公开(公告)号：CN104852805B

公开(公告)日：2019-03-22

申请号：CN201510236365.9

申请日：2015-05-11

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 曹伟琼 ,  陈华 ,  郑晓光 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  吴文玲 ,  韩绪仓 ,  李国友 ,  高顺贤

IPC: H04L9/32 ,  G06F21/64

Abstract: 本发明公开了一种抵抗基于格的错误攻击的SM2签名算法防护方法。本方法为：1)签名者A对输入的待签名消息M进行哈希运算，并将运算结果ZA与消息M联合得到；2)对进行杂凑压缩，得到一预处理结果e；3)产生两随机数k，w；分别计算随机数k和基点G的标量乘kG，随机数w与公钥PA的标量乘wPA，然后相加得到一椭圆曲线点Q；4)计算e与点Q的坐标x1模n加得到一r值，5)代入私钥dA、k、w、r，得到签名结果s。使用本发明提出的新方法能够更有效、全面抵抗对SM2签名算法的格攻击。

公开(公告)号：CN104836808A

公开(公告)日：2015-08-12

申请号：CN201510239497.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 冯婧怡 ,  陈华 ,  曹伟琼 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  郑晓光 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3252 ,  H04L63/08

Abstract: 本发明公开了一种基于改进差分错误攻击的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法对消息M进行签名，当生成的随机数k和SM2签名算法的椭圆曲线基点G的标量乘迭代进行到第i轮时注入错误，使第i轮中间值y坐标的部分比特值改变；2)利用步骤1)得到的签名结果，以及验签公钥PA和消息M杂凑值e恢复出随机数k的连续比特值；3)利用所述连续比特值和错误签名结果构造HNP问题，采用格攻击分析出私钥，然后根据该私钥判定当前SM2签名算法是否安全。本发明能够更简便的注入错误，更全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104836670A

公开(公告)日：2015-08-12

申请号：CN201510239377.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 陈华 ,  曹伟琼 ,  郑晓光 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L9/32 ,  H04L9/08 ,  H04L9/00

CPC classification number: H04L9/002 ,  H04L9/0825 ,  H04L9/3247

Abstract: 本发明公开了一种基于随机数未知的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法分别对N+1个消息M进行签名，并在每次SM2签名中注入错误，使每次签名时所用随机数k的相同设定比特部分的签名结果s出现相同的错误；2)以第一次签名的错误签名结果s的等式为参照，将其他N次签名中的错误签名结果s分别与其进行相减，得到一方程组，即格攻击模型；3)对该格攻击模型进行求解，恢复出每一次签名所用随机数k的所有比特，将其代入计算对应签名结果s的等式，得到一私钥dA，如果该私钥dA为正确私钥，则判断该SM2签名算法不安全。本发明能够更有效、全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104836808B

公开(公告)日：2017-12-15

申请号：CN201510239497.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 冯婧怡 ,  陈华 ,  曹伟琼 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  郑晓光 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明公开了一种基于改进差分错误攻击的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法对消息M进行签名，当生成的随机数k和SM2签名算法的椭圆曲线基点G的标量乘迭代进行到第i轮时注入错误，使第i轮中间值y坐标的部分比特值改变；2)利用步骤1)得到的签名结果，以及验签公钥PA和消息M杂凑值e恢复出随机数k的连续比特值；3)利用所述连续比特值和错误签名结果构造HNP问题，采用格攻击分析出私钥，然后根据该私钥判定当前SM2签名算法是否安全。本发明能够更简便的注入错误，更全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104852805A

公开(公告)日：2015-08-19

申请号：CN201510236365.9

申请日：2015-05-11

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 曹伟琼 ,  陈华 ,  郑晓光 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  吴文玲 ,  韩绪仓 ,  李国友 ,  高顺贤

IPC: H04L9/32 ,  G06F21/64

Abstract: 本发明公开了一种抵抗基于格的错误攻击的SM2签名算法防护方法。本方法为：1)签名者A对输入的待签名消息M进行哈希运算，并将运算结果ZA与消息M联合得到；2)对进行杂凑压缩，得到一预处理结果e；3)产生两随机数k，w；分别计算随机数k和基点G的标量乘kG，随机数w与公钥PA的标量乘wPA，然后相加得到一椭圆曲线点Q；4)计算e与点Q的坐标x1模n加得到一r值，5)代入私钥dA、k、w、r，得到签名结果s。使用本发明提出的新方法能够更有效、全面抵抗对SM2签名算法的格攻击。

