椭圆曲线数字签名的物理攻击方法、介质、设备及系统技术方案

本发明专利技术公开了一种椭圆曲线数字签名的物理攻击方法、介质、设备及系统，属于密码安全技术领域，包括步骤：对伪随机发生器展开更广泛物理攻击，通过侧信道攻击检测截获不连续多段比特片段，针对这种情况利用格基约化算法求取私钥或评估求取私钥的计算量。本发明专利技术一方面可用视作对ECDSA进行的一种物理攻击方法，另一方面可以根据对应格基约化算法的复杂度评估ECDSA抵抗侧信道攻击的能力。ECDSA抵抗侧信道攻击的能力。ECDSA抵抗侧信道攻击的能力。

【技术实现步骤摘要】
椭圆曲线数字签名的物理攻击方法、介质、设备及系统


[0001]本专利技术涉及属于密码安全
，更为具体的，涉及一种椭圆曲线数字签名的物理攻击方法、介质、设备及系统。

技术介绍

[0002]椭圆曲线密码在现实网络通信中有重要应用，基于椭圆曲线的数字签名体制ECDSA已成为NIST[1]、ANSI[2][3]等组织发布的标准。针对ECDSA的伪随机生成器进行物理攻击可以泄露部分随机数比特，然后通过求解对应的隐藏数问题(Hidden Number Problem，缩写为HNP)，可以求得ECDSA的私钥，从而对该数字签名体制的安全性构成严重威胁。HNP是指在一种剩余环上根据私钥的仿射函数值的部分高位比特信息来恢复该私钥。目前求解HNP的主要方法有格基约化算法[4]和Bleichenbacher算法[5]，其中格基约化方法所需要的采集信息较少，攻击的前提条件相比较弱。利用格基约化算法破解HNP在密码的物理安全中起到重要作用，其计算复杂度是衡量某些密码体制抵抗侧信道攻击的重要参考指标。
[0003]现有利用HNP问题对ECDSA进行物理攻击的技术主要使用伪随机数泄露连续的高位(若干)比特[4]，因此可能无法充分使用物理检测获取的测信道信息。当通过能耗等物理攻击获取伪随机发生器较多的输出信号片段，或者截获伪随机发生器的输出比特位置不够规整，现有的上述技术不支持利用物理攻击检测获取的全部信息进行分析。
[0004]涉及的主要具体
技术介绍
如下：
[0005]1、椭圆曲线的数字签名体制ECDSA
[0006]ECDSA签名体制的系统参数包括一条选定的椭圆曲线以及这条曲线上的一个阶基点G。随机选取一个正整数d作为签名的私钥(0≤d<q)，计算基点G的d倍点[d]G作为对应得到公钥。给定某条消息m的哈希值h，签名过程如下：签名者首先生成一个随机随机数满足，然后计算基点G的k倍点[k]G的x坐标计算r＝x([k]G)，再计算
[0007]s＝w
‑1·
(h+d
·
r)mod q， #(1)
[0008]最终得到消息m的签名(r,s)。
[0009]2、隐藏数问题(HNP)
[0010]记是基点阶数q的剩余类环。设是未知变量(隐藏数)。取上均匀分布的数α1,α2,
…
,α
n
,β1,β2,
…
,β
n
并计算γ
i
≡α
i
x0+β
i
(mod q),1≤i≤n。HNP是指给定基点阶数q与α1,α2,
…
,α
n
以及γ1,γ2,
…
,γ
n
的高位若干比特，求x0。目前求解HNP的格基约化求解方法主要包括先转化为带错误学习问题(Learning with errors，缩写为LWE)的形式，再使用Kannan嵌入转化为求解格中唯一最短向量(uSVP)最后构建合适的格模型，利用格基约化算法进行求解[4]。
[0011]3、带错误学习问题(LWE)
[0012]这里带错误学习(LWE)问题[5]是指：给定模数q、维数d以及剩余类环上的
一个分布χ，输入n个LWE样本，求中的秘密向量s。给定模数q、维数d、服从中均匀分布的秘密向量s，一个LWE样本包括中随机均匀的选取的一个向量a以及(<a,s>+e)mod q，其中e是服从随机分布χ的一个采样。
[0013]现有技术参考文献
[0014][1]National Institute of Standards and Technology,FIPS 186
‑
4Digital Signature Standard(DSS),July 2013,https://csrc.nist.gov/publications/detail/fips/186/4/final
[0015][2]ANSI X9.62
‑
1998Public Key Cryptography For The Financial Services Industry:The Elliptic Curve Digital Signature Algorithm(ECDSA)
[0016][3]ANSI X9.62:2005Public key cryptography for the financial services industry
‑
the elliptic curve digital signature algorithm(ECDSA),American Bankers Association,November 16,2005,https://webstore.ansi.org/Standards/ASCX9/ansix9621998#PDF
[0017][4]Albrecht,M.R.,Heninger,N.(2021).On Bounded Distance Decoding with Predicate:Breaking the“Lattice Barrier”for the Hidden Number Problem.In:Canteaut,A.,Standaert,FX.(eds)Advances in Cryptology
–
EUROCRYPT 2021.EUROCRYPT 2021.Lecture Notes in Computer Science,vol 12696.Springer,Cham.https://doi.org/10.1007/978
‑3‑
030
‑
77870
‑
5_19
[0018][5]Benger,N.,van de Pol,J.,Smart,N.P.,Yarom,Y.:“ooh aah...just a little bit":A small amount of side channel can go a long way.In:Batina,L.,Robshaw,M.(eds.)CHES 2014.LNCS,vol.8731,pp.75
‑
92.Springer,Heidelberg(Sep 2014)
[0019][6]O.Regev.On lattices,learning with errors,random linear codes,and cryptography.Journal of the ACM,56(6):34,2009.Preliminary version in STOC 2005。

