CN105610583A - 用于抵御错误曲线攻击的ecdsa方法 - Google Patents

Abstract

本发明公开了一种用于抵御错误曲线攻击的ECDSA方法，步骤一，随机选择k∈[1，n-1]；步骤二，取椭圆曲线的随机一点R，计算M＝R+kP；步骤三，计算M-R＝(x₁，y₁)，之后把x₁转化为整数；步骤四，计算r＝x₁mod？n，如果r＝0，那么跳回步骤一；步骤五，计算e＝H(m)，其中，H(x)为哈希函数；步骤六，计算s＝k^-1(e+dr)mod？n，如果s＝0，那么跳回步骤一；步骤七，输出签名对(r，s)。本发明可以有效地防止攻击者在ECDSA中通过错误曲线攻击获取用户的私钥。

Description

用于抵御错误曲线攻击的ECDSA方法

技术领域

本发明涉及信息安全领域，特别是涉及一种用于抵御错误曲线攻击的ECDSA(椭圆曲线数字签名算法)方法。

背景技术

椭圆曲线数字签名算法(ECDSA)理论介绍。数字签名对应于手写签名的数字化，可以提供数据来源认证、具有数据完整性及不可否认性的特点。椭圆曲线数字签名算法就是数字签名的椭圆曲线版本。ECDSA具体流程如下：

输入参数组D＝(q，FR，S，a，b，P，n，h)，私钥d，消息m。其中，q为域的阶，FR为域表示，S为种子，a，b为椭圆曲线参数，P为基点，n为点P的阶，h为余因子。

输出签名对(r，s)。

第1步、随机选择k∈[1，n-1]。

第2步、运算kP＝(x₁，y₁)，之后把x₁转化为整数，其中，(x₁，y₁)为计算结果的横坐标与纵坐标的值。

第3步、计算r＝x₁modn，如果r＝0，那么跳回步骤1。

第4步、计算e＝H(m)，其中，H(x)为哈希函数。

第5步、计算s＝k^-1(e+dr)modn，如果s＝0，那么跳回步骤1。

第6步、输出签名对(r，s)。

那么得到这个签名对的其他用户就可以通过公钥与签名对(r，s)判定是否为确定用户的签名了。

对原ECDSA方案的错误曲线攻击。原ECDSA是有可能通过错误曲线的攻击获取私钥，这对于用户的信息是非常不安全的。假设对基点P的y坐标进行故障攻击，使其坐标从(x_p，y_p)变为(x_p，y_p′)，记为点P′，设它落在的椭圆曲线为y²＝x³+ax+b′，设其中a与之前的值不变，则存在

${y^{\′}}_p^2=x_p^3+{\mathrm{ax}}_p+b^{\′}$

所以

$b^{\′}={y^{\′}}_p^2-x_p^3-{\mathrm{ax}}_p.$

由签名对可以得到r，从而得到x₁，再根据不安全的椭圆曲线参数表达式得到y₁。由于这是一条安全性不强的椭圆曲线，那么攻击者很可能在可计算的时间内求解离散对数(知道点P′及(x₁，y₁))来得到k，再根据已知的s，n，e和r可以推导出私钥d。

在ECDSA抵御错误曲线攻击的一般方法。通常的对错误曲线的攻击的抵御方案就是验算点P是否在原安全的椭圆曲线上，但是验算在工程上一般会做成一个函数，这样攻击者通过向芯片注入毛刺是有可能跳过这步验算。为保证芯片的安全性，就必须多次在运算过程中进行验算，但是过多的验算会极大牺牲芯片的运行效率。

因此如果将运算点乘kP改进，在P遭受到攻击后，无法让攻击者得到正确的错误点乘结果，那么错误曲线攻击就无法成功。

发明内容

本发明要解决的技术问题是提供一种用于抵御错误曲线攻击的ECDSA方法，可以有效地防止攻击者在ECDSA中通过错误曲线攻击获取用户的私钥。

为解决上述技术问题，本发明的用于抵御错误曲线攻击的ECDSA方法，包括如下步骤：

输入参数组D＝(q，FR，S，a，b，P，n，h)，私钥d，消息m；其中，q为域的阶，FR为域表示，S为种子，a，b为椭圆曲线参数，P为基点，n为点P的阶，h为余因子；

