金融智能卡安全不容忽视

一、前言
　　智能卡技术以其安全可靠等诸多优点正在被中国市场所接受，其正在逐步取代磁条卡，在我国金融业以及其它相关产业得到广泛使用。
　　自1997年底中国人民银行颁布《中国金融集成电路IC卡规范》之后，我国金融智能卡市场开始走向成熟和规范化。金融市场的规范化同时带动了相关的行业，仅在1998、1999两年之内，各商业银行与相关的行业共发行1000万张符合人行规范、拥有金融功能的智能卡。根据有关人士预测，在2002年，将会发行1500万张符合人行规范支持不同应用的金融智能卡。
由于这个市场发展迅速，前景广阔，各智能卡供应商纷纷投资开发符合人行规范的产品。目前已通过银行卡检测中心检测的厂家有十几家。
　　面对这个市场，一些商业银行以及相关的行业在选择智能卡产品时存在着一些误区，片面的认为所有拥有微处理器的智能卡都具有高安全和可靠性，只要选择的产品符合人行规范即可使用，从而忽略对于这种便于携带，由半导体芯片构成的产品安全性要求。
　　本文将针对目前的这种现状，本文将着重介绍目前被国内忽视的智能卡安全防范技术。
二、智能卡技术面临的攻击
　　在90年代初期，由于智能卡拥有一个微处理芯片，同时能够将保密信息(如密钥、密码以及私人信息)存放在记忆存储器中，人们天真的设想保密信息将在封闭的、可靠的计算环境中被操作。实际上，如果不在微处理芯片的操作系统和硬件设计上增加防护措施，微处理芯片将会泄露其处理的有关操作信息。特别是在网络和信息时代，从国际互联网可以非常容易的获取各类算法和资料。
　　目前主要对智能卡的攻击分为芯片攻击和操作系统的攻击。由于对芯片技术的攻击需要较高的专业知识，设备投入成本较高(需要特殊的测试设备)，投资很大(200万美金以上)，一般黑客不采用此类攻击。
而对于操作系统的攻击，相对来说，其投资成本较低，通常只需要一台PC机、记忆示波器、逻辑分析仪和一定的软件编程能力，即可实现。目前黑客对智能卡的攻击主要采用后者。
　　我们都知道智能卡芯片是由半导体器件，其使用半导体逻辑门来实现加密功能，而半导体逻辑门是由晶体管构成的。当在一个晶体管的栅极上通电（或断电）时，电流将流过硅衬底，同时消耗功率并产生电磁辐射。黑客正式针对智能卡在操作过程中产生的能量损耗，利用相应的数学算法和统计学方法来实现对智能卡操作系统的攻击。
　　目前主要对智能卡安全的攻击方法主要有两种：一种是简易功率分析（SPA）是一种直接解释功率消耗测定值的技术，它所测定的功率消耗发生在加密操作期间。SPA能够给出关于一个设备的运行信息以及密钥信息。
在SAP攻击中，攻击者直接观察一个系统的功率消耗。所消耗功率的大小随微处理器执行的指令不同而不同。由于微处理器在对DES周期、RSA运算等的不同部分执行运算时，变化很明显，故它们大的特征将可能被识别出。在较高的放大倍数下，单条指令将能够被区分开来。例如，通过揭示乘法运算与平方运算之间的差异，SPA分析将能够用于攻破RSA的实现方法。类似的，许多DES算法实现中的置换和移位过程有明显的差异，因此也可用SPA来攻破。
　　另一种是微分能量分析(DPA)，此种方法的攻击力要比SPA强得多，而且更加难以预防。SPA攻击主要利用可见的重复采样和对芯片技术的了解来识别有关的功率波动，而DPA攻击则使用统计分析和误差修正技术，来提取与密钥有关的信息。一个完全不懂得智能技术的编程人员完全可以利用专用程序对没有DPA防范的智能卡芯片实现攻击。
　　执行一次DPA攻击包括两个阶段：数据采集与数据分析。DPA的数据采集可以采取前述方式，即在加密运算期间对设备的功率消耗进行采样，得到一个对时间的函数。对DPA而言，一系列使用欲破译密钥的加密运算均可被观察到。
三、最新智能卡技术
