侧信道攻击的出现打破了传统黑盒密码模型对攻击者能力的约束。传统黑盒模型中,攻击者只能获得密码设备的输入和输出;而在侧信道攻击模型中,攻击者还可以获得关于密码设备运行时内部状态的一些信息泄漏。实践表明,这类信息泄漏给密码设备的实际安全性造成了巨大威胁。为了应对侧信道攻击的威胁,先后有大量防御对策(例如掩码、隐藏等技术方案)被提出。但是,遗憾的是,已有多数技术方案缺乏可靠的理论基础,无法从根本上解决侧信息泄漏这一重大问题。为了从理论上解决侧信道攻击所引发的安全问题,作为重要的研究尝试之一,密码学者提出了弹性泄漏密码学,旨在构造具有抵抗一大类侧信道攻击的密码方案。自提出以来,弹性泄漏密码学研究取得了大量的理论成果,但是关于已有弹性泄漏密码方案的实例化及其所具有的实际安全性研究相对缺乏。特别地,如何评价一个弹性泄漏密码方案实例化后的安全性,以及基于现有密码设备是否能够达到弹性泄漏密码方案所声称的安全性,都是亟待研究的重要问题。因此,本文研究弹性泄漏密码方案实例化所具有的安全性,并探讨传统防御对策能否有效提高密码学元件的信息泄漏适应能力,旨在为弹性泄漏密码方案的分析与设计提供基础方法与关键技术支持。　　本文以FOCS08提出的第一个弹性泄漏流密码构造(简称LR-SC)为研究示例,分析该构造在典型8比特微控制器STC89C58RD+上的多种实现在能量分析攻击下所具有的安全性。给出了基于随机提取器和伪随机数生成器的LR-SC构造的无保护实例化方案,并且研究该实例化方案的安全性。本文所讨论的各种实例化方案亦采用这两个典型密码学元件,并重点从理论分析与实证研究两个方面来审视LR-SC构造在掩码与乱序这两种经典防御措施保护下多种密码实现的安全性。具体地,本文的主要工作及贡献如下:　　弹性泄漏密码方案实例化的侧信息泄漏适应能力的理论度量方法本文讨论的实例化方案采用的伪随机数生成器基于AES构造,考虑到关于AES实现安全性的研究成果相对丰富,本文重点研究随机提取器的多种实例化方案的安全性。具体地,本文利用最小熵刻画随机提取器的无保护实现、掩码保护实现、乱序保护实现、掩码与乱序组合保护实现的安全性。分析结果表明,与乱序无法从理论上提高随机提取器实现的侧信息泄漏适应能力不同,掩码确实能够提高随机提取器的信息泄漏适应能力。但是,本文所讨论的四种随机提取器实例化方案从理论上讲都是不安全的。此外,论文还分析了随机提取器和伪随机数生成器所产生的侧信息泄漏对整个LR-SC安全性的影响。事实上,它们的泄漏直接导致整个LR-SC构造无法获得所声称的理论安全性。最后,论文指出为了保证整个LR-SC构造的安全性,随机提取器实现所产生的泄漏率不应高于1％。实际上,这一结果直接意味着随着LR-SC构造输出的密钥流长度的增加,采用任意的随机提取器都无法保证它的理论安全性。上述理论观察表明,尽管采用经典防御措施可以提高随机提取器的侧信息泄漏适应能力,但在实际的应用场景中却很难获得所声称的理论安全性。　　弹性泄漏密码方案实例化的侧信息泄漏适应能力的实证分析技术本文采用互信息刻画密码实例化的安全性,并使用成功率刻画随机提取器和伪随机数生成器的侧信息泄漏适应能力。具体地,本文计算目标中间值的互信息,通过目标中间值泄漏的信息量分析密码学元件的安全性。结果表明,在无保护实现、掩码保护实现、乱序保护实现、掩码与乱序组合保护实现中,随机提取器的单个操作的信息泄漏量小于伪随机数生成器的信息泄漏量。此外,对随机提取器和伪随机数生成器的四种实现实施模板攻击,通过攻击结果来观察随机提取器和伪随机数生成器的安全性。结果表明,与理论分析结果中乱序不能提高随机提取器的侧信息泄漏适应能力不同,掩码和乱序均能提高随机提取器和伪随机数生成器的侧信息泄漏适应能力。这一巨大差异源自理论分析考虑的是最坏情况,而实际攻击则考虑平均情况。另外,与互信息计算结果不同,模板攻击结果显示,对于无保护实现、掩码保护实现、乱序保护实现这三种情况而言,攻击随机提取器的代价低于攻击伪随机数生成器的代价。这验证了[37]指出的随机提取器过大的计算量所导致的安全隐患。最后,在掩码和乱序组合保护实现下,攻击随机提取器的代价高于攻击伪随机数生成器的代价。这种情形下,随机提取器在掩码和乱序组合保护的实现中不再是整个LR-SC构造的主要弱点。这一重要观察与[37]中的观察不相同,表明[37]的结论并不全面。