CN110708160B - 基于sm2算法标量乘法编码的抗侧信道攻击方法及系统 - Google Patents

基于sm2算法标量乘法编码的抗侧信道攻击方法及系统 Download PDF

Info

Publication number
CN110708160B
CN110708160B CN201910959287.3A CN201910959287A CN110708160B CN 110708160 B CN110708160 B CN 110708160B CN 201910959287 A CN201910959287 A CN 201910959287A CN 110708160 B CN110708160 B CN 110708160B
Authority
CN
China
Prior art keywords
naf
coding
coordinate
setting
ccnt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910959287.3A
Other languages
English (en)
Other versions
CN110708160A (zh
Inventor
付勇
杨美红
王美琴
郭山清
王继志
陈丽娟
樊燕红
杨明
杨英
陈振娅
穆超
李冠霖
杨光
文立强
王彪
杨明瞾
王英龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Computer Science Center National Super Computing Center in Jinan
Original Assignee
Shandong Computer Science Center National Super Computing Center in Jinan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Computer Science Center National Super Computing Center in Jinan filed Critical Shandong Computer Science Center National Super Computing Center in Jinan
Priority to CN201910959287.3A priority Critical patent/CN110708160B/zh
Publication of CN110708160A publication Critical patent/CN110708160A/zh
Application granted granted Critical
Publication of CN110708160B publication Critical patent/CN110708160B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Compression, Expansion, Code Conversion, And Decoders (AREA)

Abstract

本公开公开了基于SM2算法标量乘法编码的抗侧信道攻击方法及系统,包括:生成基准坐标表,生成预编码坐标参数表ParTable;获取椭圆曲线公钥密码算法的参数k;基于基准坐标表、预编码坐标参数表ParTable和椭圆曲线公钥密码算法的参数k,实时生成编码表;基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程或密钥交换协商过程中使用运算获取的kG,抵御侧信道攻击。

