17、基于米勒算法的配对易受故障攻击及新型强安全认证密钥交换协议分析

基于米勒算法的配对易受故障攻击及新型强安全认证密钥交换协议分析

基于米勒算法的配对易受故障攻击分析

在基于身份的协议中使用米勒算法时，它存在易受故障攻击的问题。这种攻击通过修改电子设备的内部计数器，使算法进行更短的迭代，我们会考虑所有可能的迭代情况。

配对算法

• 韦伊配对（Weil Pairing） ：韦伊配对由两次米勒算法执行构成，因此直接容易受到攻击。其定义为 (e_W (P, Q) = \frac{F_P (Q)}{F_Q(P)})。在分析时，我们考虑在米勒精简版和完整版中使用相同修改后的 (l)。以简化版米勒算法为例，设 (H_1) 和 (H_2) 是完整版米勒算法中步骤 5 和 7 所使用的方程。例如，(H_1(P)) 是完整版米勒算法中在点 (T = [2^j]Q) 处的切线方程。两次连续迭代结果的比率 (R = \frac{h_1(Q)}{H_1(P)})，在 (F_{q^k}) 基下识别元素后得到的系统由 4 个方程和 6 个未知值组成，利用椭圆曲线方程可以像第 3.3 节那样用结式法精确求解。若使用原始算法，比率 (R) 变为 (\frac{h_1(Q)H_2(P)}{h_2(Q)H_1(P)})，同样的方法也适用。
• 泰特和阿特配对（Tate and Ate Pairings） ：泰特和阿特配对基于相同的模型构建，即一次米勒算法执行加上最终的指数运算。例如，泰特配对定义为 (e_T (P, Q) = (F_P (Q))^{\frac{q^k - 1}{l}})。用我们的方案攻击这两种配对的第一个难点是找到结果的 (\frac{q^k - 1}{l}