公开(公告)号：CN104836670A

公开(公告)日：2015-08-12

申请号：CN201510239377.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 陈华 ,  曹伟琼 ,  郑晓光 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L9/32 ,  H04L9/08 ,  H04L9/00

CPC classification number: H04L9/002 ,  H04L9/0825 ,  H04L9/3247

Abstract: 本发明公开了一种基于随机数未知的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法分别对N+1个消息M进行签名，并在每次SM2签名中注入错误，使每次签名时所用随机数k的相同设定比特部分的签名结果s出现相同的错误；2)以第一次签名的错误签名结果s的等式为参照，将其他N次签名中的错误签名结果s分别与其进行相减，得到一方程组，即格攻击模型；3)对该格攻击模型进行求解，恢复出每一次签名所用随机数k的所有比特，将其代入计算对应签名结果s的等式，得到一私钥dA，如果该私钥dA为正确私钥，则判断该SM2签名算法不安全。本发明能够更有效、全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104836670B

公开(公告)日：2017-12-08

申请号：CN201510239377.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 陈华 ,  曹伟琼 ,  郑晓光 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L9/32 ,  H04L9/08 ,  H04L9/00

Abstract: 本发明公开了一种基于随机数未知的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法分别对N+1个消息M进行签名，并在每次SM2签名中注入错误，使每次签名时所用随机数k的相同设定比特部分的签名结果s出现相同的错误；2)以第一次签名的错误签名结果s的等式为参照，将其他N次签名中的错误签名结果s分别与其进行相减，得到一方程组，即格攻击模型；3)对该格攻击模型进行求解，恢复出每一次签名所用随机数k的所有比特，将其代入计算对应签名结果s的等式，得到一私钥dA，如果该私钥dA为正确私钥，则判断该SM2签名算法不安全。本发明能够更有效、全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104852805B

公开(公告)日：2019-03-22

申请号：CN201510236365.9

申请日：2015-05-11

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 曹伟琼 ,  陈华 ,  郑晓光 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  吴文玲 ,  韩绪仓 ,  李国友 ,  高顺贤

IPC: H04L9/32 ,  G06F21/64

Abstract: 本发明公开了一种抵抗基于格的错误攻击的SM2签名算法防护方法。本方法为：1)签名者A对输入的待签名消息M进行哈希运算，并将运算结果ZA与消息M联合得到；2)对进行杂凑压缩，得到一预处理结果e；3)产生两随机数k，w；分别计算随机数k和基点G的标量乘kG，随机数w与公钥PA的标量乘wPA，然后相加得到一椭圆曲线点Q；4)计算e与点Q的坐标x1模n加得到一r值，5)代入私钥dA、k、w、r，得到签名结果s。使用本发明提出的新方法能够更有效、全面抵抗对SM2签名算法的格攻击。

公开(公告)号：CN104836808A

公开(公告)日：2015-08-12

申请号：CN201510239497.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 冯婧怡 ,  陈华 ,  曹伟琼 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  郑晓光 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3252 ,  H04L63/08

Abstract: 本发明公开了一种基于改进差分错误攻击的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法对消息M进行签名，当生成的随机数k和SM2签名算法的椭圆曲线基点G的标量乘迭代进行到第i轮时注入错误，使第i轮中间值y坐标的部分比特值改变；2)利用步骤1)得到的签名结果，以及验签公钥PA和消息M杂凑值e恢复出随机数k的连续比特值；3)利用所述连续比特值和错误签名结果构造HNP问题，采用格攻击分析出私钥，然后根据该私钥判定当前SM2签名算法是否安全。本发明能够更简便的注入错误，更全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104836808B

公开(公告)日：2017-12-15

申请号：CN201510239497.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 冯婧怡 ,  陈华 ,  曹伟琼 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  郑晓光 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明公开了一种基于改进差分错误攻击的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法对消息M进行签名，当生成的随机数k和SM2签名算法的椭圆曲线基点G的标量乘迭代进行到第i轮时注入错误，使第i轮中间值y坐标的部分比特值改变；2)利用步骤1)得到的签名结果，以及验签公钥PA和消息M杂凑值e恢复出随机数k的连续比特值；3)利用所述连续比特值和错误签名结果构造HNP问题，采用格攻击分析出私钥，然后根据该私钥判定当前SM2签名算法是否安全。本发明能够更简便的注入错误，更全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104852805A

公开(公告)日：2015-08-19

申请号：CN201510236365.9

申请日：2015-05-11

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 曹伟琼 ,  陈华 ,  郑晓光 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  吴文玲 ,  韩绪仓 ,  李国友 ,  高顺贤

IPC: H04L9/32 ,  G06F21/64

Abstract: 本发明公开了一种抵抗基于格的错误攻击的SM2签名算法防护方法。本方法为：1)签名者A对输入的待签名消息M进行哈希运算，并将运算结果ZA与消息M联合得到；2)对进行杂凑压缩，得到一预处理结果e；3)产生两随机数k，w；分别计算随机数k和基点G的标量乘kG，随机数w与公钥PA的标量乘wPA，然后相加得到一椭圆曲线点Q；4)计算e与点Q的坐标x1模n加得到一r值，5)代入私钥dA、k、w、r，得到签名结果s。使用本发明提出的新方法能够更有效、全面抵抗对SM2签名算法的格攻击。

