CN103441846A - 一种对p域的ecc算法选择明文侧信道能量分析方法 - Google Patents

Abstract

一种对P域的ECC算法选择明文侧信道能量分析方法，涉及到密码算法实现、侧信道能量分析等领域。本发明为了对ECC算法未加防御方法的实现和某些加入防御方法的实现进行侧信道能量分析，提出了一种新型的对素数域上的椭圆曲线基于选择明文的侧信道能量分析方法，使得ECC算法中标量乘的运算产生能量消耗差异，以获取密钥信息。技术方案要点是：所述方法包括以下步骤：(1)采集两组kP运算时的能量迹；(2)基于上步得到的能量迹进行侧信道能量分析，识别出隐藏的点加操作；(3)映射到能量迹上，实施侧信道能量分析，推断出k的密钥序列。本发明为对P域的ECC算法选择明文侧信道能量分析实施提供了理论依据。

Description

一种对P域的ECC算法选择明文侧信道能量分析方法

技术领域

本发明提供了一种对P域的ECC算法选择明文侧信道能量分析方法，涉及到密码算法实现、侧信道能量分析等领域。为了对椭圆曲线密码算法(ECC)进行侧信道能量分析，分析和获取受保护的密钥k，本发明提供了一种基于素数有限域F_p，针对椭圆曲线密码算法中kP标量运算的选择明文侧信道能量分析方法，即k保持不变，输入特殊点P进行能量分析，一种对P域的ECC算法选择明文侧信道能量分析方法。 

背景技术

自从20世纪80年代，Miller和Koblitz将椭圆曲线引入密码学，椭圆曲线在密码学中的作用越来越大。ECC算法基于椭圆曲线离散对数问题(ECDLP)：在一个循环群G中，g为生成元，且g的阶为n，对于给定的元素y＝g^x∈G，求x的值。令p为素数，F_p(包含p个元素)为模p的有限域，E(F_p)为域F_p上椭圆曲线E上所有点的集合。若点G∈E(F_p)，且G的阶n为素数，nG＝O(O为椭圆曲线E上的无穷远点)，则由G生成的循环群<G>＝{O，G，2G，…，(n-1)G}为E(F_p)的循环子群。在ECC算法中，素数p、域F_p上的椭圆曲线方程、基点G及阶n均为公开参数。 

有限域F_p的椭圆曲线为平面曲线，由满足Weierstrass方程：y²+a₁xy+a₃y＝x³+a₂x²+a₄x+a₆的点组成，其中a_i∈F_p，i∈{1，2，3，4，6}。本发明中有限域特征(char)F_p≠2，3，则Weierstrass方程可简化成y²＝x³+a₄x+a₆，此时有限域F_p上椭圆曲线E的点的集合为： 

E(F_p)＝{(x，y)|y²＝x³+a₄x+a₆，a₄，a₆∈F_p}∪{O}   (1) 

椭圆曲线上定义的加法运算使用弦切线法则，则E(F_p)为加法交换群，无穷远点O为单位元，P(x，y)+P(x，-y)＝O。对E(F_p)上两点P、Q之和P+Q，若P≠Q，连接P、Q的直线交E于点R′，则R′关于x轴的对称点R即为P+Q之和，称为点加运算(A)。若P＝Q，做P点的切线交E于点R′，则R′关于x轴的对称点R即为则2P，称为点倍运算(D)。由椭圆曲线上的点加和点倍的几何意义，可以推断出E(F_p)在仿射坐标下运算法则，具体如下： 

点加：令P＝(x₁，y₁)∈E(F_p)，Q＝(x₂，y₂)∈E(F_p)，且P≠Q，则R(x₃，y₃)＝P+Q， 

$x_3={\left(\frac{y_2-y_1}{x_2-x_1}\right)}^2-x_2-x_1---\left(2\right)$

$y_3=\left(\frac{y_2-y_1}{x_2-x_1}\right)(x_1-x_3)-y_1---\left(3\right)$

点倍：令P＝(x₁，y₁)∈E(F_p)，P≠-P，则R(x₃，y₃)＝2P， 

$x_3={\left(\frac{3x_1^2+a_4}{2y_1}\right)}^2-2x_1---\left(4\right)$

$y_3=\left(\frac{3x_1^2+a_4}{2y_1}\right)(x_1-x_3)-y_1---\left(5\right)$

由于仿射坐标系统中引入了无穷远点，才使椭圆曲线点集构成了加法群。仿射坐标下的椭圆曲线包含无穷远点，实现较为不便，另外在点加和点倍运算需要进行求逆运算，而一般情况下求逆运算要比乘法运算耗时得多，因此，ECC算法实际实现时，通常将仿射坐标映射成标准射影坐标、雅克比坐标及混合坐标等方式。 

设仿射坐标(x，y)映射为标准射影坐标(X，Y，Z)，则F_p上椭圆曲线方程在标准射影坐标系下可以简化为Y²Z＝X³+a₄XZ²+a₆Z³。若(x，y)∈E(F_p)， 且(x，y)≠O，Z∈F_p，且Z≠0，则X＝xZ，Y＝yZ。如(x，y)→(x，y，1)即为标准射影坐标值。若(x，y)＝O，则Z＝0，对应的标准射影坐标为(0，1，0)。将映射关系代入式(2)-(5)可得标准射影坐标的运算法则。 

点加：令P＝(X₁，Y₁，Z₁)，Q＝(X₂，Y₂，Z₂)，且P≠Q，A＝X₂Z₁-X₁Z₂，B＝Y₂Z₁-Y₁Z₂，C＝B²Z₁Z₂-A²(X₂Z₁+X₁Z₂)，则R(X₃，Y₃，Z₃)＝P+Q， 

X₃＝AC   (6) 

Y₃＝B(A²X₁Z₂-C)-A³Y₁Z₂   (7) 

Z₃＝A³Z₁Z₂   (8) 

