過多視圖資訊聚合加強對 AES 的 Profiled SideChannel 攻擊

ShukunAn, Jianzhao Liu, Xiaolin Duan, MengceZheng and Honggang Hu

中國科學技術大學電磁空間資訊重點實驗室，中國

Email:{ask,  jianzhao,duanxl}@mail.ustc.edu.cn,{mczheng,hghu2005}@ustc.edu.cn

摘要——現有的側信道攻擊深度學習方法只能從功率軌跡的單一視圖推斷最終結果，在一些具有挑戰性的設定下，從一維（1D）功率跡線傳達的資訊可能不足，受人類通過多個感官通道感知世界的啟發，我們提出了一種新穎的多視圖深度神經網路，稱為 MV-Net，它利用功率軌跡的影像表示作為補充資訊來加強側信道攻擊，此外，我們采用多模態緊湊雙線性池（MCB）融合從功率跡線提取的異構特征和相應的影像視圖，更好地利用功率跡線的資訊并產生更好的性能，在兩個基準資料集上的實驗證明了 MV-Net對AES側信道攻擊的有效性，

關鍵字-Profiled 側信道攻擊； AES;深度學習；多視圖；可視化；

1. 介紹

側信道攻擊（SCA）是 Kocher 在 1996 年首先提出的[1]，它獲取加密程序的中間資訊，對實際的加密系統具有很大的破壞性，就是否使用模板而言，傳統的 SCA 可以概括為兩類：剖析攻擊和非剖析攻擊，諸如差分功率分析 (DPA)、相關功率分析 (CPA) [2]等非概要攻擊旨在通過使用實際功率測量值之間的統計計算和受攻擊設備的泄漏行為假設來恢復加密密鑰，分析攻擊，例如模板攻擊 (TA)

[3]  和隨機攻擊 (SA) [4] 利用從復制的目標設備捕獲的測量值，并建立一個模型來描述其物理特性， Maghrebi 在 2016 年引入了基于深度學習 (DL) 的側信道分析 [5]， Cagli [6] 提出了一種基于卷積神經網路 (CNN) 的端到端分析攻擊，并指出 CNN 可以處理軌跡錯位， Zaid [7] 提出了一種根據目標側信道測量的性質設計 CNN的通用方法，

眾所周知，CNN 在二維影像分類領域得到了很好的研究并取得了成功，

然而，大多數基于 CNN 的 SCA 仍然將軌跡視為一維資料流，作為一個新的探索方向，一些作業[8]、[9]提出將原始軌跡轉換為影像，然后在二維空間中進行側通道分析，這些作業證明了 2D 影像形式優于原始的 1D 軌跡形式，這顯示了探索不同格式輸入軌跡的潛力，

盡管所有前面提到的作業都顯示了有希望的結果，但它們都僅從單個視圖（從1D 軌跡或從轉換后的 2D 影像）推斷出最終結果，我們第一步結合多視圖資訊，即原始的 1D 軌跡和轉換的 2D影像，以加強側信道攻擊，我們期待探索利用輸入信號的新方法以及合適的網路，以充分利用多視圖資訊的優勢，

我們的貢獻可以總結如下：

1. 我們探索了一種利用輸入信號進行邊信道攻擊的新方法，即同時結合 1D 軌跡和相應的轉換后的 2D 影像，
2. 受人類感知機制的啟發，我們首先將多視圖學習引入到側信道攻擊中，對 AES 資料集進行了廣泛的實驗，以驗證多視圖資訊聚合的有效性，
3. 我們專注于網路的可解釋性，我們分別可視化軌跡和影像的注意力圖，并將注意力區域與 CPA 檢測到的 PoI（興趣點）進行比較，旨在探索網路如何選擇最相關的特征來預測敏感值，
   1. 預賽
   2. A.    符號

在本文中
，我們使用書法字母表示集合，相應的大寫字母 X 表示隨機變數，相應的小寫字母 x 表示 X的實作，向量 x的第 i 個條目表示由 x[i] 表示，隨機變數 X 的第 i 個觀測值由 xi 表示，我們使用 C 作為計算敏感中間變數的密碼原語

