提供了各种技术来实现与椭圆曲线操作相关联的信息泄漏缓解。在一个示例中,一种方法包括基于第一数据生成第二数据。第一数据与消息相关联。第二数据与诱导消息相关联。该方法还包括基于第一数据执行第一椭圆曲线操作。该方法还包括基于第二数据执行第二椭圆曲线操作。以随机顺序执行第一椭圆曲线操作和第二椭圆曲线操作。提供了相关的系统和装置。提供了相关的系统和装置。提供了相关的系统和装置。
【技术实现步骤摘要】
【国外来华专利技术】与椭圆曲线操作相关的信息泄漏减轻
[0001]相关申请的交叉引用
[0002]本专利申请要求于2020年4月6日提交的题为“Mitigation for Information Leakage During Elliptic Curve Scalar Multiplication Operations”的美国临时专利申请第63/006,010号的利益和优先权,其通过引用全文并入本文。
[0003]本专利技术总体上涉及数据安全,更具体地,涉及与椭圆曲线操作相关联的信息泄漏减轻(information leakage mitigation)。
技术介绍
[0004]通过内部网络和互联网络(如因特网)提供数据的安全传输变得越来越重要。在某些情况下,消息的接收者可以使用与消息相关联的签名来验证消息是否可信,以及在签名之后消息是否被篡改。
附图说明
[0005]图1示出了根据本公开的一个或多个实施例的示例网络环境,可在该环境中实现数据签名、数据加密/解密和数据通信。
[0006]图2示出了可由对手收集的信息。
[0007]图3提供了根据本公开的实施例的用于促进数字签名信息泄漏缓解的伪码。
[0008]图4示出了当根据本公开的实施例实现图3的伪码时,可由作为攻击的一部分的对手收集的信息。
[0009]图5示出了根据本公开的一个实施例的可由对手收集的信息,其中真实泄漏被圈出。
[0010]图6示出了根据本公开的一个实施例的可由对手收集的信息,其中真实泄漏被圈出。
[0011]图7提供了根据本公开的实施例的用于促进与椭圆曲线解密相关联的信息泄漏减轻的伪码。
[0012]图8示出了根据本公开的实施例的用于促进与椭圆曲线操作相关联的信息泄漏减轻的示例处理的流程图。
[0013]图9示出了根据本公开的一个或多个实施例的示例计算装置,其中可以实现数据签名、数据加密/解密和数据通信。
[0014]通过参考下面的详细描述,可以最好地理解本公开的实施例及其优点。应当理解,相同的参考数字用于标识在一个或多个图中示出的相同元件。
具体实施方式
[0015]提供各种技术以促进与执行椭圆曲线(EC)运算相关联的信息泄漏地减轻。在某些
方面,这些椭圆曲线操作包括椭圆曲线数字签名算法(ECDSA)操作和椭圆曲线集成加密方案(ECIES)操作。ECDSA和ECIES操作包括椭圆曲线标量乘法(ECSM)运算。例如,装置可以执行ECSM操作以将随机数与椭圆曲线基点相乘,作为ECDSA的一部分,如本文进一步描述的。该随机数与该装置的密钥(例如,私钥)相关联,该随机数和该密钥都由该装置保密。在一些攻击中,当装置正在执行ECSM操作时,对手(例如,也称为对抗性装置、攻击者或黑客)可以收集由装置泄漏的与随机数相关联的信息。与随机数相关联的这种泄漏信息也可以转换为关于密钥的信息。因此,这样的泄漏信息,如果不被减轻,可能允许对手确定随机数,而随机数又可用于确定受攻击装置的密钥。
[0016]在一些实施例中,执行多个ECSM操作以减轻/模糊与ECSM操作相关联的泄漏信息。在一个方面,这种方法被用于ECDSA签名操作。在ECDSA中,由于对随机数和曲线点的ECSM操作,可能会发生关于随机数的信息泄漏。为了减轻ECDSA中的信息泄漏,可以对要签名的给定消息m执行多个ECDSA签名操作,其中仅有签名操作中的一个签名操作与签名(r,s)(例如,也称为真签名)和随机数k(例如,也称为真随机数)相关联。其余的签名操作与诱导签名(例如,也称为假签名或欺骗签名)和提供与诱导随机数(例如,也称为假随机数或欺骗随机数)相关联的信息的泄露信息相关联。就这一点而言,不防止与每一签名操作(例如,每一签名操作具有相应的消息m、返回的签名(r,s)和关于k的泄漏信息)泄漏的真随机数和诱导随机数相关联的信息,而是利用这些信息来减轻/模糊密钥的确定。这样的方法与可能寻求诸如通过计算或物理机制来阻止关于随机数k的信息泄漏的其他方法形成对比。在一个实施例中,利用多个ECSM操作(例如,对于ECDSA中的每个消息)的方法可以单独使用或与其他方法(例如旨在阻止信息泄漏的方法)一起使用。
[0017]多个ECSM操作以随机顺序执行。随机顺序可以由一个或多个随机值指示。(例如,由随机数生成器)可以生成具有依赖于应用(例如,给定应用的期望/必要安全级别)的变化熵级别的随机值。较高的熵/随机值通常与较高的安全性相关联。例如,真正的随机值可以基于物理或自然现象(例如,量子过程)的测量或自然熵的来源。这些源或来自这些源的真随机值提取可以提供真随机值生成,但是相对于与较低熵相关联的随机值(例如,称为伪随机值)的生成,可能是速率有限的或速度较慢的。在一个方面,根据一个或多个实施例,真随机值或伪随机值可用于指示执行多个ECSM操作的随机顺序。
