针对椭圆曲线点乘算法的代数故障攻击

计算机工程与科学

针对椭圆曲线点乘算法的代数故障攻击

许盛伟1，陈诚1,2，王荣荣1,2

（1.北京电子科技学院，北京 100070；2.西安电子科技大学通信工程学院，陕西西安 710071）

收稿日期:2016-05-23 修回日期:2016-09-09 出版日期:2017-11-25 发布日期:2017-11-25

Algebraic fault attack on elliptic curve

scalar multiplication algorithms

XU Sheng-wei1，CHEN Cheng1,2，WANG Rong-rong1,2

（1.Beijing Electronic Science & Technology Institute,Beijing 100070；

2.College of Communication Engineering,Xidian University,Xi’an 710071,China）

Received:2016-05-23 Revised:2016-09-09 Online:2017-11-25 Published:2017-11-25

摘要/Abstract

摘要：

首先通过分析固定梳（comb）点乘算法和窗口非相邻型（NAF）点乘算法，提出了一种代数故障攻击算法，可以恢复椭圆曲线密码算法的全部私钥。代数故障攻击算法在执行过程中不会被检测出来，遇到全零块也不会使攻击失效。然后通过软件仿真分别实现了对两种点乘算法的攻击，攻击的参考椭圆曲线为商用密码SM2算法提供的素数域曲线。攻击comb点乘算法需要13 min，攻击窗口NAF点乘算法需要18 min，并且都恢复了256比特长的私钥。而差分故障攻击方法不能攻击comb点乘算法，也容易遭受“故障检测”和“零块失效”的威胁，使得攻击失败。实验结果表明，代数故障攻击可以对有预计算的点乘算法实现高效攻击，健壮性强。

关键词: 椭圆曲线密码, comb点乘算法, 窗口NAF点乘算法, 代数故障攻击, 零块失效, 故障检测

Abstract:

Firstly, by analyzing the comb scalar multiplication and window non-adjacent form (NAF) scalar multiplication algorithms, we put forward an algebraic fault attack algorithm, which can recover all the private keys of elliptic curve cryptographic algorithms. The algebra fault attack algorithm cannot be detected in the execution process or fails when it meets all zero blocks. Then using the prime field curve of the commercial cryptography SM2 algorithm as the elliptic curve reference, the two scalar multiplication algorithms are attacked respectively in software simulation. It takes 13 minutes to attack the comb scalar multiplication algorithm and 18 minutes to the window NAF scalar multiplication algorithm, with 256-bits long private key recovered. In comparison, differential fault attack methods cannot attack the comb scalar multiplication algorithm, and they are vulnerable to "fault detection" and "zero block failure" simultaneously, so they fail. Experimental results show that the algebraic fault attack can be efficient to the scalar multiplications with precomputation, and the attacks are robust.

Key words: elliptic curve cryptography, comb scalar multiplication, window NAF scalar multiplication, algebraic fault attack, zero block failure, fault detection

许盛伟1，陈诚1,2，王荣荣1,2. 针对椭圆曲线点乘算法的代数故障攻击[J]. 计算机工程与科学.

XU Sheng-wei1，CHEN Cheng1,2，WANG Rong-rong1,2.

Algebraic fault attack on elliptic curve

scalar multiplication algorithms

[J]. Computer Engineering & Science.

[1]	刘阳, 粟航, 何倩, 申普, 刘鹏. 基于云-边协同变分自编码神经网络的设备故障检测方法[J]. 计算机工程与科学, 2023, 45(07): 1188-1196.
[2]	孙智超, 张策, 江文倩, 刘凯卫, 范苗苗, 李文毓, 温雅菲. 故障检测率对软件可靠性影响实证分析[J]. 计算机工程与科学, 2022, 44(12): 2162-2173.
[3]	邓泽勇, 曹东, 邵海龙. ARINC659总线多余度飞控计算机故障检测策略研究[J]. 计算机工程与科学, 2022, 44(08): 1349-1356.
[4]	魏国珩1,2，汪亚2，张焕国1. 面向RFID应用的GF(2m)域上ECC点乘运算的轻量化改进研究[J]. 计算机工程与科学, 2017, 39(01): 81-85.
[5]	贾周阳，廖湘科，刘晓东，李姗姗，周书林，谢欣伟. 基于机器学习的日志函数自动识别方法[J]. 计算机工程与科学, 2017, 39(01): 111-117.
[6]	樊皓1,2，邓浩江1，陈君1，李明哲1,2. 网口容错在嵌入式设备中的设计与实现[J]. 计算机工程与科学, 2016, 38(12): 2478-2482.
[7]	黄旭. MRNN:一种新的基于改进型递归神经网络的WSN动态建模方法：应用于故障检测[J]. J4, 2015, 37(04): 711-718.
[8]	张友桥1，周武能1，申晔2，刘玉军2. 椭圆曲线密码中抗功耗分析攻击的标量乘改进方案[J]. J4, 2014, 36(04): 644-648.
[9]	李建立, 谭庆平, 徐建军. 一种辐射环境下瞬时故障的软件检测方法[J]. J4, 2010, 32(3): 115-118.
[10]	阚元平. 基于椭圆曲线的具有消息恢复特性的签名方案[J]. J4, 2010, 32(2): 58-59.
[11]	崔三俊1,2，李成海1，徐欣中1. RS-485总线短路故障检测技术研究[J]. J4, 2010, 32(12): 149-151.
[12]	李欣妍1,芦殿军2. 基于椭圆曲线密码体制的代理多重盲签名[J]. J4, 2010, 32(11): 58-59.
[13]	宁竞钟诚. 一种具有前向安全的椭圆曲线（t,n）门限数字签名方案[J]. J4, 2007, 29(2): 29-31.
[14]	肖立国[1] 钟诚[2]. 基于ECC的定期更新的可验证秘密共享方案[J]. J4, 2006, 28(7): 25-27.
[15]	石润华[1] 钟诚[2]. 基于整数拆分的椭圆曲线密码体制上的快速点乘算法[J]. J4, 2005, 27(5): 66-67.