　　在1997年，美国CryptographyResearch公司,一家一直致力于研究半体设备的加密技术安全公司，发现了当时智能卡技术存在的SPA和DPA防范问题，并向公众公布了其研究成果。1998年6月纽约时报报道了此消息，国内报纸也有相应的转载，但由于智能卡技术概念在国内尚未普及，人们没有注意此类报道。
　　在此之后，全球所有大的芯片以及卡片供应商都在致力于研究SPA和DPA防范技术，并取得一定的成果(具体防范技术可参考附录)。目前主要厂家提供的最新型芯片和操作系统都具有DPA和SPA防范。但是比较旧的型号产品没有此类技术，通常这类产品在国外主要使用在信息管理而非金融领域。
　　目前国内许多商业银行在选择智能卡产品时，片面的强调价格和操作速度，而忽略安全性。某些国内厂商为了争夺市场份额，降低成本，在芯片选择上不考虑产品的安全性，采用没有DPA和SPA安全防范的芯片，在操作系统的设计上，为了减少操作系统的容量(ROM空间的大小将影响智能卡的成本)，也未增加任何DPA和SPA防范技术。国内市场出现了一个奇怪的现象，一些使用旧的型号芯片的智能卡的运行速度，比采用最新型号的芯片的运行速度要快很多，其原因就是有经验的智能卡供应商在操作系统中增加了安全防范。
　　由于我国目前磁条金融假卡案件的发生率与欧洲和北美市场相比相对较低。这是由于国内仅发行了一小部分的贷记卡，大量还是需要联机操作的借记卡，同时由于各种原因，国内使用金融卡的环境尚未完善，真正卡片交易远远低于与持卡人数量。因此在金融领域对于卡片的安全性观念比较淡薄，很多发卡行业在发行金融智能卡过程中总是抱着侥幸心理，强调在国内市场，并未发生通过智能卡被攻破卡片的案例。
　　由于我国发行的金融智能卡大部分是在脱机环境下使用，因此对于安全性应有更高的要求，虽然系统的安全性不仅仅依赖于卡片的安全性，但是其重要性是不可忽视的。从某种意义上讲，这是如同一场竞赛；对于黑客的攻击，我们应永远拥有超前的防御措施。“最好的防御就是不断进步，不断更新”。
附录：
　　1.什么是DPA微分能量分析
　　微分能量分析DPA是一种新型的对智能卡以及其它安全加密设备的攻击技术。它由CryprographyResearch公司的研究人员发现。
图1　　显示一个完整DES操作的SPA轨迹
　　它利用了当今智能卡和其他加密设备的底层晶体管逻辑门电路以及所运行软件的特性，通过监视该设备的电子行为，并使用先进的数据统计分析手段，来得到该设备的保密信息(如密钥和用户的个人PIN码)。
　　2.DPA能量分析的物理机制
　　集成电路由各种晶体管构成，这些晶体管起电压控制开关的作用。当向晶体管的栅极通电或断电时，电流将流过晶体管的基极。接下来，该电流将向其它晶体管的栅极、内部导线和其它电路负载传送电荷。电荷的运动将消耗能量，并产生电磁辐射，这两者均可从外部监测到。
　　为了测量一个电路的功耗，在电源输入端或接地端插入一个串联的小电阻（如50欧）。通过此电阻所分出的压降将会产生电流。装备良好的电子试验室中都备有能够对电压变化进行数字化抽样的设备，而且抽样频率可以超过1GHz、精确误差小于1％。购买一个能够以20MHz或更快的频率抽样，并向PC传送相应数据的设备所需要的开支低于400美元。
　　因此，各种晶体管都将产生从外部能够观测到的电子行为。由于微处理器的逻辑单元展示的是常规晶体管的开关模式，所以SPA攻击通过对能量消耗的简单监视，能够很容易地识别微处理器的运行行为的宏特征。DPA攻击则对这些数据执行更加复杂的解释工作。
　　3.SPA简单能量分析攻击技术
　　在SPA攻击中，攻击者直接观察一个系统的能量消耗。所消耗能量的大小随微处理器执行的指令不同而不同。由于微处理器在对DES周期、RSA运算等的不同部分执行运算时，变化很明显，故它们大的特征将可能被识别。在较高的放大倍数下，单条指令将能够被区分开来。例如，通过揭示乘法运算与平方运算之间的差异，SPA分析将能够用于攻破RSA的实现方法。类似地，许多DES算法实现中的置换和移位过程有明显的差异(例如，PC1置换或C和D寄存器的循环移位)，因此也可用SPA来攻破。