点倍：令P＝(X₁，Y₁，Z₁)，且P≠-P，A＝a₄Z₁ ²+3X₁ ²，B＝Y₁Z₁，C＝X₁Y₁B，D＝A²-8C，则R(X₃，Y₃，Z₃)＝2P， 

X₃＝2BD   (9) 

Y₃＝A(4C-D)-8Y₁ ²B²   (10) 

Z₃＝8B³   (11) 

设仿射坐标(x，y)映射为雅克比坐标(X，Y，Z)，则F_p上椭圆曲线方程在标准射影坐标系下可以简化为Y²＝X³+a₄XZ⁴+a₆Z⁶。若(x，y)∈E(F_p)，且(x，y)≠0，Z∈F_p，且Z≠0，则X＝xZ²，Y＝yZ³。如(x，y)→(x，y，1)即为雅克比坐标值。若(x，y)＝O，则Z＝0，标准射影坐标为(1，1，0)。将映射关系代入式(2)-(5)可得雅克比坐标的运算法则。 

点加：今P＝(X₁，Y₁，Z₁)，Q＝(X₂，Y₂，Z₂)，且P≠Q，A＝X₂Z₁ ²-X₁Z₂ ²，B＝Y₂Z₁ ³-Y₁Z₂ ³，则R(X₃，Y₃，Z₃)＝P+Q， 

X₃＝B²-A²(X₂Z₁ ²+X₁Z₂ ²)   (12) 

$Y_3=\frac{B(A^2(X_1{Z_2}^2+X_2{Z_1}^2)-2X_3)-A^3(Y_1{Z_2}^3+Y_2{Z_1}^3)}{2}---\left(13\right)$

Z₃＝AZ₁Z₂   (14) 

点倍：令P＝(X₁，Y₁，Z₁)，且P≠-P，A＝3X₁ ²+a₄Z₁ ⁴，B＝X₁Y₁ ²，则R(X₃，Y₃，Z₃)＝2P， 

X₃＝A²-8B   (15) 

Y₃＝A(4B-X₃)-8Y₁ ⁴   (16) 

Z₃＝2Y₁Z₁   (17) 

雅克比-仿射坐标用于简化雅克比坐标中运算，对于运算中的两点P、Q，令其中一点Q的坐标为雅克比坐标Q(X，Y，Z)，另外P点坐标为仿射坐标P(x，y)，映射到雅克比坐标值为P(x，y)→P(x，y，1)，代入到雅克比坐标的运算法则，可简化整个运算过程。具体运算如下： 

点加：令Q＝(X₁，Y₁，Z₁)，P＝(x₂，y₂，1)，且P≠Q，A＝x₂Z₁ ²-X₁，B＝y₂Z₁ ³-Y₁，，则R(X₃，Y₃，Z₃)＝P+Q， 

X₃＝B²-2A²X₁-A³   (18) 

Y₃＝B(A²X₁-X₃)-A³Y₁   (19) 

Z₃＝AZ₁   (20) 

点倍：令P＝(x₁，y₁，1)，且P≠-P，A＝3x₁ ²+a₄，B＝x₁y₁ ²，则R(X₃，Y₃，Z₃)＝2P， 

X₃＝A²-8B   (21) 

Y₃＝A(4B-x₃)-8y₁ ⁴   (22) 

Z₃＝2y₁   (23) 

在ECC算法中，标量乘kP定义为k个相同点P之和，kP是ECC中与密钥相关的基本运算，侧信道能量分析通常针对kP进行。kP具有多种实现算法，其中最基本的是二进制算法。下表为kP的二进制算法，密钥比特的处理顺序从左到右： 

输入：k＝(k_n-1，…，k₁，k₀)₂(k_n-1＝1)，P∈E(F_p) 

输出：kP 

1.Q＝P 

2.i＝n-2到0，重复执行 

2.1Q＝2Q//点倍 

2.2若k_i＝1，则Q＝Q+P//点加 

3.返回(Q) 

本文中所介绍的方法以从左到右二进制算法为例进行说明，其他类似实现算法可参照推导得到。 

相比较RSA算法，ECC算法密钥长度短、计算数据量小、运算速度快、灵活性好，在没有协处理器的情况下，易于在芯片中实现。另外，目前还没有找到求解ECDLP问题的有效算法，因此在算法安全性上要远高于RSA算法。ECC密码算法基于其自身特点，在许多应用中取代了传统的RSA算法，因此研究其在算法实现上的安全性问题显得格外重要。 

近年来，多种对密码算法实现的侧信道攻击方法已广为人知，通常这些攻击的目标都是获取密码运算中的密钥。侧信道攻击通常可分为侵入式攻击、半侵入式攻击和非侵入式攻击。非侵入式攻击中的侧信道能量分析由于实施便捷、实施代价低而被广泛使用。侧信道能量分析基于密码算法实现的能量消耗与运算数据和执行的操作之间的相关性，通过分析采集到的能量迹，经统计分析而获取密码设备内部执行密码运算操作的相关信息。侧信道能量分析方法一般包括：简单能量分析(SPA)、差分能量分析(DPA)、相关能量分析(CPA)和高阶差分能量分析(HODPA)等。 

对于普通的标量乘二进制算法，由于点倍和点加运算的执行时间及能量消耗不一样，无法抵抗侧信道能量分析。攻击者可采集标量乘运算的能量迹进行侧信道能量分析，识别出点倍和点加运算，即可判断出实际运算的密钥比特序列。如：若能量迹中点倍后进行点加，则当前密钥比特值为1，若点倍后再进行点倍，则当前密钥比特为0。为了防御侧信道能量分析，密码算法实现通常会加入各种手段来隐藏点加和点倍运算的能量特征，比如标量乘运算过程使用相同的指令序列进行点加和点倍运算，此时使用通常的侧信道能量分析方法很难区分出点加和点倍运算，攻击者也无法获取密钥比特序列的相关信息。 

发明内容

为了对ECC算法未加防御方法的实现和某些加入防御方法的实现进行侧信道能量分析，本发明提出了一种新型的对素数域上的椭圆曲线基于选择明文的侧信道能量分析方法，使得ECC算法中标量乘的点加和点倍运算产生明显的能量消耗差异，以获取密钥信息。 

