每发生一次碰撞增加一个代数方程，将新增的方程组和LED 代数方程组联立之后，有助于降低LED 的密钥求解复杂度。当碰撞达到一定数量则可以利用解析器解出全部密钥。

　　4 实验结果与分析

　　利用3.1 节中的碰撞捕获方法对采集的功耗进行分析，推断出S 盒输出的碰撞信息，然后利用3.2 节方法将其转化为额外方程组， 同LED 加密方程组联立， 最后利用CryptoMinisat 进行密钥求解。基于SAT 问题求解方程组的基本思想为给出满足所有代数方程组的一个解，因此当碰撞信息足够多时才能锁定唯一解。

　　在理想情况下，加密过程中发生的所有碰撞都能通过相关性匹配捕获到，此时仅需2 轮S 盒的输出功耗信息，碰撞捕获次数平均为33 次，即可在3.5s 内获取全部密钥。但在实际攻击中，受测试计量仪器精度、被测平台噪声等因素的影响，功耗信息的采集会存在一定误差，造成在功耗分析中达不到Pearson 相关性的阈值，并不能捕获全部碰撞信息。捕获率和密钥求解时间如表2 所示：随着碰撞捕获率的升高，新加入的方程数量不断增加，降低了解析器求解密钥的复杂度，使求解时间减少。

　　3 轮S 盒功耗信息的碰撞次数平均为70 个，在最少30%的碰撞捕获率下可以在27.8s 内恢复密钥。4 轮S 盒功耗信息的碰撞次数平均为123 个，在最少20%的碰撞捕获率下可以在159.7s 内恢复密钥。图5 给出了不同求解轮数时碰撞捕获率和求解时间之间的关系。从图中曲线总体趋势可以看出，功耗信息采集轮数越少，碰撞数量越少，求解方程组复杂度越大，求解时间越长。单个时间曲线的趋势显示，随着捕获的碰撞数量比例的增加，求解时间越来越短，当捕获的碰撞数量达到一定规模时，求解时间会急剧减少，最终趋于稳定。

　　5 结束语

　　本研究针对LED 密码提出了一种基于碰撞模型的代数旁路攻击方法， 并通过功耗物理实验成功对8 位ATMEGA324P 微控制器上的LED 实现进行了攻击。结果表明：LED 易遭受此类攻击，利用LED 加密部分轮功耗泄露的碰撞信息即可恢复64-bit 初始密钥，耗时不超过160s。

编辑：妮子