首页 专利交易 科技果 科技人才 科技服务 国际服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

椭圆曲线数字签名的物理攻击方法、介质、设备及系统 

买专利卖专利找龙图腾,真高效! 查专利查商标用IPTOP,全免费!专利年费监控用IP管家,真方便!

申请/专利权人:中国电子科技集团公司第三十研究所

摘要:本发明公开了一种椭圆曲线数字签名的物理攻击方法、介质、设备及系统,属于密码安全技术领域,包括步骤:对伪随机发生器展开更广泛物理攻击,通过侧信道攻击检测截获不连续多段比特片段,针对这种情况利用格基约化算法求取私钥或评估求取私钥的计算量。本发明一方面可用视作对ECDSA进行的一种物理攻击方法,另一方面可以根据对应格基约化算法的复杂度评估ECDSA抵抗侧信道攻击的能力。

主权项:1.一种椭圆曲线数字签名的物理攻击方法,其特征在于,包括以下步骤:S1:输入ECDSA基点阶数q,测量基点阶数q的比特数m,确定物理攻击的伪随机数比特检测可能范围;S2:确定对伪随机发生器攻击的比特片段位置集合S;按照数据低位到高位从0开始对比特位置标记,一个比特片段位置[i,j是指比特的标记的集合{i,i+1,…,j-1};S3:获取ECDSA的消息哈希值h及其签名信息r′,s,并通过侧信道攻击手段截获该签名生成过程所使用的伪随机数w在比特片段位置集和S的比特片段;一个伪随机数记为b且b=b0+2b1+22b2+…+2m-1bm-1,其中b0,b1,…,bm-1∈{0,1},指定比特片段位置[i,j,那么记号bitsb,i,j表示比特片段bj-1,bj-2,…,bi;S4:根据步骤S3获取的数据,计算一个样本A,包括α=r′·s-1modq、β=-h·s-1modq以及伪随机数若干比特片段bitsw,i,j,其中比特片段位置[i,j遍历S中的全部比特片段位置;S5:重复步骤S3、步骤S4直到获取足够多的样本A1,A2,…,An;S6:根据所获取的样本A1,A2,…,An,利用格基约化算法求解私钥或根据所需格基约化算法的计算量评估复杂度;S7:输出私钥或所需计算量,结束;在步骤S6中,所述利用格基约化算法求解私钥或根据所需格基约化算法的计算量评估复杂度,包括子步骤:S61,输入基点阶数q,获取的n个样本Ak=αk,βk,bitsw,i,j,k=1,2,…,n;S62,记伪随机数中未知的比特片段位置集合是SR={[ik,jk:k=1,2,…,r};S63,计算SR中各比特片段位置的长度并找到其中的最大值,即对k=1,2,…,r计算ck=jk-ik,以及cmax=max1≤k≤rck;S64,构造r行r+1列的矩阵A,其第k行第1列的元素是这里如果ik-cmax+ck0,那么是指剩余类环中的乘法逆元;矩阵A的第k行第k+1列的元素为基点阶数q;矩阵A的其他元素为0;矩阵A形如: S65,针对A的列向量利用格基约化算法计算出长度r的短向量vshort与剩余类环中的元素λ,满足λ·A[:,1]≡vshortmodq,其中A[:,1]表示矩阵A的第一列;即,在剩余类环的运算意义下,短向量vshort等于矩阵A的第一列乘以λ;记vshort=d1,d2,…,drT,即,vshort的第k行坐标为dk;S66,构造带错误学习LWE问题的实例,模数为q,秘密的维数为1,误差分布近似视作期望值为0、标准差为的亚高斯分布,共有n个LWE样本,其中第k个样本为数据对λ·αkmodq,bk,其中: 这里针对整数b以及m-比特片段位置[i,j,整数b满足0≤bq且b=b0+2b1+22b2+…+2m-1bm-1,其中b0,b1,…,bm-1∈{0,1},eb,i,j表示整数20bi+21bi+1+…+2j-i-1bj-1;S67,按照求解LWE问题的方法对步骤S66中问题实例进行求解,或者按照评估LWE问题计算量的方法对步骤S66中问题实例进行复杂度评估;或,在步骤S6中,所述利用格基约化算法求解私钥或根据所需格基约化算法的计算量评估复杂度,包括子步骤:SS61,输入基点阶数q,获取的n个样本Al=αl,βl,bitswl,i,j,l=1,2,…,n;SS62,记伪随机数中未知的比特片段位置集合是SR={[ik,jk:k=1,2,…,r};SS63,计算SR中各比特片段位置的长度,即对k=1,2,…,r计算ck=jk-ik;SS64,遍历l=1,2,…,n,根据第l个不连续多段比特泄露的隐藏数问题样本Al,计算: SS65,记长度r-1的向量: 构造2+nr行2+nr列的分块矩阵M: 其中,第1行1列为1;对l=1,2,…,n,第2+l-1r-1到1+lr-1行、第2+l-1r-1到1+lr-1列的子阵为r-1×r-1规模的单位阵,第1+nr-1+l行第1列为al,第1+nr-1+l行第2+l-1r-1到1+lr-1列为1×r-1规模的子阵C,第1+nr-1+l行第1+nr-1+l列为q,第1+nr-1+l行第2+nr列为bl;第2+nr行2+nr列为1;其余元素为0;SS66,针对矩阵M的列向量利用格基约化算法计算出短向量,记该短向量的第1个坐标η1,第2+nr个坐标ηnr+2;如果ηnr+2的绝对值等于1,那么计算x0=-η1·ηnr+2并输出私钥x0;否则失败;SS67,获取x0作为私钥输出,得到对应现实密码问题中的信息,或者给出矩阵M格基约化算法的计算量作为求解私钥x0的计算量。

全文数据:

权利要求:

百度查询: 中国电子科技集团公司第三十研究所 椭圆曲线数字签名的物理攻击方法、介质、设备及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。