所述方法包括以下步骤：(1)采集两组kP运算时的能量迹，第一组获得能量迹矩阵为 $W(N\&times;T)=\left(\begin{array}{ccc}{E}_{\mathrm{1,1}}& ...& E_{1,T}\\ .& & .\\ .& E_{n,t}& .\\ .& & .\\ E_{N,1}& ...& E_{N,T}\end{array}\right),$ 第二组获得能量迹矩阵为  $W^{\&prime;}(N\&times;T)=\left(\begin{array}{ccc}{E}_{\mathrm{1,1}}^{\&prime;}& ...& E_{1,T}^{\&prime;}\\ .& & .\\ .& E_{n,t}^{\&prime;}& .\\ .& & .\\ E_{N,1}^{\&prime;}& ...& E_{N,T}^{\&prime;}\end{array}\right);$ (2)基于上步得到的能量迹进行侧信道能量分析，识别出隐藏的点加操作；(3)由上步中点加运算中存在差异部分，映射到能量迹上，对能量迹进行处理分析，分别对上述采集的两组能量迹矩阵W和W′求均值，得到平均能量迹AVE＝(a₁，…，a_t，…，a_T)和  ${\mathrm{AVE}}^{\&prime;}=(a_1^{\&prime;},...,a_t^{\&prime;},...,a_T^{\&prime;})$ 其中 $a_t=\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}{E}_{n,t}/N,$ $a_t^{\&prime;}=\underset{n=1}{\overset{N}{\mathrm{\&Sigma;}}}{E}_{n,t}^{\&prime;}/N,$ 对两条平均能量迹AVE和AVE′进行比较，ΔAVE＝|AVE-AVE′|＝(Δa₁，…，Δa_t，，…，Δa_T)，若出现某些Δa_m～Δa_n段相比其他时间点的平均差值都大，即可判断该部分为构造坐标y₁直接参与影响的运算，继而区分出能量迹上的点加运算，根据二进制点乘算法，就可以推断出k的密钥序列。 

所述的步骤(1)中仿射坐标下具体过程是采集两组能量迹集，每组各为N条，每条能量迹的输入点P各不相同，P点坐标随机选择，第1组中选择的输入点P满足P(x₁，y₁)∈{(x，y)|(x，y)∈E(F_p)，0＜y＜p/2}，第2组中选择的输入点P满足P(x₁，y₁)∈{(x，y)|(x，y)∈E(F_p)，p/2＜y＜p}。 

所述的步骤(2)中仿射坐标下ECC的能量分析的具体过程是：在二进制算法点加运算Q＝Q+P中，P(x₁，y₁)为选择明文输入，Q(x₂，y₂)由P(x₁，y₁)经过多次点加和点倍得到，由式 

$x_3={\left(\frac{y_2-y_1}{x_2-x_1}\right)}^2-x_2-x_1---\left(2\right)$

$y_3=\left(\frac{y_2-y_1}{x_2-x_1}\right)(x_1-x_3)-y_1---\left(3\right)$

点加公式可得P+Q＝(x₃，y₃)的分步计算式： 

A₁＝y₂-y₁；A₂＝x₂-x₁；

M₁＝A₁×I；

A₃＝M₂-x₁； 

x₃＝A₃-x₂；A₅＝x₁-x₃；M₃＝M₁×A₅；y₃＝M₃-y₁    (24) 

式(24)共需要进行1次模逆，3次域乘法，6次域加法，其中，y₁直接参与运算为第1步A₁，并且A₁的运算结果参与到第4步M₁中， 

构造相同数量的两组具有不同y₁坐标的P点输入，其中一组的 

另外一组的

y₁分别在区间(0，p/2)、(p/2，p)内随机分 布，由于y₂经过多次域上运算得到，可视为在(0，p)范围内随机分布，对A₁运算步骤的实现通常会对A₁的输出结果进行正负检查，然后将负值通过加上p调整为正值，在这种情况下如果A₁运算结果为负，则运算过程中会增加一个加法操作，从而造成能量消耗的差异，分析如下： 

当 $0<y_1<\frac{1}{2}p$ 时： 

$\left.\begin{array}{c}P(-p/2<A_1<0)=\frac{1}{4}\\ P(0<A_1<p/2)=\frac{1}{2}\\ P(p/2<A_1<p)=\frac{1}{4}\end{array}\right\}\&DoubleRightArrow;P(A_1<0)=\frac{1}{4},P(A_1>0)=\frac{3}{4}$

当 $\frac{1}{2}p<y_1<p$ 时： 

$\left.\begin{array}{c}P(-p<A_1<-p/2)=\frac{1}{4}\\ P(-p/2<A_1<0)=\frac{1}{2}\\ P(0<A_1<p/2)=\frac{1}{4}\end{array}\right\}\&DoubleRightArrow;P(A_1<0)=\frac{3}{4},P(A_1>0)=\frac{1}{4}$

即当

时，A₁运算步骤的平均能量消耗将大于

时的平均能量消耗，通过对能量迹上不同能量消耗的判断，即可以识别出隐藏的点加操作，从而判断密钥比特。 

所述的步骤(1)中标准射影坐标下具体过程是采集两组能量迹集，每组各为N条，每条能量迹的输入点P各不相同，P点坐标随机选择，第1组中选择的输入点P满足P(X₁，Y₁，Z₁)Y₁∈{(X，Y，Z)∈E(F_p)，0＜Y＜p/2}，第2组中选择的输入点P满足P(X₁，Y₁，Z₁)Y₁∈{(X，Y，Z)∈E(F_p)，p/2＜Y＜p}。 

所述的步骤(2)中标准射影坐标下ECC的能量分析的具体过程是： 在标准射影坐标下，由仿射坐标(x，y)与标准射影坐标(X，Y，Z)的映射关系(x，y)→(X＝xZ，Y＝yZ，Z)，X，Y，ZF_p，可知P(x₁，y₁)→P(X₁，Y₁，Z₁)、Q(x₂，y₂)→Q(X₂，Y₂，Z₂)，根据式 

