过多视图信息聚合加强对 AES 的 Profiled SideChannel 攻击

ShukunAn, Jianzhao Liu, Xiaolin Duan, MengceZheng and Honggang Hu

中国科学技术大学电磁空间信息重点实验室，中国

Email:{ask,  jianzhao,duanxl}@mail.ustc.edu.cn,{mczheng,hghu2005}@ustc.edu.cn

表示某个公共变量，例如明文或密文。 K 表示攻击者旨在检索的密钥部分。我们将k∗ 表示为正确的关键假设，并将 k 表示为从关键空间 K 中获取值的关键候选。

1. A.   分析攻击

 分析攻击由两个阶段组成：分析（或训练）阶段和攻击（机器学习上下文中的推理）阶段。在分析阶段，攻击者收集 Np 分析跟踪的分析数据集。然后他们构建一个函数F :RDR|Z|基于分析数据集，它为每个假设的 Z 值返回一组分数。D表示轨迹的维度。在攻击阶段，攻击者收集Na攻击轨迹的攻击数据集，并利用先前构建的函数 F 计算每个攻击轨迹的预测分数：yi = F (xi)。我们使用 Ra_nk [10] 来评估网络的性能。对于每个关键假设k ，最大似然分数可用于猜测： 在

让我们用 xR1×N 表示原始功率轨迹。对于长轨迹，我们使用CPA预选一些感兴趣的点

其中Ψ1 Rd_×H×W。MCB表示多模式紧凑双线性池操作[12]。为了整合空间信息，我们利用空间注意[13]来计算一个软空间注意图，该图编码了要强调或抑制的位置：[2]并将原始轨迹转换为图像 i。我们使用轨迹分支提取轨迹特征 ft RC1和图像分支分别提取图像特征 fi RC2 ×H×W。在特征融合块中，我们聚合了轨迹特征 ft_和图像特征 fi。我们首先广播ft 以获得与fi 相同形状的 ft*。对于 ft* 和f_i中的每个空间网格位置，我们应用 MCB 将轨迹特征切片与图像特征合并：

Ψ₁[:][j][k]=MCB(f_t^∗[:][j][k],f_i[:][j][k]),             (2)

M=σ(Conv([AvgPool (_Ψ1); MaxPool₍Ψ1)])), (3)其中 M R1×H×W 。 σ表示sigmoid函数，Conv 表示步长为 1 的卷积操作。

其中z

=C(p,k)。关键假设排名

和 MaxPool 表示平均池和最大池

i                       i                           ∗                         分别沿通道轴操作。我们采取一个

降序。当 d[k] 排在第一位时，表示攻击成功。当Rank 永久等于 0 时，我们认为攻击是成功的。

我们攻击的目标是使用最少数量的攻击痕迹来实现成功的攻击。为了获得更多

使用空间注意力图 M 计算注意力加权图像表示 fi∗ ∈ RC 的空间向量的加权和：

精确评估，我们通常多次执行攻击过程并取平均 Rank。

f_i^∗=

j=0

M[j][k]Ⓢf_i[:][j][k],               (4)

k= 0

框架。轨迹分支从输入轨迹中提取特征，图像分支从输入图像中提取特征。特征融合块聚合轨迹特征和图像特征。分类器做出最终预测。

1)    FPGA 上未受保护的AES-128 (AES HD)：AES HD

[15]提供了对 FPGA 上未受保护的 AES-128 硬件实现的测量。作者攻击了最后一轮AES 的寄存器写入，trace 的标签由以下方式生成：

在 ASCAD 数据集和 AES HD 数据集上。我们将网络与重复攻击过程 10 次的平均 Rank 进行比较。在每个攻击过程中，轨迹被随机打乱以发起最大似然攻击。详细的攻击结果见表一。

1)    Nmax = 0 的 AS_CAD：我们尝试攻击的第一个数据集是 Nmax = 0 的 ASCAD。在我们的实验中，它是最简单的数据集，因_为它是仅使用一阶掩码保护的 AES 软件实现。我们在图 2（a）中绘制了正确键的平均等级。从图中我们可以看出，与 CNNtrace 和 CNNimage 相比，MV-Net 具有出色的性能，并且需要更少的痕迹来成功攻击。与需要超过 400 条迹线的 CNNimage 相比，MV-Net 只需 171 条迹线即可成功攻击

AND₍Nj1

,C_j2

,k^∗)=L(Sbox⁻¹[C_j

⊕k^∗]⊕C_j2

),      (7)

CNN_trace需要超过800 条迹线。

2)  Nmax =50 的A_SCAD：与ASCAD 不同

其中 Cj1_和Cj2 表示_与迹线相关的两个密文字节，L 表示功率模型。 j1 和j2 之间的关系由AES的逆ShiftRows 操作给出。作者选择 j1 =12 和 j2 =8。总共测量了 100,000 条迹线和1_,250次

每个跟踪都包含样本。我们使用 CPA 预先选择 800-1100 范围内的有价值的点来获得转换后的图像。在我们的实验中，随机选择 50,000 条迹线用于分析阶段，其余 25,000 条迹线用于攻击。 AES HD 在 https://github.com/AESHD/AES HD 数据集上公开可用。

1. B.    实验结果与分析

我们在三种常用的功率模型下进行实验，包括身份（ID）模型、汉明权重（HW）模型、最小显着性（LSB）模型。鉴于 MV-Net在所有三种功率模型下均表现良好，由于篇幅限制，本文仅展示 ID 模型的结果。为了证明同时接收轨迹和图像的 MV-Net 的有效性，我们将其与 CNNtrace [10] 和 CNNimage 进行了比较

