CN101197668B - 基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法 - Google Patents

Abstract

一种信息安全技术领域的基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法。本发明基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，首先将椭圆曲线密码的二进制密钥表示为随机化带符号二进制数形式，然后基于椭圆曲线点乘的随机化加法减法链，得到实现随机化带符号标量点乘的有限状态机，再基于该有限状态机完成椭圆曲线点乘运算，实现了椭圆曲线密码抵抗旁路攻击能力的提高。本发明提高了方法实现的安全性，可以用于密码理论、密码破解、安全芯片设计、智能卡设计等领域。

Description

基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法

技术领域

本发明涉及一种信息安全技术领域的方法，具体是一种基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法。

背景技术

随着密码破解技术的发展，旁路攻击对智能卡等嵌入式设备构成了严重的威胁。功耗攻击(PA)是一种有效的旁路攻击的技术，这种技术通过监视智能卡的能量消耗，利用统计学的方法，在有限次的密码运算内，就可以恢复出智能卡中的私钥信息。由于椭圆曲线密码(ECC)系统在计算速度、安全强度等方面的优越表现，使得ECC在智能卡上的实现更有吸引力，因此研究能够有效对抗功耗攻击的ECC密码算法对于提高安全芯片及安全设备的安全性具有重要意义。

经对现有技术的文献检索发现，Jae Cheol Ha等在国际会议CryptographicHardware and Embedded Systems-CHES’02(2002年密码硬件及嵌入式系统国际会议)上发表的“Randomized signed-scalar multiplication of ECC to resistpower attacks”(抵御功耗攻击的随机化带符号标量乘法的椭圆曲线密码体制)，该文中提出一种基于私钥随机化处理技术的ECC的标量乘法过程，以提高抗旁路攻击能力的方法，具体方法为：首先利用该文提出的随机化带符号二进制编码方法表，将私钥随机地映射为等值的带符号二进制数(BSD)表示方式，再通过非相邻形式(NAF)的点乘算法进行计算。其不足在于：计算过程中的中间状态及中间状态的值都是十分有限的，易于遭受基于中间状态的碰撞攻击。

发明内容

本发明的目的在于克服现有技术中的不足，提供一种基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，使其提高了方法实现的安全性，可以用于密码理论、密码破解、安全芯片设计、智能卡设计等领域。

本发明是通过以下技术方案实现的，本发明首先将椭圆曲线密码的二进制密钥表示为随机化带符号二进制数形式，然后基于椭圆曲线点乘的随机化加法减法链，得到实现随机化带符号标量点乘的有限状态机，再基于该有限状态机完成椭圆曲线点乘运算。该方案将密钥的随机化处理与处理过程的随机化处理相结合，实现了椭圆曲线密码抵抗旁路攻击能力的提高。

所述的随机化带符号二进制数形式，是指：在数的非相邻形式编码表示中通过引入随机数加入随机性，在数的编码转换过程中借助辅助进位变量，将椭圆曲线密码的二进制密钥k表示为所述随机化带符号二进制数形式d。设正整数k的二进制表示为k＝(k_n-1k_n-2...k₀)₂，即k为一n比特的二进制数。引入的随机数r也为n比特，r＝(r_n-1r_n-2...r₀)₂，辅助进位变量c为(n+1)比特，其中最低位c₀＝0，即c＝(c_nc_n-1...c₁0)₂。主要步骤为首先从k的右边最低有效位k₀开始，由k₀、k₁及r₀、c₀，得到随机化编码数位d₀和辅助进位变量的次高位c₁；然后再从k的右边次低位k₁开始，由k₁、k₂、r₁及在上一步得到的c₁，得到随机化编码数位d₁和下一个辅助二进制进位值c₂；重复上述过程，每步k的二进制位都向左移一位，每次两比特依次计算。当达到k的二进制位k_n-2时，由k_n-2、k_n-1、r_n-2及c_n-2可得d_n-2和c_n-1。最后，在k的最高位k_n-1的左边增加一个0位，即设k_n＝0，由k_n-1、k_n、r_n-1及c_n-1可得d_n-1和c_n。至此，由连续计算出的d_i(i＝0，1，n-1)及c_n，得d＝(c_n，d_n-1，d_n-2，…，d₁，d₀)。