输出签名对(r，s)；

步骤1，随机选择k∈[1，n-1]；

步骤2，取椭圆曲线的随机一点R，计算M＝R+kP；

步骤3，计算M-R＝(x₁，y₁)，之后把x₁转化为整数；

步骤4，计算r＝x₁modn，如果r＝0，那么跳回步骤1；

步骤5，计算e＝H(m)，其中，H(x)为哈希函数；

步骤6，计算s＝k^-1(e+dr)modn，如果s＝0，那么跳回步骤1；

步骤7，输出签名对(r，s)。

其中，(x₁，y₁)为计算结果的横坐标与纵坐标的值。

执行步骤2，在运算M＝R+kP时，可按照以下方法计算：

输入：k＝(k_t-1，...k₁，k₀)₂

输出：R+kP；

定义点Q为一个存储空间，作为存储计算的临时值；

第1步、Q←R；

第2步、对于i从0到t-1，重复执行：

a)若k_i＝1，则Q＝P+Q；

b)P←2P；

第3步、返回Q。

其中，(k_t-1，...k₁，k₀)₂为k的二进制表达形式。

这样运算的好处是以一个随机的椭圆曲线上的点作为起点，之后在与基点或基点的几倍点进行点加，如果基点被攻击后并不落在此椭圆曲线上，那么点加运算就会在两个不同的椭圆曲线上进行，而这样步骤2计算出的M是无法通过M-R还原出点kP。因此只有在点P和点R同时注入故障，并使这两点都落在相同的错误曲线上，错误曲线攻击才有可能成功，这样的防护方法无疑极高的增加了攻击者的难度。同时这种方案相对于多次在程序中插入检验P是否落在正确的椭圆曲线上，安全性也会更高。因为在点乘运算中，攻击者不能选择跳过这些点乘程序，否则攻击者无法获取正确的错误结果。因此本发明可以有效地防止攻击者在ECDSA中通过错误曲线攻击获取用户的私钥。

同时本发明的实现不会太多地浪费效率，因为这种方法就比普通点乘方法多了一步：将点乘的结果与点-R进行点加。

附图说明

下面结合附图与具体实施方式对本发明作进一步详细的说明：

附图是所述抵御错误曲线攻击的ECDSA方法流程图。

具体实施方式

结合附图所示，美国国家标准技术研究院(NIST)推荐了5套参数用于素数域的椭圆曲线密码。本实施例中采用其中的一套参数，具体如下：

在有限域Fp中，有椭圆曲线E，其定义如下：

E：y²＝x³+ax²+b

其中

p＝0xfffffffffffffffffffffffffffffffeffffffffffffffff；

a＝0xfffffffffffffffffffffffffffffffefffffffffffffffc

b＝0x64210519e59c80e70fa7e9ab72243049feb8deecc146b9b1

基点G的坐标为

[0x188da80eb03090f67cbf20eb43a18800f4ff0afd82ff1012，0x07192b95ffc8da78631011ed6b24cdd573f977a11e794811]