X₃＝AC    (6) 

Y₃＝B(A²X₁Z₂-C)-A³Y₁Z₂    (7) 

Z₃＝A³Z₁Z₂    (8) 

可得标准射影坐标点加P+Q＝R(X₃，Y₃，Z₃)的分布运算式： 

λ₁＝X₂Z₁；λ₂＝X₁Z₂；λ₃＝λ₁-λ₂；λ₄＝Y₂Z₁；λ₅＝Y₁Z₂； 

λ₆＝λ₄-λ₅；λ₇＝λ₁+λ₂；λ₈＝Z₁Z₂；

    (28) 

X₃＝λ₃λ₁₁；Y₃＝λ₆(λ₉λ₂-λ₁₁)-λ₁₀λ₅； 

Z₃＝λ₁₀λ₈

式(28)共使用了15次域乘法和6次域加法。Y₁＝y₁Z₁modp，Z₁为固定值c₁，通常设置为1，y₁间接参与λ₅＝Y₁Z₂modp乘法运算，由此，可构造相同数量的两组具有不同Y₁＝y₁Z₁modp坐标的P点输入，其中一组的 

另外一组的

由于Z₂经过多次域上运算得到，可视为在(0，p)范围内随机分布，对大量不同的kP运算，由于Z₁固定，有： 

$E\left(Y_1\right)=E\left(y_1{Z}_1\mathrm{mod}p\right|y_1{Z}_1\mathrm{mod}p<\frac{1}{2}p)=\frac{1}{4}p$

$E\left(Y_1\right)=E\left(y_1{Z}_1\mathrm{mod}p\right|\frac{1}{2}p<y_1{Z}_1\mathrm{mod}p)=\frac{3}{4}p$

当

时，多次λ₅＝Y₁Z₂的平均运算复杂度为： 

当

时，多次λ₅＝Y₁Z₂的平均运算复杂度为： 

其中，

为的四舍五入整数值，lbx＝log₂x，r为p的比特长度。 

λ₅＝Y₁Z₂的运算复杂度的差异为

与消耗的能量差异直接相关，分别通过对Y₁坐标处于区间(0，p/2)和(p/2，p)的P点的λ₅＝Y₁Z₂运算的能量消耗进行观察，并对大量能量迹分别求均值后进行比较，即可推断出隐藏的点加操作，同时，由于点倍运算的中间点Q始终变化，点倍运算中涉及到Q点Y₂坐标的操作消耗的能量不会出现统计特性。 

所述的步骤(1)中雅克比坐标下具体过程是采集两组能量迹集，每组各为N条，每条能量迹的输入点P各不相同，P点坐标随机选择，第1组中选择的输入点P满足P(X₁，Y₁，Z₁)Y₁∈{(X，Y，Z)∈E(F_p)，0＜Y＜p/2}，第2组中选择的输入点P满足P(X₁，Y₁，Z₁)Y₁∈{(X，Y，Z)∈E(F_p)，p/2＜Y＜p}。 

所述的步骤(2)中雅克比坐标下ECC的能量分析的具体过程是：在雅克比坐标下，由仿射坐标(x，y)与雅克比坐标(X，Y，Z)的映射关系(x，y)→(X＝xZ²，Y＝yZ³，Z)，X，Y，Z∈F_p，可知P(x₁，y₁)→P(X₁，Y₁，Z₁)、Q(x₂，y₂)→Q(X₂，Y₂，Z₂)，根据式 

X₃＝B²-A²(X₂Z₁ ²+X₁Z₂ ²)    (12) 

$Y_3=\frac{B(A^2(X_1{Z_2}^2+X_2{Z_1}^2)-2X_3)-A^3(Y_1{Z_2}^3+Y_2{Z_1}^3)}{2}---\left(13\right)$

可得雅克比坐标点加P+Q＝R(X₃，Y₃，Z₃)运算步骤： 

λ₃＝X₂Z₁ ²，λ₂＝X₁Z₂ ²，λ₃＝λ₁-λ₂，λ₄＝Y₂Z₁ ³，λ₅＝Y₁Z₂ ³， 

λ₆＝λ₄-λ₅，λ₇＝λ₁+λ₂，λ₈＝λ₄+λ₅，X₃＝λ₆ ²-λ₇λ₃ ²，   (29) 

λ₉＝λ₇λ₃ ²-2X₃，

Z₃＝λ₃Z₁Z₂

式(29)共使用了16次域乘法和7次域加法。Y₁＝Y₁Z₁ ³modp，Z₁为固定 值c₁，y₁间接参与λ₅＝Y₁Z₂ ³modp乘法运算，由此，可构造相同数量的两组具有不同Y₁＝y₁Z₁ ³modp坐标的P点输入，其中一组的另外一组的

由于Z₂ ³经过多次域上运算得到，可视为在(0，p)范围内随机分布。 

当时，多次λ₅＝Y₁Z₂ ³的平均运算复杂度为： 

当

时，多次λ₅＝Y₁Z₂ ³的平均运算复杂度为： 

λ₅＝Y₁Z₂ ³的运算复杂度的差异为

与消耗的能量差异直接相关，分别通过对Y₁坐标处于区间(0，p/2)和(p/2，p)的P点的λ₅＝Y₁Z₂ ³运算的能量消耗进行观察，并对大量能量迹分别求均值后进行比较，即可推断出隐藏的点加操作，同时，由于点倍运算的中间点Q始终变化，点倍运算中涉及到Q点Y₂坐标的操作消耗的能量不会出现统计特性。 

所述的步骤(1)中雅克比-仿射坐标下具体过程是采集两组能量迹集，每组各为N条，每条能量迹的输入点P各不相同，P点坐标随机选择，第1组中选择的输入点P满足P(x₁，y₁)∈{(x，y)|(x，y)∈E(F_p)，0＜y＜p/2}，第2组中选择的输入点P满足P(x₁，y₁)∈{(x，y)|(x，y)∈E(F_p)，p/2＜y＜p}。 

