[发明专利]一种CRT-RSA选择明文联合攻击方法及系统

说明书

本发明属于信息安全领域，公开了一种CRT‑RSA选择明文联合攻击方法及系统,攻击过程中以CRT‑RSA算法的d_p和d_q为攻击目标，再推导私钥参数p，q；明文碰撞攻击过程中，选择多组明文对，进行叠加出来，并对模乘功耗差值做二次处理作为碰撞分类集；攻击过程中，结合CRT‑RSA模幂运算过程中存取数功耗幂指数汉明重量信息泄露，进行模乘功耗分段，实施分段选择明文碰撞攻击。本发明结合CRT‑RSA模幂运算过程中其他信息泄露(如存取数功耗幂指数汉明重量信息泄露)问题，进行模乘功耗分段，实施分段选择明文碰撞攻击，可以避免局部碰撞攻击出错，从而提高攻击准确率，最终推导私钥参数p，q，恢复私钥d值。

技术领域

本发明属于信息安全领域，尤其涉及一种CRT-RSA选择明文联合攻击方法及系统。

背景技术

目前，业内常用的现有技术是这样的：

大多数智能卡使用RSA密码算法实现数字签名认证功能，但RSA加密速度最快的情况也比DES慢100倍，无论软件还是硬件实现，速度一直是RSA的缺陷。自1982年，两位比利时学者(QuisquateCouvreur)基于中国剩余定理(Chinese Remainder Theorem CRT)提出了一种RSA的变型算法，通过CRT的引入，可以用来减小求模的运算量，缩小算法所需存储表的空间，同时还减小了算法中乘法的运算执行速度，因此CRT-RSA被广泛应用于智能卡和嵌入式设备。

在标准RSA密码算法中，RSA模数N是两个大素数p和q的乘积，N＝pq，通常p和q的比特位要求相等，一般为512比特或者1024比特，且满足公钥指数e和d满足：

其中为N的欧拉函数，即

CRT-RSA密码体制是RSA的一个变形，即解密时解密指数d用私钥CRT指数d_p和d_q代替，需要预先计算d_p、d_q和q_inv，如算法1。

算法中第3步引入中国剩余定理的操作，虽然CRT-RSA需要两次模幂操作，但参与指数运算的d_p和d_q是传统非CRT-RSA算法中私钥d的长度的一半，并且两模乘可以并行运算，所以CRT-RSA大约比普通RSA的快4倍。

自从差分功耗分析(Differential PowerAnalysis，DPA)攻击技术的问世，引起人们对侧信道攻击(Side ChannelAttack，SCA)技术的极大关注。研究者提出了针对CRT-RSA算法的侧信道攻击方法。

而选择明文侧信道攻击一直是RSA算法常用的侧信道攻击方法，通过选定特定的明文对，通过功耗差分值寻找碰撞，而获取幂指数。

综上所述，现有技术存在的问题是：

(1)目前针对CRT-RSA算法的侧信道攻击方法，集中在直接对素数p，q相关功耗信息泄露进行攻击，已经有针对这些侧信道攻击方法相应的防御方法，因此目前根据信息泄露直接攻击对素数p，q是无法有效攻击。

另外选择明文侧信道攻击中，采用明文对功耗之间差分作为碰撞分类数据集，进行分类。但是在真实环境下，由于噪声和对齐等干扰，没法有效选寻找功耗碰撞问题，从而影响攻击效率。虽然采用机器学习方法可以一定程度提高分类结果，但是碰撞分类关键是分类数据集的选取，是进行高效分类的基础。

并从查阅文献来看，目前没有针对CRT-RSA通过间接攻击密钥参数d_p和d_q，再推导出素数p，q的侧信道攻击方法，并且也没有多点信息泄露相结合，以明文对功耗差值的二次处理作为分类数据集的选择明文侧信道攻击方法。