所述每一步中由k_i+1、k_i、c_i及r_i确定c_i+1、d_i的过程是一次查随机化带符号二进制编码方法表的过程。具体的，若(k_i+1k_ic_ir_i)＝(0000)，则(c_i+1d_i)＝(00)；(k_i+1k_ic_ir_i)＝(0001)，则(c_i+1d_i)＝(00)；(k_i+1k_ic_ir_i)＝(0010)，则(c_i+1d_i)＝(01)；(k_i+1k_ic_ir_i)＝(0011)，则 $\left(c_{i+1}{d}_i\right)=\left(1\stackrel{\‾}{1}\right);$ (k_i+1k_ic_ir_i)＝(0100)，则(c_i+1d_i)＝(01)；(k_i+1k_ic_ir_i)＝(0101)，则 $\left(c_{i+1}{d}_i\right)=\left(1\stackrel{\‾}{1}\right);$ (k_i+1k_ic_ir_i)＝(0110)，则(c_i+1d_i)＝(10)；(k_i+1k_ic_ir_i)＝(0111)，则(c_i+1d_i)＝(10)；(k_i+1k_ic_ir_i)＝(1000)，则(c_i+1d_i)＝(00)；(k_i+1k_ic_ir_i)＝(1001)，则(c_i+1d_i)＝(00)；(k_i+1k_ic_ir_i)＝(1010)，则 $\left(c_{i+1}{d}_i\right)=\left(1\stackrel{\‾}{1}\right);$ (k_i+1k_ic_ir_i)＝(1011)，则(c_i+1d_i)＝(01)；(k_i+1k_ic_ir_i)＝(1100)，则 $\left(c_{i+1}{d}_i\right)=\left(1\stackrel{\‾}{1}\right);$ (k_i+1k_ic_ir_i)＝(1101)，则(c_i+1d_i)＝(01)；(k_i+1k_ic_ir_i)＝(1110)，则(c_i+1d_i)＝(10)；(k_i+1k_ic_ir_i)＝(1111)，则(c_i+1d_i)＝(10)。

所述的非相邻形式，是指：重量最轻的带符号二进制表达形式。

所述的带符号二进制表达形式，是指：一个整数k被表示成 $d={\mathrm{\Σ}}_{i=0}^n{d}_i{2}^i,d_i\∈\{\stackrel{\‾}{1},\mathrm{0,1}\},$ 其中 $\stackrel{\‾}{1}=-1$ 的形式。

所述的基于椭圆曲线点乘的随机化加法减法链，是指：将所述随机化带符号二进制形式密钥d中最少两个连续的即

表示为

得到其新的等值加法减法链表示d′；然后在点乘运算过程中通过插入一个随机变量来决定运算执行的路径，即在执行的每一步随机生成e(e＝0或1)，根据不同的e值，执行不同的运算序列。

所述的有限状态机，是指：所述随机化加法减法链实现方案的具体点乘过程。所述有限状态机共有5个状态(state)，分别记为状态0、状态1、状态11、状态

和状态

密钥k的所述随机化带符号二进制形式的加法减法链表示d′是所述有限状态机的输入变量；所述有限状态机的初始条件是P＝0，Q＝M，其中M为待加密明文在椭圆曲线上的点的表示，P、Q均为椭圆曲线上的点；所述有限状态机的运行结果为P＝kQ＝d′Q。其状态转换过程如下：

首先，判断d′是否等于0。若d′＝0，则如果当前运行状态为11或返回P+Q；否则，返回P。若d′≠0，则根据d′的右边最低位d₀及当前所处状态执行不同的操作如下：

若d₀＝0，如果当前状态为状态0，则将当前的Q值乘以2，作为新的Q值；如果当前状态为1或

则将当前的Q值乘以2，作为新的Q值，并将状态转换为状态0；如果当前状态为11，则将当前P值与Q值相加，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为状态0；如果当前状态为

则用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为状态0。

若d₀＝1，如果当前状态为状态0或

则将当前P值与Q值相加，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为状态1；如果当前状态为1，则随机选取e等于0或1，当e为1时，将当前P值与Q值相加，作为新的P值，然后将当前的Q值乘以2，作为新的Q值；当e为0时，用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为11；如果当前状态为11，也随机选择e等于0或1，当e为1时，将当前的Q值乘以2，作为新的Q值；当e为0时，将当前P值加上Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为1；如果当前状态为

则将当前的Q值乘以2，作为新的Q值，并将状态转换为1。

若 $d_0=\stackrel{\‾}{1},$ 如果当前状态为0或1，则用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为

