从模板开始:侧通道分析分析的未来gydF4y2Ba

8.2.1gydF4y2Ba分析攻击的定义gydF4y2Ba

在本节中，我们将考虑可以利用分治方法的块密码的侧信道攻击。请注意，由于块密码中存在独立操作每个块/块(例如，高级加密标准(AES)中的字节)的操作，而且最重要的是，只涉及秘密密钥的一个块/块，攻击者只需对秘密密钥块/块进行假设，而不是一次对完整的秘密密钥进行假设。gydF4y2Ba

现在，我们认为攻击者掌握了以下信息，可以进行攻击:gydF4y2Ba

• 分析阶段:gydF4y2BaNgydF4y2Ba痕迹(测量)gydF4y2Ba\(\mathbf x_{p_1}，\ldots，\mathbf x_{p_N}\)gydF4y2Ba，密钥gydF4y2Ba\ \ (k_p ^ *)gydF4y2Ba、明文/密文gydF4y2Ba\ (t_ {p_1},识别\ ldots t_ {p_N} \)识别gydF4y2Ba他会计算gydF4y2Ba\(y(t_{p_N}，k_p^*)， \ldots, y(t_{p_N}，k_p^*)\)gydF4y2Ba．gydF4y2Ba

• 攻击阶段:gydF4y2Ba问gydF4y2Ba痕迹gydF4y2Ba\(\mathbf x_{a_1}，\ldots，\mathbf x_{a_Q}\)gydF4y2Ba(独立于剖析痕迹)，明文/密文gydF4y2Ba\ (t_ {a_1},识别\ ldots t_ {a_Q} \)识别gydF4y2Ba．gydF4y2Ba

在攻击阶段，目标是预测gydF4y2Ba\(y(t_{a_1}，k_a^*)， \ldots, y(t_{a_N}，k_a^*)\)gydF4y2Ba,在那里gydF4y2Ba\ \ (k_a ^ *)gydF4y2Ba是攻击设备上的密钥。注意，甚至在运行攻击之前，为了使攻击更强大，还可以执行几个步骤。这些相如图所示。gydF4y2Ba8.1gydF4y2Ba．gydF4y2Ba

在新窗口中打开图像gydF4y2Ba

8.2.2gydF4y2Ba数据预处理gydF4y2Ba

在数据预处理阶段，目的是准备数据以提高侧通道分析的性能。有几篇论文考虑了各种数据增强技术，以人为地生成度量值，从而增加分析数据集的大小。Cagli等人提出了两种数据增强技术，他们称之为移动和添加-删除[gydF4y2Ba122gydF4y2Ba］．他们使用卷积神经网络(CNN)并发现数据增强，以显著提高CNN的性能。Pu等人使用了一种数据增强技术，他们随机移动每个测量值，以增加概要分析阶段可用的测量值的数量[gydF4y2Ba489gydF4y2Ba］．他们报告说，即使是这样简单的扩展也可以有效地提高分析SCA的性能。Picek等人试验了几种数据增强和类平衡技术，以减少在考虑HW/HD模型时出现的高度不平衡数据集的影响[gydF4y2Ba478gydF4y2Ba］．他们表明，通过使用一种名为SMOTE的著名机器学习技术，可以将成功攻击所需的测量次数减少多达10倍。Kim等人研究了在输入信号中添加人工噪声如何有利于神经网络的性能[gydF4y2Ba329gydF4y2Ba］．gydF4y2Ba

8.2.3gydF4y2Ba工程特性gydF4y2Ba

在讨论特性工程时，提到维度的诅咒是很重要的。这描述了与维度增加相关的体积指数增长的影响[gydF4y2Ba71gydF4y2Ba］．因此，随着问题的维数增加，分类器的性能也会增加，直到达到最优的特征子集。在不增加训练样本数量的情况下进一步增加维数会导致分类器性能的下降。gydF4y2Ba

