的坐標(biāo)來自商密標(biāo)準(zhǔn)SM2算法�,商密標(biāo) 準(zhǔn)SM2算法中推薦的256(bit)比特安全曲線的曲線參數(shù)如表1所示。其中���,P為有限域巧 的規(guī)模�����,a和b是定義在巧上的一條楠圓曲線的參數(shù)�,N為基點(diǎn)的階��,Gx為基點(diǎn)的橫坐標(biāo) (即X坐標(biāo))����,Gy為基點(diǎn)的縱坐標(biāo)(即y坐標(biāo))�,表中各參數(shù)是W十六進(jìn)制的形式表示的��。
[0085]
【主權(quán)項(xiàng)】
1. 一種攻擊橢圓曲線加密算法的方法���,其特征在于,包括: 攻擊設(shè)備預(yù)先獲取具有一字節(jié)錯(cuò)誤的錯(cuò)誤基點(diǎn)的坐標(biāo)����、錯(cuò)誤基點(diǎn)所在橢圓曲線的曲線 參數(shù)和錯(cuò)誤基點(diǎn)的階之間的對(duì)應(yīng)關(guān)系;其中�����,階為最大素?cái)?shù)因子的長(zhǎng)度小于或等于預(yù)設(shè)閾 值的階�; 攻擊設(shè)備對(duì)加密設(shè)備中橢圓曲線加密算法所使用的橢圓曲線的基點(diǎn)的坐標(biāo)注入一字 節(jié)錯(cuò)誤得到錯(cuò)誤基點(diǎn)的坐標(biāo); 攻擊設(shè)備控制加密設(shè)備根據(jù)得到的錯(cuò)誤基點(diǎn)的坐標(biāo)采用橢圓曲線加密算法對(duì)明文進(jìn) 行加密得到錯(cuò)誤密文輸出�; 攻擊設(shè)備根據(jù)錯(cuò)誤密文輸出計(jì)算錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線參數(shù),在對(duì)應(yīng)關(guān)系中 查找計(jì)算得到的曲線參數(shù)對(duì)應(yīng)的錯(cuò)誤基點(diǎn)的坐標(biāo)和階��; 攻擊設(shè)備根據(jù)查找到的錯(cuò)誤基點(diǎn)的坐標(biāo)和階��、計(jì)算得到的曲線參數(shù)和錯(cuò)誤密文輸出獲 取明文���。
2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,當(dāng)所述攻擊設(shè)備在所述對(duì)應(yīng)關(guān)系中查找 不到計(jì)算得到的曲線參數(shù)對(duì)應(yīng)的錯(cuò)誤基點(diǎn)的坐標(biāo)和階時(shí),該方法還包括: 攻擊設(shè)備繼續(xù)執(zhí)行所述對(duì)加密設(shè)備中橢圓曲線加密算法所使用的橢圓曲線的基點(diǎn)的 坐標(biāo)注入一字節(jié)錯(cuò)誤得到錯(cuò)誤基點(diǎn)的坐標(biāo)的步驟�。
3. 根據(jù)權(quán)利要求1或2所述的方法,其特征在于����,所述錯(cuò)誤密文輸出包括:C'p(:2和 C3;所述加密設(shè)備根據(jù)得到的錯(cuò)誤基點(diǎn)的坐標(biāo)采用橢圓曲線加密算法對(duì)明文進(jìn)行加密得到 錯(cuò)誤密文輸出包括: 按照公式C' 1=[k2]G'計(jì)算所述橢圓曲線上的點(diǎn)C':的坐標(biāo);其中����,k2為1到(N-I) 之間的隨機(jī)數(shù),G'為所述錯(cuò)誤基點(diǎn)�����,N為所述基點(diǎn)G的階�; 按照公式S= [h]PB計(jì)算所述橢圓曲線上的點(diǎn)S;其中,h為余因子����,PB為用戶公鑰��; 判斷出點(diǎn)S不是無窮遠(yuǎn)點(diǎn)�,按照公式(x2,y2) = [k2]PB計(jì)算x2,y2;其中���,X2為點(diǎn)[k2]Pb的橫坐標(biāo),y2為點(diǎn)[k2]PiJ^縱坐標(biāo)�; 按照公式t=KDF(x21 |y2,klen)計(jì)算密鑰派生函數(shù)t;其中,KDF為密鑰派生函數(shù)�����,I為比特串的拼接����,klen為明文M的比特長(zhǎng)度; 判斷出計(jì)算得到的t不是全〇比特串���,按照公式r.2 =A?/十/_計(jì)算所述C2����,按照公式C3=hash(x21 |M| |y2)計(jì)算所述C3〇
