本发明专利技术公开了一种三元域抗错误攻击Tate双线性对计算方法,该方法如下:对原始的Tate双线性对计算流程进行改造,加入随机数的因素来抵御错误攻击。当三元域Tate双线性对没有被攻击,那么随机数的因素不会影响最终结果。当三元域Tate双线性对由于攻击导致计算错误,那么攻击者最终得到的结果将掺入随机数的因素。由于攻击者无法得知随机数的具体值,从而无法从最终结果中去除随机数的因素得到有效的信息来推算密钥。因此本发明专利技术中的方法能够有效抵御针对三元域Tate双线性对的错误攻击。
【技术实现步骤摘要】
一种三元域抗错误攻击Tate双线性对计算方法
本专利技术涉及一种公钥密码应用方法,尤其涉及一种三元域抗错误攻击Tate双线性对计算方法。
技术介绍
近年来,双线性对由于其具有双线性性质、非退化性质和可计算性质获得了广泛的研究和应用。基于双线性对的密码体制以其特有的优点得到了重视和研究,并且在工业界也已逐步应用。国际上许多标准组织也在制定双线性对的标准,例如ISO/IEC14888-3,IEEEP1363.3等。研究者提出了许多基于双线性对的密码方案,例如基于身份的加密方案(identity-basedencryptionschemes),短签名方案(shortsignatureschemes),基于身份的密钥协商方案(identity-basedauthenticatedkeyagreementschemes)等。计算双线性对有两种多项式时间内的算法,即代数曲线上的Weil对和Tate对。对相同安全级别的曲线来说,Tate对的计算效率比Weil对的计算效率高的多。双线性对的计算十分复杂,在双线性对友好曲线上能够较为快速的实现双线性对。主要有以下三类曲线:对于上的点P(α,β)和Q(x,y),三元域下的Tate双线性对的计算公式如下所示:其中,点Q(x,y)的扭映射ψ(Q)=(ρ-x,yσ),ρ和σ为中的元素,满足等式ρ3-ρ-b=0和σ2+1=0。对于上的所有点V(xV,yV),定义上的有理函数gV(X,Y),其除子为(gV)=3(V)+([-3]V)-4(O)。由于扭映射ψ(Q)可以消除gV(X,Y)中分母的运算,因此点V的有理函数gV(X,Y)即为点V的切线。对于所有可以得到最终可得到有理函数fP(ψ(Q))为:其中用x(j)表示由于在计算[3i]P中,需要进行大量的立方根运算,而三元域上的立方根运算十分复杂,其运算效率十分低下。因此如果要快速实现三元域上的Tate双线性对计算,可以通过一些数学变换,将如上的立方根计算公式转换成如下的去立方根Tate双线性对计算公式:Ai=λ-μρ-ρ2其中μ=α(2i)+x(1)+(m+1-i)b,λ=(-1)(i+1)σβ(2i)y(1)-μ2。去立方根Tate双线性对计算方法将立方根运算转换成立方运算,而三元域上的立方运算十分简单快速,因此去立方根Tate双线性对实现方法即为三元域上Tate双线性对最快速有效的实现方法。上述Tate双线性对公式即对应如下的去立方根Tate双线性对实现方法。Tate双线性对实现方法:三元域中的曲线输入P=(α,β),Q=(x,y)输出1.C=12.x=x3,y=y3,d=mb3.Fori=1tomdo3.1.α=α9,β=β93.2.μ=α+x+d,λ=σβy-μ23.3.A=λ-μρ-ρ23.4.C=C3·A3.5.y=-y,d=d-b4.返回Page和Vercauteren首先提出了针对Tate双线性对的错误攻击。当攻击者有能力导入临时性或者永久性的错误从而改变Tate双线性对的循环次数m时,攻击者就能够逆推私钥点P=(α,β)。针对Tate双线性对实现方法,其具体的错误攻击方法如下:假设点P=(α,β)为私钥,点Q=(x,y)为明文可由攻击者选取。先不考虑第4步的最终模幂运算,即假设攻击者能够跳过最终模幂。当错误攻击导致循环次数由m变为Δ,用表示第3.4步的错误结果,用表示第3.4步的正确结果。最简单的攻击模型即为假设攻击者能够使得Δ=m±1。以Δ=m+1为例,可得:当得到一次正确的结果和一次错误的结果就能够计算出第(m+1)步的中间结果Am+1,并由此推算得到私钥α和β。由于使得Δ=m±1的可能性较小,而使得Δ=m±r的可能性更大,因此也可以通过多次攻击来找到一对可攻击结果:即当得到两次错误的结果和就能够计算出第(m±r+1)步的中间结果Am±r+1,并由此推算得到私钥α和β。由于每次循环的执行时间相同,r的值可以通过观察计算运行的时间来得到。而最终模幂可以证明由求解等价矩阵的方法来消除其因素。因此Page和Vercauteren提出的Tate双线性对的错误攻击能够有效的得到私钥点。针对Page和Vercauteren的错误攻击方法,Ghosh等人提出了一种抗错误攻击的方法,通过盲化循环次数的方法来抵御错误攻击。其具体实现方法如下所示。