摘  要： 提出了一种针对基于标量乘的公钥密码体制的攻击方法。由于小整数n阶点在点加和倍点运算时能够产生显著数值变化，即产生显著功耗变化，因此基于小整数n阶点的选择明文与简单功耗分析可以有效攻击椭圆曲线密码(ECC)这种基于标量乘的公钥密码算法。
关键词： 椭圆曲线密码；简单功耗分析；标量乘

    与对称密钥密码体系相比，公钥密码体系允许更灵活的密钥管理。目前，应用最广泛的两种公钥密码算法是RSA以及椭圆曲线密码(ECC)算法[1-2]。与RSA相比，ECC具有更短的密钥长度、更快的运算(诸如内存、能量消耗以及带宽存储)，从而在学术与工程领域引起持续增长的兴趣。
    侧信道分析(如时序、功耗、电磁辐射)攻击已经对公钥密码体制的硬件实现产生了威胁。简单功耗分析SPA(Simple Power Analysis)攻击已被证明可有效攻击一些公钥密码算法[3]。该技术主要涉及对运行公钥加密算法的设备功耗进行检查分析。RSA实现中的模方和模乘运算是可以被区分开的，使得对方可以获得密钥。ECC中点加和倍点操作类似于RSA中的模方和模乘操作。如果可以区分ECC实现中的点加和倍点操作，那么攻击者就可以获取ECC密钥。
    目前大多数的RSA算法都使用相同的序列进行模乘和模方操作，大多数ECC算法也使用相同的序列进行点加和倍点运算，这增大了对差异的区分难度。RSA中“一贯的模乘和模方操作”以及ECC中“一贯的点加和倍点操作”似乎成为了对抗SPA攻击的有效手段。为了从功耗波形中获得更强的信息泄露，针对特殊输入数据的RSA的选择明文攻击方法得以提出[4-7]，以及采取更为复杂的原子化平衡操作[9]和蒙哥马利方法[10]等，但都使得在SPA攻击时得不到点加和倍点运算的显著功耗变化。
    为了在功耗波形中获得增强的信息泄露，本文提出了一种针对ECC算法的选择明文侧信道攻击方法，该方法利用了2阶或者其他小整数阶点作为特殊输入点P，以增强点和倍点操作中的显著变化。
1 ECC概述
1.1 椭圆曲线
    ECC算法把现有的离散对数问题转化为椭圆曲线上的连续问题。一个生成元为g的n阶循环群G的离散对数问题指的是找出群G上使y=gx成立的x。椭圆曲线上的离散对数比其他有限域上的群(诸如乘法群)要困难得多。令E(EP)为一个定义在有限域FP上的椭圆曲线，令P为一个E(EP)上的点。素数p、椭圆曲线方程FP、点P以及其阶数n是公共的域参数。私钥是一个从区间[1，n-1]上均匀随机选取的整数d，其相应的公钥是Q=dP。私钥d的确定问题就是椭圆曲线上的离散对数问题(ECDLP)。
   

    寻找其他阶数点的方法可以进一步阅读参考文献[10-12]。
    本文提出了一种新的选择明文的简单功耗分析攻击法。在该方法中，选择阶数为2或者其他小整数阶点作为特殊点P，是为了利用其在无限域上的特殊性。该方法放大了点倍与点加操作的功耗差。通过该方法，可以对ECC实现中的从左至右或从右至左二进制算法进行有效攻击。
参考文献
[1] MILLER V S.Use of elliptic curves in cryptography[C]. Advances in Cryptology，CRYPTO’85 Proceedings，1986，218：417-426.
[2] KOBLITZ N.Elliptic curve cryptosystems[J].Mathematics of Computation，1987，48(177)：203-209.
[3] KOCHER P，JAFFE J，JUN B.Timing attacks on implementations of Diffie-Hellman，RSA，DSS，and other systems[C]. Proceedings of 16th International Advances in Cryptology  Conference，CRYPTO’96，1996，1109：104-113.
[4] MIYAMOTO A，HOMMA N，AOKI T，et al.Enhanced power analysis attack using chosen message against RSA hardware implementations[C].IEEE Intrnational Symposium on Circuits  and Systems，ISCAS 2008，2008：3282-3285.
[5] NOVAK R.SPA-based adaptive chosen-ciphertext attack on RSA implementation[C].International Workshop on Practice and Theory in Public Key Cryptography，LNCS，2002，2274：252-262.
[6] BOER B D，LEMKE K，WICKE G.A DPA attack against  the modular reduction within a CRT implementation of RSA[C]. International Workshop on Cryptographic Hardware and Embedded Systems，CHES 2002，LNCS，2003，2523：228-243.
[7] YEN S M，LIEN W C，MOON S J，et al.Power analysis by exploiting chosen message and internal collisions-vulnerability of checking mechanism for RSA-decryption[J].Proceedings of Progress in Cryptology，Mycrypt 2005，2005，3715：183-195.
[8] Chen Tingding，Li Huiyun，Wu Keke，et al.Countermeasure of ECC against side-channel attacks：balanced point addition and point doubling operation procedure[C].Asia-Pacific Conference on Information Processing,APCIP 2009，2009，2:465-469.
[9] KIHARA S.On the rank of elliptic curves with a rational point of order 4[J].Proceedings of the Japan Academy，Series A，Mathematical Sciences，2004，80(4)：21-34.
[10] KIHARA S.On the rank of elliptic curves with three rational points of order 2.Ⅲ[J].Proceedings of the Japan Academy，Series A，Mathematical Sciences，2004，80(3)：13-20.
[11] KIHARA S. On the rank of elliptic curves with a rational point of order 4.Ⅱ[J].Proceedings of the Japan Academy,Series A，Mathematical Sciences，2004，80(8)：151-168.
[12] Li Huiyun，Wu Keke，Xu Guoqing，et al.Simple power analysis attacks using chosen message against ECC hardware implementations[C].World Congress on Internet Security, 2011:68-72.