超级会员免费看
密码系统攻击与防御:从RSA到椭圆曲线
一、RSA-CRT的SPA攻击及应对策略
在密码学领域,针对RSA-CRT(中国剩余定理)的简单功耗分析(SPA)攻击是一个备受关注的问题。研究发现,这种攻击可以扩展到更长的“安全”模数,例如2048位长的模数。而且,当已知消息所需的签名数量不多时(如当n = 1536时,仅需一百万),该攻击在实际中是可行的。
为了应对这种攻击,我们提出了以下几种对策:
1. 添加伪操作 :为了平衡时间执行和功耗,可以添加伪操作。具体做法是修改算法的步骤4,首先计算t = sp - sq,然后分别设置新变量t′ = t + p和t′′ = t。步骤5定义为:如果t < 0,则t ← t′,否则t ← t′′。这样,由于加法总是会执行,实现过程不会泄露关于sp - sq的任何信息。但需要注意的是,这种实现应该使用概率编码步骤(图1的步骤1)。否则,使用安全错误攻击可能会打破这种对策。例如,当使用PKCS#1 v1.5时,消息的编码总是相同的。此时,可以在t′的计算过程中注入故障。如果得到的签名无效,就可以得知对于这个签名,t′被使用了,即t < 0。然后,再次使用相同的消息向设备请求签名,且在生成过程中不产生任何错误。由于是在相同的输入m上计算的,我们知道得到的签名满足t < 0,从而可以将这个签名作为算法的输入。
2. 消息随机化 :另一种经典的对策是基于消息m的随机化。计算签名s时,对re×m进行操作,m的签名为s/r mod N。由于r是保密的,设备泄露的关于值t的信息与输出签名s/r mod N之间没有关系,因此攻击不再可行。此外,许多实际的RSA签名实现会
订阅专栏 解锁全文
扫一扫
46
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