所述的步骤(2)中雅克比-仿射坐标下ECC的能量分析的具体过程是：雅克比-仿射坐标点加中的Q(x₂，y₂)→Q(X₂，Y₂，Z₂)为雅克比坐标，P(x₁，y₁)为仿 射坐标，映射为雅克比坐标P(X，Y，Z)＝P(x₁，y₁，1)，根据式 

X₃＝B²-2A²X₁-A³    (18) 

Y₃＝B(A²X₁-X₃)-A³Y₁    (19) 

可得雅克比-仿射坐标点加P+Q＝R(X₃，Y₃，Z₃)运算迭代式： 

λ₁＝x₁Z₂ ²；λ₂＝X₂-λ₁；λ₃＝y₁Z₂ ³；λ₄＝Y₂-λ₃；Z₃＝λ₂Z₂； 

λ₅＝λ₂ ²；λ₆＝λ₂λ₅；λ₇＝X₂λ₅；X₃＝λ₄ ²-2λ₇+λ₆；    (30) 

λ₈＝λ₇-X₃；Y₃＝λ₈λ₄-λ₆Y₂

式(30)共使用了11次域乘法和6次域加法，y₁直接参与第3步λ₃＝y₁Z₂ ³modp乘法运算，由此，可构造相同数量的两组具有不同y₁坐标的P点输入，其中一组的

另外一组的

由于

经过多次域上运算得到，可视为在(0，p)范围内随机分布。 

当

时，多次λ₃＝y₁Z₂ ³的平均运算复杂度为： 

当

时，多次λ₃＝y₁Z₂ ³的平均运算复杂度为： 

λ₃＝y₁Z₂ ³的运算复杂度的差异为

与消耗的能量差异直接相关，分别通过对y₁坐标处于区间(0，p/2)和(p/2，p)的P点的λ₃＝y₁Z₂ ³运算的能量消耗进行观察，并对大量能量迹分别求均值后进行比较，即可推断出隐藏的点加操作，同时，由于点倍运算的中间点Q始终变化，点倍运算中涉及到Q点Y₂坐标的操作消耗的能量不会出现统计特性。 

所述的二进制算法运算如下，其中密钥比特的处理顺序从左到右： 

输入：k＝(k_n-1，…，k₁，k₀)₂(k_n-1＝1)，P∈E(F_p) 

输出：kP 

(1)Q＝P 

(2)i＝n-2到0，重复执行 

(2.1)Q＝2Q//点倍 

(2.2)若k_i＝1，则Q＝Q+P//点加 

(3)返回(Q) 

所述的式(24)的具体迭代步骤如下： 

(1)T₁＝y₂-y₁(2)T₂＝x₂-x₁(3)T₂＝T₂ ^-1(4)T₂＝T₁T₂ ^-1(5)x₃＝T₂ ²

(6)x₃＝x₃-x₁(7)x₃＝x₃-x₂(8)T₁＝x₁-x₃(9)y₃＝T₁T₂(10)y₃＝y₃-y₁

所述的式(28)的具体迭代步骤如下： 

(1)T₁＝X₂Z₁(2)T₂＝X₁Z₂(3)T₃＝T₁-T₂(4)T₄＝Y₂Z₁(5)T₅＝Y₁Z₂(6)T₄＝T₄-T₅(7)T₆＝T₃ ²(8)T₁＝T₁+T₂(9)T₁＝T₆T₁(10)T₇＝Z₁Z₂(11)C＝T₄ ²(12)C＝CT₇(13)C＝C-T₁(14)X₃＝T₃C(15)T₂＝T₂T₆(16)T₆＝T₆T₃(17)T₅＝T₆T₅(18)Y₃＝T₂-C(19)Y₃＝Y₃T₄(20)T₃＝Y₃-T₅(21)Z₃＝T₆T₇

所述的式(29)的具体迭代步骤如下： 

(1)T₁＝Z₁ ²(2)T₂＝T₁X₂(3)T₃＝Z₂ ²(4)T₄＝T₃X₁(5)T₅＝T₂-T₄(6)T₁＝T₁Z₁(7)T₁＝T₁Y₂(8)T₃＝T₃Z₂(9)T₃＝T₃Y₁(10)T₆＝T₁-T₃(11)T₂＝T₂+T₄(12)T₄＝T₅ ²(13)T₂＝T₂T₄(14)X₃＝T₆ ²(15)X₃＝X₃-T₂(16)T₄＝T₄T₅(17)T₁＝T₁+T₃(18)T₄＝T₄T₁(19)Y₃＝T₂-2X₃(20)Y₃＝Y₃T₆(21)

(22)Z₃＝Z₁Z₂(23)Z₃＝Z₃T₅

所述的式(30)的具体迭代步骤如下： 

(1)T₁＝Z₂ ²(2)T₂＝T₁Z₂(3)T₁＝x₁T₁(4)T₂＝y₁T₂(5)T₁＝X₂-T₁(6)T₂＝Y₂-T₂(7)Z₃＝T₁Z₂(8)T₃＝T₁ ²(9)T₄＝T₁T₃(10)T₃＝T₃X₂(11)T₁＝2T₃(12)X₃＝T₂ ²(13)X₃＝X₃-T₁(14)X₃＝X₃+T₄(15)T₃＝T₃-X₃(16)T₃＝T₃T₂(17)T₄＝T₄Y₂(18)Y₃＝T₃-T₄

对于使用相同的指令序列进行点加和点倍运算的密码模块，仅通过常用的侧信道能量分析方法很难区分出点加和点倍运算，本发明创新性地提出选择明文侧信道分析方法，简单可行。 

本发明有如下优点： 

(1)本发明针对隐藏功耗特征的ECC算法实现，创新地提出了选择明文的侧信道能量分析方法，使用本发明提出的新方法能够更有效、全面地对ECC密码算法实现进行侧信道能量分析； 

