附　錄　F （規范性附錄） 非入侵式攻擊及緩解方法檢測指標

F.1　用途

本附錄給出了適用于本標準的非入侵式攻擊及緩解方法檢測指標。

F.2　非入侵式攻擊

下面列出了常見的非入侵式攻擊分析方法：

功耗分析：簡單功耗分析（Simple Power Analysis，SPA）和差分功耗分析（Differential Power Analysis，DPA）。SPA需要直接（例如，通過視覺）分析密碼模塊在執行密碼過程中各指令的功耗模式。通過監視密碼模塊功耗的變化，可以發現所執行密碼算法的模式和實現方法，從而獲取密鑰值。一階DPA具有相同的目的，但是為了分析密碼模塊的功耗變化，使用了統計方法（例如，均值差、相關系數）對功耗變化進行統計分析，從而獲取密鑰值。二階DPA針對采用防御技術的密碼模塊，通過分析密碼模塊兩處功耗的變化，使用統計方法對功耗變化進行統計分析，從而獲取密鑰值。

電磁分析：由于密碼模塊電活動會導致密碼模塊發出的電磁信號發生變化，通過監視密碼模塊發出的電磁信號變化，可以采用簡單電磁分析（Simple Electro-Magnetic Analysis，SEMA）和差分電磁分析（Differential Electro-Magnetic Analysis，DEMA）。SEMA采用與SPA相同的方法對電磁信號變化進行分析，從而獲取密鑰值。DEMA采用與DPA相同的方法對電磁信號變化進行分析，從而獲取密鑰值。

計時分析：計時分析攻擊依賴于密碼模塊執行時間的精確測量與密碼算法或過程有關的特殊數學操作之間的關系。對收集的耗時信息進行分析可以確定密碼模塊的輸入和密鑰之間的關系。通過對此關系的分析，從而推導密鑰和其他關鍵安全參數。計時分析攻擊假定攻擊者具有有關密碼模塊的設計知識。

F.3　非入侵式攻擊緩解方法檢測指標

下面列出了常見的非入侵式攻擊緩解方法檢測指標：

密碼模塊可以采用平滑功耗或者改變導致功耗變化中間值的方法，包括(但不限于) 使用電容、使用內部電源、隨機化密碼算法或過程中的指令序列、采用雙軌預充電電路、采用掩碼等，降低功耗分析攻擊的風險。對于SPA，實施攻擊所能獲取的密鑰量應小于8比特；對于一階DPA，實施攻擊所能獲取的密鑰量應小于8比特；對于二階DPA，實施攻擊所能獲取的密鑰量應小于8比特。

密碼模塊可以采用減少（在某些情況下可以阻止）電磁信號輻射的方法，包括(但不限于)對包括網線在內的全部組件添加屏蔽套、屏蔽層等，降低電磁泄漏攻擊的風險。對于SEMA，實施攻擊所能獲取的密鑰量應小于8比特；對于一階DEMA，實施攻擊所能獲取的密鑰量應小于8比特；對于二階DEMA，實施攻擊所能獲取的密鑰量應小于8比特。

密碼模塊可以采用改變密碼工作過程中時間波動的方法，包括(但不限于)控制算法或過程中各指令的運行、隨機插入無關指令等，降低計時攻擊的風險。對于計時分析，實施攻擊所能獲取的密鑰量應小于8比特。