为什么SPA/DPA/ CPA等侧通道攻击是基于AES SubBytes例程的？

Question

关于AES，我有三个与侧频道攻击有关的问题：

1. 为什么像CPA这样的侧通道攻击与SubBytes例程的非线性有关？
2. 以非线性方式使用替代盒与“基于组合逻辑优化的AES S盒设计”等文章中提出的组合SBOX有什么区别？
3. 使用组合SBOX可以避免侧通道攻击吗？

Answer 1

因此，通常与S盒相关的侧通道攻击是基于缓存的定时攻击.这实际上与表格本身的非线性无关；这个表也可以很容易地成为一个回忆录的线性函数，而且它仍然会受到同样的问题的困扰。

这个问题基本上与处理AES电路的CPU的缓存中的表的布局有关。表的不同部分驻留在缓存的不同部分，缓存的哪一部分是由S框的输入来决定的。这就泄露了一组潜在的输入到S盒子里的步骤.

所以，S盒基本上只是一个回忆录函数.这样做是为了加快处理时间，因为表示的非线性函数的实现比较复杂/耗时。对于每个给定的输入，完全可以离散地计算S盒的输出--然而，这会导致很大的性能损失。

有些实现选择仔细计算S盒并支付此性能罚款.，因为不知道离散计算版本容易受到基于缓存的定时攻击。

此外，我认为FPGA/ASIC实现可以设计为使用表而不受基于缓存的定时攻击(所讨论的缓存与通用CPU相关联，程序员很难显式控制)。

然而，还有其他的侧通道攻击，如功率分析。我认为线性/非线性可能在SPA/DPA攻击中发挥更大的作用，因为它涉及到掩蔽对策，以及它们与非线性之间的关系。我不确定这些是否是你问题的焦点，如果是的话，我将把讨论留给一个更有知识的人。

那么，计算AES S盒是否会谨慎地抵抗基于缓存的定时攻击？应该是这样的。但是，为了防止泄漏，可能还有其他的侧通道需要其他解决方案。