4. 根據(jù)權(quán)利要求3所述的方法�,其特征在于���,當(dāng)判斷出所述計(jì)算得到的t為全0比特串 時(shí),所述加密設(shè)備根據(jù)得到的錯(cuò)誤基點(diǎn)的坐標(biāo)采用橢圓曲線加密算法對(duì)明文進(jìn)行加密得到 錯(cuò)誤密文輸出還包括: 繼續(xù)執(zhí)行所述按照公式C1= [k2]G' = (X^y1)計(jì)算橢圓曲線上的點(diǎn)C1的步驟����。
5. 根據(jù)權(quán)利要求1或2所述的方法,其特征在于����,所述錯(cuò)誤密文輸出包括:C' 1;所述 攻擊設(shè)備根據(jù)錯(cuò)誤密文輸出計(jì)算錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線參數(shù)包括: 所述攻擊設(shè)備按照公式& =7? 一計(jì)算所述錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線 參數(shù);其中���,b'為所述錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線參數(shù)�����,(\為c'i點(diǎn)的坐標(biāo)�,a為所述橢圓曲線的參數(shù)��。
6. 根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于���,所述攻擊設(shè)備根據(jù)查找到的錯(cuò)誤基點(diǎn) 的坐標(biāo)和階����、計(jì)算得到的曲線參數(shù)和錯(cuò)誤密文輸出獲取明文包括: 所述攻擊設(shè)備根據(jù)查找到的錯(cuò)誤基點(diǎn)的坐標(biāo)和階、計(jì)算得到的曲線參數(shù)獲取r;根據(jù) 獲得的r和錯(cuò)誤密文輸出獲取所述明文���。
7. 根據(jù)權(quán)利要求6所述的方法��,其特征在于���,所述錯(cuò)誤密文輸出包括:C2和C3;所述根 據(jù)獲得的r和錯(cuò)誤密文輸出獲取明文包括: 令j為 〇,按照公式(z;」.��,7;J=[r+ 計(jì)算(x����,2,」,y����,2;J); 按照公式t'』=KDF(x'2,』IIy' 2,』,klen)計(jì)算t' j; 按照公式m,二r:十L計(jì)算Mj; 按照公式C' 3=hash(x' 2����,」| |Mj| |y'2�����,y)計(jì)算C' 3; 判斷出C' 3與C3相等���,計(jì)算得到的Mj為所述明文; 其中���,n'為所述錯(cuò)誤基點(diǎn)的階�。
8. 根據(jù)權(quán)利要求7所述的方法�����,其特征在于��,當(dāng)判斷出C' 3與C3不相等時(shí)���,所述根據(jù) 獲得的r獲取明文還包括: 將所述j加1繼續(xù)執(zhí)行按照公式彡���,k+ 計(jì)算(x'W,y'U)的步驟�,直到
9. 一種攻擊設(shè)備,其特征在于���,至少包括: 獲取模塊���,用于預(yù)先獲取具有一字節(jié)錯(cuò)誤的錯(cuò)誤基點(diǎn)的坐標(biāo)�����、錯(cuò)誤基點(diǎn)所在錯(cuò)誤基點(diǎn) 的階之間的對(duì)應(yīng)關(guān)系���;其中,階為最大素?cái)?shù)因子的長(zhǎng)度小于或等于預(yù)設(shè)閾值的階�����; 錯(cuò)誤注入模塊����,用于對(duì)加密設(shè)備中橢圓曲線加密算法所使用的橢圓曲線的基點(diǎn)的坐標(biāo) 注入一字節(jié)錯(cuò)誤得到錯(cuò)誤基點(diǎn)的坐標(biāo)�����; 控制模塊����,用于控制加密設(shè)備根據(jù)得到的錯(cuò)誤基點(diǎn)的坐標(biāo)采用橢圓曲線加密算法對(duì)明 文進(jìn)行加密得到錯(cuò)誤密文輸出���; 計(jì)算模塊,用于根據(jù)錯(cuò)誤密文輸出計(jì)算錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線參數(shù)���; 查找模塊�,用于在對(duì)應(yīng)關(guān)系中查找計(jì)算得到的曲線參數(shù)對(duì)應(yīng)的錯(cuò)誤基點(diǎn)的坐標(biāo)和階�����, 根據(jù)查找到的錯(cuò)誤基點(diǎn)的坐標(biāo)和階���、計(jì)算得到的曲線參數(shù)和錯(cuò)誤密文輸出獲取明文����。