Description

基于SM2算法标量乘法编码的抗侧信道攻击方法及系统
技术领域
本公开涉及抗侧信道攻击技术领域,特别是涉及基于SM2算法标量乘法编码的抗侧信道攻击方法及系统。
背景技术
本部分的陈述仅仅是提到了与本公开相关的背景技术,并不必然构成现有技术。
随着密码破译技术的快速发展,侧信道攻击对智能卡、物联网终端等嵌入式设备构成严重的威胁。侧信道攻击通过统计学方法,在有限次的密码运算内,可以恢复出智能卡的私钥信息。由于椭圆曲线公钥密码算法计算速度快、安全强度高,使得该算法在物联网终端等嵌入式设备的实现更有吸引力,因此研究能够有效对抗侧信道攻击的椭圆曲线公钥密码算法对提高物联网芯片及设备的安全性具有重要意义。
在实现本公开的过程中,发明人发现现有技术中存在以下技术问题:
椭圆曲线(ECC)是一种新兴的公钥密码算法,椭圆曲线公钥密码算法中的核心问题是计算标量乘法,同时该运算也是最耗时的。在椭圆曲线公钥密码体系中的算法中均涉及到固定点乘法。在签名算法只需要计算一个固定点的标量乘法kG,其中G为椭圆曲线的基点,其坐标表示为(Gx,Gy);k为256比特无符号数,满足k∈[1,n-1];n为曲线的阶,SM2中,
n=0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123。
Gx=0x32C4AE2C1F1981195F9904466A39C9948FE30BBFF2660BE1715A4589334C74C7;
Gy=0xBC3736A2F4F6779C59BDCEE36B692153D0A9877CC62A474002DF32E52139F0A0。
验签算法中需要计算两个点的标量乘法kG+lQ,其中G为椭圆曲线的基点,Q为椭圆曲线上的点,k,l∈[1,n-1]。在公钥加密和密钥协商协议中也有类似操作。对于已知点G,我们可以通过预先计算得到一个参数表,在计算中通过查表得到kG计算所需的数据来减少运算量。对于固定点标量乘法方面已经有相当多的研究,如二进制NAF法、w-NAF法,滑动窗口法、固定基comb方法等。其中w-NAF法应用最为广泛,如GMSSL和OPENSSL中的nistp256和SM2实现均采用了w-NAF方法。但是由于w-NAF方法在实现过程中需要点加操作ADD和倍点操作DBL交替进行,而这两种操作执行时间具有明显差异,容易被侧信道攻击。同时预计算参数表排列规律,如二进制文件泄露通过反汇编就可以较容易的猜测和定位算法。
发明内容
为了解决现有技术的不足,本公开提供了基于SM2算法标量乘法编码的抗侧信道攻击方法及系统;
第一方面,本公开提供了基于SM2算法标量乘法编码的抗侧信道攻击方法;
基于SM2算法标量乘法编码的抗侧信道攻击方法,包括:
生成基准坐标表,生成预编码坐标参数表ParTable;
获取输入的椭圆曲线公钥密码算法的参数k;
基于基准坐标表、预编码坐标参数表ParTable和椭圆曲线公钥密码算法的参数k,实时生成编码表;
基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程或密钥交换协商过程中使用运算获取的kG,抵御侧信道攻击。
第二方面,本公开还提供了基于SM2算法标量乘法编码的抗侧信道攻击系统;
基于SM2算法标量乘法编码的抗侧信道攻击系统,包括:
生成模块,其被配置为:生成基准坐标表,生成预编码坐标参数表ParTable;
获取模块,其被配置为:获取输入的椭圆曲线公钥密码算法的参数k;
编码表生成模块,其被配置为:基于基准坐标表、预编码坐标参数表ParTable和椭圆曲线公钥密码算法的参数k,实时生成编码表;
抵御模块,其被配置为:基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程或密钥交换协商过程中使用运算获取的kG,抵御侧信道攻击。
第三方面,本公开还提供了一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成第一方面所述方法的步骤。
第四方面,本公开还提供了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成第一方面所述方法的步骤。
与现有技术相比,本公开的有益效果是:
本公开的椭圆曲线固定点标量乘法编码方法避免了广泛应用的窗口大小w非相邻型(w-NAF)方法参数表排列规律的缺点,可以有效避免源码分析攻击,同时安全性与算法效率与w-NAF方法相当。此外,通过调整编码参数即可便捷的生成新的参数表,在实际的公钥密码应用中安全性更高。我们还对窗口大小w为8的编码方法进行了优化,进一步提高了标量乘法效率。
本公开提出了一种全新的椭圆曲线固定点标量乘法编码方法,以及按照该编码规则生成参数表的方法;
本公开的计算固定点标量乘法的高效解码和计算方法,整个计算过程中只有ADD操作,运算高效且不易被侧信道攻击。
本公开对窗口大小w为8的编码方法进行优化,减少了一次ADD操作,进一步提高了算法效率。
本公开的编码及快速实现方法主要针对256位的short weierstrass曲线如nistp256及SM2在雅可比加重射影坐标系下标量乘法编码及快速实现,但是该方法同样适用于其他长度和曲线类型在其他坐标系下的标量乘法编码及快速实现方法。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。
图1为第一个实施例的方法流程图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本申请提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
实施例一,本实施例提供了基于SM2算法标量乘法编码的抗侧信道攻击方法;
如图1所示,基于SM2算法标量乘法编码的抗侧信道攻击方法,包括:
S1:生成基准坐标表,生成预编码坐标参数表ParTable;
S2:获取椭圆曲线公钥密码算法的参数k;
S3:基于基准坐标表、预编码坐标参数表ParTable和椭圆曲线公钥密码算法的参数k,实时生成编码表;
S4:基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程或密钥交换协商过程中使用运算获取的kG,抵御侧信道攻击。
所述数字签名生成过程、数字签名验证过程、加密过程和密钥交换协商过程为国家标准GB_T 32918.1-2016信息安全技术SM2椭圆曲线公钥密码算法中的公知流程,此处不再赘述。