在特性选择和SCA领域还有一些相关的工作。勒曼等人的工作[gydF4y2Ba367gydF4y2Ba比较了模板攻击和机器学习在降维方面的效果。他们得出的结论是，只要在包含大部分相关信息的泄漏痕迹中可以识别出有限数量的特征，模板攻击就是选择的方法。Zheng等人研究了特征选择技术，但他们没有考虑机器学习选项[gydF4y2Ba600gydF4y2Ba］．Picek等人对各种特征选择技术进行了详细分析，其中一些也基于机器学习(所谓的包装和混合方法)[gydF4y2Ba477gydF4y2Ba］．他们的结论是，SCA中常用的特征选择技术很少是最好的，他们提到L1正则化在许多场景中是一个强大的特征选择器。gydF4y2Ba

8.3.1gydF4y2Ba模板攻击的背景gydF4y2Ba

在Chari、Rao和Rohatgi的开创性模板攻击文章中，表明了模板攻击应用高级统计方法，可以破坏针对其他形式的侧通道攻击的安全实现[gydF4y2Ba135gydF4y2Ba］．gydF4y2Ba

在某些工作中，构建模板攻击是为了对一个字节(例如RC4中的一个关键字节)的状态进行分类[gydF4y2Ba135gydF4y2Ba，gydF4y2Ba498gydF4y2Ba］．这些论文的缺点是需要为每个字节创建256个模板。此外，模板构建过程只能根据部分攻击结果进行指导。在[gydF4y2Ba498gydF4y2Ba]，作者用一种高效的算法代替标准的主成分分析法，减少了轨迹点的数量，提高了感兴趣点的选择速度。此外，通过在迹上引入离散傅里叶变换的预处理阶段，在实践中改进了模板攻击的结果。gydF4y2Ba

Agrawal等人开发了两种新的攻击技术，扩展了前面提到的研究结果的工作[gydF4y2Ba11gydF4y2Ba］．第一种是单位模板攻击技术，它从DPA攻击中观察到的峰值创建模板，结果是单个DPA目标位的高概率值。他们的第二种模板增强的DPA攻击技术可以用于攻击DPA保护的卡片，它包括两个步骤:分析阶段和假设测试阶段。在第一个概要分析阶段，攻击者拥有一张带有偏RNG的智能卡，并构建模板，在假设测试阶段，攻击者使用先前构建的模板在与测试智能卡相同但具有完美RNG的目标卡上安装一个类似dpa的攻击。作者考虑到智能卡上DES和AES的无保护实现来说明这两种攻击技术。gydF4y2Ba

Archambeau等人将模板攻击技术向前推进了一步，通过转换泄漏痕迹来自动识别重要特征(即转换后的时间瞬间)及其数量。实际上，他们使用相关时间样本的最佳线性组合，并在平均跟踪的主子空间中执行模板攻击，创建了一种新的方法，即基于主子空间的模板攻击(PSTA) [gydF4y2Ba25gydF4y2Ba］．作者通过攻击RC4流密码实现和AES的FPGA实现验证了这种方法。gydF4y2Ba

在文献中，主要关注的是模板攻击，旨在从测量的动态功耗恢复密码核心的密钥。但随着技术的扩展，静态功耗增长更快，并在智能卡硬件的安全性方面产生了新的问题。因此，Bellizia等人提出了利用静态功率的模板攻击(TAESP)，目的是利用静态电流的温度依赖性作为信息泄漏源，从加密算法的硬件实现中提取信息[gydF4y2Ba70gydF4y2Ba］．gydF4y2Ba

8.3.2gydF4y2Ba标准模板攻击gydF4y2Ba

8.3.3gydF4y2Ba模板池攻击gydF4y2Ba

8.3.4gydF4y2Ba随机攻击gydF4y2Ba

8.4.1gydF4y2Ba进行健全的机器学习分析gydF4y2Ba

因为(一般来说)期望机器学习技术给我们理论观察或结果证明是不可能的，我们需要依靠一套程序来运行实验，以使结果令人信服并易于再现。在下一节中，我们将简要讨论为了使分析更具可重复性而需要考虑的几个步骤。gydF4y2Ba