如果当前状态为11，则将当前的Q值乘以2，作为新的Q值，并将状态转换为

如果当前状态为则随机选取e值等于0或1，当e为1时，则用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值；当e为0时，则将当前的P值加上Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为

如果当前状态为

则随机选取e值等于0或1，当e为1时，将当前的Q值乘以2，作为新的Q值；当e为0时，则用当前的P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为

执行完上述一次完整的状态转换过程后，取

，再重复上述状态转换过程，直至d′等于0为止，得到的返回值就是P＝kQ＝d′Q。

本发明的方法能够获得较高的椭圆曲线密码体制实现安全性。该方法将随机化带符号形式密钥策略和随机化加法-减法链的方法相结合，使得计算过程的中间状态数由常规二进制表示的3个(状态0、状态1及状态11)增加为5个(状态0、状态1、状态11、状态

和状态)，相应的，状态转换关系由6个增加为19个，大大增加了利用中间状态进行旁路攻击的难度；与此同时，计算负担却不会有太大的增加。该方法表明采用随机化带符号二进制形式表示椭圆曲线密码体制的密钥，再结合标量点乘的随机化加法减法链方案来实现过程的随机化处理，能够提高椭圆曲线密码体制防范功耗攻击的能力。

具体实施方式

下面对本发明的实施例作详细说明：本实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和具体的操作过程，但本发明的保护范围不限于下述的实施例。

设实施例拟对明文M，采用密钥k进行椭圆曲线加密处理。按照椭圆曲线密码体制，首先将明文M转换为某一椭圆曲线上的点Q，然后通过计算椭圆曲线上的点的标量乘法P＝kQ，得到在同一椭圆曲线上的密文的点的表示。整个发明实现过程下：

1.首先将密钥k表示为随机化BSD形式。假设密钥k的二进制表示为 $k={\mathrm{\Σ}}_{i=0}^{n-1}{k}_i{2}^i,k_i\∈\left\{\mathrm{0,1}\right\}.$ 首先通过一随机数发生器，得到一个n比特的随机数 $r={\mathrm{\Σ}}_{i=0}^{n-1}{r}_i{2}^i,r_i\∈\left\{\mathrm{0,1}\right\};$ 并引入辅助进位变量的 $c={\mathrm{\Σ}}_{i=0}^n{c}_i{2}^i,c_i\∈\left\{\mathrm{0,1}\right\},$ 初始情况下设其第0位c₀＝0；在k的最高位k_n-1前引入一零位，即将k变为n+1比特的二进制表示，取k_n＝0。然后从k的右边最低有效位开始，每次先将k的二进制位都向左移一位，每步两比特依次向左计算，按照随机化的带符号二进制编码方法表，第i位的随机化BSD编码位d_i和第(i+1)位的二进制进位值c_i+1(i＝0，1，2...，n-1)被连续地被计算出，从而可得到k的随机化BSD形式d＝(c_n，d_n-1，d_n-2，…，d₁，d₀)。

例如，一个二进制数k＝(111011110)₂＝(478)₁₀，用随机数r＝(101010011)₂，生成k的随机化BSD形式的过程为：首先，k₁k₀＝10，c₀＝0，r₀＝1，查表得c₁＝0，d₀＝0；然后，k的比特位指针向左移一位，考虑k₂k₁位，k₂k₁＝11，c₁＝0，r₁＝1，查表得c₂＝0，d₁＝0；重复上述过程，可得 $d_7{d}_6{d}_5{d}_4{d}_3{d}_2{d}_1{d}_0=00\stackrel{\‾}{1}00\stackrel{\‾}{1}10,$ c₈c₇c₆c₅c₄c₃c₂c₁c₀＝111111000；最后在k的最左边增加一位0，即k₉＝0，由k₉k₈＝01，c₈＝1，r₈＝1，查表得c₉＝1，d₈＝0。故d＝(c₉d₈d₇d₆d₅d₄d₃d₂d₁d₀)。所以，该二进制数k＝(111011110)₂，用随机数r＝(101010011)₂随机化后的随机化BSD形式为：

$d=\left(c_9{d}_8{d}_7{d}_6{d}_5{d}_4{d}_3{d}_2{d}_1{d}_0\right)=1000\stackrel{\‾}{1}00\stackrel{\‾}{1}10={\left(478\right)}_{10}.$

