本發明提供了一種針對RSA?CRT運算的能量分析攻擊測試裝置。數據生成模塊生成輸入數據C，輸入數據C對應于密鑰p，與高段p_H相同位置設為p_H，與中段p_M相同位置從全0到全1進行遍歷，與低端p_L相同位置設為全1。高段p_H為已攻出部分，中段p_M為攻擊部分，低端p_L為未確定部分。控制模塊控制IC芯片對所述輸入數據C進行RSA加密運算。存儲模塊存儲IC芯片輸出的加密數據M。使IC芯片基于RSA?CRT運算對加密數據M進行解密運算得到輸出S。功耗檢測模塊檢測IC芯片在進行重組運算過程中模乘、乘法操作時的功耗，確定出Comp(S)。分析模塊將每次遍歷時，對輸出S的大小從小到大進行排序，由Comp(S)從0變為1的位置確定出p_M。不斷生成輸入數據C，確定各個不同位置的p_M，直至所有位置的p_M被確定，得到密鑰p。

技術領域

本發明涉及針對RSA-CRT運算的能量分析攻擊測試裝置和方法，尤其涉及對密碼設備的安全性測評。

背景技術

隨著電子技術的飛速發展，智能卡等密碼設備被廣泛應用于金融、通訊等多個領域，其安全性也成為人們倍加關注的焦點。智能卡的加密算法是保證其安全的重要手段，通常使用RSA加密算法進行加解密和簽名。

RSA由Rivest，Shamir，Adleman三位密碼學家在1978年提出，是當前最著名、應用最廣泛的密碼算法之一，已被ISO推薦為公鑰數據加密標準。RSA做到加密功能與解密功能的分離：加密功能不需要受限，任何人都可以執行，因此加密用密鑰不需要保密，作為公鑰使用；解密功能只有掌握了特定信息的人才能執行，因此解密用密鑰需要作為私鑰進行保密。基于這一特性，RSA除了用于數據加解密外，還用于數字簽名。

RSA的密鑰包括兩部分：公鑰為n，e；私鑰為p，q，d，密鑰生成時首先產生兩個大素數p，q，然后計算n＝pq，選擇e滿足然后計算密碼分析(攻擊)即是獲取私鑰。若攻擊者具有求解大數分解的能力，就能破解RSA算法，為提高安全強度，大數因子通常選得非常大。RSA的安全性經受住了多年深入的密碼分析，算法的安全性得到了廣泛的認可。

RSA加密為執行模冪運算c＝m^e mod n；解密為計算模冪m＝c^d mod n。RSA算法中最復雜的問題在于解密對應的模冪運算運算時間長，需要占用大量運算資源。為了提高運算效率，將CRT(中國剩余定理)引入到模冪計算中，將長模冪運算分解成兩個小模冪的運算，即RSA-CRT算法的實現。RSA-CRT算法是將運算分成模約減、模冪和重組三部分。RSA-CRT算法減小了求模的運算量，將運算效率提升為原來的4倍，廣泛應用于智能卡等密碼設備。

在智能卡等密碼設備中RSA算法通常以專用硬件模塊(IC芯片)的方式實現，在嵌入式軟件的控制下，對接收到的數據進行RSA加密運算。硬件電路作為智能卡的一部分，外部(攻擊者)無法訪問，只能觀察到經RSA加密后的密文，RSA本身的安全強度保證了數據交互的保密性。

密碼算法的實現在考慮效率的同時，還需要考慮其安全性。針對密鑰的攻擊，不僅可以對密碼算法本身從數學角度提出破解，也可以從密碼算法執行的過程中，泄露出來的側信道信息(如功耗差異等)進行分析，得出其與密鑰的關系，從而恢復出密鑰，達到破解的目的。

1999年，Kocher提出了功耗分析的概念，通過分析密碼設備運算期間的功耗信息獲取其密鑰。功耗分析主要分為簡單功耗分析(Simple power analysis，SPA)和差分功耗分析(Differential power analysis，DPA)兩種。SPA通過直接或間接的對功耗曲線進行分析，DPA則借助統計學手段對功耗曲線進行復雜的分析。