(2)本发明通过分析算法运算中的功耗泄漏点，采集大量的能量迹求均值进行比较，即可分析出正确密钥，方法简单、易行，攻击成功率高。 

(3)本发明在4种常用坐标的点加运算都可以实现选择明文侧信道分析，方法全面，可行性强。 

附图说明

图1为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法的椭圆曲线上点加运算几何表示图； 

图2为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法的椭圆曲线上点倍运算几何表示图； 

图3为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法 的选择明文侧信道能量分析流程； 

图4为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法的仿射坐标下，k＝7时软件实现的kP运算采集到的功耗整体轮廓。 

图5为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法的仿射坐标下，k＝7时软件实现的kP运算点加运算的功耗特征。 

图6为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法的仿射坐标下，k＝7时软件实现的kP平均向量重叠后的波形及部分放大图。 

图7为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法的雅克比-仿射坐标下，k＝7时kP运算功耗的整体轮廓。 

图8为本发明的一种对P域的ECC算法选择明文侧信道能量分析方法的雅克比-仿射坐标下，k＝7时kP运算中点加运算的功耗波形。 

具体实施方式

下面结合实施例对本发明做进一步地说明： 

本发明以仿射坐标、雅克比-仿射坐标下的能量分析为例，其他坐标下的能量分析与其一致。 

仿射坐标系下ECC软件实现的选择明文能量分析 

令kP运算中的k＝7，整个运算的顺序为点倍-点加-点倍-点加。任意选取P(x，y)∈{(x，y)|(x，y)∈E(F_p)，0＜y＜p/2}，采集1200条整个运算的功耗能量迹集(即W)；任意选取P(x，y)∈{(x，y)|(x，y)∈E(F_p)，p＞y＞p/2}，采集1200条整个运算的功耗能量迹集(即W′)。 

对能量迹进行信号处理后，分别对两组能量迹集求平均值，获得两条 能量迹向量AVE和AVE′。图4为平均向量的整体轮廓，无法区分出点加和点倍运算。由密钥可知点加为第2次和第4次，放大波形如图5所示。 

将AVE和AVE′进行重叠分析对比，图6中具有较高值的波形是y＞p/2的平均能量迹。由此可证明通过对P坐标的构造，可以使ECC算法中的点加部分显示出较大的能量迹区分度，从而识别ECC密钥运算中的点加步骤，恢复密钥。 

雅克比-仿射坐标下ECC硬件实现的选择明文能量分析 

同理，令kP运算中的k＝7，整个运算的顺序为点倍-点加-点倍-点加。任意选取P(x，y)∈{(x，y)|(x，y)∈E(F_P)，0＜y＜p/2}，采集2500条整个运算的功耗能量迹集(即W)；任意选取P(x，y)∈{(x，y)|(x，y)∈E(F_P)，p＞y＞p/2}，，采集2500条整个运算的功耗能量迹集(即W′)，整体功耗轮廓如图7所示，包括两次点加点倍，图8为点加部分的放大图，共包括11个峰值，主要体现了11个乘法运算的功耗特征。 

对能量迹进行信号处理后，分别对两组能量迹集求平均值，获得两条能量迹向量AVE和AVE′。 

将AVE和AVE′进行重叠分析对比，由于硬件实现的ECC算法对不同y值P点的点加运算能量消耗特征不明显，无法靠肉眼直接判断，在此统计对第二次点加运算中涉及的11次模乘运算分别的能量消耗值的差异。统计值如下表所示，在雅克比-仿射坐标ECC硬件实现的点加运算步骤中，由于选择明文P点的y坐标直接参与第4次模乘，通过对不同y坐标的构造，在模乘运算消耗的能量中体现了与其它模乘较大的能量消耗差异，由此可以识别出kP运算中的点加运算，进而推断出密钥比特。 

模乘编号	＜p/2点的能量消耗	＞p/2点的能量消耗	能量消耗的差异
				M1	34.210846	34.193375	-0.0005
M2	31.65519	31.637566	-0.0006
				M3	27.302038	27.287497	-0.0005
M4	28069105	28.11611	0.00117
				M5	27.62477	27.602726	-0.0008
M6	29.530966	29.529814	0.0000
				M7	29.179401	29.16139	-0.0006
M8	29.386608	29.377132	-0.0003
				M9	24.827814	24.828201	0.0000
M10	28.08244	28.05752	-0.0009
				M11	30.13278	30.14534	0.0004

点加运算采用不同输入点的能耗差异 。

Claims (7)

1.一种对P域的ECC算法选择明文侧信道能量分析方法，其特征在于，所述方法包括以下步骤：(1)采集两组kP运算时的能量迹，第一组获得能量迹矩阵为

第二组获得能量迹矩阵为 (2)基于上步得到的能量迹进行侧信道能量分析，识别出隐藏的点加操作；(3)由上步中点加运算中存在差异部分，映射到能量迹上，对能量迹进行处理分析，分别对上述采集的两组能量迹矩阵W和W′求均值，得到平均能量迹AVE＝(a₁，…，a_t，…，a_T)和AVE′＝(a′₁，…，a′_t，…，a′_T)其中

对两条平均能量迹AVE和AVE′进行比较，ΔAVE＝|AVE-AVE′|＝(Δa₁，…，Δa_t，，…，Δa_T)，若出现某些Δa_m～Δa_n段相比其他时间点的平均差值都大，即判断该部分为构造坐标y₁直接参与影响的运算，继而区分出能量迹上的点加运算，根据二进制点乘算法，就可以推断出k的密钥序列。 

2.根据权利要求1所述的一种对P域的ECC算法选择明文侧信道能量分析方法，其特征在于，步骤(1)具体过程是采集两组能量迹集，每组各为N条，每条能量迹的输入点P各不相同，P点x坐标随机选择，一个x坐标对应两个不同的y坐标，且这两个y相加等于P，利用这一特性可构造选择明文，在仿射坐标下和雅克比-仿射混合坐标下，第1组中选择的输入点P满足P(x₁，y₁)∈{(x，y)|(x，y)∈E(F_p)，0＜y＜p/2}，第2组中选择的输入点P满足P(x₁，y₁)∈{(x，y)|(x，y)∈E(F_p)，p/2＜y＜p}；在标准射影坐标和雅克比坐标下，第1组中选择的输入点P满足P(X₁，Y₁，Z₁)Y₁∈{(X，Y，Z)∈E(F_p)，0＜Y＜p/2}，第2组中选择的输入点P满足P(X₁，Y₁，Z₁)Y₁∈{(X，Y，Z)∈E(F_p)，p/2＜Y＜p}。 

