44、超椭圆曲线密码系统抗差分功耗分析的对策

超椭圆曲线密码系统抗差分功耗分析的对策

在密码系统的安全保障中，抵御差分功耗分析（DPA）是至关重要的。本文将介绍超椭圆曲线密码系统中用于抵御 DPA 的两种方法，以及应对 Goubin 攻击的相关策略。

1. 曲线随机化的限制

在超椭圆曲线密码系统中，曲线随机化是一种常用的抗 DPA 手段。然而，它存在一定的局限性。

首先，为了抵御 P. Gaudry 的低亏格算法对超椭圆 Jacobian 中离散对数的计算，亏格 ( g ) 必须较小，实际上 ( g \leq 4 )，这导致 ( r \leq 7 )。这使得 ( s ) 只有极少数可能的值，对其进行随机化的意义不大。

为了使 Weil 下降攻击不可行，扩展度 ( d ) 通常取为一个大素数 ( p \gtrapprox 160/g ) 或两倍的素数 ( p \gtrapprox 80/g )。当 ( d = p \gtrapprox 160/g \geq 40 ) 时，( s = 1 )；当 ( d = 2p ) 且 ( p \gtrapprox 80/g \geq 20 ) 时，( s ) 只能是 ( X^r - 1 ) 的次数至多为 2 且在 ( F_2 ) 上不可约的因子的根，即要么 ( s = 1 )，要么 ( r = 3 ) 且 ( s^2 + s + 1 = 0 )。如果 ( h(x) ) 的两个系数等于 1，则 ( \tilde{h}(x) ) 的相应系数也等于 1 时，总是有 ( s = 1 )。

通过分析可知，我们能使用的同构形式为 ( \varphi : (x, y) \to (x, y + A(x)) )，其中多项式 ( A(x) \in F_q[x] ) 的次数