描述了針對功率和電磁側信道攻擊的對認證標簽計算的保護。一個或多個存儲介質的示例包括指令，所述指令用于執行計算用于數據加密操作的認證標簽的過程，包括：生成一個或多個隨機值；接收用于計算的多個數據塊，并且利用所接收的數據塊和所述一個或多個隨機值來執行計算以生成中間值；執行數據累積操作以在所述數據塊的計算中累積隨機值；以及至少部分地基于所生成的中間值和所累積的隨機值來計算所述認證標簽。

技術領域

本文描述的實施例整體涉及電子設備領域，并且更具體地講，涉及針對功率和電磁側信道攻擊的對認證標簽計算的保護。

背景技術

在計算系統的密碼操作中，為了安全性而計算認證標簽，包括例如為AES-GCM(高級加密標準-伽羅瓦計數器模式)加密操作生成的認證標簽。AES-GCM可用于傳輸敏感數據，其中需要所生成的認證標簽以對加密數據進行解密。

側信道攻擊(SCA)是計算系統中的基于泄漏信息的攻擊。側信道攻擊可以觀察功率消耗、電磁發射或來自電路的其他信號泄漏的形式。在現有技術中，為加密操作而實現的AES引擎可能被DPA(差分功率分析)保護，以保護引擎從而免受此類側信道攻擊。

然而，對AES引擎的保護并不為認證標簽的計算提供保護。如果攻擊者能夠通過側信道攻擊確定秘密認證密鑰的值，則攻擊者可能能夠將所獲得的認證密鑰應用于修改數據或認證標簽，從而挫敗密碼操作。

附圖說明

這里所描述的實施例在附圖的圖中以示例的方式而不是以限制的方式示出，在附圖中，相同的參考數字表示相似的元件。

圖1A和圖1B分別示出了一次基于散列簽名方案和多次基于散列簽名方案；

圖2A和圖2B分別示出了一次性簽名方案和多次簽名方案；

圖3是根據一些實施例的包括用于防止側信道攻擊的一個或多個對策的處理元件的圖示；

圖4是根據一些實施例的微架構DPA保護的GCM認證標簽計算的圖示；

圖5是根據一些實施例的示出用于解決對認證標簽計算的側信道攻擊的乘法對策的流程圖；

圖6是根據一些實施例的示出用于解決對認證標簽計算的側信道攻擊的數據和寄存器對策的流程圖；

圖7A是根據一些實施例的示出用于解決對認證標簽計算的側信道攻擊的實現對策的流程圖；

圖7B是根據一些實施例的示出用于在電路優化中維持實現對策的過程的流程圖；以及

圖8示出了根據一些實施例的用于實現對策以針對功率和電磁側信道攻擊保護認證標簽計算抵的示例性計算架構的實施例。

具體實施方式

本文描述的實施例涉及針對功率和電磁側信道攻擊的對認證標簽計算的保護。

伽羅瓦計數器模式(GCM)中的高級加密標準(AES)算法(稱為AES-GCM)是由國家標準與技術研究所(NIST)開發的認證加密算法。AES-GCM是經認證的加密模式，其基于伽羅瓦域乘法通過多項式MAC以計數器模式使用AES分組密碼。在AES-GCM中的計算的輸出是密文C和認證標簽AT，認證標簽與其他值(初始化向量IV和附加的認證數據A)一起對于成功的認證解密是必需的。AES-GCM認證技術可用于許多操作，包括例如在計算封裝設備(computingpackage device)中的不同管芯之間的傳輸。

認證標簽的生成利用秘密的認證密鑰H。然而，如果攻擊者可確定認證密鑰H，則數據的加密可能會受到損害。具體地，系統中的非線性乘法操作可能受到側信道攻擊，其中攻擊者利用與認證標簽計算有關的電磁或功率信號的泄漏來試圖確定H值。

AES-GCM中的認證標簽計算如下：