公开(公告)号：CN104852805B

公开(公告)日：2019-03-22

申请号：CN201510236365.9

申请日：2015-05-11

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 曹伟琼 ,  陈华 ,  郑晓光 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  吴文玲 ,  韩绪仓 ,  李国友 ,  高顺贤

IPC: H04L9/32 ,  G06F21/64

Abstract: 本发明公开了一种抵抗基于格的错误攻击的SM2签名算法防护方法。本方法为：1)签名者A对输入的待签名消息M进行哈希运算，并将运算结果ZA与消息M联合得到；2)对进行杂凑压缩，得到一预处理结果e；3)产生两随机数k，w；分别计算随机数k和基点G的标量乘kG，随机数w与公钥PA的标量乘wPA，然后相加得到一椭圆曲线点Q；4)计算e与点Q的坐标x1模n加得到一r值，5)代入私钥dA、k、w、r，得到签名结果s。使用本发明提出的新方法能够更有效、全面抵抗对SM2签名算法的格攻击。

公开(公告)号：CN104967509B

公开(公告)日：2018-05-18

申请号：CN201510221467.3

申请日：2015-05-05

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼 ,  冯秀涛 ,  陈华 ,  李国友

IPC: H04L9/06 ,  H04L9/00

Abstract: 本发明公开了一种轮输出为算术掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，通过随机数得到带掩码输入R1+m1、R2+m2；(2)对于前N轮中每1轮的输入X1和X2分别加上掩码防护后通过转化函数为g(x，y)将加法运算转成异或运算；(4)进行16位移运算，L1和L2线性运算；(5)分别进行进行SL′、SR′运算；(6)对于F函数的W输出，通过转化函数h(x，y)转换成加法运算获得正确的W输出。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。

公开(公告)号：CN104852795B

公开(公告)日：2018-03-30

申请号：CN201510221466.9

申请日：2015-05-05

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼 ,  张翌维 ,  刘鹏飞

IPC: H04L9/00 ,  H04L9/06

Abstract: 本发明公开了一种轮输出为布尔掩码的ZUC序列密码算法掩码防护方法，该方法包括：(1)选择需要掩码的轮数，初始化前N轮，分别与掩码m0，1＝m1、m0，2＝m2异或作为输入；(2)异或运算通过转换函数h(x，y)转化成加法运算；(3)加法运算通过转化函数为g(x，y)转化成异或运算；(4)移位及对应分别进行L1线性L2线性运算；(5)对左、右S盒进行运算形成新的SL′及SR′；(6)对于F函数的W输出运算。本申请的技术方案设计的掩码防护方法运算中每个节点所带的掩码值均不相同，每轮S盒输出的掩码值也不相同，可抵抗汉明重量和汉明距离的一阶分析，此外，二阶分析也无法找到任何可利用的泄漏点。

公开(公告)号：CN104836808A

公开(公告)日：2015-08-12

申请号：CN201510239497.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 冯婧怡 ,  陈华 ,  曹伟琼 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  郑晓光 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3252 ,  H04L63/08

Abstract: 本发明公开了一种基于改进差分错误攻击的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法对消息M进行签名，当生成的随机数k和SM2签名算法的椭圆曲线基点G的标量乘迭代进行到第i轮时注入错误，使第i轮中间值y坐标的部分比特值改变；2)利用步骤1)得到的签名结果，以及验签公钥PA和消息M杂凑值e恢复出随机数k的连续比特值；3)利用所述连续比特值和错误签名结果构造HNP问题，采用格攻击分析出私钥，然后根据该私钥判定当前SM2签名算法是否安全。本发明能够更简便的注入错误，更全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN104811295A

公开(公告)日：2015-07-29

申请号：CN201510221360.9

申请日：2015-05-05

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼 ,  秦小龙 ,  莫凡

IPC: H04L9/00 ,  H04W84/18 ,  H04W12/00

Abstract: 本发明公开了一种对具备掩码防护的祖冲之密码算法进行侧信道能量分析方法，该方法包括：(1)建立能耗矩阵E并进行预处理获得能耗矩阵E’；(2)选择左右两边S盒输出异或值S_XorOutr作为攻击点获得中间矩阵V或分别用汉明重量、单比特确定DPA区分函数D；(3)计算仿真能耗矩阵H及两个平均能耗矩阵D0和D1；(4)计算H与E′之间的相关系数矩阵R，选取最大rp，q对应的猜测值获得正确秘钥；或通过ΔD＝D1-D0，选择最大Δdpq对应的猜测值确定正确的秘钥；(5)依次进行5轮运算，反复(2)-(4)的步即可获得所有秘钥信息。本申请的技术方案解决了当前对具有掩码防护措施的ZUC密码算法没有具体的攻击方法的缺陷，创新地提出了新的二阶能量分析方法，开拓了ZUC密码算法攻击局面，扩展了侧信道能量分析手段。

