该文分析了格密码解封装过程存在的能量泄露，针对消息解码操作提出一种基于模板与密文循环特性的消息恢复方法，该方法采用汉明重量模型与归一化类间方差(NICV)方法对解码字节的中间更新状态构建模板，并利用密文循环特性构造特殊密文，结合算法运算过程中产生的能量泄露，实现了对格密码中秘密消息和共享密钥的恢复。该文以Saber算法及其变体为例对提出的攻击方法在ChipWhisperer平台上进行了验证，结果表明，该攻击方法可以成功还原封装阶段的秘密消息和共享密钥，在预处理阶段仅需900条能量迹即可完成对模板的构建，共需要32条能量迹完成秘密消息的恢复。在未增加信噪比(SNR)条件下，消息恢复成功率达到66.7%，而在合适信噪比条件下，消息恢复成功率达到98.43%。

• 单位
  信息工程大学