[发明专利]针对SM2签名算法的攻击验证、防护方法及装置

说明书

本发明公开针对SM2签名算法的攻击验证、防护方法及装置。该攻击验证方法在SM2签名算法的加法位置进行错误注入攻击，该防护方法对随机数k参与的加减法过程进行防护。针对SM2签名算法的攻击验证装置包括攻击模块，针对SM2签名算法的防护装置包括防护模块。本发明发现现有技术中的防护措施忽略了在计算s时对随机数k的保护，无论是原始的公式k‑r*dA，还是变形后的公式r+k，都存在一个有随机数k参与的加减法，而现有的防护技术都没有对这个地方进行保护，因而使得目前的SM2加密算法存在一定的风险漏洞，本发明提出的防护方法可有效对抗相应的攻击手段，防止信息泄露。

技术领域

本发明涉及计算机加密技术领域，具体涉及一种针对SM2签名算法的攻击验证、防护方法及装置。

背景技术

1985年，Neal Koblitz和Victor Miller分别独立地提出了利用椭圆曲线设计公钥密码体制的问题。1990年以后，椭圆曲线密码(Elliptic Curve Cryptography简称ECC)开始得到商业界的认可，公认的标准化组织制定了椭圆曲线密码协议。ECC和RSA都是依赖于离散对数的计算困难性(简称DLP问题)，设G为一个有限ABEL加法群，假定g为G的某个元，a为任意的整数，如果已知g及ag，如何求出整数a来的问题在数学上称为离散对数问题。离散对数问题又可细分为两类，一类为某个有限域上的离散对数问题(RSA算法)；一类为椭圆曲线上的离散对数问题(ECC算法)。两者比较，后一类问题求解更为困难些。

国密SM2椭圆曲线公钥密码算法是非对称密码算法，是基于ECC算法的非对称算法。由国家密码管理局于2010年12月17日发布。目前，各行各业都在大力推广商用国密算法的使用，尤其是在金融、社保等关系国计民生的行业，因此SM2算法是否存在可攻击的漏洞以及如何进行安全防护，是本领域技术人员研究的重点。

目前，主要的攻击方法包括能量分析攻击、故障注入攻击和针对分组密码故障攻击等。其中能量分析攻击的基本思想是通过分析密码设备的能量消耗获得其密钥。本质上，这种攻击利用了两类能量消耗依赖性：数据依赖性和操作依赖性，即密码设备的瞬时能量消耗依赖于设备所处理的数据以及设备所进行的操作。能量分析攻击分为简单能量分析(SPA)和差分能量分析(DPA)。SPA是一种能够对密码算法执行过程中所采集到的能量消耗信息进行直接分析的技术，密码设备中的每一个算法都有一定的执行顺序。算法定义的操作被翻译成设备所支持的指令。若是攻击者对被攻击设备中密码算法的具体实现有详细的认识，那么从能量迹上可以区分出每一个操作指令对应的功耗曲线。即SPA攻击主要沿时间轴来分析设备的能量消耗。攻击者试图在单条能量迹中找到某种模式或与模板进行匹配。如果仅当密钥的某一比特为1时执行某一个特定的指令，同时仅当密钥的某一比特为0时执行另外一个指令，那么通过查看能量迹中所体现的指令序列，就可以推断出密钥。

故障注入攻击是在合适的时间改变密码芯片的一些工作条件使得芯片运行的中间状态发生变化，进而导致输出错误或者旁路泄露，攻击者利用这些信息实施分析进而攻击出密钥。针对分组密码故障攻击主要分为差分故障分析DFA、安全错误分析SEA和碰撞故障分析CFA及其延伸的无效故障分析IFA。

在目前的SM2签名算法中，s的计算过程为：s＝((1+dA)-1·(k-r·dA))modn；实现计算s的伪代码如下：

temp1＝r*dA；

temp1＝k-temp1；

temp2＝(1+dA)-1；

s＝temp1*temp2.