公开(公告)号：CN103457719A

公开(公告)日：2013-12-18

申请号：CN201310310011.5

申请日：2013-07-23

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  曹伟琼 ,  李大为

IPC: H04L9/06 ,  H04L29/06

CPC classification number: G06F21/556 ,  G06F21/00

Abstract: 一种对SM3密码算法HMAC模式的侧信道能量分析方法，该方法分析了SM3密码算法及其HMAC模式的实现特征，基于DPA和CPA的攻击方法，结合SM3密码算法HMAC模式的特征及能量消耗泄漏点，成功地破解SM3密码算法HMAC模式，可任意伪造输出摘要。技术方案要点是：一、采集HMAC的能量迹；二、分析得到Kin，Kin为第1次杂凑运算中的中间状态值，三、分析获得Kout，Kout为第2次杂凑运算中的中间状态值，其中三中的方法与二中方法一致。本发明的技术方案为SM3密码算法的侧信道分析实施提供了解决方案。

公开(公告)号：CN104836808B

公开(公告)日：2017-12-15

申请号：CN201510239497.7

申请日：2015-05-12

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 冯婧怡 ,  陈华 ,  曹伟琼 ,  韩绪仓 ,  李大为 ,  罗鹏 ,  郑晓光 ,  李国友 ,  高顺贤 ,  朱少峰

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明公开了一种基于改进差分错误攻击的SM2签名算法安全性验证方法。本方法为：1)采用SM2签名算法对消息M进行签名，当生成的随机数k和SM2签名算法的椭圆曲线基点G的标量乘迭代进行到第i轮时注入错误，使第i轮中间值y坐标的部分比特值改变；2)利用步骤1)得到的签名结果，以及验签公钥PA和消息M杂凑值e恢复出随机数k的连续比特值；3)利用所述连续比特值和错误签名结果构造HNP问题，采用格攻击分析出私钥，然后根据该私钥判定当前SM2签名算法是否安全。本发明能够更简便的注入错误，更全面分析SM2签名算法抵抗攻击的安全能力。

公开(公告)号：CN103441846B

公开(公告)日：2016-08-10

申请号：CN201310348111.7

申请日：2013-08-12

Applicant: 国家密码管理局商用密码检测中心

Inventor： 罗鹏 ,  李大为 ,  曹伟琼

IPC: H04L9/32 ,  H04L9/08

Abstract: 一种对P域的ECC算法选择明文侧信道能量分析方法，涉及到密码算法实现、侧信道能量分析等领域。本发明为了对ECC算法未加防御方法的实现和某些加入防御方法的实现进行侧信道能量分析，提出了一种新型的对素数域上的椭圆曲线基于选择明文的侧信道能量分析方法，使得ECC算法中标量乘的运算产生能量消耗差异，以获取密钥信息。技术方案要点是：所述方法包括以下步骤：(1)采集两组kP运算时的能量迹；(2)基于上步得到的能量迹进行侧信道能量分析，识别出隐藏的点加操作；(3)映射到能量迹上，实施侧信道能量分析，推断出k的密钥序列。本发明为对P域的ECC算法选择明文侧信道能量分析实施提供了理论依据。

公开(公告)号：CN104852805A

公开(公告)日：2015-08-19

申请号：CN201510236365.9

申请日：2015-05-11

Applicant: 中国科学院软件研究所 ,  北京中电华大电子设计有限责任公司 ,  国家密码管理局商用密码检测中心

Inventor： 曹伟琼 ,  陈华 ,  郑晓光 ,  李大为 ,  罗鹏 ,  冯婧怡 ,  吴文玲 ,  韩绪仓 ,  李国友 ,  高顺贤

IPC: H04L9/32 ,  G06F21/64

Abstract: 本发明公开了一种抵抗基于格的错误攻击的SM2签名算法防护方法。本方法为：1)签名者A对输入的待签名消息M进行哈希运算，并将运算结果ZA与消息M联合得到；2)对进行杂凑压缩，得到一预处理结果e；3)产生两随机数k，w；分别计算随机数k和基点G的标量乘kG，随机数w与公钥PA的标量乘wPA，然后相加得到一椭圆曲线点Q；4)计算e与点Q的坐标x1模n加得到一r值，5)代入私钥dA、k、w、r，得到签名结果s。使用本发明提出的新方法能够更有效、全面抵抗对SM2签名算法的格攻击。

公开(公告)号：CN103825722A

公开(公告)日：2014-05-28

申请号：CN201310578837.X

申请日：2013-11-19

Applicant: 国家密码管理局商用密码检测中心

Inventor： 李大为 ,  罗鹏 ,  曹伟琼

IPC: H04L9/06

Abstract: 本发明公开了一种SM4密码算法的二阶侧信道能量分析方法，步骤如下：(1)采集能量迹，建立采样能量消耗矩阵；(2)对上步的实测的能量消耗矩阵进行预处理；(3)选择S盒的输入输出的异或S_InXorOutj作为攻击点，进行CPA或DPA分析，获得正确的轮密字节rki，j；(4)重复(2)(3)步过程分别获得轮密钥其他密钥字节得到正确的轮密钥；(5)分别对前／后4轮进行步骤(2)(3)(4)以此获得4个轮密钥，通过密钥逆扩展获得初始密钥。本发明的技术方案创新地提出了新的二阶能量分析方法，开拓了SM4密码算法攻击的新局面，扩展了对SM4算法的侧信道能量分析手段，能够更全面有效地对SM4密码算法进行侧信道能量分析；本技术方案的方法是针对常见的掩码防护措施，实用性强。