表示某個公共變數，例如明文或密文， K 表示攻擊者旨在檢索的密鑰部分，我們將k? 表示為正確的關鍵假設，并將 k 表示為從關鍵空間 K 中獲取值的關鍵候選，

1. A.   分析攻擊

 分析攻擊由兩個階段組成：分析（或訓練）階段和攻擊（機器學習背景關系中的推理）階段，在分析階段，攻擊者收集 Np 分析跟蹤的分析資料集，然后他們構建一個函式F :RDR|Z|基于分析資料集，它為每個假設的 Z 值回傳一組分數，D表示軌跡的維度，在攻擊階段，攻擊者收集Na攻擊軌跡的攻擊資料集，并利用先前構建的函式 F 計算每個攻擊軌跡的預測分數：yi = F (xi)，我們使用 Ra_nk [10] 來評估網路的性能，對于每個關鍵假設k ，最大似然分數可用于猜測： 在

讓我們用 xR1×N 表示原始功率軌跡，對于長軌跡，我們使用CPA預選一些感興趣的點

其中Ψ1 Rd_×H×W，MCB表示多模式緊湊雙線性池操作[12]，為了整合空間資訊，我們利用空間注意[13]來計算一個軟空間注意圖，該圖編碼了要強調或抑制的位置：[2]并將原始軌跡轉換為影像 i，我們使用軌跡分支提取軌跡特征 ft RC1和影像分支分別提取影像特征 fi RC2 ×H×W，在特征融合塊中，我們聚合了軌跡特征 ft_和圖像特征 fi，我們首先廣播ft 以獲得與fi 相同形狀的 ft*，對于 ft* 和f_i中的每個空間網格位置，我們應用 MCB 將軌跡特征切片與影像特征合并：

Ψ₁[:][j][k]=MCB(f_t^?[:][j][k],f_i[:][j][k]),             (2)

M=σ(Conv([AvgPool (_Ψ1); MaxPool₍Ψ1)])), (3)其中 M R1×H×W ， σ表示sigmoid函數，Conv 表示步長為 1 的卷積操作，

其中z

=C(p,k)，關鍵假設排名

和 MaxPool 表示平均池和最大池

i                       i                           ?                         分別沿通道軸操作，我們采取一個

降序，當 d[k] 排在第一位時，表示攻擊成功，當Rank 永久等于 0 時，我們認為攻擊是成功的，

我們攻擊的目標是使用最少數量的攻擊痕跡來實作成功的攻擊，為了獲得更多

使用空間注意力圖 M 計算注意力加權影像表示 fi? ∈ RC 的空間向量的加權和：

精確評估，我們通常多次執行攻擊程序并取平均 Rank，

f_i^?=

j=0

M[j][k]?f_i[:][j][k],               (4)

k= 0

1. 方法

有兩個關鍵因素促成了 MV-Net 的成功，一個是如何構建良好的軌跡影像表示，另一個是如何有效地結合從兩個不同視圖中提取的異構特征，即軌跡和影像，在 [9] 中，Hettwer 等人，探索了四種轉換側通道軌跡的方法，其中 Gramian Angular Field (GAF) [11] 表現最好，因此，我們使用 GAF 對側通道軌跡進行成像，我們分別使用 GASF [11] 和 GADF [11] 轉換軌跡，并通過沿通道維度將它們連接起來獲得雙通道影像，至于結合異構特征，我們采用多模態緊湊雙線性池[12]，考慮到性能和復雜性之間的良好平衡，

提出的 MV-Net 的架構如圖 1 所示，它由三部分組成：視圖特定分支（跟蹤分支和影像分支）、特征融合塊和分類器，我們使用CNNtrace（即 [10] 提出的 CNNbest）作為跟蹤分支，并使用

CNN_image（即[9]提出的2DCNN）沒有最終的FC層作為影像分支，

其中表示逐元素乘法，然后我們合并影像特征 fi? 和軌跡特征 ft 得到聚合特征 Ψ2 ∈ Rd：

最后，聚合特征Ψ2 通過分類器來預測最終結果，Ψ₂=MCB(f_t,f_i^*).                              (5)

1. MV-NET的攻擊性能
2. A.    資料集

在我們的實驗中，我們考慮了兩個具有代表性的公共資料集，它們都是高級加密標準（AES）[14]的實作，一種是屏蔽軟體保護的軟體 AES 實作，另一種是不受保護的硬體 AES 實作，下面，我們將簡要介紹資料集，

1)    ASCAD 資料集：ASCAD 資料集 [10] 是一個受軟體保護的 AES-128 實作，在 8 位 AVR 微控制器 (ATMega8515) 上運行，具有一階屏蔽和隨機延遲對策，可以按如下方式生成標簽：

Y(k^?)=L(Sbox[P₃⊕k^?]),                          (6)