Ghosh提出的Tate双线性对实现方法:三元域中的曲线输入P=(α,β),Q=(x,y)输出1.产生随机数产生随机正整数r2≤m2.C0=r1,C1=13.m'=m+r24.x=x3,y=y3,d=mb5.Fori=1tom’do5.1.α=α9,β=β95.2.μ=α+x+d,λ=σβy-μ25.3.A=λ-μρ-ρ25.4.C1=C13·A5.5j=(i==m)5.6C0=Cj5.7.y=-y,d=d-b6.返回当攻击者改变m’时,由于5.5步和5.6步的赋值,如果攻击使得m’大于m时,攻击得到的最终结果仍为正确结果;如果攻击使得m’小于m时,攻击得到的最终结果为第2步赋给C0的随机数,因此无论何种情况错误攻击都无效。当攻击者改变m时,即将m改为m±r。此时计算将循环运算(m±r+r2)轮,并且将有效运算的(m±r)轮的错误结果Rm±r输出。Ghosh等人分析虽然攻击者能够得到最终的错误结果Rm±r,但是如果通过运算时间分析或者功耗曲线分析,攻击者只能得到盲化后的循环次数m’,m’等于(m±r+r2)。由于r2为随机数,因此攻击者无法得知有效的错误循环次数m±r,而Page和Vercauteren的错误攻击方法又要求精确得知有效的错误循环次数,因此攻击者无法实施错误攻击。然而这种分析是不太正确的,尽管这种防御方法能够增加攻击者的攻击代价,但是并不彻底。Page和Vercauteren提出的错误攻击方法可以通过一次正确的结果和一次错误的结果来进行攻击。攻击者完全可以用穷举攻击的方法来分析运算结果。攻击者可以首先通过功耗曲线来得到盲化后的循环次数m’(等于(m±r+r2)),由于r2≤m,排除当(m’-m>m+1)的情况,其余的情况都假设攻击将有效循环次数由m变成了m+1,然后将推算得到的私钥结果再进行验算,直到找到符合攻击假设的情况。由于每次由错误结果推算得到私钥α和β的运算复杂度为多项式时间,因此即使需要多次攻击才能将有效循环次数由m变成了m+1,其总时间代价也十分小。此外,作者也没有考虑到临时性错误对该实现方法的威胁。由于攻击者可以通过功耗曲线来分析循环运算进行到第几轮,因此就能够较为精确的控制所要导入的临时性错误的时刻。攻击者可以精确的控制在第(m+1)轮对5.5步进行攻击,使得变量j=0,这可以通过攻击直接改变保存变量j的存储器中的值,或者对判断语句(i==m)的判断结果进行攻击。这都将使得变量C0中保存第(m+1)轮的错误结果,从而被攻击者获得最终可用的错误结果。由此可以看出盲化循环次数的防御方法对这类攻击完全无效。另外,这种防御方法除了无法彻底抵御错误攻击,其运算效率也十分低下。由于r2为小于m的随机数,因此盲化后的循环次数m’的平均值为1.5m,这意味着Ghosh等人所实现的Tate双线性对的平均运算时间增加了50%。
技术实现思路
本专利技术要解决的技本文档来自技高网...
【技术保护点】
一种三元域抗错误攻击Tate双线性对计算方法,三元域下超奇异曲线上两点P(α,β)和Q(x,y),Tate双线性对的计算公式如下所示:τl(P,Q)=fP(ψ(Q))33m-1]]>fP(ψ(Q))=Πi=1mAi3m-i=(...(((A1)3A2)3A3)3...)3Am]]>其中Ai=λ‑μρ‑ρ2,μ=α(2i)+x(1)+(m+1‑i)b,λ=(‑1)(i+1)σβ(2i)y(1)‑μ2;ρ和σ为中的元素,满足等式ρ3‑ρ‑b=0和σ2+1=0;其特征在于:在上述Tate双线性对的去立方根计算公式的计算流程中加入随机数的因素来抵御错误攻击;如果循环轮数m没有被改变,那么随机数的因素会在最终模幂之后被消除;如果循环轮数m被错误攻击改变,那么攻击者最终得到的结果将掺入随机数的因素,由于攻击者无法得知随机数的具体值,从而无法从最终结果中去除随机数的因素得到有效的信息来推算私钥;具体步骤如下:步骤一,选取随机数步骤二,计算有理函数fP(ψ(Q))=(...((((R32m)3A1)3A2)3A3)3...)3AmR;]]>步骤三,计算Tate双线性对τl(P,Q)=fP(ψ(Q))33m-1.]]>...
【技术特征摘要】
1.一种三元域抗错误攻击Tate双线性对计算方法,三元域下超奇异曲线上两点P(α,β)和Q(x,y),Tate双线性对的计算公式如下所示:其中Ai=λ-μρ-ρ2,μ=α(2i)+x(1)+(m+1-i)b,λ=(-1)(i+1)σβ(2i)y(1)-μ2;ρ和σ为中的元素,满足等式ρ3-ρ-b=0和σ2+1=0;其特征在于:在上述Tate双线性对的去立方根计算公式的计算流程中加入随机数的因素来抵御错误攻击;如果循环轮数m没有被改变,那么随机数的因素会在最终模幂之后...
【专利技术属性】
技术研发人员:柴佳晶,王晓静,顾海华,
申请(专利权)人:上海华虹集成电路有限责任公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。