　　由于SPA能够揭示执行指令的序列，故它可被用来破解加密的实现过程，而在加密过程当中，执行路径依赖于所处理的数据。
4.SPA攻击技术分析DES加密过程示意图图1显示了一个典型的智能卡在执行一个DES操作时，产生的SPA轨迹。从图中可以清晰地看到DES运算过程中的16周期叠代。
　　图2是显示在一个DES加密操作期间，相同轨迹的第二周期叠代和第三周期叠代的细节图。此时可以看清DES操作的许多细节。例如，28位的DES密钥寄存器C和D在第二周期叠代中循环了一次（左箭头），在第三周期叠代中循环了两次（右箭头）。在图2中各周期之间的微小差异正好能够被查觉。许多这些可识别的特征是SPA所攻击的缺陷，而这些缺陷是由基于密钥数位和计算媒介的条件转移所产生的。
　　图3则以更高的分辨率来显示通过两个区的、能量消耗的轨迹示图，这两个区都包含了7个时钟周期，其频率为3.5714MHz。各个时钟周期之间的可见差异主要是因不同的微处理器指令所消耗的能量不同而造成的。图3中位于上方的轨迹表明了通过SPA法测得的包含一个跳转指令的指令流执行过程，而位于下方的轨迹则表明了不包括跳转指令的情形。两者在时钟周期6处有差异，这一点可以清楚地看到。
　　5.防止SPA攻击的措施
　　防止简易能量分析SPA的技术通常都易于实现：
　　＊避免程序的条件转移操作使用密钥，这将掩盖许多SPA特征。
　　＊一些微处理器内的微码也会产生大的与操作数相关的能量消耗特征。对这些系统而言，即使是恒定的执行路径代码也有严重的SPA缺陷。
　　图2　　DES第二周期叠代和第三周期叠代的SPA轨迹
　　图3　　显示各个时钟周期的SPA轨迹
　　＊大多数（并非全部）采取对称加密算法的、硬性连接(hard－wired)的硬件实现有极小的能量消耗差异，从而使得SPA无法获取密钥资料。
　　6.DPA与SPA比较
　　DPA的攻击力要比SPA强大得多，而且更加难以预防。SPA攻击主要利用可见的检测来识别有关的能量波动，而DPA攻击则还需使用统计分析和误差修正技术，来提取与密钥有关的信息。
　　执行一次DPA攻击包括两个阶段：数据采集与数据分析。DPA的数据采集可以采取与SPA一样，即在加密运算期间对设备的能量消耗进行采样，得到一个对时间的函数。对DPA而言，一系列使用欲破译密钥的加密运算均可被观察到。
　　通常情况下，直接观察一个设备的能量消耗不可能识别出一个晶体管开关的作用，但是在DPA中使用的统计运算能够可靠地识别出能量消耗中的特别微小的差异。
　　7.DES运算的能量微分分析
　　除了指令序列产生的大量能量差异之外，还有与所操作的数据值相关的影响。这些差异要小得多，而且往往被当作测量误差和其它干扰而忽略。在这种情形下，使用专门为目标算法而量身定制的统计函数，就仍可能攻破系统。
　　由于数据加密标准DES被广泛采用，下文对它作仔细分析。在其叠代的16个周期的每一个当中，DES加密算法都执行8个S盒（替换盒）的查找运算。8个S盒中的每一个都提取输入密钥的6个比特位，与R寄存器中的6个比特位进行异或运算，并产生4位的输出。32个S输出位被重新记录，并与L寄存器作异或运算。接着，L与R将进行对互换。
　　DPA的选择函数D（C，b，Ks）被定义为在密文C运算的第16个周期开始时，对DES中间结果L的、位于0　　为实现DPA攻击，攻击者先将观察m次加密运算，并获取能量轨迹T1...m[1...k]，每个轨迹均含有k个抽样。此外攻击者还记录有密文C1...m。而任何明文信息都无需得知。
　　DPA分析利用能量消耗测定法来确定对一个密钥块的猜测Ks是否正确。攻击者通过发现D（C，b，Ks）为1时的轨迹平均值与D（C，b，Ks）为0时的轨迹平均值的不同，来算出一个含k个抽样的微分轨迹ΔD[1...k]。这样ΔD[j]就成了C1...m的平均值，原因是该值由能量消耗测量点j的选择函数D所表示。尤其是，