框架，軌跡分支從輸入軌跡中提取特征，影像分支從輸入影像中提取特征，特征融合塊聚合軌跡特征和影像特征，分類器做出最終預測，

其中 L 表示功率模型， ASCAD 資料集由 60,000 條跡線組成，每條跡線包含 700 個時間樣本，每個跟蹤都有一個統一的隨機明文和一個常量密鑰，其中，50,000 條跡線用于分析階段，10,000 條跡線用于攻擊階段，此外，還有兩個非同步軌跡資料集，它們是通過將原始軌跡向左移動 δ 點而從原始同步軌跡生成的，其中 δ [0, Nmax]， ASCAD 資料集可在 https://github.com/ANSSI-FR/ASCAD 獲得，

1)    FPGA 上未受保護的AES-128 (AES HD)：AES HD

[15]提供了對 FPGA 上未受保護的 AES-128 硬體實作的測量，作者攻擊了最后一輪AES 的暫存器寫入，trace 的標簽由以下方式生成：

在 ASCAD 資料集和 AES HD 資料集上，我們將網路與重復攻擊程序 10 次的平均 Rank 進行比較，在每個攻擊程序中，軌跡被隨機打亂以發起最大似然攻擊，詳細的攻擊結果見表一，

1)    Nmax = 0 的 AS_CAD：我們嘗試攻擊的第一個資料集是 Nmax = 0 的 ASCAD，在我們的實驗中，它是最簡單的資料集，因_為它是僅使用一階掩碼保護的 AES 軟體實作，我們在圖 2（a）中繪制了正確鍵的平均等級，從圖中我們可以看出，與 CNNtrace 和 CNNimage 相比，MV-Net 具有出色的性能，并且需要更少的痕跡來成功攻擊，與需要超過 400 條跡線的 CNNimage 相比，MV-Net 只需 171 條跡線即可成功攻擊

AND₍Nj1

,C_j2

,k^?)=L(Sbox^?1[C_j

⊕k^?]⊕C_j2

),      (7)

CNN_trace需要超過800 條跡線，

2)  Nmax =50 的A_SCAD：與ASCAD 不同

其中 Cj1_和Cj2 表示_與跡線相關的兩個密文位元組，L 表示功率模型， j1 和j2 之間的關系由AES的逆ShiftRows 操作給出，作者選擇 j1 =12 和 j2 =8，總共測量了 100,000 條跡線和1_,250次

每個跟蹤都包含樣本，我們使用 CPA 預先選擇 800-1100 范圍內的有價值的點來獲得轉換后的影像，在我們的實驗中，隨機選擇 50,000 條跡線用于分析階段，其余 25,000 條跡線用于攻擊， AES HD 在 https://github.com/AESHD/AES HD 資料集上公開可用，

1. B.    實驗結果與分析

我們在三種常用的功率模型下進行實驗，包括身份（ID）模型、漢明權重（HW）模型、最小顯著性（LSB）模型，鑒于 MV-Net在所有三種功率模型下均表現良好，由于篇幅限制，本文僅展示 ID 模型的結果，為了證明同時接收軌跡和影像的 MV-Net 的有效性，我們將其與 CNNtrace [10] 和 CNNimage 進行了比較

[9]  僅使用一種視圖資訊（痕跡或影像）

當 Nmax_{= 0}時沒有隨機延遲，當 Nmax = 50 時，ASCAD 的隨機延遲在 [0, 50_{] 范}圍內，由于不同步，攻擊更難

問題，在圖 2（b）中，只需要 256 條軌跡就可以對 MV-Net 進行成功的攻擊，與需要接近 1,000 條跡線的 CNNimage 相比，成功攻擊所需的跡線數量減少了 73.96%，相比之下，CNNtrace 在 1000 條軌跡內無法成功攻擊，

3)    Nmax = 100 的A_SCAD：Nmax =100 的 ASCAD_具有[0, 100] 范圍內的隨機延遲，在我們的實驗中，它是 AES 軟體實作中最困難的資料集，從圖 2(c) 可以看出，MV-Net 只需要 1232 條軌跡就可以成功攻擊，而 CNNtrace 和 CNNimage 都無法在 2000 條軌跡內成功攻擊，

總之，我們可以發現 CNNimage 比 CNNtrace 表_{現更好，隨}著隨機延遲變長，MV-Net 比CNNtrac_{e 和 C}NNimage 具有更明顯的優勢，這是因為雖然絕對泄漏位置發生了變化，但 GAF 圖像保留_{了兩個時間}點之間的相對_{時間相關性}，具有                                                                                                    

