[发明专利]用于椭圆曲线密码防御差分功耗攻击的方法

说明书

技术领域

本发明涉及一种防御差分功耗攻击的方法，特别是涉及一种用于椭圆曲线密码防御差分功耗攻击的方法。

背景技术

在López Dahab射影坐标下，二进制域上椭圆曲线E()可以表示为

Y²+XYZ＝X³Z+a₂X²Z²+a₆Z⁴

定义无穷远点∞＝(1:0:0)。当Z₁≠0时，Dahab射影坐标下的点(X₁:Y₁:Z₁)对应仿射坐标下的点是设椭圆曲线E()上任意两个点P，Q，当P，Q使用López Dahab射影坐标表示时，若R＝P+Q，R的坐标通过以下公式计算：

如果P＝∞则R＝∞+Q＝Q；

如果Q＝∞则R＝P+∞＝P；

现在不妨设P≠∞且Q≠∞。

记P＝(X₁:Y₁:Z₁)，Q＝(X₂:Y₂:Z₂)，R＝(X₃:Y₃:Z₃)。

如果P≠Q，则

X₃＝A(H+D)+B(G+C)

Y₃＝F(AJ+FG)+(J+Z₃)X₃

Z₃＝FZ₁Z₂

其中，A＝X₁Z₂，B＝X₂Z₁，C＝A²，D＝B²，E＝A+B，F＝C+D，I＝G+H，J＝IE。

如果P＝Q，则

X₃＝C²+B

Y₃＝(Y₁+a₂Z₃+B)X₃+Z₃B

Z₃＝AC

其中，B＝a₆A²，

在以上公式中，当P≠Q时称为点加运算，当P＝Q时称为倍点运算。在这里点加运算需要13M+4S，即13次有限域中乘法和4次有限域中平方；而倍点运算需要4M+5S，即4次有限域中乘法和5次有限域中平方。与二进制域上的其它标准射影坐标、Jacobian射影坐标以及仿射坐标相比，这些运算在López Dahab射影坐标下的速度是最快的。

密码设备在进行运算和工作时，不可避免的存在着某些信息的泄漏，比如：时间消耗、能量损失、电磁辐射和出现错误结果等等。把对以上这些泄漏信息的监测与分析和对算法的数学分析结合起来，就成为获取密钥信息、揭示芯片工作原理和最终破译加密芯片的最强大工具。并由此产生了一系列旁路攻击方法，差分功耗攻击就是其中一个极有威胁的攻击。如，对于智能卡中的密码算法，差分功耗攻击则极大地危胁智能卡的安全性。因此，研究防御差分功耗攻击的方法是非常有意义的。

标量乘是椭圆曲线密码的核心运算，通过对标量乘进行差分功耗分析，可以获得密钥。为此人们提出了标量盲化和射影坐标随机化等方法，用来抵抗差分功耗攻击。标量盲化时需要选取较大的随机数，否则会导致不安全。因此一般情况下，标量盲化方法比射影坐标随机化方法更耗时。射影坐标随机化方法的思想是把点P＝(X₁:Y₁:Z₁)映射到P′＝(θX₁:θ²Y₁:θZ₁)，再计算mP′。但是这里θ是有限域中的随机非零点，而且不能取为1，否则映射没有意义。由于θ≠1，从而P′的Z坐标不等于1，这样计算mP′过程中只能调用一般的点加运算公式，其耗时为13M+4S。因此，使用射影坐标随机化方法防御差分功耗攻击，也需要牺牲较多的时间。

发明内容

本发明要解决的技术问题是提供一种用于椭圆曲线密码防御差分功耗攻击的方法，该方法使得点P′的Z坐标可以取1，从而达到以极小的时间代价防御差分功耗攻击，获得更高的安全性。