犐犆犛３５．０４０ 犆犆犛犔８０ 中华人民共和国密码行业标准 犌犕／犜００８３—２０２０ 密码模块非入侵式攻击缓解技术指南 犌狌犻犱犲犾犻狀犲犳狅狉狋犺犲犿犻狋犻犵犪狋犻狅狀狅犳狀狅狀犻狀狏犪狊犻狏犲犪狋狋犪犮犽狊犪犵犪犻狀狊狋 犮狉狔狆狋狅犵狉犪狆犺犻犮犿狅犱狌犾犲狊 ２０２０１２２８ 发布 ２０２１０７０１ 实施 国家密码管理局 发 布 犌犕／犜００８３—２０２０ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅰ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 ……………………………………………………………………………………………… １ ４　 符号和缩略语 …………………………………………………………………………………………… ２ 　４．１　 符号 ………………………………………………………………………………………………… ２ 　４．２　 缩略语 ……………………………………………………………………………………………… ３ ５　 非入侵式攻击方法 ……………………………………………………………………………………… ３ 　５．１　 概述 ………………………………………………………………………………………………… ３ 　５．２　 命名及分类 ………………………………………………………………………………………… ４ 　５．３　 分析流程 …………………………………………………………………………………………… ４ 　５．４　 与安全功能的关联性 ……………………………………………………………………………… ５ ６　 非入侵式攻击缓解技术 ………………………………………………………………………………… ６ 　６．１　 概述 ………………………………………………………………………………………………… ６ 　６．２　 计时分析攻击缓解技术 …………………………………………………………………………… ７ 　６．３　 能量分析攻击缓解技术 …………………………………………………………………………… ７ 　６．４　 电磁分析攻击缓解技术 …………………………………………………………………………… １０ ７　 非入侵式攻击测试方法 ………………………………………………………………………………… １１ 　７．１　 概述 ………………………………………………………………………………………………… １１ 　７．２　 测试策略 …………………………………………………………………………………………… １１ 　７．３　 测试框架 …………………………………………………………………………………………… １１ 　７．４　 测试流程 …………………………………………………………………………………………… １２ 　７．５　 测试所需厂商信息 ………………………………………………………………………………… １６ 附录 Ａ （资料性）　ＳＭ２／ＳＭ９ 和 ＳＭ４ 的非入侵式攻击缓解技术介绍 ……………………………… １７ 参考文献 …………………………………………………………………………………………………… １９ 犌犕／犜００８３—２０２０ 前 　　 言 　　 本文件按照 ＧＢ／Ｔ１．１—２０２０《标准化工作导则 　 第 １ 部分 ：标准化文件的结构和起草规则》的规定 起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别专利的责任 。 