在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程和密钥交换协商过程应用中,kG的运算均为核心操作,其中k为秘钥或随机数,如果在运算过程中发生泄露,则无法保证ECC公钥密码算法的安全性,利用本发明的可抵御基于时间和功耗的侧信道攻击的安全实现方法,可以高效安全的完成标量乘法kG的运算,保护秘密信息不泄露。首先kG的运算时间与k无关,因此无法通过测量程序执行时间来推算k;同时只有ADD运算,因此无法利用检测DOUBLE和ADD操作时间和功耗来分析k的特点。
作为一个或多个实施例,所述生成基准坐标表,生成预编码坐标参数表;具体步骤包括:
S11:设定宽度w,对w个连续的比特进行NAF编码,得到NAF编码列表;
S12:基于NAF编码列表,生成序列特征码表;
S13:生成基准坐标表;
S14:基于序列特征码表和基准坐标表中的基准数据,生成预编码坐标参数表。
作为一个或多个实施例,所述S11的设定宽度w,对w个连续的比特进行NAF编码,得到NAF编码列表;,具体步骤包括:
S111:生成三个宽度为w的NAF编码列表mNAFList[3][N];N为NAF编码元素数,
Figure GDA0002681037220000061
设置第一个NAF编码列表的第一个元素为0;
设置第二个NAF编码列表的第一个元素为1;
设置第三个NAF编码列表的第一个元素为-1;
每个NAF编码列表的列数量CCnt=3;NAF编码列表的元素编号均从1开始;
S112:设置临时序列数量newCCnt=CCnt;临时变量i=0,用于存储和计算序列编号;序列编号均从0开始;
S113:为序列i生成编号为n的元素:设置编号为n的元素值为0,mFAFList[i][n]=0;
如果mFAFList[i][n-1]不等于0则进行序列扩展;增加两个序列到NAF编码列表mNAFList最后,得到mFAFList[newCCnt][N]和mFAFList[newCCnt+1][N],新增的两个序列的编号为newCCnt和newCCnt+1,将序列i的前n个元素分别复制到新的序列中;
将mFAFList[i][0]至mFAFList[i][n-1]共n个元素依次复制到
mFAFList[newCCnt][0]至mFAFList[newCCnt][n-1];
将mFAFList[i][0]至mFAFList[i][n-1]共n个元素依次复制到
mFAFList[newCCnt+1][0]至mFAFList[newCCnt+1][n-1];
序列newCCnt的编号为n的元素设为1,mFAFList[newCCnt][n]=1,
序列newCCnt+1的编号为n的元素设为-1,mFAFList[newCCnt+1][n]=-1;
S114:newCCnt=newCCn+2;
S115:i=i+1,判断i是否等于CCnt,如果i等于CCnt,转S115,否则转S116;
S116:CCnt=newCCnt;n=n+1;
S117:判断n是否等于N,如果不等于N,则跳转到S112,否则跳转到S117;
S118:删除第一个全0序列,CCnt=CCnt-1;编码结束,即得到NAF编码列表mFAFList[CCnt][N]。
作为一个或多个实施例,所述S12的基于NAF编码列表,生成序列特征码表;具体步骤包括:
S121:生成各序列特征码,并将各个序列特征码保存至特征信息数组mGNAFCntNoN[CCnt];
S122:初始化编码信息结构体数组mGNAFInfoN[LCnt],编码信息结构体数量为LCnt;
S123:在特征码信息数组mGNAFCntNoN[CCnt]中,遍历所有的特征码,计算表索引参数pos和元素数量count,得到序列特征码表。
进一步地,所述步骤S121的具体步骤包括:
S1211:设临时变量j=0,用于存储和计算序号;
S1212:设临时变量n=0;设置临时特征码Tno为0;Tno为数据宽度SW的无符号数。
应理解的,数据宽度SW与宽度w和操作系统有关;一般32位操作系统下SW=32,64位操作系统下SW=64;
S1213:提取序列j中的编号为nn的元素mNAFList[j][nn],
如果第nn个元素为-1,则执行:
Tno=Tno+2(w-1-nn)×Bin_Shift_A
如果第nn个元素为1,则执行:
Tno=Tno+2(w-1-nn)×Bin_Shift_A+2(w-1-nn)×Bin_Shift_B
其中,Bin_Shist_A,Bin_Shift_B为常数,且Bin_Shist_A=Bin_Shist_B+1。
当宽度w为不同值时,Bin_Shift_A和Bin_Shift_B的值为:
当w为7或8,SW为32或64时,Bin_Shift_B为3,Bin_Shift_A为4;
当w小于7,SW为16,32或64时,Bin_Shift_B为2,Bin_Shift_A为3;
S1214:nn=nn+1,如果nn小于w,转S1213,否则转S1215;
S1215:将特征码Tno保存到特征码信息数组:mGNAFCntNoN[j]=Tno;
S1216:j=j+1,如果j小于CCnt,转S1212,否则转S1217;
S1217:将mGNAFCntNoN[CCnt]中的元素复制到一个相同类型的临时数组TmpG[CCnt],然后将mGNAFCntNoN[CCnt]中保存的特征码按照从小到大排序;
S1218:利用TmpG和mGNAFCntNoN将mNAFList[CCnt][w]按照特征码重新排序。
S12181:令临时变量j=0;
S12182:令临时变量jj=j,
S12182A:判断TmpG[jj]是否等于mGNAFCntNoN[j],如相等则交换mNAFList[jj]和mNAFList[j]的元素;转S12184;
如果不相等;jj=jj+1,转S12183;
S12183:判断jj是否等于CCnt,如是,报错,退出;否则转S12182A;
S12184:j++,如果j等于CCnt,结束,否则转S12182。
进一步地,所述S122的具体步骤包括:
编码信息结构体数组mGNAFInfoN[LCnt]有三个元素:
特征值Flag,特征值Flag是常量,特征值Flag的数据长度为SW,设置原则和参考初始值如下:
LCnt为常数,且Lcnt=2n,如8、16、32,LCnt与Flag协同计算,保证各段内元素数量基本相同。
段内元素数量count,用于记录本段内的元素数量。数据类型为无符号整型,初始值为0;
表索引pos,用于编码坐标表的定位和查找数据类型为无符号整型,初始值为0。
以宽度w=8,编码信息结构体数量LCnt=16为例:
设置标志位mGNAFInfoN[i].Flag i=0~15初始值:
0x000000,0x010000,0x100000,0x108000,
0x1000000,0x1010000,0x1040000,0x1050000,
0x10000000,0x10010000,0x10100000,0x10108000,
0x10200000,0x10210000,0x10300000,0x10308000
0x表示16进制数,Flag值设置与序列特征码Bin_Shift_A,Bin_Shift_B有关,设置原则为使各段内元素数量count一致。
进一步地,所述S123的具体步骤包括:
S1231:设临时变量iii=LCnt-1;
S1232:设临时变量jjj=CCnt-1;
S1233:判断mGNAFCntNoN[iii]是否不小于mGNAFInfoN[jjj].Flag,如满足条件则设置mGNAFInfoN[j].count=mGNAFInfoN[j].count+1,并将mGNAFInfoN[j].pos设置为i,转,否则转S1234;
S1234:jjj=jjj-1;判断jjj是否等于0,如等于0转S1235;否则转S1233;
S1235:iii=iii-1;判断iii是否等于0,如果等于0,转S1236;否则转S1232;
S1236:结束。
应理解的,例如:对于w=8,LCnt=16,Bin_Shift_A=4,Bin_Shift_B=3得到如下序列特征码表mGNAFInfoN[16]={
{0x00000000,0,20},
{0x00010000,20,22},
{0x00100000,42,21},
{0x00108000,63,21},
{0x01000000,84,21},
{0x01010000,105,22},
{0x01040000,127,21},
{0x01050000,148,22},
{0x10000000,170,21},
{0x10010000,191,22},
{0x10100000,213,21},
{0x10108000,234,21},
{0x10200000,255,21},
{0x10210000,276,22},
{0x10300000,298,21},
{0x10308000,319,21},
}。
作为一个或多个实施例,所述S13的生成基准坐标表;具体步骤包括:
预先计算标准射影坐标系下的基准坐标表TRefCord,基准坐标表TRefCord中共有257组基准坐标:±rP,其中r为2t,t=0~256,因为+rP与-rP值只有y坐标不同,因此共用一个x值,存储顺序为x,y,-y,每个值256位,这三个值称为一组基准值,一组基准值的存储空间T为768位。TRefCord总存储空间大小
Figure GDA0002681037220000111
基准坐标表用于辅助计算预编码坐标参数表ParTable。
作为一个或多个实施例,所述S14的基于序列特征码表和基准坐标表中的基准数据,生成预编码坐标参数表ParTable;具体步骤包括:
S141:设置序号iiii=0,创建一个临时存储空间BaseData,存储空间临时BaseData大小为w×T;已生成参数数量GenCnt=0;
创建三个宽度为256比特的坐标内存空间Qx,Qy,Qz;
创建三个宽度为256比特的坐标内存空间Ox,Oy,Oz;
创建两个宽度为256比特的坐标内存空间Sx,Sy;
S142:设基偏移量base=i×w;如果base+w<257,则设置待复制数据宽度dataneedcpy=w;否则,设置待复制数据宽度dataneedcpy=257-base;
S143:将预计算的基准数据第base个数据开始的dataneedcpy组基准值从基准坐标表TRefCord复制到临时存储空间BaseData;
S1430:设置NAF编码列表mNAFList编号jjjj=0;
S1431:设置全零标志allzero=1,mNAFList元素序号m=0;
S14311:如果mNAFList[jjjj][m]为0,转到S14313;
否则设置x坐标偏移量offsetx为BaseData中第m组基准值的x坐标序号,设置y坐标偏移量offsety为BaseData中第m组基准值的y坐标序号;
如果mNAFList[jjjj][m]<0,
设置y坐标偏移量offsety为BaseData中第m组基准值的-y坐标序号;转S14312;
S14312:如果全零标志allzero=1,将临时存储空间BaseData中x坐标偏移量offsetx对应的x坐标值复制到宽度为256比特的坐标内存空间Qx,将y坐标偏移量offsety对应的y坐标值复制到宽度为256比特的坐标内存空间Qy,令宽度为256比特的坐标内存空间Qz=1,allzero=0。
否则执行点加运算:
(Ox,Oy,Oz)=ADD(Qx,Qy,Qz,BaseData(offsetx),BaseData<offsety>);
点加运算函数为雅可比加重射影坐标系下的加法运算,
第一个点为(Qx,Qy,Qz),Qx,Qy,Qz分别对应椭圆曲线上的x,y,z坐标;
第二个点为(BaseData<offsetx>,BaseData<offsety>,1)。
S14313:m=m+1,如果m<dataneedcpy,则转到S14311;
否则,将雅可比坐标系下的点(Qx,Qy,Qz)转到标准射影坐标系下的点(Sx,Sy),将点(Sx,Sy)保存至参数表ParTable第GenCnt组坐标,保存顺序为Sx,Sy;每组坐标数据宽度为WG=512比特/SW,x和y坐标数据宽度为wg=256比特/SW;GenCnt=GenCnt+1;转到步骤S1432;
S1432:jjjj=jjjj+1,判断jjjj<Lcnt则跳转到S1431;否则,转S144;
S144:iiii=iiii+1,判断iiii是否等于N-1同时w=8;如满足,则转S145;如果不满足,则判断iiii是否小于N;如小于N,则转S142,如不小于N,则转S146;
S145:取出预编码坐标参数表ParTable中的最后w组坐标;对每组参数执行点加运算:
(Ox,Oy,Oz)=ADD(Qx,Qy,1,P2e256_X,P2e256_Y),
其中,第一个点为(Qx,Qy,1),第二个点为(P2e256_X,P2e256_Y,1),第二个点为2256G在标准射影坐标系下的坐标。
每次执行完毕后将雅可比坐标系下的点(Qx,Qy,Qz)转到标准射影坐标系下的点(Sx,Sy),将点(Sx,Sy)保存至参数表ParTable第GenCnt组坐标,保存顺序为Sx,Sy,GenCnt=GenCnt+1,w组数据处理完成后转S146;
