ICS35.040 CCS L 80 GM 中华人民共和国密码行业标准 GM/T0083—2020 密码模块非入侵式攻击缓解技术指南 Guideline for the mitigation of non-invasive attacks against cryptographic modules 2020-12-28 发布 2021-07-01实施 国家密码管理局 发布 GM/T0083—2020 目 次 前言 范围 规范性引用文件 2 3 术语和定义 符号和缩略语 4.1 符号 4.2 缩略语 5 非人侵式攻击方法 5.1 概述 5.2 命名及分类 5.3 分析流程 5.4 与安全功能的关联性 6 非人侵式攻击缓解技术 6.1 概述 6.2 计时分析攻击缓解技术 6.3 能量分析攻击缓解技术 6.4 电磁分析攻击缓解技术 非入侵式攻击测试方法 7.1 概述 7.2 测试策略 7.3 测试框架 11 7.4 测试流程 12 7.5 测试所需厂商信息 附录A（资料性） SM2/SM9和SM4的非入侵式攻击缓解技术介绍 参考文献 19 GM/T 0083—2020 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位：中国科学院数据与通信保护研究教育中心、飞天诚信科技股份有限公司、格尔软 件股份有限公司、北京中电华大电子设计有限责任公司、北京握奇智能科技有限公司、北京宏思电子技 术有限责任公司。 本文件主要起草人：刘宗斌、刘泽艺、李敏、马存庆、高能、屠晨阳、彭佳、刘丽敏、马原、朱鹏飞、郑强、 郑晓光、陈国、张文婧、陈钧莎。 GM/T00832020 密码模块非入侵式攻击缓解技术指南 1范围 本文件给出了密码模块非入侵式攻击方法、缓解技术以及测试方法， 本文件适用于指导密码模块中部署非入侵式攻击缓解技术，指导技术人员在密码模块开发和使用 过程中，根据具体的密码算法特点、密码模块特性、具体部署的实际场景，选择缓解技术来抵抗非入侵式 攻击威胁。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T25069 信息安全技术 术语 GB/T32905信息安全技术SM3密码杂凑算法 GB/T32907信息安全技术SM4分组密码算法 GB/T32918（所有部分）信息安全技术SM2椭圆曲线公钥密码算法 GB/T37092一2018信息安全技术密码模块安全要求 GM/T0001（所有部分）祖冲之序列密码算法 GM/T0044（所有部分）SM9标识密码算法 3 术语和定义 GB/T25069、GB/T37092界定的以及下列术语和定义适用于本文件。 3.1 高级侧信道分析 Fadvancedside-channelattacks 对于信道泄露的高级利用。这些泄露主要依赖于密码设备处理的数据以及检索秘密参数时执行的 操作。 3.2 关键安全参数 critical securityparameter 与安全有关的信息（例如：秘密的和私有密码密钥，口令之类的鉴别数据，个人身份号、证书或其他 可信锚），其泄露或修改会危及密码模块的安全。 注：关键安全参数可能是明文或加密的 ［GB/T25069—2010,定义2.2.2.50] 3.3 关键安全参数类 CSPclass CSP的分类，如密钥、鉴别数据（如口令、PINs码、生物鉴别数据）。 3.4 差分电磁分析differentialelectromagnetic analysis 对密码模块电磁辐射的变化进行分析。针对大量的电磁辐射测量值，使用统计方法来确定划分出 1 GM/T0083—2020 的秘密参数子集合的假设值是否正确。以此来提取安全功能运算中的相关信息 3.5 差分能量分析differentialpoweranalysis 为提取与加密操作相关的信息，对密码模块的用电功耗的变化所作的分析。 [GB/T25069—2010，定义2.2.2.11] 3.6 电磁分析electromagneticanalysis 对密码模块中由于逻辑电路转换所造成的电磁辐射的分析。用来提取对应于安全功能操作的信息 以及后续提取秘密参数，例如密钥。 3.7 水平攻击horizontalattack 从单条能量迹中的不同部分提取敏感信息的方法。 3.8 能量分析 power analysis 密码模块的能耗分析。用来提取对应于安全功能操作的信息以及后续提取秘密信息，例如密钥。 3.9 矩形攻击 rectangle attack 在观察采集阶段混合了水平和垂直攻击的方 3.10 侧信道分析 side-channel attacks 对密码设备的瞬时侧信道泄露的利用。 