本文件由密码行业标准化技术委员会提出并归口 。 本文件起草单位 ：中国科学院数据与通信保护研究教育中心 、飞天诚信科技股份有限公司 、格尔软 件股份有限公司 、北京中电华大电子设计有限责任公司 、北京握奇智能科技有限公司 、北京宏思电子技 术有限责任公司 。 本文件主要起草人 ：刘宗斌 、刘泽艺 、李敏 、马存庆 、高能 、屠晨阳 、彭佳 、刘丽敏 、马原 、朱鹏飞 、郑强 、 郑晓光 、陈国 、张文婧 、陈钧莎 。 Ⅰ 犌犕／犜００８３—２０２０ 密码模块非入侵式攻击缓解技术指南 １　 范围 本文件给出了密码模块非入侵式攻击方法 、缓解技术以及测试方法 。 本文件适用于指导密码模块中部署非入侵式攻击缓解技术 ，指导技术人员在密码模块开发和使用 过程中 ，根据具体的密码算法特点 、密码模块特性 、具体部署的实际场景 ，选择缓解技术来抵抗非入侵式 攻击威胁 。 ２　 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。 其中 ，注日期的引用文 件 ，仅该日期对应的版本适用于本文件 ；不注日期的引用文件 ，其最新版本 （包括所有的修改单 ）适用于 本文件 。 ＧＢ／Ｔ２５０６９　 信息安全技术 　 术语 ＧＢ／Ｔ３２９０５　 信息安全技术 　ＳＭ３ 密码杂凑算法 ＧＢ／Ｔ３２９０７　 信息安全技术 　ＳＭ４ 分组密码算法 ＧＢ／Ｔ３２９１８（所有部分）　 信息安全技术 　ＳＭ２ 椭圆曲线公钥密码算法 ＧＢ／Ｔ３７０９２—２０１８　 信息安全技术 　 密码模块安全要求 ＧＭ／Ｔ０００１（所有部分）　 祖冲之序列密码算法 ＧＭ／Ｔ００４４（所有部分）　ＳＭ９ 标识密码算法 ３　 术语和定义 ＧＢ／Ｔ２５０６９、ＧＢ／Ｔ３７０９２ 界定的以及下列术语和定义适用于本文件 。 ３．１ 高级侧信道分析 　犪犱狏犪狀犮犲犱狊犻犱犲犮犺犪狀狀犲犾犪狋狋犪犮犽狊 对于信道泄露的高级利用 。 这些泄露主要依赖于密码设备处理的数据以及检索秘密参数时执行的 操作 。 ３．２ 关键安全参数 　犮狉犻狋犻犮犪犾狊犲犮狌狉犻狋狔狆犪狉犪犿犲狋犲狉 与安全有关的信息（例如 ：秘密的和私有密码密钥 ，口令之类的鉴别数据 ，个人身份号 、证书或其他 可信锚），其泄露或修改会危及密码模块的安全 。 　　 注 ：关键安全参数可能是明文或加密的 。 ［ＧＢ／Ｔ２５０６９—２０１０，定义 ２．２．２．５０］ ３．３ 关键安全参数类 　犆犛犘犮犾犪狊狊 ＣＳＰ 的分类 ，如密钥 、鉴别数据（如口令 、ＰＩＮｓ码 、生物鉴别数据）。 ３．４ 差分电磁分析 　犱犻犳犳犲狉犲狀狋犻犪犾犲犾犲犮狋狉狅犿犪犵狀犲狋犻犮犪狀犪犾狔狊犻狊 对密码模块电磁辐射的变化进行分析 。 针对大量的电磁辐射测量值 ，使用统计方法来确定划分出 １ 犌犕／犜００８３—２０２０ 的秘密参数子集合的假设值是否正确 。 以此来提取安全功能运算中的相关信息 。 ３．５ 差分能量分析 　犱犻犳犳犲狉犲狀狋犻犪犾狆狅狑犲狉犪狀犪犾狔狊犻狊 为提取与加密操作相关的信息 ，对密码模块的用电功耗的变化所作的分析 。 ［ＧＢ／Ｔ２５０６９—２０１０，定义 ２．２．２．１１］ ３．６ 电磁分析 　犲犾犲犮狋狉狅犿犪犵狀犲狋犻犮犪狀犪犾狔狊犻狊 对密码模块中由于逻辑电路转换所造成的电磁辐射的分析 。 用来提取对应于安全功能操作的信息 以及后续提取秘密参数 ，例如密钥 。 ３．７ 水平攻击 　犺狅狉犻狕狅狀狋犪犾犪狋狋犪犮犽 从单条能量迹中的不同部分提取敏感信息的方法 。 ３．