一种高效的可防御侧信道攻击的椭圆曲线标量乘方法.pdfVIP

Vol. 4 No.5/ May. 010 一种高效的可防御侧信道攻击的椭圆 曲线标量乘方法 邬可可　李慧云 摘 要 提出了一种高效且安全的椭圆曲线密码体制(Elliptic Curve Cryptosystems, ECC)的标量乘方法。该方法划分标 量为两个等长的子比特串，并基于命题逻辑操作从中抽取共同子比特串，以节省标量乘操作中为计算共同子比特串的操作 次数。从而提高了标量乘的计算效率，并且又能防御所谓的侧信道攻击(Side-Channel Attacks, SCA)。效率评估证明， 该标量乘方法比现有的侧信道安全的标量乘方法要高出大约50%的效率。功耗实验证明，该标量乘方法是侧信道安全的。 现有的安全方案都是在二进制方法的基础上增加额外操作来达到侧信道安全的目的。这大大增加了计算开销，从而影响 ECC在资源有限的计算设备上的实现。而提出的标量乘方法既没有增加计算开销，又能确保ECC有效防御SCA。 关键词 椭圆曲线密码体制(ECC)；侧信道攻击(SCA)；标量乘；二进制方法 1 引言 1980年代中期，Miller[1]和 Koblitz [2]分别 个比特计算一次ADD操作，这样来节省ADD操作， 独立地提出了椭圆曲线密码体制(Elliptic Curve 从而减少了计算开销。并且，提出的方法能有效防御 Cryptosystems, ECC)。相对于其它的公钥密码体 SCA。 制，ECC只需较短的私钥就可以达到较高的安全级 2　背景知识 别。所以，近年来ECC受到广泛关注。短的私钥意味 着更少的功耗、计算开销和存储空间，尤其适用于资 本节简要地介绍了椭圆曲线与标量乘、命题逻辑理 源受限的便携式计算设备(例如智能卡)。所以，ECC 论的基础知识，以及防御侧信道攻击ECC的研究进展。 的这种特性使得它们非常适用于资源受限的计算设备 的密码服务。 2.1 椭圆曲线与标量乘 在ECC中，标量乘是最主要且最耗时的操作。 域K 上的椭圆曲线E由下述方程定义： 二进制方法[3]是计算标量乘最常用的方法：给定一 2 3 2 y +a xy +a y x =+a x +a x +a ， 1 3 2 4 6 个标量d和一个椭圆曲线上的点P，标量乘dP的计算 其中 ∈ ，该方程也称为Weierstrass方程。 是由一系列取决于d的比特序列的点加(ADD)和点倍 ai K (DBL)来完成，也称它们为椭圆曲线操作，其中d是 若域K 的特征不等于2或3，用变量的相容性变 ECC的私钥。然而，ECC这样的实现很容易受到侧 换，Weierstrass方程可以变换为曲线方程： [4, 5] 信道攻击(Side-Channel Attacks, SCA) 。通过检 y 2 x 3 =+ax +b ， 测由二进制方法实现的设备的侧信道泄漏(例如：功 其中 ， ∈ 。 上点的集合