16、基于身份协议中米勒算法对故障攻击的脆弱性分析

基于身份协议中米勒算法对故障攻击的脆弱性分析

在当今的密码学领域，基于配对的密码系统发挥着至关重要的作用。然而，这些系统的安全性并非无懈可击，其中米勒算法作为计算韦伊（Weil）、泰特（Tate）和阿特（Ate）配对的核心步骤，其安全性一直是研究的焦点。本文将深入探讨米勒算法在故障攻击下的脆弱性，揭示攻击者如何利用故障注入来获取敏感信息，并分析配对系统在这种攻击下的安全性。

1. 引言

早在1984年，A. Shamir就向密码学界发起挑战，呼吁寻找基于用户身份的协议。近十年后，D. Boneh和M. Franklin接过了这一挑战，并在2003年创建了基于配对的身份加密方案。在基于身份的加密协议中，解密消息需要计算涉及私钥和消息的配对。与传统密码系统不同的是，攻击者可能知晓所使用的算法、迭代次数和指数，而秘密仅存在于配对的一个参数中，且私钥对算法的执行时间和迭代次数并无影响。

近年来，针对基于配对的密码学的故障攻击逐渐兴起。D. Page和F. Vercauteren曾提出针对杜尔斯马 - 李（Duursma and Lee）算法的故障攻击，其核心在于修改算法的迭代次数。C. Whelan和M. Scott则对韦伊和埃塔（Eta）配对进行了故障攻击研究，但他们认为米勒算法在故障攻击下是安全的，因为攻击后得到的系统是非线性的，难以求解。然而，本文将证明，即使秘密作为配对的第一个参数，也可以通过故障攻击来发现，并且能够解决米勒算法在故障攻击后得到的非线性系统。此外，我们还将把故障攻击推广到算法的每一次迭代，而不仅仅是最后一次。

2. 配对与米勒算法

2.1 配对简介

我们考虑定义在有限域$F_q$（$q$为素数）上