3.根据权利要求1所述的一种对P域的ECC算法选择明文侧信道能量分析方法，其特征在于，步骤(2)中仿射坐标下ECC的能量分析的具体过程是：在二进制算法点加运算Q＝Q+P中，P(x₁，y₁)为选择明文输入，Q(x₂，y₂)由P(x₁，y₁)经过多次点加和点倍得到，由式 

点加公式可得P+Q＝(x₃，y₃)的分步计算式： 

A₁＝y₂-y₁；A₂＝x₂-x₁；

M₁＝A₁×I；

A₃＝M₂-x₁；  (3) 

x₃＝A₃-x₂；A₅＝x₁-x₃；M₃＝M₁×A₅；y₃＝M₃-y₁

式(3)共需要进行1次模逆，3次域乘法，6次域加法，其中，y₁直接参与运算为第1步A₁，并且A₁的运算结果参与到第4步M₁中， 

构造相同数量的两组具有不同y₁坐标的P点输入，其中一组的 

另外一组的

y₁分别在区间(0，p/2)、(p/2，p)内随机分布，由于y₂经过多次域上运算得到，视为在(0，p)范围内随机分布，对A₁运算步骤的实现通常会对A₁的输出结果进行正负检查，然后将负值通过加上p调整为正值，在这种情况下如果A₁运算结果为负，则运算过程中会增加一个加法操作，从而造成能量消耗的差异，分析如下： 

当

时： 

当时： 

即当

时，A₁运算步骤的平均能量消耗将大于

时的平均能量消耗，通过对能量迹上不同能量消耗的判断，能够识别出隐藏的点加操作，从而判断密钥比特。 

4.根据权利要求1所述的一种对P域的ECC算法选择明文侧信道能量分析方法，其特征在于，步骤(2)中标准射影坐标下ECC的能量分析的具体过程是：在标准射影坐标下，由仿射坐标(x，y)与标准射影坐标(X，Y，Z)的映射关系(x，y)→(X＝xZ，Y＝yZ，Z)，X，Y，Z∈F_p，得到P(x₁，y₁)→P(X₁，Y₁，Z₁)、Q(x₂，y₂)→Q(X₂，Y₂，Z₂)，根据式 

X₃＝AC  (4) 

Y₃＝B(A²X₁Z₂-C)-A³Y₁Z₂  (5) 

Z₃＝A³Z₁Z₂  (6) 

得标准射影坐标点加P+Q＝R(X₃，Y₃，Z₃)的分布运算式： 

λ₁＝X₂Z₁；λ₂＝X₁Z₂；λ₃＝λ₁-λ₂；λ₄＝Y₂Z₁；λ₅＝Y₁Z₂； 

λ₆＝λ₄-λ₅；λ₇＝λ₁+λ₂；λ₈＝Z₁Z₂；λ₁₀＝λ₉λ₃；(7) 

X₃＝λ₃λ₁₁；Y₃＝λ₆(λ₉λ₂-λ₁₁)-λ₁₀λ₅； 

Z₃＝λ₁₀λ₈

式(7)共使用了15次域乘法和6次域加法。Y₁＝y₁Z₁modp，Z₁为固定值c₁，通常设置为1，y₁间接参与λ₅＝Y₁Z₂modp乘法运算，由此构造相同数量的两组具有不同Y₁＝y₁Z₁坐标的P点输入，其中一组的

另外一组的由于Z₂经过多次域上运算得到，视为在(0，p)范围内随机分布，对大量不同的kP运算，有： 

当

时，多次λ₅＝Y₁Z₂的平均运算复杂度为： 

当

时，多次λ₅＝Y₁Z₂的平均运算复杂度为： 

其中，

为

的四舍五入整数值，lbx＝log₂x，r为p的比特长度，λ₅＝Y₁Z₂的运算复杂度的差异为

与消耗的能量差异直接相关，分别通过对Y₁坐标处于区间(0，p/2)和(p/2，p)的P点的λ₅＝Y₁Z₂运算的能量消耗进行观察，并对大量能量迹分别求均值后进行比较，推断出隐藏的点加操作，同时，由于点倍运算的中间点Q始终变化，点倍运算中涉及到Q点Y₂坐标的操作消耗的能量不会出现统计特性。 

5.根据权利要求1所述的一种对P域的ECC算法选择明文侧信道能量分析方法，其特征在于，步骤(2)中雅克比坐标下ECC的能量分析的具体过程是：在雅克比坐标下，由仿射坐标(x，y)与雅克比坐标(X，Y，Z)的映射关系(x，y)→(X＝xZ²，Y＝yZ³，Z)，X，Y，Z∈F_p，可知P(x₁，y₁)→P(X₁，Y₁，Z₁)、Q(x₂，y₂)→Q(X₂，Y₂，Z₂)，根据式 

X₃＝B²-A²(X₂Z₁ ²+X₁Z₂ ²)  (8) 

得到雅克比坐标点加P+Q＝R(X₃，Y₃，Z₃)运算步骤： 

λ₁＝X₂Z₁ ²；λ₂＝X₁Z₂ ²；λ₃＝λ₁-λ₃；λ₄＝Y₂Z₁ ³；λ₅＝Y₁Z₂ ³； 

λ₆＝λ₄-λ₅；λ₇＝λ₁+λ₂；λ₈＝λ₄+λ₅；

Z₃＝λ₃Z₁Z₂

式(10)共使用了16次域乘法和7次域加法，Y₁＝y₁Z₁ ³modp，Z₁为固定值c₁，y₁间接参与λ₅＝Y₁Z₂ ³modp乘法运算，由此构造相同数量的两组具有不同

