การวิเคราะห์พลังความสัมพันธ์บน AES - โมเดลการโจมตีที่เป็นไปได้

เท่าที่ฉันรู้ มันเป็นไปได้ที่จะดึงคีย์หรือส่วนสำคัญโดยใช้การวิเคราะห์การโจมตีด้วยการวิเคราะห์ช่องทางด้านข้างบน AES แต่เราต้องการโมเดลของผู้โจมตีที่แข็งแกร่งเพื่อที่จะทำเช่นนั้น การโจมตีครั้งแรกที่ฉันรู้คือการโจมตี AES รอบแรก โดยเปรียบเทียบผลลัพธ์ SBOX ครั้งแรก ซึ่งเราจำเป็นต้องทราบข้อความธรรมดาของร่องรอยของเราเพื่อดำเนินการโจมตีนี้ การโจมตีครั้งที่สองไม่ต้องการความรู้ของข้อความธรรมดา แต่ต้องการเพียงข้อความเข้ารหัสซึ่งเป็นโมเดลของผู้โจมตีที่อ่อนแอกว่า เนื่องจากเราสามารถดมกลิ่นข้อความเข้ารหัสได้ สิ่งนี้จะโจมตีเฉพาะ AES รอบสุดท้ายและกู้คืน AES รอบสุดท้ายของ AES ซึ่งจากความรู้ของฉันสามารถนำไปสู่การกู้คืนคีย์ทั้งหมดสำหรับ AES128 และ 192 เท่านั้น แต่ไม่ใช่ AES256 ผู้โจมตีต้องทำการคำนวณเพิ่มเติมเนื่องจากการเลื่อนแถวระหว่างไบต์ย่อยและไซเฟอร์เท็กซ์

คุณรู้จัก CPA อื่น ๆ หรือการโจมตี AES ที่ทรงพลังกว่านี้หรือไม่? ฉันรู้จัก DPA แต่ไม่ใช่แค่ CPA เวอร์ชันที่อ่อนแอกว่า และโดยทั่วไปแล้วหากเราทำ CPA ได้ แล้วทำไมเราต้องทำ DPA

เป็นไปได้ไหมที่จะทำ CPA โดยปราศจากความรู้ทั้งข้อความธรรมดาและข้อความเข้ารหัส

คำถามและคำตอบนี้ถือว่า Correlation Power Analysis สามารถค้นหาคีย์รอบสุดท้ายของ AES-256 ภายใต้การโจมตีแบบไซเฟอร์เท็กซ์ที่รู้จัก นั่นคือการค้นหาอินพุตคีย์ 128 บิตของ AddRoundKey ในรอบที่ 14 โดยรู้ว่าเป็นเอาต์พุต

เมื่อเสร็จแล้ว จากไซเฟอร์เท็กซ์ที่รู้จักและคีย์ 128 บิตนั้น เป็นไปได้ที่จะคำนวณเอาต์พุตของ AddRoundKey ในรอบ 13 สำหรับไซเฟอร์เท็กซ์ที่รู้จักแต่ละรายการ (เราเริ่มต้นจากไซเฟอร์เท็กซ์ที่รู้จัก และกลับค่า AddRoundKey, ShiftRows, SubBytes เช่นเดียวกับใน ถอดรหัส).

ดังนั้น เงื่อนไขเดียวกันกับที่อนุญาต CPA ในรอบที่ 14 จึงนำไปใช้กับรอบที่ 13 จากนั้น ด้วยการโจมตีนี้ก่อนหน้านี้ในการดำเนินการ ดูเหมือนว่าเป็นไปได้ที่จะพบอินพุตคีย์ 128 บิตของ AddRoundKey ในรอบที่ 13 หมายเหตุ: มี ความแตกต่างที่สำคัญ: ในรอบ 13 มี MixColumns ระหว่าง ShiftRows และ AddRoundKey เมื่อไม่ได้อยู่ในรอบ 14

เมื่อใดและหาก CPA ที่สองเสร็จสิ้น เราก็มีข้อมูลเพียงพอที่จะค้นหาคีย์ AES 256 บิตแบบเต็ม