（A B                                                  C D                                                     ）                                                           

圖 2. 不同資料集的比較結果， (a) Nmax = 0的ASCAD 平均排名，(b) Nmax =50 的ASCAD 平均排名，(c) Nmax =100的 ASCAD平均排名，(d) AES HD的平均排名，

表一

CNNtrace , CNNimage 和MV-NET ON 之間的比較

高度尺寸（分別由 m 和 n 索引）：

不同的資料集，最佳性能以紅色突出顯示，

(a)^c=1

u?1v?1                     c

(8)

  (α)^c=1Σ?     y      . (9)

對隨機時間延遲有更好的魯棒性，

4)   AES HD：AES HD 是一種不受保護的硬體 AES 實作，由于高級環境和演算法噪聲，很難攻擊，與 ASCAD 資料集相比，MV-Net 在 AES HD 上的優勢更加明顯，如圖 2(d) 所示，我們可以看到CNNtrace 和 CNNimage 在 2000 條軌跡內無法顯示收斂趨勢，而 MV-Net 只能在 650 條軌跡內執行成功攻擊，需要注意的是，CNNimage 在 AES HD 上的表現比 CNNtrace 差，這是因為原始軌跡包含高級噪聲，這些噪聲將被編碼到轉換后的 GAF 影像中，從而對最終性能產生負面影響，然而，MV-Ne_{t 具有穩}定的性能，因_{為它結合了}軌跡和影像的特征，

1. 可視化

為了有效地評估我們網路的性能并更好地了解哪些區域對最終預測有積極影響，我們應用梯度加權類激活映射 (Grad-CAM) [16] 和類梯度可視化 (CGV)[17]來可視化影像和原始功率軌跡中的注意力區域，

對于預測的類 c，yc 表示 softmax 之前的類分^數，我們從影像分支獲取卷積層的特征圖激活 Aik Ru×v，從跟蹤分支獲取卷積層的 Atk Rl，其中 k 表示通道維度的索引，我們首先計算 c 類分數的_梯^度

然后我們得到粗略的注意力圖 Wic ∈Ru×v 和

kW_i^c=Re LU           ((_αi⁾c_Aⁱk                  ) (10)

c                                                   c        kk

k

其中 ReLU 函式用于突出對目標類有積極影響的區域并丟棄負面區域，最后，粗略的注意力圖 Wic 和 Wtc分別使用雙線性插值上采樣到輸入影像解析度和輸入軌跡長度，這樣，我們可以粗略估計輸入影像中的哪些區域和輸入功率軌跡對預測結果的影響更大，在本文中，我們利用跟蹤分支和影像分支中最后一個卷積層的特征圖激活來計算注意力圖，所有可視化結果均通過_平^均5,00₀^條隨機攻擊痕跡計算得出，

與 ASCAD 資料集相比，AES HD 沒有掩蔽或隨機延遲，因此，更容易應用 CPA 來定位泄漏位置，我們利用 AES HD 的攻擊痕跡來明確說明可視化結果（由于空間限制，ASCAD 資料集的可視化結果將不會顯示），

圖 3(a) 顯示了軌跡的CPA 結果，很容易發現900 到1100 之間的點有明顯的泄漏，圖 3(b) 和圖 3(c) 分別顯示了跟蹤分支和影像分支的注意力圖，從圖 3(b) 中我們可以發現軌跡分支集中在 1000 和1100 之間的點上，同樣，通過定位圖 3(c) 中的暖色區域，我們可以很容易地找到影像分支

到特征圖激活，那么權重αc

哪一個

MV-Net 更關注 950 到950 之間的點

捕獲特征圖 k 對目標類c 的重要性

是通過對寬度上的梯度進行平均來計算的，并且

1050.感興趣區域與CPA檢測到的PoI基本一致，

（C）

[5]   H. Maghrebi、T. Portigliatti 和 E. Prouff，“使用深度學習技術破解密碼實作”，國際安全、隱私和應用密碼工程會議，施普林格，2016 年，第 3-26 頁，

[6]   E. Cagli、C. Dumas 和 E. Prouff，“針對基于抖動的對策進行資料增強的卷積神經網路”，密碼硬體和嵌入式系統國際會議，施普林格，2017 年，第 45-68 頁，

[7]   G. Zaid、L. Bossuet、A. Habrard 和 A. Venelli，“分析攻擊中高效 cnn 架構的方法”，IACR Transactions on Cryptographic Hardware and Embedded Systems，第一卷， 2020，沒有， 1，第 1-36 頁，2020年，

