密码核密钥信息泄露程 度,信息熵可以作为量化 RSA 密码核密钥信息泄露程 的指标.为了更加完整评估密码核设计,本文利用 Xilinx ISE 综合相关设计,获得相应的资源利用状 况,如表 2 所示.并收集各个密码核的平均解密时 间,如表 3 所示.实验结果显示,Parallel 设计性能最 高,平均每个解密操作需要 21896 个时钟周期,但是 由于使用两个模乘器,消耗板上资源接近 Blakley 设计的两倍.Blakley 设计消耗资源最少,但是解密 速度减小.Barrett 设计消耗最多的资源却只达到 Blakley 设计的速度.Power-Ladder 设计消耗资源 比 Blakley 设计较多,性能却远低于 Blakley 设计, 仅达到 Blakley 设计的 2/3. Montgomery 设计资源 利用过多而性能只达到 Blakley 设计的一半.

表 2 FPGA 资源利用情况

|              | LUT   | Slice<br>register | DSP48E | Occupied<br>Slices | LUT-FF<br>pairs |
|--------------|-------|-------------------|--------|--------------------|-----------------|
| Blakley      | 1683  | 1710              | 0      | 707                | 2099            |
| Barrett      | 11944 | 5548              | 340    | 3511               | 13 327          |
| Power-Ladder | 2400  | 1949              | 0      | 685                | 2524            |
| Montgomery   | 5969  | 4882              | 0      | 1915               | 6325            |
| Parallel     | 3484  | 1803              | 0      | 1156               | 3731            |
|              |       |                   |        |                    |                 |

表 3 RSA 密码核平均运行时间

| 不同设计            | 平均时钟周期数  |  |
|-----------------|----------|--|
| Blakley 设计      | 46292    |  |
| Barrett 设计      | 46814    |  |
| Power-Ladder 设计 | 62 4 3 8 |  |
| Montgomery 设计   | 95 383   |  |
| Parallel 设计     | 21 896   |  |
|                 |          |  |

我们将时间隐通道安全性纳入评估内容,并以 Blakley 密码算法核为参照. Power-Ladder 设计仅 在损失性能情况下降低 RSA 密码核信息泄露. Barrett 设计同时损失资源与性能降低 RSA 时间隐 通道信息泄露. Montgomery 设计在损失性能和资 源的条件下获得了隐通道的安全性. 而 Parallel 设 计则在只损失硬件资源的条件下,达到了性能和时 间隐通道安全性的提高.信息熵量化分析模型的指 标可为设计者提供时间隐通道安全性的度量标准, 如同资源利用率量化逻辑资源使用情况、时钟周期 数量化加解密速度的性能.设计者可根据信息熵指 标评价或改善RSA 密码核设计,实现资源利用、性 能和时间隐通道安全性最佳权衡和取舍.

## 5.4 RSA 密码核时间隐通道抵抗措施下信息熵量 化应用分析

5.3 节实验利用信息熵量化分析不同 RSA 硬件密码核结构的时间隐通道.实验结果表明,在没有

任何 RSA 时间隐通道抵抗措施的情况下,信息熵能够有效量化分析硬件架构对时间隐通道的影响.本节将引入时间隐通道抵抗措施,使用信息熵量化分析方法研究时间隐通道迁移设计的信息泄露.

RSA 时间隐通道表现为密码核模幂运算的时间差异.一种通用而简易的抵抗措施是在 RSA 模幂运算末尾引入空操作,增加单个模幂运算的时间延迟,减少甚至消除不同模幂操作的执行时间差异.文献[20]中提出一种粗粒度离散化的添加空操作的时间延迟方案:例如,将原来以一个时钟周期进行计数的时间离散化为使用 10 个或者 100 个时钟周期进行阶梯式计数的时间.例如,当使用 100 个时钟周期进行阶梯式计数时时间.例如,当使用 100 个时钟周期进行阶梯式计数时,原始模幂时间是 46 187 个时钟周期,而加入空操作离散化后的模幂时间为 46 200.推广到极端情况,所有的模幂时间都采用最大值,即所有模幂运算时间都为恒定值,则完全消除时间隐通道,但是因为时间都采用最大值,模幂运算效率低.

