为什么我们要把AES S盒的输出作为侧通道攻击的“敏感值”呢？

Question

通常，为了执行侧信道攻击，我们认为AES中S盒的输出是一个“敏感值”。如果你能向我解释一下这种考虑的原因，我将不胜感激。为什么我们要把AES S盒的输出作为侧通道攻击的“敏感值”呢？

Answer 1

我想通过提到这里没有讨论过的一点来补充波乔的答复。

最重要的是，它是一个内部状态，直接依赖于明文(resp。密文)和钥匙，如果你攻击第一轮(重新。最后一篇，对S盒的产量作了假设。允许利用此操作的非线性。事实上，由于这一特性，通过S盒操作传递假设，可以很好地区分正确的和不正确的关键猜测。

例如，假设您正在执行相关功率分析(CPA)，考虑Hamming重量作为泄漏模型。然后，如果您选择集中于圆键加法(这也构成了一个内部状态，直接依赖于明文(resp )。(密文)和钥匙)，那么你所有的关键假设都有一个小的汉明距离与好钥匙也会导致高的相关系数。对于所有错误的假设，S盒非线性提供了降低峰值的优势。

Answer 2

我可以提取任何不是双轨编码的电路的状态，因为“时钟”给了我一个功率状态的快照。在实践中，这是困难的，因为系统通常有这么多的晶体管，一切都会陷入噪音。我可以拔出一个IC的顶部，并点击电源到密码核心，但这一点，我基本上可以提取一个硬件密钥。

假设“经典”同步电路，在"1“和"0”之间有两个电流状态。在理想情况下，这些数字状态所消耗的功率是相同的，但实际情况并非如此。S盒子给你的是一个中间状态，我可以看一下功率谱。在AES上的一个注释，一个解决这个问题的方法是扩展电路中的S盒。