Due to its provable security and remarkable device-independence, masking has been widely accepted as a noteworthy algorithmic-level countermeasure against side-channel attacks. However, relatively high cost of masking severely limits its applicability. Considering the high tackling complexity of non-linear operations, most masked AES implementations focus on the security and cost reduction of masked S-boxes. In this paper, we focus on linear operations, which seems to be underestimated, on the contrary. Specifically, we discover some security flaws and redundant processes in popular first-order masked AES linear operations, and pinpoint the underlying root causes. Then we propose a provably secure and highly efficient masking scheme for AES linear operations. In order to show its practical implications, we replace the linear operations of state-of-the-art first-order AES masking schemes with our proposal, while keeping their original non-linear operations unchanged. We implement four newly combined masking schemes on an Intel Core i7-4790 CPU, and the results show they are roughly 20% faster than those original ones. Then we select one masked implementation named RSMv2 due to its popularity, and investigate its security and efficiency on an AVR ATMega163 processor and four different FPGA devices. The results show that no exploitable first-order side-channel leakages are detected. Moreover, compared with original masked AES implementations, our combined approach is nearly 25% faster on the AVR processor, and at least 70% more efficient on four FPGA devices.

由于其可证明的安全性和卓越的设备独立性，屏蔽已被广泛接受为一种值得注意的算法级对抗侧信道攻击的对策。然而，相对较高的掩蔽成本严重限制了其适用性。考虑到非线性操作的高处理复杂性，大多数掩码 AES 实现专注于掩码 S 盒的安全性和成本降低。在本文中，我们专注于线性运算，相反，它似乎被低估了。具体来说，我们发现了流行的一阶掩码 AES 线性运算中的一些安全缺陷和冗余过程，并查明了根本原因。然后，我们为 AES 线性运算提出了一种可证明安全且高效的掩码方案。为了显示其实际意义，我们用我们的提议替换了最先进的一阶 AES 掩码方案的线性运算，同时保持其原始非线性运算不变。我们在英特尔酷睿 i7-4790 CPU 上实施了四种新组合的屏蔽方案，结果显示它们比原始方案快 20%。然后我们选择了一个名为 RSMv2 的掩码实现，因为它很受欢迎，并在 AVR ATMega163 处理器和四种不同的 FPGA 设备上研究了它的安全性和效率。结果表明没有检测到可利用的一阶边信道泄漏。此外，与原始掩码 AES 实现相比，我们的组合方法在 AVR 处理器上的速度提高了近 25%，在四个 FPGA 设备上的效率至少提高了 70%。同时保持其原始非线性操作不变。我们在英特尔酷睿 i7-4790 CPU 上实施了四种新组合的屏蔽方案，结果显示它们比原始方案快 20%。然后我们选择了一个名为 RSMv2 的掩码实现，因为它很受欢迎，并在 AVR ATMega163 处理器和四种不同的 FPGA 设备上研究了它的安全性和效率。结果表明没有检测到可利用的一阶边信道泄漏。此外，与原始掩码 AES 实现相比，我们的组合方法在 AVR 处理器上的速度提高了近 25%，在四个 FPGA 设备上的效率至少提高了 70%。同时保持其原始非线性操作不变。我们在英特尔酷睿 i7-4790 CPU 上实施了四种新组合的屏蔽方案，结果显示它们比原始方案快 20%。然后我们选择了一个名为 RSMv2 的掩码实现，因为它很受欢迎，并在 AVR ATMega163 处理器和四种不同的 FPGA 设备上研究了它的安全性和效率。结果表明没有检测到可利用的一阶边信道泄漏。此外，与原始掩码 AES 实现相比，我们的组合方法在 AVR 处理器上的速度提高了近 25%，在四个 FPGA 设备上的效率至少提高了 70%。然后我们选择了一个名为 RSMv2 的掩码实现，因为它很受欢迎，并在 AVR ATMega163 处理器和四种不同的 FPGA 设备上研究了它的安全性和效率。结果表明没有检测到可利用的一阶边信道泄漏。此外，与原始掩码 AES 实现相比，我们的组合方法在 AVR 处理器上的速度提高了近 25%，在四个 FPGA 设备上的效率至少提高了 70%。然后我们选择了一个名为 RSMv2 的掩码实现，因为它很受欢迎，并在 AVR ATMega163 处理器和四种不同的 FPGA 设备上研究了它的安全性和效率。结果表明没有检测到可利用的一阶边信道泄漏。此外，与原始掩码 AES 实现相比，我们的组合方法在 AVR 处理器上的速度提高了近 25%，在四个 FPGA 设备上的效率至少提高了 70%。