本节采用 Blakley 设计为基准 RSA 密码核完成相关时间隐通道抵抗措施的实验.抵抗措施采用粗粒度离散化模幂时间延迟方法,在基准设计的基础上再增加五种不同粒度的离散化设计: Discrete50设计、Discrete75设计、Discrete100设计和 Discrete150设计分别采用的时间延迟阶梯间隔为50、75、100和150个时钟周期,Constant设计则将所有模幂运算时间延迟到最大值.然后利用4.3节中的信息熵量化分析方法测量密钥信息泄露,利用4.4节中的攻击过程1攻击相应 RSA 密码核,结果如图 8 所示.



图 8 隐通道抵抗措施下 RSA 信息熵和攻击结果

图 8 实验结果显示,采用粗粒度离散化方案, 随着离散化的时间间隔增大,信息熵和攻击成功 率呈现下降的趋势. Constant 设计中信息熵结果 显示为 0,表征其不存在时间隐通道.实验结果表明 信息熵可有效量化分析时间隐通道抵抗措施减少时 间侧信道信息泄露的作用.同时在表 4 中列出相应 密码核平均运行时间并进行简要分析: Discrete50 设计性能略微减小,但时间隐通道安全性获得改 善;Discrete100 设计和 Discrete150 设计性能较 Discrete50和 Discrete75 设计略有减小,而时间隐 通道安全性获得大幅提高.Constant 设计是粗粒度 离散化设计中性能最低但安全度最高的,实现了非 干扰特性.

|--|

| 不同设计           | 平均时钟周期数 |
|----------------|---------|
| Blakley 设计     | 46292   |
| Discrete50 设计  | 46350   |
| Discrete75 设计  | 46375   |
| Discrete100 设计 | 46 400  |
| Discrete150 设计 | 46450   |
| Constant 设计    | 51729   |
|                | - ΖΧ    |

## 6 与硬件时间隐通道工作的对比

为了更加清晰和直观的对比相关工作,本文从 实验场景,分析方法和体系结构层次等方面进行了 概括和分析,如表 5 所示. Myers 等人应用信息流分 析方法从硬件设计语言迁移时间隐通道<sup>[7]</sup>. Lee 等 人利用信息论方法量化分析和验证改进的 Cache 设 计减少 AES 密钥信息泄露<sup>[5]</sup>. Chen 等人对共享硬 件结构(除法器、高速缓存、总线)进行事件相关性分 析以检测隐通道<sup>[4]</sup>.

表 5 本文与相关工作对比

|                         | 目标/实验场景                    | 分析精度/方法 | 体系结构层次 |
|-------------------------|----------------------------|---------|--------|
| Myers <sup>[7]</sup>    | Language 设计                | 信息流分析   | 硬件语言   |
| Chen <sup>[4]</sup>     | Bus,Divider,Cache<br>隐通道检测 | 事件相关性分析 | 微体系架构  |
| Lee <sup>[5]</sup>      | Cache 设计                   | 量化分析    | 微体系架构  |
| GLIFT <sup>[9,25]</sup> | 时序逻辑电路                     | 信息流定性分析 | 门级电路   |
| 本文                      | 协处理器 RSA 核                 | 量化分析    | SoC 结构 |

与本文工作最密切的是能够检测所有硬件设计 时间隐通道的门级信息流追踪的分析方法.因为本 文除 Constant 设计外其余所有 RSA 设计都存在时 间隐通道问题,能够被 GLIFT 全部检出.但是本文 提出的分析方法能够有效量化鉴别相关设计的时间 隐通道的危害大小,可以更加准确有效的辅助设计 者在利用门级信息流分析技术基础上实现加解密硬 件关于时间隐通道的安全设计.