S146:将点(P2e256_X,P2e256_Y)保存至参数表ParTable第GenCnt组坐标。GenCnt=GenCnt+1;转S147;
S147:结束,最终得到预编码坐标参数表。
作为一个或多个实施例,所述S2的获取椭圆曲线公钥密码算法的参数k;具体步骤包括:
将标量乘法系数转换为256比特的无符号整数k。
作为一个或多个实施例,所述S3的基于基准坐标表、预编码坐标参数表和椭圆曲线公钥密码算法的参数k,实时生成编码表;具体步骤包括:
S31:生成k的NAF序列tnaf[CCnt],得到序列长度ic,将0填充序列中编号为ic后的元素,填充数量为CCnt–ic;
S32:开始解码以获取偏移地址:
设置临时序号i=0;
S320:设置偏移量offset=i×w,元素数量count=0;
S321:设置临时序号jj=0;
S322:如果tnaf[offset+jj]大于0,则count=count+2(w-1-jj)×Bin_Shift_A
如果tnaf[offset+jj]小于0,则
count=count+2(w-1-jj)×Bin_Shift_A+2(w-1-jj)×Bin_Shift_B
S323:jj=jj+1,如果jj<n,转S322;否则转S324;
S324:如果count不等于0,则令naf[i]=NAFN×i+GotNAFPos(count);
否则令naf[i]=-1;
S325:i++,如果i<N,转S321,否则转S326A;
S326A:判断w是否等于8,如不等于8转S326;否则进一步进行处理:
A.首先判断N,如果N等于33,转B,否则转E;
B.判断naf[32],如果naf[32]不大于0转D,否则转C;
C.判断naf[31],如果naf[31]大于0则设置naf[31]=naf[31]+8×WG。否则设置
naf[31]=(GenCnt-1)×WG;转D;
D.N=32;转E;
E.w=8处理结束。
S326:输出N,结束。
其中,S324的GotNAFPos(cnt)为获取偏移量的函数,实现如下:
S3241:设置临时变量i=LCnt-1;
S3242:如果count不小于mGNAFInfoN[i].Flag执行:
设置临时变量posx=mGNAFInfoN[i].pos;
临时变量t2=mGNAFInfoN[i].count;
判断count是否小于mGNAFCntNoN[t2/2+posx],如条件成立转S3245,否则执行:
设置临时变量j=t2/2;
S3243:判断mGNAFCntNoN[j+posx]是否等于count;如果相等,输出posx+j,结束。否则转S3244;
S3244:j=j+1;判断j是否小于t2;如满足,转S3243;否则转S3248;
S3245:设置临时变量j=0;
S3246:判断mGNAFCntNoN[j+posx]是否等于count;如果相等,输出posx+j,结束。否则转S3247;
S3247:j=j+1;判断j是否小于t2/2;如满足,转S3246;否则转S3248;
S3248:i=i-1;判断i是否等于0,如果等于0则跳转至S3249,否则跳转至S3242;
S3249:输出-1,结束。
作为一个或多个实施例,所述S4的基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算;具体步骤包括:
设置序号i=0;全零标志allzero=1,创建数组存储坐标内存空间Qx、Qy、Qz、Px、Py和Pz,每个坐标长度为256比特,初始化为:
Qx=1,Qy=1,Qz=0,Px=1,Py=1,Pz=0
S41:如果naf[i]不小于0,则转S42,否则转S43;
S42:计算偏移地址
设x坐标的ParTable表偏移地址offsetx为:offsetx=naf[i]×WG;
设y坐标的ParTable表偏移地址offsety为:offsety=offsetx+wg;
如果allzero=0,则执行点加操作:
(Qx,Qy,Qz)=ADD(Qx,Qy,Qz,ParTable<offsetx>,ParTable<offsety>)
否则,将数据复制到(Qx,Qy),Qz=1,设置allzero=0;转S44;
S43:对于验签或无须固定计算时间追求运算速度的情况则直接跳转到S44;否则执行以下步骤:
设x坐标的ParTable表偏移地址为:offsetx=i×WG;
设y坐标的ParTable表偏移地址为:offsety=offsetx+wg;
如果allzero=0,则执行点加操作:
(Px,Py,Pz)=ADD(Px,Py,Pz,ParTable<offsetx>,ParTable<offsety>)
否则,将数据复制到(Px,Py),Pz=1;
S44:i=i+1,如果i<N,跳转到S41,否则跳转到S45;
S45:将雅可比坐标系下的点(Qx,Qy,Qz)转到标准射影坐标系下的点(Sx,Sy),计算结束。
本发明参数生成函数只需要运行一次,用于生成静态参数表和引导表。此外,为了抵抗源码分析攻击可不保存静态的参数表,可以在程序启动时预先生成参数表和引导表,同时在程序运行过程中动态更新参数生成新的参数表。参数表的更新不会影响算法正确性和实现安全性。本发明中的固定点标量乘法虽然以基点G为例,但该方法同样适用于任意的固定点标量乘法。
实施例二,本实施例还提供了基于SM2算法标量乘法编码的抗侧信道攻击系统;
基于SM2算法标量乘法编码的抗侧信道攻击系统,包括:
生成模块,其被配置为:生成基准坐标表,生成预编码坐标参数表ParTable;
获取模块,其被配置为:获取输入的椭圆曲线公钥密码算法的参数k;
编码表生成模块,其被配置为:基于基准坐标表、预编码坐标参数表ParTable和椭圆曲线公钥密码算法的参数k,实时生成编码表;
抵御模块,其被配置为:基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程或密钥交换协商过程中使用运算获取的kG,抵御侧信道攻击。
实施例三,本实施例还提供了一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成实施例一所述方法的步骤。
实施例四,本实施例还提供了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成实施例一所述方法的步骤。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (7)