８ 能量分析 　狆狅狑犲狉犪狀犪犾狔狊犻狊 密码模块的能耗分析 。 用来提取对应于安全功能操作的信息以及后续提取秘密信息 ，例如密钥 。 ３．９ 矩形攻击 　狉犲犮狋犪狀犵犾犲犪狋狋犪犮犽 在观察采集阶段混合了水平和垂直攻击的方法 。 ３．１０ 侧信道分析 　狊犻犱犲犮犺犪狀狀犲犾犪狋狋犪犮犽狊 对密码设备的瞬时侧信道泄露的利用 。 这些泄露依赖于设备所处理的数据以及检索秘密参数时所 执行的操作 。 ３．１１ 简单电磁分析 　狊犻犿狆犾犲犲犾犲犮狋狉狅犿犪犵狀犲狋犻犮犪狀犪犾狔狊犻狊 对指令执行模式和逻辑电路活动模式的直接（主要是可视化的）分析 。 这些模式主要来源于监视密 码模块的电磁辐射变化 ，用以揭示密码算法的特征和实现 ，并后续揭示秘密参数的值 。 ３．１２ 简单能量分析 　狊犻犿狆犾犲狆狅狑犲狉犪狀犪犾狔狊犻狊 对指令执行（或单个指令的执行）模式的直接（主要是可视化的）分析 ，它与密码模块的能耗有关 ，并 用以获取密码操作相关的信息 。 ３．１３ 计时分析 　狋犻犿犻狀犵犪狀犪犾狔狊犻狊 对安全功能中某个操作的响应或执行时间变化进行分析 ，这种时间变化可能揭露出与诸如密钥或 ＰＩＮ 等安全参数有关的信息 。 ３．１４ 垂直攻击 　狏犲狉狋犻犮犪犾犪狋狋犪犮犽 从多次不同的算法执行过程中提取敏感信息的方法 。 ４　 符号和缩略语 ４．１　 符号 ＧＢ／Ｔ３７０９２ 中所使用的以及下面给出的符号适用于本文件 。 Ａ：密码运算 ２ 犌犕／犜００８３—２０２０ Ｃ：观测量处理函数 ，默认为恒等变换 ｄ＿Ｃ：观测量处理函数的多项式次数 ｄ＿Ｄ：统计测量函数的多项式次数 ｄ＿ｏ：观测量维度 Ｆ：函数 ，即操作 ｉ：索引 Ｋ：密钥 ｋ１：子密钥 １ ｋ２：子密钥 ２ Ｍ：泄露模型 Ｎ：观测量的数量 ｏ＿ｉ：观测量 （ｏ＿ｉ）＿ｉ：第ｉ次观测值 ｐｒｅｄ＿ｉ：预测值 ｘ１＿ｉ：ｘ１ 的第ｉ次循环值 ｘ２＿ｉ：ｘ２ 的第ｉ次循环值 Ｘ：输入文本  ：乘法符号 ４．２　 缩略语 ＧＢ／Ｔ３７０９２ 中所使用的以及下面给出的缩略语适用于本文件 。 ＡＳＩＣ：专用集成电路（ＡｐｐｌｉｃａｔｉｏｎＳｐｅｃｉｆｉｃＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔ） ＣＳＰ：关键安全参数（ＣｒｉｔｉｃａｌＳｅｃｕｒｉｔｙＰａｒａｍｅｔｅｒ） ＤＥＭＡ：差分电磁分析（ＤｉｆｆｅｒｅｎｔｉａｌＥｌｅｃｔｒｏＭａｇｎｅｔｉｃＡｎａｌｙｓｉｓ） ＤＰＡ：差分能量分析（ＤｉｆｆｅｒｅｎｔｉａｌＰｏｗｅｒＡｎａｌｙｓｉｓ） ＥＭ：电磁（ＥｌｅｃｔｒｏＭａｇｎｅｔｉｃ） ＥＭＡ：电磁分析（ＥｌｅｃｔｒｏＭａｇｎｅｔｉｃＡｎａｌｙｓｉｓ） ＦＰＧＡ：现场可编程门阵列（ＦｉｅｌｄＰｒｏｇｒａｍｍａｂｌｅＧａｔｅＡｒｒａｙ） ＨＤ：汉明距离（ＨａｍｍｉｎｇＤｉｓｔａｎｃｅ） ＨＷ：汉明重量（Ｈａｍｍｉｎｇ Ｗｅｉｇｈｔ） ＰＡ：能量分析（ＰｏｗｅｒＡｎａｌｙｓｉｓ） ＰＩＮ：个人识别码（ＰｅｒｓｏｎａｌＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ） ＲＮＧ：随机数发生器（Ｒａｎｄｏｍ ＮｕｍｂｅｒＧｅｎｅｒａｔｏｒ） ５　 非入侵式攻击方法 ５．１　 概述 非入侵式攻击利用的密码模块中产生的侧信道信息 （从密码系统的物理实现中获得的信息 ）主要 包括 ： ——— 计算时间 ； ——— 能量消耗 ； ——— 电磁辐射 。 对应的攻击为 ： ３ 犌犕／犜００８３—２０２０ ——— 计时分析攻击 ，主要