　　如果Ks的值不正确，用D求得的位将与实际的目标位存在着相当于密码CI一半的差异。因此选择函数D(Ci,b,Ks)将无法与目标设备所计算的实际内容相对应。如果使用一个随机函数来把一组拆分成两个子组，子组的平均值的差异将趋于0，因为子组的大小趋于无穷小。因此，如果Ks不正确，
因为与D不对应的轨迹成分将按m平方根的倒数的形式被消除，从而使得微分轨迹趋于平直。（实际的轨迹有可能并不是完全平直的，因为带有不正确的Ks的D总是与带有正确的Ks的D有细微的关联。）
图4　　DPA轨迹(一个正确，两个不正确，带参照功率)
　　但是，如果Ks是正确的，则D（Ci,b,Ks）的计算值将以100％的概率与目标位b的实际值相等。因此选择函数将与第16个周期中的被操作位的位相对应。其结果是当m趋于无穷时，ΔD[j]逼近于目标位在能量消耗方面的影响。其它与D无关联的数据值、测量误差等将趋近于0。由于能量消耗与数据位的值相关联，ΔD的曲线形状是平直带有尖峰，尖峰区域对应于D与所处理的数值相关联。
　　因此将可从微分轨迹的峰值来判定Ks的正确值。与每个S盒相对应的4个b值，将用于确认对密钥块的猜测。找到全部8个Ks，将会获得周期密钥的全部48位。使用穷举查找法或通过分析一个附加周期，可以很容易地发现剩下的8个密钥位。通过首先对一个外部DES运算进行分析，并利用求得的密钥来破译密文，然后再来攻击下一个DES密钥的方式，也可以找到3DES加密的密钥。DPA能够使用已知的明文或密文，来发现加密密钥或解密密钥。
　　8.DPA分析技术攻击智能卡示意图
　　图4表明输入已知的明文到另外一张智能卡的加密函数，所得到的4个轨迹曲线。在顶端的曲线是参照线，标明了DES运算期间能量消耗的平均值。在下面的是3个微分轨迹，其中第一个是使用猜测正确的Ks值所产生的。而最下面的2个则是使用不正确的Ks值所产生的轨迹。这些轨迹都是用1000个抽样（m=103）得到的。虽然在微分轨迹上可以清楚地看到信号，但是仍有相当强度的干扰噪声。
　　图5标明了单个二进制位对能量消耗测定值细节的平均影响。顶端的是参照用的能量消耗轨迹。中间的轨迹是能量消耗测定中的标准偏差。最下面的是一个用m=104采样的微分轨迹。注意，与该二进制位不相关区域的幅度接近于零的程度，要比相关区域的大一个量级，这也表明还有小的干扰或误差的存在。
　　DPA特征的大小约为40(A，比其同点处所观察到的标准偏差要小几倍。在时钟周期6内，标准偏差的增加与一个大的特征相对应，这表明操作数的值对该指令的能量消耗有很显著的影响，同时也表明正被操作的操作数值有相当大的变化。由于低级指令常常操作几个二进制位，一个选择函数就能够同时选择多个二进制位的值。导致DPA的特征趋于包含较大的峰值，但不一定有更好的信噪比，因为只有极少的抽样包括在平均值内。
　　9.DPA测量中的噪声源
　　图5　　定量DPA测量
　　有几种干扰源向DPA测量中引入噪声，其中包括电磁辐射和热噪声。因设备时钟与抽样时钟不匹配而导致的量化误差会造成附加误差。最后，轨迹的未经修正的暂时偏移也会向测量中引入大量的噪声。
　　10.DPA的改进
　　在数据采集和DPA分析过程中可采用几种改进方法，以减少所需的抽样数或防止反测量。例如，修正测量偏差将有助于突出变化的重要性，而不是它们的幅度。这种方法的变种之一，即自动模板DPA，能够用少于15个的轨迹从大多数智能卡中找出DES密钥。
　　更复杂的选择函数也有可能使用到。尤其值得一提的是高阶DPA函数，它能够把来自一个轨迹的多个抽样结合起来。选择函数可以用不同的轨迹分配不同的权数，或把轨迹分成两个以上的类别。这样的选择函数能够击败许多反测量，或者攻击那些无法获得部分或者全部的明文或密文信息的系统。对于具有非常规统计分布特征的数据组而言，使用函数而不是普通的平均值来进行数据分析是非常有用的。