1.基于SM2算法标量乘法编码的抗侧信道攻击方法,其特征是,包括:
生成基准坐标表,生成预编码坐标参数表ParTable;
所述生成基准坐标表,生成预编码坐标参数表,具体步骤包括:
S11:设定宽度w,对w个连续的比特进行NAF编码,得到NAF编码列表;
S12:基于NAF编码列表,生成序列特征码表;
S13:生成基准坐标表;
S14:基于序列特征码表和基准坐标表中的基准数据,生成预编码坐标参数表;
所述S11的设定宽度w,对w个连续的比特进行NAF编码,得到NAF编码列表,具体步骤包括:
S111:生成三个宽度为w的NAF编码列表mNAFList[3][N];N为NAF编码元素数,
Figure FDA0002703690850000011
设置第一个NAF编码列表的第一个元素为0;
设置第二个NAF编码列表的第一个元素为1;
设置第三个NAF编码列表的第一个元素为-1;
每个NAF编码列表的列数量CCnt=3;NAF编码列表的元素编号均从1开始;
S112:设置临时序列数量newCCnt=CCnt;临时变量i=0,用于存储和计算序列编号;序列编号均从0开始;
S113:为序列i生成编号为n的元素:设置编号为n的元素值为0,mFAFList[i][n]=0;
如果mFAFList[i][n-1]不等于0则进行序列扩展;增加两个序列到NAF编码列表mNAFList最后,得到mFAFList[newCCnt][N]和mFAFList[newCCnt+1][N],新增的两个序列的编号为newCCnt和newCCnt+1,将序列i的前n个元素分别复制到新的序列中;
将mFAFList[i][0]至mFAFList[i][n-1]共n个元素依次复制到
mFAFList[newCCnt][0]至mFAFList[newCCnt][n-1];
将mFAFList[i][0]至mFAFList[i][n-1]共n个元素依次复制到
mFAFList[newCCnt+1][0]至mFAFList[newCCnt+1][n-1];
序列newCCnt的编号为n的元素设为1,mFAFList[newCCnt][n]=1,
序列newCCnt+1的编号为n的元素设为-1,mFAFList[newCCnt+1][n]=-1;
S114:newCCnt=newCCn+2;
S115:i=i+1,判断i是否等于CCnt,如果i等于CCnt,转S115,否则转S116;
S116:CCnt=newCCnt;n=n+1;
S117:判断n是否等于N,如果不等于N,则跳转到S112,否则跳转到S118;
S118:删除第一个全0序列,CCnt=CCnt-1;编码结束,即得到NAF编码列表mFAFList[CCnt][N];
所述S12的基于NAF编码列表,生成序列特征码表,具体步骤包括:
S121:生成各序列特征码,并将各个序列特征码保存至特征码信息数组mGNAFCntNoN[CCnt];
S122:初始化编码信息结构体数组mGNAFInfoN[LCnt],编码信息结构体数量为LCnt;
S123:在特征码信息数组mGNAFCntNoN[CCnt]中,遍历所有的特征码,计算表索引参数pos和元素数量count,得到序列特征码表;
获取椭圆曲线公钥密码算法的参数k;
基于基准坐标表、预编码坐标参数表ParTable和椭圆曲线公钥密码算法的参数k,实时生成编码表;
基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程或密钥交换协商过程中使用运算获取的kG,抵御侧信道攻击。
2.如权利要求1所述的方法,其特征是,所述S121的具体步骤包括:
S1211:设临时变量j=0,用于存储和计算序号;
S1212:设临时变量n=0;设置临时特征码Tno为0;Tno为数据宽度SW的无符号数;
S1213:提取序列j中的编号为nn的元素mNAFList[j][nn],
如果第nn个元素为-1,则执行:
Tno=Tno+2(w-1-nn)×Bin_Shift_A
如果第nn个元素为1,则执行:
Tno=Tno+2(w-1-nn)×Bin_Shift_A+2(w-1-nn)×Bin_Shift_B
其中,Bin_Shist_A,Bin_Shift_B为常数,且Bin_Shist_A=Bin_Shist_B+1;
当宽度w为不同值时,Bin_Shift_A和Bin_Shift_B的值为:
当w为7或8,SW为32或64时,Bin_Shift_B为3,Bin_Shift_A为4;
当w小于7,SW为16,32或64时,Bin_Shift_B为2,Bin_Shift_A为3;
S1214:nn=nn+1,如果nn小于w,转S1213,否则转S1215;
S1215:将特征码Tno保存到特征码信息数组:mGNAFCntNoN[j]=Tno;
S1216:j=j+1,如果j小于CCnt,转S1212,否则转S1217;
S1217:将mGNAFCntNoN[CCnt]中的元素复制到一个相同类型的临时数组TmpG[CCnt],然后将mGNAFCntNoN[CCnt]中保存的特征码按照从小到大排序;
S1218:利用TmpG和mGNAFCntNoN将mNAFList[CCnt][w]按照特征码重新排序;
S12181:令临时变量j=0;
S12182:令临时变量jj=j,
S12182A:判断TmpG[jj]是否等于mGNAFCntNoN[j],如相等则交换mNAFList[jj]和mNAFList[j]的元素;转S12184;
如果不相等;jj=jj+1,转S12183;
S12183:判断jj是否等于CCnt,如是,报错,退出;否则转S12182A;
S12184:j++,如果j等于CCnt,结束,否则转S12182。
3.如权利要求1所述的方法,其特征是,所述基于基准坐标表、预编码坐标参数表和椭圆曲线公钥密码算法的参数k,实时生成编码表,具体步骤包括:
S31:生成k的NAF序列tnaf[CCnt],得到序列长度ic,将0填充序列中编号为ic后的元素,填充数量为CCnt–ic;
S32:开始解码以获取偏移地址:
设置临时序号i=0;
S320:设置偏移量offset=i×w,元素数量count=0;