取点R

[0x79680B8E20EDCDB6B85D1CBFB6E83858CAA7BA83D3C3CFB3，0xEAEF626AA6A8EA293D39ABF2FA32FC04AD3E483844B3CD07]假设私钥d为

d＝0x79d280ca6646596b185134d44d99d50dcda801265c2c4d56

步骤一，随机选择k∈[1，n-1]；

k＝0x74210519e59c80e70fa7e9ab72243049feb8de5cc146b9b1。

步骤二，取椭圆曲线的随机一点R，运算M＝R+kP；

M的坐标为

[0x7119607658739F67839D1F4325305BD98FE64A5F8D56C5AD，0x7D46255A6CD166F3F0AEE2FB63A9EFC500034343B2C6752F]。

步骤三，运算M-R＝(x₁，y₁)，之后把x₁转化为整数；

M-R的坐标为

[0xBC4333CC8AA5F132023C4F6CBD1D628F5CD5DFD0937AEFD，0x70497BA1941D5567FFF1CA91161F211FC8E1493BF9ABA831]。

步骤四，计算r＝x₁modn，如果r＝0，那么跳回步骤一；

r＝0xBC4333CC8AA5F132023C4F6CBD1D628F5CD5DFD0937AEFD。

步骤五，计算e＝H(m)，其中，H(x)为哈希函数；

假设e为

e＝0x1BD4ED430B0F384B4E8D458EFF1A8A553286D7AC21CB2F68。

步骤六，计算s＝k^-1(e+dr)modn；

s＝0x9346F7E6558468FB2E0A1241743BE498CA5DEF3CFFEA8B6E。

步骤七，输出签名对(r，s)。

实施步骤二时，从无穷远点作为起点进行点加与两倍点(或多倍点)运算改进为从随机点作为起点进行点加与两倍点(或多倍点)运算，此种方法可适用于二进制扫描法，窗口法等。

实施步骤三时，在未受到错误曲线攻击时，M-R是可以还原出点kP，当受到错误曲线攻击后，M-R是无法还原出点kP。

下面的计算实例证明确实注入到错误曲线故障后，M-R无法还原出点kP。

在有限域Fp中，有椭圆曲线E，其定义如下：

E：y²＝x³+ax²+b

其中

p＝0xfffffffffffffffffffffffffffffffeffffffffffffffff；

a＝0xfffffffffffffffffffffffffffffffefffffffffffffffc

b＝0x64210519e59c80e70fa7e9ab72243049feb8deecc146b9b1

基点P的坐标为

[0x188da80eb03090f67cbf20eb43a18800f4ff0afd82ff1012，0x07192b95ffc8da78631011ed6b24cdd573f977a11e794811]取点R

[0x79680B8E20EDCDB6B85D1CBFB6E83858CAA7BA83D3C3CFB3，0xEAEF626AA6A8EA293D39ABF2FA32FC04AD3E483844B3CD07]

若向基点P′注入故障，使其的坐标变为：

[0x188da80eb03090f67cbf20eb43a18800f4ff0afd82ff1012，0x07192b95ffc8da78631011ed6b24cdd573f977a11e794810]

假设P′落在新的椭圆曲线E′

E′：y²＝x³+ax²+b′

代入P′计算出b′

0x55EEADEDE60ACBF64987C5D09BDA949F16C5EFAA84542990

在椭圆曲线E′运算255P的坐标为：

[0xC639B9A2FF2605C6D6F4CA54BB26E4B4ADC0C0C1838688BD，0xAE44516005A90BA5897BA62C5E3315C75D8D16F6BDE3E1C0]

而使用上述公式计算M＝R+255P，再计算M-R得到的坐标为

[0x8175D0910B98A225FE4F84051FA5395E4299A4FEF6D20586，0xF33F896005D5BFB8C18F4E2F8DBA6692745F3572B80D9ADB]

即如果遭受到了错误曲线攻击，kP′的输出是无法被正确获取的。

本发明能使得攻击者进行错误曲线攻击的难度变得非常大，相比于传统的抵御错误曲线攻击的方案，本发明并不显著减少运算效率。

以上通过实施例，对本发明进行了详细的说明，但本发明的保护范围不限于所述的实施例。在不脱离本发明原理的情况下，本领域技术人员还可做出许多变形和改进，这些也应视为本发明的保护范围。

Claims (2)

1.一种用于抵御错误曲线攻击的ECDSA方法,

输入参数组D＝(q，FR，S，a，b，P，n，h)，私钥d，消息m；其中,q为域的阶，FR为域表示，S为种子，a，b为椭圆曲线参数，P为基点，n为点P的阶，h为余因子；

步骤一，随机选择k∈[1，n-1]；其特征在于，还包括如下步骤：

步骤二，取椭圆曲线的随机一点R，计算M＝R+kP；

步骤三，计算M-R＝(x₁，y₁)，之后把x₁转化为整数；

步骤四，计算r＝x₁modn，如果r＝0，那么跳回步骤一；

步骤五，计算e＝H(m)，其中，H(x)为哈希函数；

步骤六，计算s＝k^-1(e+dr)modn，如果s＝0，那么跳回步骤一；

步骤七，输出签名对(r，s)。

2.如权利要求1所述的方法，其特征在于：执行步骤2，在运算M＝R+kP时，按照以下方法计算：

输入：k＝(k_t-1，...k₁，k₀)₂，

输出：R+kP；

定义点Q为一个存储空间，作为存储计算的临时值；

第1步、Q←R；

第2步、对于i从0到t-1，重复执行：

a)若k_i＝1，则Q＝P+Q；

b)P←2P；

第3步、返回Q。