　　11.DPA对其它算法的分析
　　利用DPA把公共密钥算法的可能的计算中间值与能量消耗测定值进行关联，也能够分析公共密钥算法。对模数的求幂运算而言，通过对预测的中间值与实际的计算值是否相关进行测试，就可能对指数位的猜测进行验证。例如通过定义CRT衰减或重组过程的选择函数，也可以对中国的余数法则RSA的实现进行分析。
　　通常，非对称运算所泄露的信号要比许多对称运算所泄露的信号强得多。原因之一是乘法运算的计算复杂性要相对高一些。其后果是实现有效的SPA和DPA反测量非常难。
　　DPA能够用于攻破几乎任何对称或非对称算法的实现。甚至可以通过使用DPA数据，对未知算法和协议实施反向工程技术，来测试对一个设备计算过程的假设的正确性。
　　12.高阶DPA(HO－DPA)
　　DPA技术对抽样间的单个事件进行信息分析，而高阶DPA则能够用来对多个加密子运算之间的信息进行关联。进行DPA攻击的初级尝试能够引入到HO－DPA攻击中或去除HO－DPA的弱点。
　　在高阶DPA攻击中，从多个信息源收集来的信号、使用不同测量技术所收集来的信号和带有各种临时偏差的信号，将会在实施DPA技术期间被综合起来。另外，可能会采用更普遍的微分函数（D）。更加高级的信号处理函数也可能被采用。因此，基本的HO－DPA处理函数将采取一个比标准的DPA函数更普遍的形式。
　　现今，由于并不知道有何种实际的系统易受HO－DPA的攻击，而该系统却不易受DPA的攻击，故HO－DPA主要令系统实施者和研究人员感兴趣。但是制定DPA的对策时也必须承认，HO－DPA式的攻击是有效的。
　　13.实现DPA攻击的难易程度
　　尽管DPA分析需要相关人员具有多个领域的高深知识，但实施DPA攻击只需使用价值数千美元的标准仪器，攻破一个加密设备，如一张智能卡，只需几个小时甚至更少的时间。而且，当加密设备的特征确定后，DPA攻击可以自动实现。
　　14.什么产品易受DPA攻击
　　DPA虽然可用于攻击运行加密软件的PC机(通过PC机的电磁辐射)，但其主要用于攻击硬件加密产品。现在广泛使用的智能卡由于其尺寸小、缺少屏蔽，尤其易受DPA攻击。
　　15.DPA攻击的限制
　　DPA攻击需要将特殊的硬件仪器连到加密设备，或至少物理距离上接近。所以DPA对于基于网络的安全应用来说，不构成威胁。
　　智能卡只有在它们处于操作状态，及进行交易时，才会有受DPA攻击的危险。当卡片放在用户的钱包或皮夹中时，它们是安全的。不将传感器接近操作中的卡片，而收集DPA攻击所需的信息是很困难的。所以，DPA技术不能在持卡者不知道的前提下，用于克隆智能卡。
　　16.DPA攻击的加密设备的弱点
　　传统的加密系统的设计者往往将其注意力集中在系统设计的单个层次上，而忽略了不同层次间的相互作用。DPA攻击建立在对整个系统的各个层次作仔细深入分析的基础上，包括底层硬件、协议、加密算法、软件、管理政策等，攻击的弱点来自晶体管和电路的电子行为，这些行为的传播将暴露逻辑门、微处理器的运算和软件的运行。
　　17.防止DPA及相关攻击技术按不同层次分类
　　＊晶体管：现今，没有什么切实可行的东西能够替代半导体，但是将来可能会有替代的计算技术（如全光计算）。CryptographyResaerch公司现已开发出栅极逻辑设计方法，这种方法泄露的信息极其微量。
　　＊电路、逻辑元件、微处理器和软件：在大型系统中，精心滤波的电源和物理屏蔽的方法能够令攻击无法实现。对于受设备或成本限制的系统，CryptographyResaerch公司已开发出软件和硬件技术，其中包括减少泄露的信息量、向测量中引入干扰噪声、使内部变量与秘密参数不关联以及使加密运算临时不关联的方法等。在实际应用中，当攻击者不能在物理上拥有正在执行加密运算的设备时，这样的技术是有效的。但是，由于外部能够监视到的特征还与加密运算保持本质关联，对于当攻击者在物理上实际拥有设备时，我们并不推荐上述方法作为全部的解决方案。