S321:设置临时序号jj=0;
S322:如果tnaf[offset+jj]大于0,则count=count+2(w-1-jj)×Bin_Shift_A
如果tnaf[offset+jj]小于0,则
count=count+2(w-1-jj)×Bin_Shift_A+2(w-1-jj)×Bin_Shift_B
S323:jj=jj+1,如果jj<n,转S322;否则转S324;
S324:如果count不等于0,则令naf[i]=NAFN×i+GotNAFPos(count);否则令naf[i]=-1;
S325:i++,如果i<N,转S321,否则转S326A;
S326A:判断w是否等于8,如不等于8转S326;否则进一步进行处理:
A.首先判断N,如果N等于33,转B,否则转E;
B.判断naf[32],如果naf[32]不大于0转D,否则转C;
C.判断naf[31],如果naf[31]大于0则设置naf[31]=naf[31]+8×WG;否则设置naf[31]=(GenCnt-1)×WG;转D;其中,WG为每组坐标数据宽度;其中GenCnt为已生成参数数量;
D.N=32;转E;
E.w=8处理结束;
S326:输出N,结束;
其中,S324的GotNAFPos(count)为获取偏移量的函数,实现如下:
S3241:设置临时变量i=LCnt-1;
S3242:如果count不小于mGNAFInfoN[i].Flag执行:
设置临时变量posx=mGNAFInfoN[i].pos;
临时变量t2=mGNAFInfoN[i].count;
判断count是否小于mGNAFCntNoN[t2/2+posx],如条件成立转S3245,否则执行:
设置临时变量j=t2/2;
S3243:判断mGNAFCntNoN[j+posx]是否等于count;如果相等,输出posx+j,结束;否则转S3244;
S3244:j=j+1;判断j是否小于t2;如满足,转S3243;否则转S3248;
S3245:设置临时变量j=0;
S3246:判断mGNAFCntNoN[j+posx]是否等于count;如果相等,输出posx+j,结束;否则转S3247;
S3247:j=j+1;判断j是否小于t2/2;如满足,转S3246;否则转S3248;
S3248:i=i-1;判断i是否等于0,如果等于0则跳转至S3249,否则跳转至S3242;
S3249:输出-1,结束。
4.如权利要求1所述的方法,其特征是,所述基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,具体步骤包括:
设置序号i=0;全零标志allzero=1,创建数组存储坐标内存空间Qx、Qy、Qz、Px、Py和Pz,每个坐标长度为256比特,初始化为:
Qx=1,Qy=1,Qz=0,Px=1,Py=1,Pz=0
S41:如果naf[i]不小于0,则转S42,否则转S43;
S42:计算偏移地址
设x坐标的ParTable表偏移地址offsetx为:offsetx=naf[i]×WG;
设y坐标的ParTable表偏移地址offsety为:offsety=offsetx+wg;
其中,WG为每组坐标数据宽度,WG=512比特/SW;wg为x和y坐标数据宽度,wg=256比特/SW;
如果allzero=0,则执行点加操作:
(Qx,Qy,Qz)=ADD(Qx,Qy,Qz,ParTable<offsetx>,ParTable<offsety>)
否则,将数据复制到(Qx,Qy),Qz=1,设置allzero=0;转S44;
S43:对于验签或无须固定计算时间或追求运算速度的情况则直接跳转到S44;否则执行以下步骤:
设x坐标的ParTable表偏移地址为:offsetx=i×WG;
设y坐标的ParTable表偏移地址为:offsety=offsetx+wg;
如果allzero=0,则执行点加操作:
(Px,Py,Pz)=ADD(Px,Py,Pz,ParTable<offsetx>,ParTable<offsety>)
否则,将数据复制到(Px,Py),Pz=1;
S44:i=i+1,如果i<N,跳转到S41,否则跳转到S45;
S45:将雅可比坐标系下的点(Qx,Qy,Qz)转到标准射影坐标系下的点(Sx,Sy),计算结束。
5.如权利要求1-4任一所述的基于SM2算法标量乘法编码的抗侧信道攻击方法的系统,其特征是,包括:
生成模块,其被配置为:生成基准坐标表,生成预编码坐标参数表ParTable;
获取模块,其被配置为:获取输入的椭圆曲线公钥密码算法的参数k;
编码表生成模块,其被配置为:基于基准坐标表、预编码坐标参数表ParTable和椭圆曲线公钥密码算法的参数k,实时生成编码表;
抵御模块,其被配置为:基于实时生成的编码表,完成椭圆曲线公钥密码算法中的固定点标量乘法kG的运算,在椭圆曲线公钥密码的数字签名生成过程、数字签名验证过程、加密过程或密钥交换协商过程中使用运算获取的kG,抵御侧信道攻击。
6.一种电子设备,其特征是,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成权利要求1所述方法的步骤。
7.一种计算机可读存储介质,其特征是,用于存储计算机指令,所述计算机指令被处理器执行时,完成权利要求1所述方法的步骤。
CN201910959287.3A 2019-10-10 2019-10-10 基于sm2算法标量乘法编码的抗侧信道攻击方法及系统 Active CN110708160B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910959287.3A CN110708160B (zh) 2019-10-10 2019-10-10 基于sm2算法标量乘法编码的抗侧信道攻击方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910959287.3A CN110708160B (zh) 2019-10-10 2019-10-10 基于sm2算法标量乘法编码的抗侧信道攻击方法及系统