## 7 结束语和讨论

本文研究了硬件 RSA 解密实现中的时间隐通 道安全性问题,阐述了基于信息熵的方法在量化分 析 RSA 硬件密码核时间隐通道中的应用,通过对不 同 RSA 硬件结构进行量化分析和攻击测试,实验验 证了信息熵量化分析方法的有效性.本文所提方法 为 RSA 密码核时间隐通道的评估提供了一种有效 的量化分析的理论依据和测试手段.

本文引入信息熵的攻击方法攻击硬件 RSA 时 间隐通道,实验结果表明信息熵的攻击方法要优于 基于方差的攻击方法.同时利用信息熵和方差的攻 击方法能显著提高攻击的成功率.虽然攻击结果的 成功率和量化分析结果都能够对硬件 RSA 的时间 隐通道特征进行一定程度的定量化描述,但是攻击 过程比量化分析过程消耗的时间有两个数量级的差 异,量化分析方法更具效率.同时,信息熵量化分析 方法能够有效的揭露 RSA 密码核潜在的时间隐通 道风险(已有攻击方法无效时),并为非干扰特性(信 息熵为 0)提供辅助的理论性证明,量化分析方法更 具效果.

通过 RSA 密码核性能、资源利用和时间隐通道 安全性关系的分析,设计者可依据信息熵指标改善 RSA 密码核设计,权衡和取舍密码核设计性能、资 源利用和时间隐通道安全性.

本文 RSA 密码核只涉及基本 RSA 设计,近些 年提出的高级模幂算法实现,如基于滑动窗口的 RSA 算法,基于中国剩余定理的 RSA 算法,基于掩 码的 RSA 设计等需要采取不同于本文的攻击方案, 虽然可以应用信息熵进行量化分析,但是由于现有 攻击方案有限而且标准不统一[2-3,32],其攻击成功率 无法与本文中的攻击成功率(攻击难易程度)进行统 一的对比.即不同的攻击方案只针对特定一种或者 几种 RSA 算法设计有效,并有效利用相应 RSA 设 计的时间隐通道特征破解其密钥.如何将基于信息 熵的量化分析方法推广应用到高级模幂算法,并建 立衡量攻击难易程度的统一的攻击框架以验证量化 分析的有效性是后续研究的一个重要探索方向.同 时,本文的量化分析模型虽然只应用到 RSA 密码核 设计,但是对其他涉及时间隐通道问题的算法如椭 圆曲线密码算法、数字签名标准(Digital Signature Standard, DSS)等同样具有借鉴的意义, 也是未来研 究工作的重要方向.

