本發明公開了一種針對AES算法線性部分的高效掩碼防護方法。本方法為：1)生成掩碼矩陣M′、M；然后利用M對待保護的中間值矩陣Q進行保護，即Q⊕M；2)對Q⊕M進行非線性運算，結果記為S；利用M’對S進行保護，即S⊕M′；3)對S⊕M′進行行移位變換，得到矩陣S'；4)利用S'對AES加密算法進行列混淆運算，得到矩陣T；5)更新M，進行正常的輪密鑰加，更新前后的掩碼矩陣M均為斜線上的掩碼相同；6)重復步驟2)～5)多輪；當執行到最后一輪的線性運算時，只進行行移位變換和正常的輪密鑰加，然后將變換后的S'與M’異或后作為AES的運算結果輸出。

技術領域

本發明提出了一種針對AES算法線性部分的快速掩碼防護方法，該方法可對AES算法線性運算部分提供抗一階側信道攻擊能力。軟硬件設計人員可利用該方法與已有的針對非線性運算的掩碼方案相結合，高效安全地實現完整AES算法，抵抗一階側信道攻擊，保證敏感數據的安全。屬于信息安全技術領域，主要用于保證加密硬件的側信道安全。

背景技術

加密模塊是保密通信、認證、電子簽名等系統中必不可少的部分。隨著側信道攻擊手段的愈發先進，硬件加密設備受到日益嚴重的側信道攻擊威脅，絕大多數密碼算法的直接實現都可被側信道攻擊輕易破解，因此，保證加密模塊的側信道安全至關重要。與此同時，隨著物聯網應用的飛速發展，對加密模塊快速高效運行的應用需求愈發強烈，因此，保證加密模塊的快速運算具有十分重要的意義。綜上，設計安全且快速高效的加密模塊成為亟待解決的問題。

為保證算法實現的側信道安全性，需要在實現過程中加入抗側信道技術。在對稱密碼算法的眾多側信道攻擊防御對策中，掩碼方案由于具有理論上的可證明安全性和設備獨立性，是目前研究最廣泛的防御對策。掩碼方案通過在運算中引入隨機數，令泄漏信息與計算過程中的敏感中間值的相關性隨機化，從而保護秘密信息。現有主流的掩碼防護方案有ISW(Ishai-Sahai-Wagner)方案、RSM(Rotating S-boxes Masking)方案等。

然而，掩碼方案通過引入隨機數將每一個實現過程中的中間值x拆分為d+1個共享因子以抵抗d階側信道攻擊，這樣拆分帶來實現代價的大幅提高，因此面臨著難以實用化的難題。研究掩碼技術的高效實現對于解決掩碼實用化問題具有重要意義。然而，現有發明多關注于掩碼方案的非線性運算部件(如S盒)的快速高效實現，對于掩碼方案的線性運算部分(包括行移位變換ShiftRows、列混淆變換Mixcolumn)的安全性和效率研究尚未得到關注。

理想情況下，掩碼方案實現的受保護AES算法代價應當盡可能地接近無保護AES算法。目前，在無保護的AES實現方面，線性部分運算效率幾乎達到瓶頸。已有的關于無防護AES算法線性部分的快速實現的研究，集中在列混淆部分。列混淆變換可以寫作兩個矩陣的乘積形式，由一個確定的4×4矩陣與16個8-bit狀態寄存器數據相乘，此處的矩陣運算是定義在GF(2⁸)上的，可用如下公式表達。下列公式矩陣中的每個元素大小均為1字節8-bit，每個矩陣4×4個數據共計128bit，下文表示同上。

列混淆變換目前較好的優化方式是文獻(參考Nikita Veshchikov,SylvainGuilley.Implementation flaws in the masking scheme of DPA Contest v4.IETInformation Security11(6):356-362(2017))，具體地，將每列運算的公共部分單獨提出，以減少重復的運算過程。優化后列混淆變換的每一列運算過程如下(0≤i≤3)：

此公式中的乘法和加法都是定義在GF(2⁸)上的。