技术实现思路

[0020]本专利技术的目的在于克服现有技术的不足，提供一种椭圆曲线数字签名的物理攻击方法、介质、设备及系统。本专利技术对伪随机发生器展开更广泛物理攻击本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种椭圆曲线数字签名的物理攻击方法，其特征在于，包括以下步骤：S1：输入ECDSA基点阶数q，测量基点阶数q的比特数m，确定物理攻击的伪随机数比特检测可能范围；S2：确定对伪随机发生器攻击的比特片段位置集和S；按照数据低位到高位从0开始对比特位置标记，一个比特片段位置[i，j)是指比特的标记的集合{i，i+1，...，j
‑
1}；S3：获取ECDSA的消息哈希值h及其签名信息(r，s)，并通过侧信道攻击手段截获该签名生成过程所使用的伪随机数w在比特片段位置集和S的比特片段；一个伪随机数记为b且b＝b0+2b1+22b2+
…
+2
m
‑1b
m
‑1，其中b0，b1，...，b
m
‑1∈{0，1}，指定比特片段位置[i，j)，那么记号bits(b，i，j)表示比特片段(b
j
‑1，b
j
‑2，...，b
i
)；S4：根据步骤S3获取的数据，计算一个样本A，包括α＝(r
·
s
‑1)mod q、β＝
‑
(h
·
s
‑1)mod q以及伪随机数若干比特片段bits(w，i，j)，其中比特片段位置[i，j)遍历S中的全部比特片段位置；S5：重复步骤S3、步骤S4直到获取足够多的样本A1，A2，...，A
n
；S6：根据所获取的样本A1，A2，...，A
n
，利用格基约化算法求解私钥或根据所需格基约化算法的计算量评估复杂度；S7：输出私钥或所需计算量，结束。2.根据权利要求1所述的椭圆曲线数字签名的物理攻击方法，其特征在于，在步骤S6中，所述利用格基约化算法求解私钥或根据所需格基约化算法的计算量评估复杂度，包括子步骤：S61，输入基点阶数q，获取的n个样本A
k
＝(α
k
，β
k
，bits(w，i，j))，k＝1，2，...，n；S62，记伪随机数中未知的比特片段位置集合是S
R
＝{[i
k
，j
k
)：k＝1，2，...，r}；S63，计算S
R
中各比特片段位置的长度并找到其中的最大值，即对k＝1，2，...，r计算c
k
＝j
k
‑
i
k
，以及c
max
＝max
1≤k≤r
c
k
；S64，构造r行r+1列的矩阵A，其第k行第1列的元素是这里如果i
k
‑
c
max
+c
k
＜0，那么是指剩余类环中的乘法逆元；矩阵A的第k行第k+1列的元素为基点阶数q；矩阵A的其他元素为0；矩阵A形如：S65，针对A的列向量利用格基约化算法计算出长度r的短向量v
short
与剩余类环中的元素λ，满足λ
·
A[：，1]≡v
short
mod q，其中A[：，1]表示矩阵A的第一列；即，在剩余类环的运算意义下，短向量v
short
等于矩阵A的第一列乘以λ；记v
short
＝(d1，d2，...，d
r
)
T
，即，v
short
的第k行坐标为d
k
；S66，构造带错误学习LWE问题的实例，模数为q，秘密的维数为1，误差分布近似视作期
望值为0、标准差为的亚高斯分布，共有n个LWE样本，其中第k个样本为数据对(λ
·
α
k
mod q，b
k
)，其中：这里针对整数b以及m
‑
比特片段位置[i，j)，整数b满足0≤b＜q且b＝b0+2b1+22b2+
…
+2
m
‑1b
m
‑1，其中b0，b1，...，b...

【专利技术属性】
技术研发人员：王林，黄宝盛，曹越，程荣，李宗泽，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：