**致 谢** 衷心感谢审稿专家和编辑部老师提出的宝 贵意见和建议.同时衷心感谢加州大学圣迭戈分校 计算机科学与工程系 Ryan Kastner 教授关于实验 设计、分析的讨论和建议!

#### 参考文献

- Kocher P C. Timing attacks on implementations of Diffie-Hellman, RSA, DSS, and other systems//Koblitz N eds. Advances in Cryptology-CRYPTO'96. Heidelberg, Germany: Springer, 1996: 104-113
- [2] Schindler W. A timing attack against RSA with the chinese remainder theorem//Koc Ç K, Paar C eds. Cryptographic Hardware and Embedded Systems-CHES 2000. Heidelberg, Germany: Springer, 2000: 109-124
- [3] Brumley D, Boneh D. Remote timing attacks are practical. Computer Networks, 2005, 48(5), 701-716
- [4] Chen J, Venkataramani G. CC/Hunter: Uncovering covert timing channels on shared processor hardware//Proceedings of the 47th Annual IEEE/ACM International Symposium on Microarchitecture. Cambridge, UK, 2014: 216-228
- [5] Zhang T, Lee R B. New models of cache architectures characterizing information leakage from cache side channels// Proceedings of the 30th Annual Computer Security Applications Conference. New Orleans, USA, 2014; 96-105
- [6] Ciet M, Neve M, Peeters E, et al. Parallel FPGA implementation of RSA with residue number systems-can side-channel threats be avoided ?//Proceedings of the 2003 IEEE 46th Midwest Symposium on Circuits and Systems. Cairo, Egypt, 2003: 806-810
- [7] Zhang D, Wang Y, Suh G E, Myers A C. A hardware design language for timing-sensitive information-flow security// Proceedings of the 20th ACM International Conference on Architectural Support for Programming Languages and Operating Systems (ASPLOS2015). Istanbul, Turkey, 2015: 503-516
- [8] Li X, Kashyap V, Oberg J K, et al. Sapper: A language for hardware-level security policy enforcement. ACM SIGARCH Computer Architecture News, 2014, 42(1): 97-112
- [9] Oberg J, Meiklejohn S, Sherwood T, et al. Leveraging gatelevel properties to identify hardware timing channels. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems, 2014, 33(9): 1288-1301
- [10] Goguen J A, Meseguer J. Security policies and security models
   //Proceedings of the 1982 IEEE Symposium on Security and Privacy. Oakland, USA, 1982; 11-11
- [11] Clark D, Hunt S, Malacaria P. Quantified interference for a while language. Electronic Notes in Theoretical Computer Science, 2005, 112: 149-166
- [12] Heusser J, Malacaria P. Quantifying information leaks in software//Proceedings of the 26th Annual Computer Security Applications Conference. Austin, USA, 2010; 261-269

- [13] Newsome J, McCamant S, Song D. Measuring channel capacity to distinguish undue influence//Proceedings of the ACM SIGPLAN Fourth Workshop on Programming Languages and Analysis for Security (PLAS' 2009). Dublin, Ireland, 2009: 73-85
- [14] Doychev G, Köpf B, Mauborgne L, et al. CacheAudit: A tool for the static analysis of cache side channels. ACM Transactions on Information and System Security, 2015, 18(1): 4
- [15] Standaert F X, Malkin T G, Yung M. A unified framework for the analysis of side-channel key recovery attacks//Joux A eds. Advances in Cryptology-EUROCRYPT 2009. Heidelberg, Germany: Springer, 2009: 443-461
- [16] Batina L, Gierlichs B, Prouff E, et al. Mutual information analysis: A comprehensive study. Journal of Cryptology, 2011, 24(2): 269-291
- [17] Aciiçmez O, Koç Ç K, Seifert J P. On the power of simple branch prediction analysis//Proceedings of the 2nd ACM Symposium on Information, Computer and Communications Security (ASIACCS). Singapore, 2007: 312-320
- [18] Aciiçmez O, Koç Ç K, Seifert J P. Predicting secret keys via branch prediction//Abe M eds. Topics in Cryptology-CT-RSA 2007. Heidelberg, Germany: Springer, 2007: 225-242
- Liu F, Yarom Y, Ge Q, et al. Last-level cache side-channel attacks are practical//Proceedings of the 2015 IEEE Symposium on Security and Privacy. San Jose, USA, 2015: 605-622
- [20] Köpf B, Dürmuth M. A provably secure and efficient countermeasure against timing attacks//Proceedings of the 22nd
   IEEE Computer Security Foundations Symposium. Port Jefferson, USA, 2009: 324-335
- [21] Köpf B. Basin D. An information-theoretic model for adaptive side-channel attacks//Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS'07). Alexandria, USA, 2007: 286-296
- [22] Köpf B, Mauborgne L, Ochoa M. Automatic quantification of cache side-channels//Proceedings of the 24th International Conference on Computer Aided Verification. Berkeley, USA, 2012: 564-580
- [23] Askarov A, Zhang D, Myers A C. Predictive black-box mitigation of timing channels//Proceedings of the 17th ACM Conference on Computer and Communications Security. Chicago, USA, 2010: 297-307
- [24] Wang Y, Ferraiuolo A, Zhang D, et al. SecDCP: Secure dynamic cache partitioning for efficient timing channel protection//Proceedings of the 53rd Annual Design Automation Conference (DAC). Austin, USA, 2016: 74
- [25] Hu W, Mu D, Oberg J, et al. Gate-level information flow tracking for security lattices. ACM Transactions on Design Automation of Electronic Systems, 2014, 20(1): 2
- [26] Kastner R, Hu W, Althoff A. Quantifying hardware security using joint information flow analysis//Proceedings of the 2016 Design, Automation & Test in Europe Conference & Exhibition (DATE). Dresden, Germany, 2016, 1523-1528