Publications (2)

Publication Number Publication Date
CN110708160A CN110708160A (zh) 2020-01-17
CN110708160B true CN110708160B (zh) 2020-11-13

Family

ID=69200155

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910959287.3A Active CN110708160B (zh) 2019-10-10 2019-10-10 基于sm2算法标量乘法编码的抗侧信道攻击方法及系统

Country Status (1)

Country Link
CN (1) CN110708160B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112395607B (zh) * 2020-11-30 2024-05-07 中国信息安全测评中心 一种侧信道分析方法及装置
CN116545621B (zh) * 2023-05-11 2024-02-20 山东省计算中心(国家超级计算济南中心) 密钥交换过程中椭圆曲线多标量乘快速实现方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102387015A (zh) * 2011-09-14 2012-03-21 中国矿业大学 一种提高椭圆曲线标量乘法计算效率的方法
US9565017B2 (en) * 2014-11-10 2017-02-07 Umm Al-Qura University Method for efficiently protecting elliptic curve cryptography against simple power analysis attacks
CN109214195A (zh) * 2018-07-26 2019-01-15 广东工业大学 一种抗差分功耗攻击的sm2椭圆曲线签名验签硬件系统及方法
CN109582284A (zh) * 2018-11-16 2019-04-05 大唐微电子技术有限公司 一种芯片中的标量乘实现方法及装置、计算机可读存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101197668B (zh) * 2007-12-06 2010-08-18 上海交通大学 基于随机化带符号标量乘法的椭圆曲线抗旁路攻击方法
CN101183945A (zh) * 2007-12-20 2008-05-21 上海交通大学 基于旁路算子的椭圆曲线抗旁路攻击方法
CN104486074B (zh) * 2014-12-12 2017-06-23 湘潭大学 用于嵌入式设备的椭圆曲线加密方法和解密方法
WO2018145190A1 (en) * 2017-02-13 2018-08-16 Infosec Global Inc. Elliptic curve cryptography scheme with simple side-channel attack countermeasure
CN110048844B (zh) * 2019-03-29 2020-09-11 网御安全技术(深圳)有限公司 实现sm2算法的多倍点计算方法、装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102387015A (zh) * 2011-09-14 2012-03-21 中国矿业大学 一种提高椭圆曲线标量乘法计算效率的方法
US9565017B2 (en) * 2014-11-10 2017-02-07 Umm Al-Qura University Method for efficiently protecting elliptic curve cryptography against simple power analysis attacks
CN109214195A (zh) * 2018-07-26 2019-01-15 广东工业大学 一种抗差分功耗攻击的sm2椭圆曲线签名验签硬件系统及方法
CN109582284A (zh) * 2018-11-16 2019-04-05 大唐微电子技术有限公司 一种芯片中的标量乘实现方法及装置、计算机可读存储介质

Also Published As

Publication number Publication date
CN110708160A (zh) 2020-01-17

Similar Documents

Publication Publication Date Title
CN109791517B (zh) 保护并行乘法运算免受外部监测攻击
CN1989726A (zh) 用于执行加密计算的方法和装置
CN110708160B (zh) 基于sm2算法标量乘法编码的抗侧信道攻击方法及系统
JP2001337599A (ja) 楕円曲線暗号におけるスカラー倍計算方法及び装置、並びに記憶媒体
US20140294174A1 (en) Efficient Prime-Number Check
CN108875416B (zh) 椭圆曲线多倍点运算方法和装置
Koppermann et al. 18 seconds to key exchange: Limitations of supersingular isogeny Diffie-Hellman on embedded devices
Wang et al. Practical side-channel attack on masked message encoding in latticed-based KEM
CN115906126A (zh) 多方安全计算中的数据处理的方法及装置
Luo et al. Effective simple-power analysis attacks of elliptic curve cryptography on embedded systems
CN101183945A (zh) 基于旁路算子的椭圆曲线抗旁路攻击方法
Coron et al. Improved Gadgets for the High-Order Masking of Dilithium
CN116318660B (zh) 一种消息扩展与压缩方法及相关装置
CN109936437B (zh) 一种基于d+1阶掩码的抗功耗攻击方法
CN108804933A (zh) 一种用于大数据的进制转换方法
CN116527274B (zh) 基于多标量乘快速计算的椭圆曲线验签方法及系统
Zhang et al. Fault attack on the authenticated cipher ACORN v2
CN113541952A (zh) 基于格的数字签名方法
CN114465728B (zh) 攻击椭圆曲线签名算法的方法、装置、设备及存储介质
US20230246806A1 (en) Efficient masking of secure data in ladder-type cryptographic computations
Kim et al. Layered ROLLO-I: faster rank-metric code-based KEM using ideal LRPC codes
CN115801264A (zh) 椭圆曲线数字签名的物理攻击方法、介质、设备及系统
Cao et al. Two lattice-based differential fault attacks against ECDSA with w NAF algorithm
CN112134679B (zh) 针对sm4的组合高阶侧信道攻击方法、装置、设备及介质
WO2021161304A1 (en) Methods and ip cores for reducing vulnerability to hardware attacks and/or improving processor performance

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
EE01 Entry into force of recordation of patent licensing contract
EE01 Entry into force of recordation of patent licensing contract

Application publication date: 20200117

Assignee: JINAN DONGSHUO MICROELECTRONIC CO.,LTD.

Assignor: SHANDONG COMPUTER SCIENCE CENTER(NATIONAL SUPERCOMPUTER CENTER IN JINAN)

Contract record no.: X2022980000636

Denomination of invention: Anti side channel attack method and system based on SM2 algorithm scalar multiplication coding

Granted publication date: 20201113

License type: Common License

Record date: 20220118