这些泄露依赖于设备所处理的数据以及检索秘密参数时所 执行的操作 3.11 简单电磁分析 simple electromagnetic analysis 对指令执行模式和逻辑电路活动模式的直接主要是可视化的）分析意些模式主要来源于监视密 3.12 简单能量分析 simple power analysis 对指令执行（或单个指令的执行)模式的直接（主要是可视化的）分析，它与密码模块的能耗有关，并 用以获取密码操作相关的信息 3.13 计时分析timinganalysis 对安全功能中某个操作的响应或执行时间变化进行分析，这种时间变化可能揭露出与诸如密钥或 PIN等安全参数有关的信息。 3.14 垂直攻击 verticalattack 从多次不同的算法执行过程中提取敏感信息的方法。 4符号和缩略语 4.1符号 GB/T37092中所使用的以及下面给出的符号适用于本文件。 A：密码运算 2 GM/T 0083—2020 C：观测量处理函数，默认为恒等变换 d_C：观测量处理函数的多项式次数 dD：统计测量函数的多项式次数 d_o:观测量维度 F：函数，即操作 i:索引 K:密钥 kl：子密钥1 k2：子密钥2 M：泄露模型 N：观测量的数量 o_i:观测量 （o_i)_i:第i次观测 pred_i:预测值 xl_i：xl的第 次循环值 x2_i:x2的第 次循环值 X:输人文本 *：乘法符 4.2 缩略语 GB/T37092中所使用的以及下面给出的缩略语适用于本文件。 ASIC：专用集成电路（Appcations pecific Integrated ircuit) CSP：关键安全参数（CriticalSecurityParametern） DEMA：差分电磁分析（DifferentialEleciroMagneticAnalysis） DPA：差分能量分析（DifferentialPowerAnalysis） EM:电磁(Electro-Magnetic) EMA：电磁分析（Electro Magnetic Analysis) FPGA：现场可编程门阵列(Field-Programmable Gate Array) HD：汉明距离（HammingDistance) HW:汉明重量(Hamming Weight) PA：能量分析（PowerAnalysis） PIN：个人识别码（PersonalIdentificationNumbe RNG：随机数发生器(RandomNumberGenerator) 5 非入侵式攻击方法 5.1概述 非入侵式攻击利用的密码模块中产生的侧信道信息（从密码系统的物理实现中获得的信息）主要 包括： 计算时间； 能量消耗； 电磁辐射。 对应的攻击为： GM/T 0083—2020 计时分析攻击，主要通过密码模块固有接口（包括但不限于）对密码运算的总体计算时间进行 记录； 能量分析攻击，一般从电源供电端或者电路接地端对密码模块的整体能量消耗进行采集； 电磁分析攻击，主要利用电磁探头对密码模块的密码运算模块进行更为精确的电磁辐射采集 5.2命名及分类 本文件规定了一种形式化的命名方法（见图1），以突显不同攻击之间的关系。当需要对新的攻击 命名时，可参考该命名方法。 简单侧信道分析 高级侧信道分析 YYY EMA S-EMA D-EMA ML-EMA MI-PA ML-PA 20ML-PA PA S-PA D-PA C-PA LR-PA 20D-PA S-TA D-TA XXX 一阶 二阶 图1形式化的侧信道命名方法 应按照如下的方式描述一个攻击：<XXX>-<YYY>-<ZZZ》。 XXX（见图1横轴）代表在攻击中使用的统计学方法，如<S>代表Simple，即简单分析，<C》代表 Correlation，即相关性统计，<MI>》代表MutualInformation，即极大似然统计，<ML》代表Maximum Likelihood，即互信息统计，<D》代表DifferenceofMeans，即均值差分统计，<LR》代表Linear Regression，即线性回归方法等。若需表示一 -种产生d阶能量的预处理方法，可采用<dO>方式表达，如 <dOC》、<dOML》，表示d阶相关性攻击以及d阶极大似然攻击（这种方式既可表示将能量迹中单个目 标时刻的能量消耗自乘为d次方，也可表示对每条能量迹上d个点的能量消耗进行结合）。 YYY（见图1纵轴）代表观测到的侧信道类型，如<PA>代表能量分析，<EMA>代表电磁分析，<TA） 代表计时分析等。 ZZZ代表攻击方法的特点，如<P>代表刻画攻击，<UP>代表非刻画攻击，