圖 3. AES HD的可視化結果， (a) AES HD 的CPA 結果，

(b)  MV-Net 跟蹤分支的注意力圖，(c) MV-Net 影像分支的注意力圖，

綜上所述，通過可視化軌跡分支和影像分支的注意力圖，我們發現 MV-Net 可以有效地關注軌跡和轉換影像的資訊區域，可視化提供了MV-Net 良好性能的有力證明，并提供了探索網路如何選擇最相關特征來預測成功攻擊的敏感值的新視角，

1. 結論

在本文中，我們首先將多視圖學習應用于側信道攻擊，此外，我們關注網路的可解釋性，對于未來的作業，我們將進一步驗證 MV-Net 在除AES 之外的其他加密演算法上的有效性，

致謝

作者要感謝中國科學技術大學資訊科學實驗室中心提供的硬體/軟體服務，這項作業得到了國家自然科學基金（Nos. 61632013、61972370 和 62002335）和中央高校基本科研業務費專項資金（No. WK3480000007）的部分支持，

參考

[1]   P. C. Kocher，“對 diff-hellman、rsa、dss 和其他系統的實施的定時攻擊”，在年度國際密碼學會議上，施普林格，1996 年，第 104-113 頁，

[2]   E.Brier、C. Clavier 和F. Olivier，“具有泄漏模型的相關功率分析”，密碼硬體和嵌入式系統國際研討會，施普林格，2004 年，第 16-29 頁，

[3]   S.Chari、J. R. Rao 和P. Rohatgi，“模板攻擊”，密碼硬體和嵌入式系統國際研討會，施普林格，2002，第 13-28 頁，

[4]   W.Schindler、K. Lemke 和C. Paar，“差分側信道密碼分析的隨機模型”，密碼硬體和嵌入式系統國際研討會，施普林格，2005 年，第 30-46 頁，

[8]   Y.-S，贏了，D.-G， Han、D. Jap、S. Bhasin 和 J.-Y， Park，“基于使用圖片跟蹤的深度學習的非輪廓側信道攻擊”，IEEE Access，第一卷， 9，第22 480-22 492 頁，2021 年，

[9]   B.Hettwer、T. Horn、S. Gehrer 和T.Gu¨neysu，“將功率軌跡編碼為影像以進行有效的邊信道分析”，2020 年 IEEE 面向硬體的安全與信任 (HOST) 國際研討會， IEEE，2020，第46-56 頁，

[10]   R. Benadjila、E. Prouff、R. Strullu、E. Cagli 和 C. Dumas，“用于側信道分析的深度學習和 ascad 資料庫簡介”，密碼工程雜志，第一卷， 10，沒有， 2，第 163-188 頁，2020 年，

[11]   Z.Wang 和T. Oates，“成像時間序列以改進分類和插補”，第 24 屆國際人工智能聯合會議，2015 年，

[12]   A.Fukui、D. H. Park、D. Yang、A. Rohrbach、T. Darrell 和M. Rohrbach，“用于視覺問答和視徑訓礎的多模態緊湊雙線性池”，arXiv預印本 arXiv:1606.01847, 2016，

[13]   S.Woo，J. Park，J.-Y， Lee 和I. So Kweon，“Cbam：卷積塊注意模塊”，歐洲計算機視徑訓議論文集 (ECCV)，2018 年，第 3-19 頁，

[14]   S.Heron，“高級加密標準 (aes)”，網路安全，第一卷， 2009 年，沒有， 12，第 8-12 頁，2009 年，

[15]   S. Picek、A. Heuser、A. Jovic、S. Bhasin 和 F. Regazzoni，“類別不平衡的詛咒和與機器學習相沖突的指標與邊信道評估”，IACR Transaction on Cryptographic Hardware and Embedded Systems , 卷， 2019 年，沒有， 1，第1-29 頁，2019 年，

[16]   R.R.Selvaraju, M. Cogswell,A. Das, R. Vedantam,

D.Parikh和 D. Batra，“Grad-cam：通過基于梯度的定位從深度網路進行視覺解釋”，2017 年 IEEE 國際計算機視徑訓議論文集，第 618-626 頁，

[17]   M. Jin、M. Zheng、H. Hu 和 N. Yu，“側信道攻擊中的增強卷積神經網路及其可視化”，arXiv 預印本 arXiv:2009.08898, 2020，

標籤：其他

上一篇：持續集成這樣做，App自動化測驗效率提高50%

下一篇：AcWing 1018. 最低通行費（線性DP）