[发明专利]一种基于SPA和零值判断高效获得私钥的方法

摘要

本发明公开一种基于SPA和零值判断高效获得私钥的方法。该方法基于SPA和零值判断高效获得私钥的方法，对相同或类似思想实现的RSA CRT进行签名的算法或装置，利用零值及非零值同一个立即数相加所产生的差异用来攻击RSA CRT签名。通过选择明文，进而计算出密文，通过密文输入得到明文和密钥关系。通过设置高半部分为0，低半部分为1，并通过低半部分最高比特开始逼近密钥。利用类似的方法等分选择的明文，或者n等分明文，进而攻击出密钥。

主权项

一种基于SPA和零值判断高效获得私钥的方法，其特征在于，包含步骤：(a)设置RSA模数N的长度为2t，设置e为小于n的任意比特；(b)选择明文M，长度等于N的长度2t，等分M为两部分，分别为MH、ML长度均为t，且M＝MH||ML；(c)设置MH的所有比特位为0，ML的所有比特位为1，计算C＝M^e mod N，把C的值输入被攻击芯片进行签名或解密操作，得到功耗曲线trace1；(d)设置MH的所有比特位为0，ML的第0比特位、1比特位为1，其余比特位为0；计算C＝M^e mod N，把C的值输入被攻击芯片进行签名或解密操作，得到功耗曲线trace2；(e)对比trace1、trace2，分析出RSA CRT签名最后一步加法的功耗曲线差异，其中执行零加SQ的功耗曲线记为trace4；执行非零加SQ的功耗曲线记为trace5；(f)设置MH的所有比特位为0，ML的所有比特位为1，当i从t‑1到1，执行如下过程：计算C＝M^e mod N，把C的值输入被攻击芯片进行签名或解密运算，得到trace3；(g)判断trace3中最后一次加法的子功耗trace6，如果trace6等同于trace4，则当前比特设置为1，或者当前比特设置为0；(h)计算C＝M^e mod N，把C输入被攻击芯片进行签名或解密运算，如果(RSA CRT签名最后一步加法的功耗曲线等同于trace5，则输出M的值即为攻击出的素数；反之，输出未攻击成功。