技術領域

本發明涉及安全領域，特別涉及一種攻擊密鑰的方法及裝置。

背景技術

RSA（取名來自三位開發者的名字，分別為Ron?Rivest、Adi?Shamirh和LenAdleman，簡稱RSA）和ECC（Elliptic?Curves?Cryptography，橢圓曲線密碼算法）是信息安全領域中比較主流的公鑰密碼技術。基于RSA和ECC實現的各種密鑰（Key）及智能卡已經廣泛應用于金融、通信、社保、交通等各個領域。為了保障Key及智能卡的安全性，需要研究各種攻擊方法。目前比較流行的攻擊方法包括側信道攻擊（Side?Channel?Attack，簡稱SCA）和錯誤注入攻擊（Fault?Injection?Attack，簡稱FIA），其中SCA攻擊中的SPA（Simple?Power?Attack/Analysis，簡單能量攻擊/分析）和DPA（Differential?Power?Attack/Analysis，差分功耗攻擊/分析）攻擊最為普遍。

現有技術中，對RSA算法的SPA攻擊方法主要是針對二進制實現的模冪運算，該方法中，模乘和模平方在功耗或者時間上有明顯差異，通過該差異能很好的分析密鑰的當前比特位為1或0。但當產品中使用的模乘器為蒙哥馬利模乘器，該乘法器在設計過程中只存在一種模乘運算，即兩個乘數無論是否相同，都按不同數據來執行；因此，整個模冪過程中無法分析出模乘和模平方的差異。對ECC的SPA攻擊方法，主要是針對二進制實現的點乘運算，該實現方式中，點加和點倍在功耗或者時間上有明顯的差異，通過該差異能分析出私鑰的值。但當使用類似蒙哥馬利階梯算法（Montgomery’s?Ladder?Algorithm）時，由于點加和點倍交替執行，傳統SPA無法發揮攻擊作用。可見，傳統的攻擊密鑰的方法存在缺陷和不足，無法充分測試各種Key、智能卡以及其他嵌入式產品的芯片或其操作系統的安全性。

發明內容

本發明實施例中提供了一種攻擊密鑰的方法和裝置，能解決現有方法中無法充分測試密鑰的安全性的問題。

為了解決上述技術問題，本發明實施例公開了如下技術方案：

一方面，提供了一種攻擊密鑰的方法，所述方法包括：

設置RSA密碼運算的長度為t，采用被攻擊的密鑰對數據進行RSA密碼運算，得到被攻擊的密鑰進行模冪運算的第一功耗曲線；

通過簡單能量攻擊/分析SPA的方法分析所述第一功耗曲線中的RSA密碼運算是否全部為硬件實現，若全部為硬件實現，則攻擊失敗；

否則，根據所述第一功耗曲線中模乘的執行次數獲取測試密鑰，用所述測試密鑰和被攻擊的密鑰對相同的隨機數據進行密碼運算，判斷結果是否一致，若一致，則攻擊成功；

其中，所述RSA密碼運算為采用模冪運算實現的標準RSA解密運算或簽名運算。

結合第一方面，在第一方面的第一種可能實現方式中，所述根據所述第一功耗曲線中的模乘次數獲取測試密鑰，具體包括：

若所述第一功耗曲線中模乘的執行次數不是2t次，則通過分所述析第一功耗曲線中的循環控制、判斷語句和判斷語句加循環控制的波形出現的次序，獲取所述測試密鑰；

若所述第一功耗曲線中模乘的執行次數是2t次，則通過分析所述第一功耗曲線中循環控制加條件判斷一和循環控制加條件判斷二的波形出現的次序，獲取所述測試密鑰。

結合第一方面的第一種可能實現方式，還提供了第一方面的第二種可能實現方式，若所述第一功耗曲線中模乘的執行次數是2t次，獲取所述測試密鑰后，用所述測試密鑰和被攻擊的密鑰對相同的隨機數據進行密碼運算，判斷所述結果是否一致，若一致，則攻擊成功，若不一致，則對所述測試密鑰按比特取反，用所述取反后的測試密鑰的和被攻擊的密鑰對相同的隨機數據進行密碼運算，判斷所述結果是否一致，若一致，則攻擊成功。

結合第一方面的第一種可能實現方式，還提供了第一方面的第三種可能實現方式，通過分析第一功耗曲線中的循環控制、判斷語句和判斷語句加循環控制的波形出現的次序，獲取所述測試密鑰，具體包括：

從所述第一功耗曲線中分析出循環控制對應的第二功耗曲線、判斷語句對應的第三功耗曲線以及判斷語句加循環控制對應的第四功耗曲線；

從第t-1比特位至0比特位，依次確認所述測試密鑰的第i比特位的比特值，以獲取所述測試密鑰，其中，i為整數，且0≤i≤t-1。