表1.随机化的带符号二进制编码方法表

输入

输出

2.考察上述得到的d，将d中连续的

即

表示为得到其加法减法链表示d′，作为所述有限状态机的输入。

3.设P、Q为所取椭圆曲线上的两点，取所述有限状态机的初始状态为P＝0，Q＝M；然后按照所述基于有限状态机的状态转换关系，执行椭圆曲线上点的标量乘运算。按照有限状态机的状态转换关系执行过程如下：

(1)若d′＞0，则执行下述操作：

1.1若d₀＝0，则：

1.1.1若state＝0，则Q＝2*Q；

1.1.2若state＝1，则Q＝2*Q，state＝0；

1.1.3若state＝11，则P＝P+Q，Q＝2*Q，state＝0；

1.1.4若 $\mathrm{state}=\stackrel{\‾}{1},$ 则Q＝2*Q，state＝0；

1.1.5若 $\mathrm{state}=\stackrel{\‾}{1}\stackrel{\‾}{1},$ 则P＝P-Q，Q＝2*Q，state＝0；

1.2若d₀＝1，则：

1.2.1若state＝0，则P＝P+Q，Q＝2*Q，state＝1；

1.2.2若state＝1，则

1.2.2.1e＝rand()：//取0或1

1.2.2.2若e＝1，则P＝P+Q，Q＝2*Q；

1.2.2.3否则，P＝P-Q，Q＝2*Q，state＝11；

1.2.3若state＝11，则

1.2.3.1e＝rand()；//取0或1

1.2.3.2若e＝1，则Q＝2*Q；

1.2.3.3否则，P＝P+Q，Q＝2*Q，state＝1；

1.2.4若 $\mathrm{state}=\stackrel{\‾}{1},$ 则P＝P+Q，Q＝2*Q，state＝1；

1.2.5若 $\mathrm{state}=\stackrel{\‾}{1}\stackrel{\‾}{1},$ 则Q＝2*Q，state＝1；

1.3若 $d_0=\stackrel{\‾}{1},$ 则：

1.3.1若state＝0，则P＝P-Q，Q＝2*Q， $\mathrm{state}=\stackrel{\‾}{1};$

1.3.2若state＝1，则P＝P-Q，Q＝2*Q， $\mathrm{state}=\stackrel{\‾}{1};$

1.3.3若state＝11，则Q＝2*Q， $\mathrm{state}=\stackrel{\‾}{1};$

1.3.4若 $\mathrm{state}=\stackrel{\‾}{1},$ 则：

1.3.4.1e＝rand()：//取0或l

1.3.4.2若e＝1，则P＝P-Q，Q＝2*Q；

1.3.4.3否则，P＝P+Q，Q＝2*Q， $\mathrm{state}=\stackrel{\‾}{1}\stackrel{\‾}{1};$

1.3.5若 $\mathrm{state}=\stackrel{\‾}{1}\stackrel{\‾}{1},$ 则：

1.3.5.1e＝rand()：//取0或l

1.3.5.2若e＝l，则Q＝2*Q；

1.3.5.3否则，P＝P-Q，Q＝2*Q， $\mathrm{state}=\stackrel{\‾}{1};$

(2)；若d＝0，执行步骤3；否则，重复上述步骤1；

(3)若state＝11或 $\mathrm{state}=\stackrel{\‾}{1}\stackrel{\‾}{1},$ 返回P+Q；否则，返回P。

上述过程结束后由所述有限状态机得到的返回值即为所求密文在椭圆曲线上的点。最后再将该点按照椭圆曲线密码体制重新编码，即可得密文的十六进制串。

本发明表明采用随机化带符号二进制形式表示椭圆曲线密码体制的密钥，再结合标量点乘的随机化加法减法链方案来实现过程的随机化处理，能够提高椭圆曲线密码体制防范功耗攻击的能力。

Claims (6)

1.一种基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，其特征在于，首先将椭圆曲线密码的二进制密钥表示为随机化带符号二进制数形式，然后将所述随机化带符号二进制形式密钥d中最少两个连续的即

表示为

得到其新的等值加法减法链表示d′，然后在点乘运算过程中通过插入一个随机变量来决定运算执行的路径，即在执行的每一步随机生成e，e＝0或1，根据e值执行相应运算序列，得到实现随机化带符号标量点乘的有限状态机，再基于该有限状态机完成椭圆曲线点乘运算，实现了椭圆曲线密码抵抗旁路攻击能力的提高。

