[发明专利]攻击密钥的方法及装置

说明书

技术领域

本发明涉及安全领域，特别涉及一种攻击密钥的方法及装置。

背景技术

RSA（取名来自三位开发者的名字，分别为Ron Rivest、Adi Shamirh和LenAdleman，简称RSA）和ECC（Elliptic Curves Cryptography，椭圆曲线密码算法）是信息安全领域中比较主流的公钥密码技术。基于RSA和ECC实现的各种密钥（Key）及智能卡已经广泛应用于金融、通信、社保、交通等各个领域。为了保障Key及智能卡的安全性，需要研究各种攻击方法。目前比较流行的攻击方法包括侧信道攻击（Side Channel Attack，简称SCA）和错误注入攻击（Fault Injection Attack，简称FIA），其中SCA攻击中的SPA（Simple Power Attack/Analysis，简单能量攻击/分析）和DPA（Differential Power Attack/Analysis，差分功耗攻击/分析）攻击最为普遍。

现有技术中，对RSA算法的SPA攻击方法主要是针对二进制实现的模幂运算，该方法中，模乘和模平方在功耗或者时间上有明显差异，通过该差异能很好的分析密钥的当前比特位为1或0。但当产品中使用的模乘器为蒙哥马利模乘器，该乘法器在设计过程中只存在一种模乘运算，即两个乘数无论是否相同，都按不同数据来执行；因此，整个模幂过程中无法分析出模乘和模平方的差异。对ECC的SPA攻击方法，主要是针对二进制实现的点乘运算，该实现方式中，点加和点倍在功耗或者时间上有明显的差异，通过该差异能分析出私钥的值。但当使用类似蒙哥马利阶梯算法（Montgomery’s Ladder Algorithm）时，由于点加和点倍交替执行，传统SPA无法发挥攻击作用。可见，传统的攻击密钥的方法存在缺陷和不足，无法充分测试各种Key、智能卡以及其他嵌入式产品的芯片或其操作系统的安全性。

发明内容

本发明实施例中提供了一种攻击密钥的方法和装置，能解决现有方法中无法充分测试密钥的安全性的问题。

为了解决上述技术问题，本发明实施例公开了如下技术方案：

一方面，提供了一种攻击密钥的方法，所述方法包括：

设置RSA密码运算的长度为t，采用被攻击的密钥对数据进行RSA密码运算，得到被攻击的密钥进行模幂运算的第一功耗曲线；

通过简单能量攻击/分析SPA的方法分析所述第一功耗曲线中的RSA密码运算是否全部为硬件实现，若全部为硬件实现，则攻击失败；

否则，根据所述第一功耗曲线中模乘的执行次数获取测试密钥，用所述测试密钥和被攻击的密钥对相同的随机数据进行密码运算，判断结果是否一致，若一致，则攻击成功；

其中，所述RSA密码运算为采用模幂运算实现的标准RSA解密运算或签名运算。

结合第一方面，在第一方面的第一种可能实现方式中，所述根据所述第一功耗曲线中的模乘次数获取测试密钥，具体包括：

若所述第一功耗曲线中模乘的执行次数不是2t次，则通过分所述析第一功耗曲线中的循环控制、判断语句和判断语句加循环控制的波形出现的次序，获取所述测试密钥；

若所述第一功耗曲线中模乘的执行次数是2t次，则通过分析所述第一功耗曲线中循环控制加条件判断一和循环控制加条件判断二的波形出现的次序，获取所述测试密钥。

结合第一方面的第一种可能实现方式，还提供了第一方面的第二种可能实现方式，若所述第一功耗曲线中模乘的执行次数是2t次，获取所述测试密钥后，用所述测试密钥和被攻击的密钥对相同的随机数据进行密码运算，判断所述结果是否一致，若一致，则攻击成功，若不一致，则对所述测试密钥按比特取反，用所述取反后的测试密钥的和被攻击的密钥对相同的随机数据进行密码运算，判断所述结果是否一致，若一致，则攻击成功。

结合第一方面的第一种可能实现方式，还提供了第一方面的第三种可能实现方式，通过分析第一功耗曲线中的循环控制、判断语句和判断语句加循环控制的波形出现的次序，获取所述测试密钥，具体包括：

从所述第一功耗曲线中分析出循环控制对应的第二功耗曲线、判断语句对应的第三功耗曲线以及判断语句加循环控制对应的第四功耗曲线；

从第t-1比特位至0比特位，依次确认所述测试密钥的第i比特位的比特值，以获取所述测试密钥，其中，i为整数，且0≤i≤t-1。