　　＊软件和算法：最有效的解决方法是设计并运行带有下述假定的加密系统，即假定信息将会泄露。CryptographyResaerch公司现已开发出确保现有加密算法（包括RSA，DES，DSA，Diffie－Hellman，ElGamal和椭圆曲线系统）安全的方法，从而尽管在底层电路可能泄露信息的情况下，仍使系统保持安全。在物理硬件泄露过多的情况下，也需要使用泄露衰减和屏蔽技术（有关的专门技术将在近期提供）。
　　18.对抗DPA攻击的方法
　　思路：
　　减少加密设备泄露的信息；将安全加密算法建立在假设硬件会泄露信息的基础上。
　　措施：
　　＊第一种方法是减小信号的大小。如使用恒定的执行路径代码、选择在能量消耗上泄露信息较少的运算、平衡层次存取的权数及状态转换，以及对设备进行物理屏蔽等。然而这样的减少信号的方式常常不能把信号的大小减成0。因为一个攻击者仍然能用大量的抽样，对信号(即使已经极其微弱)执行DPA。实际上，强有力的屏蔽使攻击不可行，但却显著地增加了设备的成本和大小。
　　＊第二种方法是向能量消耗测量中引入干扰噪声。同减小信号大小一样，添加干扰噪声将会增加一个攻击所需的抽样数量，有可能是一个无法实现的数量。另外，执行时间和顺序也可以随机化。但是由于许多技术能够用来绕过或补偿上述作用，设计者和审核者必须极其谨慎地处理暂时的困惑。几个易受攻击的产品已通过了那些使用天真的数据处理方法的审核。为了安全起见，应可能在复核和认证测试期间，让暂时性困惑的方法无效。
　　＊第三种方法涉及到设计加密系统，而且此类系统带有关于底层硬件的真实假定。可以使用非线性密钥升级程序，来确保交易之间的能量轨迹无法关联。举一个简单的例子，用SHA来散列一个160位的密钥，将会有效地破坏一个攻击者可能收集到的密钥的部分信息。同样，在公共密钥方案中大量使用指数和模数更改过程，也能够用来防止攻击者从大量的运算中收集数据。密钥使用计数器将能防止攻击者收集大量的抽样。
使用具有泄露容忍度的设计方法时，加密系统的设计者必须确定加密能够生效时所对应的泄露率和函数。泄露函数可以同外部信息源一样被分析，提供与计算过程和数据有关的信息，在此泄露率是指泄露函数所提供的信息量的上限。由此实施者能够按需要来利用泄露衰减和泄露掩盖技术，以满足特定参数的需求。最后复核后必须核查设计的假定是否正确并与整套设备的物理特性相对应。
　　19.其它的攻击技术
　　对于通过一个总线来传递密钥或秘密媒介的设备而言，电磁辐射是一个极其严重的问题。即便是一个简单的调幅收音机也能从许多加密设备中检测到强大的信号。大量其他的信号测定技术（如超导量子成像设备）也证实了此事实。
　　与SPA和DPA相关的统计方法可用来在有干扰噪声存在的数据中发现信号。
　　其它一些可提供与加密操作相关信息的监测技术，也能用于对加密系统进行攻击。
　　20.结论
　　由于有大量的易受攻击的加密产品在广泛使用中，能量分析技术引起了极大的关注。该攻击易于实施、成本低，并且是非入侵式的，这使得攻击难以被检测到。由于DPA自动地定位一个与设备的能量消耗相关联的区域，故攻击将可能被自动化，而且需要很少甚至不需要所攻击目标实现的信息。最后，上述攻击并非理论上的或局限于智能卡方面。CryptographyResearch公司在实验室里，使用能量分析技术从差不多50种具有截然不同物理形式的加密产品中，提取出了密钥。
　　对DPA唯一可靠的解决方案是，对设计的加密系统的底层硬件作真实假定。DPA突出了对有关人员的要求，即算法、协议、软件和硬件的设计者在生产安全产品时，应更加密切地合作。
（相关图片稍后上传）

图2 DES第二周期叠代和第三周期叠代的SPA轨迹

图3 显示各个时钟周期的SPA轨迹

图4 DPA轨迹（一个正确，两个不正确，带参数功率）

图5 定量DPA测量