AES -可能攻击模型的相关功率分析

Question

据我所知，可以使用AES上的侧信道功率分析攻击来提取密钥或关键部分，但我们需要一些强攻击者模型来实现。我所知道的第一次攻击是攻击第一轮AES，比较第一次SBOX结果，在这里我们需要知道执行此攻击的跟踪的明文。第二次攻击不需要明文的知识，而只需要密文，这是一个较弱的攻击者模型，因为我们可以嗅探密文。这只会攻击AES的最后一轮，并恢复AES的最后一个圆键，据我所知，这只能导致AES128和192号的完全密钥恢复，而不是AES256。由于子字节和密文之间的移位行操作，攻击者还必须执行更多的计算。

你知道其他注册会计师或更强大的攻击AES吗？我知道DPA，但它不只是一个较弱的注册会计师版本，一般来说，如果我们可以执行注册会计师，那么我们为什么要做DPA？

可以在不知道明文或密文的情况下执行CPA吗？

Answer 1

这个问题，以及这个答案，假设相关幂分析可以在已知的密文攻击下找到AES-256的最后一轮密钥。这就是在第14轮中找到AddRoundKey的128位键输入，知道它的输出。

一旦完成了，从已知的密文和128位密钥中，就可以计算第13轮中每个已知密文的AddRoundKey输出(我们从已知的加密文本开始，并反转AddRoundKey、ShiftRows、SubBytes，就像解密一样)。

因此，第14轮允许注册会计师进入第13轮的同样条件现在适用于第13轮。然后，通过在执行过程中较早地执行这一攻击，似乎有可能在第13轮中找到AddRoundKey的128位关键输入。注意:尽管如此，有一个很大的不同:在第13轮中，ShiftRows和AddRoundKey之间存在MixColumns，而在第14轮中没有。

当第二个CPA完成时，我们有足够的信息来找到完整的256位AES密钥。