[9]  仅使用一种视图信息（痕迹或图像）

当 Nmax_{= 0}时没有随机延迟，当 Nmax = 50 时，ASCAD 的随机延迟在 [0, 50_{] 范}围内。由于不同步，攻击更难

问题。在图 2（b）中，只需要 256 条轨迹就可以对 MV-Net 进行成功的攻击。与需要接近 1,000 条迹线的 CNNimage 相比，成功攻击所需的迹线数量减少了 73.96%。相比之下，CNNtrace 在 1000 条轨迹内无法成功攻击。

3)    Nmax = 100 的A_SCAD：Nmax =100 的 ASCAD_具有[0, 100] 范围内的随机延迟。在我们的实验中，它是 AES 软件实现中最困难的数据集。从图 2(c) 可以看出，MV-Net 只需要 1232 条轨迹就可以成功攻击，而 CNNtrace 和 CNNimage 都无法在 2000 条轨迹内成功攻击。

总之，我们可以发现 CNNimage 比 CNNtrace 表_{现更好。随}着随机延迟变长，MV-Net 比CNNtrac_{e 和 C}NNimage 具有更明显的优势。这是因为虽然绝对泄漏位置发生了变化，但 GAF 图像保留_{了两个时间}点之间的相对_{时间相关性}，具有                                                                                                    

（A B                                                  C D                                                     ）                                                           

图 2. 不同数据集的比较结果。 (a) Nmax = 0的ASCAD 平均排名。(b) Nmax =50 的ASCAD 平均排名。(c) Nmax =100的 ASCAD平均排名。(d) AES HD的平均排名。

表一

CNNtrace , CNNimage 和MV-NET ON 之间的比较

高度尺寸（分别由 m 和 n 索引）：

不同的数据集。最佳性能以红色突出显示。

(a)^c=1

u−1v−1                     c

(8)

  (α)^c=1Σ∂     y      . (9)

对随机时间延迟有更好的鲁棒性。

4)   AES HD：AES HD 是一种不受保护的硬件 AES 实现。由于高级环境和算法噪声，很难攻击。与 ASCAD 数据集相比，MV-Net 在 AES HD 上的优势更加明显。如图 2(d) 所示，我们可以看到CNNtrace 和 CNNimage 在 2000 条轨迹内无法显示收敛趋势，而 MV-Net 只能在 650 条轨迹内执行成功攻击。需要注意的是，CNNimage 在 AES HD 上的表现比 CNNtrace 差。这是因为原始轨迹包含高级噪声，这些噪声将被编码到转换后的 GAF 图像中，从而对最终性能产生负面影响。然而，MV-Ne_{t 具有稳}定的性能，因_{为它结合了}轨迹和图像的特征。

1. 可视化

为了有效地评估我们网络的性能并更好地了解哪些区域对最终预测有积极影响，我们应用梯度加权类激活映射 (Grad-CAM) [16] 和类梯度可视化 (CGV)[17]来可视化图像和原始功率轨迹中的注意力区域。

对于预测的类 c，yc 表示 softmax 之前的类分^数。我们从图像分支获取卷积层的特征图激活 Aik Ru×v，从跟踪分支获取卷积层的 Atk Rl，其中 k 表示通道维度的索引。我们首先计算 c 类分数的_梯^度

然后我们得到粗略的注意力图 Wic ∈Ru×v 和

kW_i^c=Re LU           ((_αi⁾c_Aⁱk                  ) (10)

c                                                   c        kk

k

其中 ReLU 函数用于突出对目标类有积极影响的区域并丢弃负面区域。最后，粗略的注意力图 Wic 和 Wtc分别使用双线性插值上采样到输入图像分辨率和输入轨迹长度。这样，我们可以粗略估计输入图像中的哪些区域和输入功率轨迹对预测结果的影响更大。在本文中，我们利用跟踪分支和图像分支中最后一个卷积层的特征图激活来计算注意力图。所有可视化结果均通过_平^均5,00₀^条随机攻击痕迹计算得出。

与 ASCAD 数据集相比，AES HD 没有掩蔽或随机延迟。因此，更容易应用 CPA 来定位泄漏位置。我们利用 AES HD 的攻击痕迹来明确说明可视化结果（由于空间限制，ASCAD 数据集的可视化结果将不会显示）。

图 3(a) 显示了轨迹的CPA 结果。很容易发现900 到1100 之间的点有明显的泄漏。图 3(b) 和图 3(c) 分别显示了跟踪分支和图像分支的注意力图。从图 3(b) 中我们可以发现轨迹分支集中在 1000 和1100 之间的点上。同样，通过定位图 3(c) 中的暖色区域，我们可以很容易地找到图像分支

到特征图激活。那么权重αc

哪一个

MV-Net 更关注 950 到950 之间的点

捕获特征图 k 对目标类c 的重要性

是通过对宽度上的梯度进行平均来计算的，并且

1050.感兴趣区域与CPA检测到的PoI基本一致。

（C）

[5]   H. Maghrebi、T. Portigliatti 和 E. Prouff，“使用深度学习技术破解密码实现”，国际安全、隐私和应用密码工程会议。施普林格，2016 年，第 3-26 页。

[6]   E. Cagli、C. Dumas 和 E. Prouff，“针对基于抖动的对策进行数据增强的卷积神经网络”，密码硬件和嵌入式系统国际会议。施普林格，2017 年，第 45-68 页。

[7]   G. Zaid、L. Bossuet、A. Habrard 和 A. Venelli，“分析攻击中高效 cnn 架构的方法”，IACR Transactions on Cryptographic Hardware and Embedded Systems，第一卷。 2020，没有。 1，第 1-36 页，2020年。