- [27] Shannon C E. A mathematical theory of communication. ACM SIGMOBILE Mobile Computing and Communications Review, 2001, 5(1): 3-55
- [28] Blakely G R. A computer algorithm for calculating the product AB modulo M. IEEE Transactions on Computers, 1983, 32(5): 497-500
- [29] Barrett P. Implementing the rivest shamir and adleman public key encryption algorithm on a standard digital signal processor //Odlyzko A M eds. Advances in Cryptology-CRYPTO'86. Heidelberg, Germany: Springer, 1986; 311-323



MAO Bao-Lei, born in 1987, Ph. D. candidate. His current research interests include hardware security and information flow analysis of hardware design.

HU Wei, born in 1982, Ph.D., associate professor. His current research interests include hardware security, reconfigurable computing and embedded systems.

MU De-Jun, born in 1963, Ph.D., professor, His

#### Background

Runtime for computing cryptographic functions can reveal a significant amount of information about secret data. Attackers can retrieve the secret key by observing through runtime measurements. Researchers look into the timing channels in two different directions. One way is to detect the timing channel by attacking the design. Another more important branch aims to reduce such leakage or protect it from attacks. Most research work focuses on programming language and mitigation algorithm design. Designers usually ignore timing channel during hardware architecture implementation.

Our research group has been focusing on building secure hardware architectures recent years using information flow tracking method. Although gate level information flow tracking (GLIFT) is efficient for detecting timing channel leakage qualitatively, it is not able to quantify how much the timingbased information flows is if any. We propose to measure this timing channel leakage using information theoretic methods to provide clues of security about different hardware implementations.

This paper focuses on timing channel leakage of RSA cryptographic cores. We measure this timing-based information flows leakage using entropy theory and verify the effectiveness

- [30] Montgomery P L. Modular multiplication without trial division. Mathematics of Computation, 1985, 44(170): 519-521
- [31] Joye M, Yen S M. The montgomery powering ladder// Kaliski B S, Koç Ç K, Paar C eds. Cryptographic Hardware and Embedded Systems. Heidelberg: Springer, 2002: 291-302
- [32] Schindler W. Exclusive exponent blinding is not enough to prevent any timing attack on RSA. Journal of Cryptographic Engineering, 2016, 6(2): 101-119

current research interests include information security and control system design.

**ZHANG Hui-Xiang**, born in 1981, Ph. D., associate professor. His current research interests include information security and pattern recognition.

**TAI Yu**, born in 1982, Ph. D. candidate. His current research interests include hardware security, logic synthesis and optimization.

**HONG Liang**, born in 1979, Ph. D., associate professor. His current research interests include information security and embedded system applications.

of our proposed measurement by attacking the corresponding RSA architectures. This initial work indicates that information theoretic method can provide a kind of timing channel security guarantee, which will motivate the employment of information theoretic measures for secure hardware design.

Our previous work on information flow security have been published in Electronic Design Automation (EDA) and information security journals and conferences such as IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems, IEEE Transactions on Information Forensics and Security, ACM Transactions on Design Automation of Electronic Systems, Design Automation Conference, Design Automation & Test in Europe Conference & Exhibition, International Conference on Computer-Aided Design and IET Information Security, etc.

This work was supported by the National Natural Science Foundation of China under Grant No. 61672433, the Basic Research of Shenzhen Science and Technology Innovation Committee under Grant No. 201703063000517, the National Cryptography Development Fund under Grant No. MMJJ20170210, and the Fundamental Research Funds for the Central Universities under Grant No. 3102017OQD094.