公开(公告)号：CN104836670B

公开(公告)日：2017-12-08

申请号：CN201510239377.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 陈华 ,  曹伟琼 ,  郑晓光 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L9/32 ,  H04L9/08 ,  H04L9/00

Abstract: 本发明公开了一种基于随机数未知的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法分别对N+1个消息M进行签名，并在每次SM2签名中注入错误，使每次签名时所用随机数k的相同设定比特部分的签名结果s出现相同的错误；2)以第一次签名的错误签名结果s的等式为参照，将其他N次签名中的错误签名结果s分别与其进行相减，得到一方程组，即格攻击模型；3)对该格攻击模型进行求解，恢复出每一次签名所用随机数k的所有比特，将其代入计算对应签名结果s的等式，得到一私钥dA，如果该私钥dA为正确私钥，则判断该SM2签名算法不安全。本发明能够更有效、全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104967509B

公开(公告)日：2018-05-18

申请号：CN201510221467.3

申请日：2015-05-05

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼 ,  冯秀涛 ,  陈华 ,  李国友

IPC: H04L9/06 ,  H04L9/00

Abstract: 本发明公开了一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，通过随机数得到带掩码输入R1+m1、R2+m2；(2)对于前N轮中每1轮的输入X1和X2分别加上掩码防护后通过转化函数为g(x，y)将加法运算转成异或运算；(4)进行16位移运算，L1和L2线性运算；(5)分别进行进行SL′、SR′运算；(6)对于F函数的W输出，通过转化函数h(x，y)转换成加法运算获得正确的W输出。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。

公开(公告)号：CN104967509A

公开(公告)日：2015-10-07

申请号：CN201510221467.3

申请日：2015-05-05

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼 ,  冯秀涛 ,  陈华 ,  李国友

IPC: H04L9/06 ,  H04L9/00

Abstract: 本发明公开了一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，通过随机数得到带掩码输入R1+m1、R2+m2；(2)对于前N轮中每1轮的输入X1和X2分别加上掩码防护后通过转化函数为g(x，y)将加法运算转成异或运算；(4)进行16位移运算，L1和L2线性运算；(5)分别进行SL′、SR′运算；(6)对于F函数的W输出，通过转化函数h(x，y)转换成加法运算获得正确的W输出。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。

公开(公告)号：CN113037495B

公开(公告)日：2022-05-24

申请号：CN202110234700.7

申请日：2021-03-03

Applicant: 中国科学院软件研究所 ,  南方电网科学研究院有限责任公司

Inventor： 李昊远 ,  陈华 ,  匡晓云 ,  杨祎巍 ,  黄开天 ,  范丽敏

IPC: H04L9/32 ,  H04L9/00 ,  H04L9/40

Abstract: 本发明公开了一种椭圆曲线签名算法的安全评估方法。本方法为：1)签名设备运行待评估的目标椭圆曲线签名算法执行签名运算，确定故障注入时间点；2)签名设备运行该目标椭圆曲线签名算法执行签名运算，每次签名运算时在故障注入时间点对签名设备的一位置区域进行故障注入，确定计数器所在位置；3)签名运算时在该计数器所在位置和确定的故障注入时间点进行故障注入，若故障注入后该计数器的存储值count’

公开(公告)号：CN110399626B

公开(公告)日：2021-07-30

申请号：CN201910194474.7

申请日：2019-03-14

Applicant: 中国科学院软件研究所 ,  南方电网科学研究院有限责任公司

Inventor： 朱少峰 ,  陈华 ,  范丽敏 ,  匡晓云 ,  习伟 ,  张立武 ,  蔡田田

IPC: G06F30/33 ,  G06F119/10

Abstract: 本发明公开一种基于环形振荡器的真随机数发生器热噪声抖动估计方法及电路。本方法为：1)以一定间隔内振荡信号边沿计数作为统计样本；2)计算样本平均绝对差；3)以样本平均绝对差乘以再乘以振荡信号平均半周期的结果作为计数间隔内热噪声抖动估计值4)以样本平均绝对差乘以后，再乘以采样间隔和计数间隔均值比的算数平方根，最后乘以振荡信号平均半周期的结果作为采样间隔内热噪声抖动的估计值。本方法基于样本的平均绝对差进行估计，平均绝对差计算过程中无需乘法运算。本发明可准确、快速的对基于环形振荡器的真随机数发生器的热噪声抖动进行估计，可用于评估该类真随机数发生器的真随机性以及在线检测针对该类真随机数发生器的故障攻击。