坐标的P点输入，其中一组的

另外一组的 

由于Z₂ ³经过多次域上运算得到，可视为在(0，p)范围内随机分布， 

当

时，多次λ₅＝Y₁Z₂ ³的平均运算复杂度为： 

当

时，多次λ₅＝Y₁Z₂ ³的平均运算复杂度为： 

λ₅＝Y₁Z₂ ³的运算复杂度的差异为

与消耗的能量差异直接相关，分别通过对Y₁坐标处于区间(0，p/2)和(p/2，p)的P点的λ₅＝Y₁Z₂ ³运算的能量消耗进行观察，并对大量能量迹分别求均值后进行比较，能够推断出隐藏的点加操作，同时，由于点倍运算的中间点Q始终变化，点倍运算中涉及到Q点Y₂坐标的操作消耗的能量不会出现统计特性。 

6.根据权利要求1所述的一种对P域的ECC算法选择明文侧信道能量分析方法，其特征在于，步骤(2)中雅克比-仿射坐标下ECC的能量分析的具体过程是：雅克比-仿射坐标点加中的Q(x₂，y₂)→Q(X₂，Y₂，Z₂)为雅克比坐标，P(x₁，y₁)为仿射坐标，映射为雅克比坐标P(X，Y，Z)＝P(x₁，y₁，1)，根据式 

X₃＝B²-2A²X₁-A³  (11) 

Y₃＝B(A²X₁-X₃)-A³Y₁  (12) 

得到雅克比-仿射坐标点加P+Q＝R(X₃，Y₃，Z₃)运算迭代式： 

λ₁＝x₁Z₂ ²；λ₂＝X₂-λ₁；λ₃＝y₁Z₂ ³；λ₄＝Y₂-λ₃；Z₃＝λ₂Z₂； 

λ₅＝λ₂ ²；λ₆＝λ₂λ₅；λ₇＝X₂λ₅；X₃＝λ₄ ²-2λ₇+λ₆；   (13) 

λ₈＝λ₇-X₃；Y₃＝λ₈λ₄-λ₆Y₂

式(13)共使用了11次域乘法和6次域加法，y₁直接参与第3步λ₃＝y₁Z₂ ³域乘法运算，由此，可构造相同数量的两组具有不同y₁坐标的P点输入，其中一组的另外一组的

由于

经过多次域上运算得到，可视为在(0，p)范围内随机分布， 

当

时，多次λ₃＝y₁Z₂ ³的平均运算复杂度为： 

当

时，多次λ₃＝y₁Z₂ ³的平均运算复杂度为： 

λ₃＝y₁Z₂ ³的运算复杂度的差异为

与消耗的能量差异直接相关，分别通过对y₁坐标处于区间(0，p/2)和(p/2，p)的P点的λ₃＝y₁Z₂ ³运算的能量消耗进行观察，并对大量能量迹分别求均值后进行比较，能够推断出隐藏的点加操作，同时，由于点倍运算的中间点Q始终变化，点倍运算中涉及到Q点Y₂坐标的操作消耗的能量不会出现统计特性。 

7.根据权利要求3、4、5或6所述的一种对P域的ECC算法选择明文侧信道能量分析方法，其特征在于，式(24)的具体迭代步骤如下： 

(1)T₁＝y₂-y₁(2)T₂＝x₂-x₁(3)T₂＝T₂ ^-1(4)T₂＝T₁T₂ ^-1(5)x₃＝T₂ ²

(6)x₃＝x₃-x₁(7)x₃＝x₃-x₂(8)T₁＝x₁-x₃(9)y₃＝T₁T₂(10)y₃＝y₃-y₁

式(28)的具体迭代步骤如下： 

(1)T₁＝X₂Z₁(2)T₂＝X₁Z₂(3)T₃＝T₁-T₂(4)T₄＝Y₂Z₁(5)T₅＝Y₁Z₂(6)T₄＝T₄-T₅(7)T₆＝T₃ ²(8)T₁＝T₁+T₂(9)T₁＝T₆T₁(10)T₇＝Z₁Z₂(11)C＝T₄ ²(12)C＝CT₇(13)C＝C-T₁(14)X₃＝T₃C(15)T₂＝T₂T₆(16)T₆＝T₆T₃(17)T₅＝T₆T₅(18)Y₃＝T₂-C(19)Y₃＝T₃T₄(20)T₃＝Y₃-T₅(21)Z₃＝T₆T₇

式(29)的具体迭代步骤如下： 

(1)T₁＝Z₂ ²(2)T₂＝T₁X₂(3)T₃＝Z₁ ²(4)T₄＝T₃X₁(5)T₅=T₂-T₄(6)T₁＝T₁Z₂(7)T₁＝T₁Y₂(8)T₃＝T₃Z₁(9)T₃＝T₃Y₁(10)T₆＝T₁-T₃(11)T₂＝T₂+T₄(12)T₄＝T₅ ²(13)T₂＝T₂T₄(14)X₃＝T₆ ²(15)X₃＝X₃-T₂(16)T₄＝T₄T₅(17)T₁＝T₁+T₃(18)T₄＝T₄T₁(19)Y₃＝T₂-2X₃(20)Y₃＝Y₃T₅

(22)Z₃＝Z₁Z₂(23)Z₃＝Z₃T₅

式(30)的具体迭代步骤如下： 

(1)T₁＝Z₂ ²(2)T₂＝T₁Z₂(3)T₁＝x₁T₁(4)T₂＝y₁T₂(5)T₁＝X₂-T₁(6)T₂＝Y₂-T₂(7)Z₃＝T₁Z₂(8)T₃＝T₁ ²(9)T₄＝T₁T₃(10)T₃＝T₃X₂(11)T₁＝2T₃(12)X₃＝T₂ ²(13)X₃＝X₃-T₁(14)X₃＝X₃+T₄(15)T₃＝T₃-X₃(16)T₃＝T₃T₂(17)T₄＝T₄Y₂(18)T₃＝T₃-T_4。

Images