[0018]使用一些实施例,可以实现减轻以解决诸如格型攻击的侧信道攻击。侧信道攻击可指由对手发起的攻击,其不直接涉及试图恢复或访问受攻击装置的密钥本身,而是依赖于收集信息泄漏(例如,在ECDSA的情况下,关于随机数)并基于收集的信息泄漏确定密钥。在一些情况下,当装置正在执行ECSM操作时,可以基于监视装置的功率简档来确定这种泄漏。在一些方面中,这样的减轻可以在固件或软件层中实现(例如,在适当的情况下采取其他保障措施),而不是实现物理或硬件改变。该减轻还可应用于可执行的其他缓解和/或对策之上/之外。
[0019]现在参考附图,图1示出了根据本公开的一个或多个实施例的示例网络环境100,其中可以实现数据签名、数据加密/解密和数据通信(例如,发送、接收)。然而,并非所有所示的组件都是必需的,并且一个或多个实施例可以包括图中未示出的附加组件。在不脱离本文所述权利要求的精神或范围的情况下,可以对组件的布置和类型进行变化。可以提供附加组件、不同组件和/或更少组件。
[0020]网络环境100包括计算装置105、110和115以及网络120。计算装置105、110和115可以向彼此传输数据(例如,消息)和/或从彼此接收数据。例如,计算装置105、110和115可以加密数据、签名数据、传输加密数据、解密已加密的数据以及验证签名。在一个实施例中,计算装置105、110和/或115可以执行签名操作(例如,使用ECDSA)和/或加密/解密操作(例如,使用ECIES)。计算装置105、110和115可以经由网络120进行通信。在图1中,计算装置105、110和115经由各自的连接125、130和135连接到网络120。
[0021]计算装置105、110和120中的每一个可以包括能够建立一个或多个连接(例如,有线和/或无线连接)以与另一个系统和/或装置通信的任何系统和/或装置。作为非限制性示例,计算装置105、110和115可以包括服务器、web服务器、基于云的服务器、台式计算机、销售点装置、膝上型计算机、手持计算机、移动电话(例如,智能电话)、计算机集群、个人数字助理、平板装置本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:基于第一数据生成第二数据,其中所述第一数据与消息相关联,并且其中所述第二数据与诱导消息相关联;基于所述第一数据执行第一椭圆曲线操作;以及基于所述第二数据执行第二椭圆曲线操作,其中所述第一椭圆曲线操作和所述第二椭圆曲线操作以随机顺序被执行。2.根据权利要求1所述的方法,还包括生成随机数,所述随机数指示执行所述第一椭圆曲线操作和所述第二椭圆曲线操作的所述随机顺序。3.根据权利要求1所述的方法,其中所述第一数据包括所述消息,其中所述第二数据包括所述诱导消息,并且其中所述生成包括从所述第一数据确定地导出所述第二数据。4.根据权利要求3所述的方法,其中所述第一数据进一步包括私钥,其中所述第二数据进一步包括诱导私钥,并且其中所述确定地导出包括:对所述消息应用哈希函数以获得所述诱导消息;和/或对所述私钥应用哈希函数以获得所述诱导私钥。5.根据权利要求3所述的方法,其中所述第一椭圆曲线操作包括第一椭圆曲线数字签名算法(ECDSA)签名操作以对所述消息进行签名,并且其中所述第二椭圆曲线操作包括第二ECDSA签名操作以对所述诱导消息进行签名。6.根据权利要求5所述的方法,其中所述第一ECDSA签名操作包括随机数和椭圆曲线基点的椭圆曲线相乘,其中所述第一ECDSA签名操作被执行以获得签名,并且其中所述签名基于所述消息和私钥。7.根据权利要求6所述的方法,其中所述第二ECDSA签名操作包括诱导随机数和椭圆曲线基点的椭圆曲线相乘,其中所述第二ECDSA签名操作被执行以获得诱导签名,并且其中所述诱导签名基于诱导私钥或所述私钥中的一个以及所述诱导消息。8.根据权利要求1所述的方法,其中所述第一椭圆曲线操作包括第一椭圆曲线集成加密方案(ECIES)解密操作,以解密已加密的数据以获得所述消息,并且其中所述第二椭圆曲线操作包括第二ECIES解密操作,以解密已加密的数据以获得所述诱导消息。9.根据权利要求8所述的方法,其中所述第一数据包括私钥和短暂公钥,其中所述第二数据包括从所述短暂公钥确定地导出的诱导短暂公钥,其中所述第一ECIES解密操作包括所述私钥和所述短暂公钥的椭圆曲线相乘操作,并且其中所述第二ECIES解密操作包括所述诱导短暂公钥与所述私钥或诱导私钥中的一个的椭圆曲线相乘操作。10.根据权利要求1所述的方法,还包括:基于所述第一数据生成第三数据;以及基于所述第三数据执行第三椭圆曲线操作,其中所述第一椭圆曲线操作、所述第二椭圆曲线操作和所述第三椭圆曲线操作以随机顺序被执行。11.根据权利要求10所述的方法,其中所...
【专利技术属性】
技术研发人员:崔薰,
申请(专利权)人:美国莱迪思半导体公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。