2.根据权利要求1所述的基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，其特征是，所述的随机化带符号二进制数形式，是指：在数的非相邻形式编码表示中通过引入随机数加入随机性，在数的编码转换过程中借助辅助进位变量，将椭圆曲线密码的二进制密钥k表示为所述随机化带符号二进制数形式d，设正整数k的二进制表示为k＝(k_n-1k_n-2…k₀)₂，即k为一n比特的二进制数，引入的随机数r也为n比特，r＝(r_n-1r_n-2…r₀)₂，辅助进位变量c为n+1比特，其中最低位c₀＝0，即c＝(c_nc_n-1…c₁0)₂，步骤为：

首先从k的右边最低有效位k₀开始，由k₀、k₁及r₀、c₀，得到随机化编码数位d₀和辅助进位变量的次高位c₁；

然后再从k的右边次低位k₁开始，由k₁、k₂、r₁及在上一步得到的c₁，得到随机化编码数位d₁和下一个辅助二进制进位值c₂；

重复上述过程，每步k的二进制位都向左移一位，每次两比特依次计算，当达到k的二进制位k_0-2时，由k_n-2、k_n-1、r_n-2及c_n-2得d_n-2和c_n-1；

最后，在k的最高位k_n-1的左边增加一个0位，即设k_n＝0，由k_n-1、k_n、r_n-1及c_n-1得d_n-1和c_n，至此，由连续计算出的d_i，其中i＝0，1，…，n-1，以及c_n，得d＝(c_n，d_n-1，d_n-2，…，d₁，d₀)。

3.根据权利要求2所述的基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，其特征是，所述的非相邻形式，是指：重量最轻的带符号二进制表达形式。

4.根据权利要求1所述的基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，其特征是，所述的带符号二进制表达形式，是指：一个整数k被表示成 $d={\mathrm{\Σ}}_{i=0}^n{d}_i{2}^i,d_i\∈\{\stackrel{\‾}{1},\mathrm{0,1}\},$ 其中 $\stackrel{\‾}{1}=-1$ 的形式。

5.根据权利要求1所述的基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，其特征是，所述的有限状态机共有5个状态，分别记为状态0、状态1、状态11、状态

和状态

密钥k的所述随机化带符号二进制形式的加法减法链表示d′是所述有限状态机的输入变量，所述有限状态机的初始条件是P＝0，Q＝M，其中M为待加密明文在椭圆曲线上的点的表示，P、Q均为椭圆曲线上的点；所述有限状态机的运行结果为P＝kQ＝d′Q。

6.根据权利要求5所述的基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法，其特征是，所述的有限状态机，其状态转换过程如下：

首先，判断d′是否等于0，若d′＝0，则如果当前运行状态为11或返回P+Q；否则，返回P，若d′≠0，则根据d′的右边最低位d₀及当前所处状态执行操作如下：

若d₀＝0，如果当前状态为状态0，则将当前的Q值乘以2，作为新的Q值；如果当前状态为1或

则将当前的Q值乘以2，作为新的Q值，并将状态转换为状态0；如果当前状态为11，则将当前P值与Q值相加，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为状态0；如果当前状态为

则用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为状态0；

若d₀＝1，如果当前状态为状态0或则将当前P值与Q值相加，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为状态1；如果当前状态为1，则随机选取e等于0或1，当e为1时，将当前P值与Q值相加，作为新的P值，然后将当前的Q值乘以2，作为新的Q值；当e为0时，用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为11；如果当前状态为11，也随机选择e等于0或1，当e为1时，将当前的Q值乘以2，作为新的Q值；当e为0时，将当前P值加上Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为1；如果当前状态为

则将当前的Q值乘以2，作为新的Q值，并将状态转换为1；

若 $d_0=\stackrel{\‾}{1},$ 如果当前状态为0或1，则用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为

如果当前状态为11，则将当前的Q值乘以2，作为新的Q值，并将状态转换为1；如果当前状态为

则随机选取e值等于0或1，当e为1时，则用当前P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值；当e为0时，则将当前的P值加上Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为

如果当前状态为

则随机选取e值等于0或1，当e为1时，将当前的Q值乘以2，作为新的Q值；当e为0时，则用当前的P值减去Q值，作为新的P值，然后将当前的Q值乘以2，作为新的Q值，并将状态转换为

执行完上述一次完整的状态转换过程后，取

再重复上述状态转换过程，直至d′等于0为止，得到的返回值就是P＝kQ＝d′Q。