10. 根據(jù)權(quán)利要求9所述的攻擊設(shè)備����,其特征在于,所述查找模塊還用于: 在所述對(duì)應(yīng)關(guān)系中查找不到計(jì)算得到的曲線參數(shù)對(duì)應(yīng)的錯(cuò)誤基點(diǎn)的坐標(biāo)和階�; 所述錯(cuò)誤注入模塊還用于: 在所述查找模塊在所述對(duì)應(yīng)關(guān)系中查找不到所述計(jì)算得到的曲線參數(shù)對(duì)應(yīng)的錯(cuò)誤基 點(diǎn)的坐標(biāo)和階時(shí),繼續(xù)對(duì)加密設(shè)備中橢圓曲線加密算法所使用的橢圓曲線的基點(diǎn)的坐標(biāo)注 入一字節(jié)錯(cuò)誤得到錯(cuò)誤基點(diǎn)的坐標(biāo)�����。
11. 根據(jù)權(quán)利要求9或10所述的攻擊設(shè)備,其特征在于��,所述計(jì)算模塊具體用于: 按照公式A=^;-計(jì)算所述錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線參數(shù)����;其中,b' 為所述錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線參數(shù)夕&�,為C':點(diǎn)的坐標(biāo),a為所述橢圓 曲線的參數(shù)����。
12. 根據(jù)權(quán)利要求9或10所述的攻擊設(shè)備,其特征在于����,所述查找模塊具體用于: 根據(jù)查找到的錯(cuò)誤基點(diǎn)的坐標(biāo)和階、計(jì)算得到的曲線參數(shù)獲取r;根據(jù)獲得的r和錯(cuò)誤 密文輸出獲取所述明文���。
13. 根據(jù)權(quán)利要求9或10所述的攻擊設(shè)備�,其特征在于�����,所述查找模塊具體用于: 根據(jù)查找到的錯(cuò)誤基點(diǎn)的坐標(biāo)和階���、計(jì)算得到的曲線參數(shù)獲取r; 令j為〇,按照公式(.Uy.)= 1/. +./.〃J/L計(jì)算(X�����,2���,』,y����,2,』)�; 按照公式t'』=KDF(x'2,』IIy' 2,』,klen)計(jì)算t' j; 按照公式二C2十G計(jì)算Mj; 按照公式C' 3=hash(x' 2���,」| |Mj| |y'2����,y)計(jì)算C' 3; 判斷出C' 3與C3相等�,計(jì)算得到的Mj為所述明文。
14. 根據(jù)權(quán)利要求13所述的攻擊設(shè)備��,其特征在于,所述查找模塊還用于: 判斷出C'3與C3不相等����,將所述j加1繼續(xù)執(zhí)行按照公式(X2.,,_>、.)=[r+ ./"|Pz>,計(jì)算
【專利摘要】本發(fā)明公開了一種攻擊橢圓曲線加密算法的方法和攻擊設(shè)備�����,包括:攻擊設(shè)備預(yù)先獲取具有一字節(jié)錯(cuò)誤的錯(cuò)誤基點(diǎn)的坐標(biāo)���、所在橢圓曲線的曲線參數(shù)和階之間的對(duì)應(yīng)關(guān)系�����,其中�����,階為最大素?cái)?shù)因子的長(zhǎng)度小于或等于預(yù)設(shè)閾值的階���;攻擊設(shè)備對(duì)加密設(shè)備中橢圓曲線加密算法所使用的橢圓曲線的基點(diǎn)的坐標(biāo)注入一字節(jié)錯(cuò)誤得到錯(cuò)誤基點(diǎn)的坐標(biāo);攻擊設(shè)備控制加密設(shè)備根據(jù)錯(cuò)誤基點(diǎn)的坐標(biāo)采用橢圓曲線加密算法對(duì)明文進(jìn)行加密得到錯(cuò)誤密文輸出��;攻擊設(shè)備根據(jù)錯(cuò)誤密文輸出計(jì)算錯(cuò)誤基點(diǎn)所在的橢圓曲線的曲線參數(shù)��,在對(duì)應(yīng)關(guān)系中查找曲線參數(shù)對(duì)應(yīng)的錯(cuò)誤基點(diǎn)的坐標(biāo)和階��;攻擊設(shè)備根據(jù)錯(cuò)誤基點(diǎn)的坐標(biāo)和階�����、計(jì)算得到的曲線參數(shù)和錯(cuò)誤密文輸出獲取明文�。本發(fā)明提高了攻擊效率。
【IPC分類】H04L9-30
【公開號(hào)】CN104717060
【申請(qǐng)?zhí)枴緾N201510104861
【發(fā)明人】雷翻翻, 何軍, 李大為, 羅鵬, 雷銀花
【申請(qǐng)人】大唐微電子技術(shù)有限公司, 國(guó)家密碼管理局商用密碼檢測(cè)中心
【公開日】2015年6月17日
【申請(qǐng)日】2015年3月10日