公开(公告)号：CN111224770B

公开(公告)日：2021-03-30

申请号：CN201911359164.2

申请日：2019-12-25

Applicant: 中国科学院软件研究所 ,  南方电网科学研究院有限责任公司

Inventor： 陈华 ,  冯婧怡 ,  匡晓云 ,  焦志鹏 ,  杨祎巍 ,  李昊远 ,  范丽敏

IPC: H04L9/00 ,  H04L9/06

Abstract: 本发明公开了一种基于门限技术的抗侧信道与故障攻击的综合防护方法，其包括以下步骤：根据侧信道攻击的阶数d，构造分组密码算法的d阶门限实现，作为原始门限实现；为分组密码算法构造与原始门限实现完全相同的d阶门限实现，作为冗余门限实现；以相同的明文为加密输入，同步执行原始门限实现和冗余门限实现的加密流程，在加密流程中执行交换操作，交换原始门限实现和冗余门限实现的部分份额；当所有加密流程和交换操作结束后，输出原始门限实现的密文，作为防护加密的密文。本方法优化组合了门限实现和基于数据交换的防护，使分组密码可同时抵抗多种侧信道攻击和故障攻击，并具有较小的防护开销。

公开(公告)号：CN112187444A

公开(公告)日：2021-01-05

申请号：CN202010910490.4

申请日：2020-09-02

Applicant: 中国科学院软件研究所 ,  南方电网科学研究院有限责任公司

Inventor： 焦志鹏 ,  陈华 ,  匡晓云 ,  冯婧怡 ,  杨祎巍 ,  黄开天 ,  范丽敏

IPC: H04L9/06 ,  H04L9/00

Abstract: 本发明公开了一种抗侧信道和故障攻击的综合防护方法，其步骤包括：1)对于待防护的目标算法，构造与该目标算法相同的算法作为该目标算法的冗余算法；并为该目标算法及其冗余算法分别构造相同的d阶门限防护方案，用于防护d阶侧信道攻击；2)将该目标算法的输出和该冗余算法的输出进行异或，然后与随机数进行乘法掩码运算，并对该乘法运算采用门限实现的技术进行防护；3)将步骤2)的处理结果与该目标算法的d阶门限实现结构或者该冗余算法的d阶门限实现结构相互异或得到一个结果，将该结果作为该目标算法的最终输出结果。本方法可以抵抗不基于密文的故障敏感度攻击、基于密文的差分故障攻击以及侧信道攻击。

公开(公告)号：CN111224770A

公开(公告)日：2020-06-02

申请号：CN201911359164.2

申请日：2019-12-25

Applicant: 中国科学院软件研究所 ,  南方电网科学研究院有限责任公司

Inventor： 陈华 ,  冯婧怡 ,  匡晓云 ,  焦志鹏 ,  杨祎巍 ,  李昊远 ,  范丽敏

IPC: H04L9/00 ,  H04L9/06

Abstract: 本发明公开了一种基于门限技术的抗侧信道与故障攻击的综合防护方法，其包括以下步骤：根据侧信道攻击的阶数d，构造分组密码算法的d阶门限实现，作为原始门限实现；为分组密码算法构造与原始门限实现完全相同的d阶门限实现，作为冗余门限实现；以相同的明文为加密输入，同步执行原始门限实现和冗余门限实现的加密流程，在加密流程中执行交换操作，交换原始门限实现和冗余门限实现的部分份额；当所有加密流程和交换操作结束后，输出原始门限实现的密文，作为防护加密的密文。本方法优化组合了门限实现和基于数据交换的防护，使分组密码可同时抵抗多种侧信道攻击和故障攻击，并具有较小的防护开销。

公开(公告)号：CN110401627A

公开(公告)日：2019-11-01

申请号：CN201910194486.X

申请日：2019-03-14

Applicant: 中国科学院软件研究所 ,  南方电网科学研究院有限责任公司

Inventor： 冯婧怡 ,  陈华 ,  焦志鹏 ,  匡晓云 ,  习伟 ,  范丽敏 ,  张立武 ,  于杨

IPC: H04L29/06 ,  H04L9/06

Abstract: 本发明公开了一种适用于分组密码算法感染防护的抗差分故障攻击安全性评估方法和系统。本方法为：1)根据分组密码算法、故障注入目标中间值和故障模型，计算原始密文差分的先验信息；2)计算在待评估感染防护中信息熵的数值；3)根据分组密码算法、故障注入目标中间值和故障模型，计算在安全感染防护中信息熵的数值下界；4)通过比较待评估感染防护中信息熵的数值与所述数值下界的关系，判定待评估感染防护的安全性。该方法以信息熵度量感染防护的安全性，使评估过程独立于具体的密钥恢复策略，使评估结果更加准确。同时该方法将感染函数从感染防护的分组密码实现中分离出来，使评估通用于多种不同的感染防护，并提高评估效率。