本申請(qǐng)實(shí)施例公開了基于模板的RSA?CRT實(shí)現(xiàn)模約減攻擊的私鑰恢復(fù)方法和系統(tǒng)，所述方法包括：基于漢明重量模型，對(duì)訓(xùn)練設(shè)備的模約減操作的能量跡進(jìn)行多元正態(tài)分布建模，得到模約減后中間值逐字節(jié)對(duì)應(yīng)的模板；基于選擇密文的模板匹配方法，得到RSA算法模約減操作的中間值r，由中間值r恢復(fù)RSA算法使用的私鑰p；分解公鑰n得到私鑰q，從而得到RSA的私鑰p和q。基于模約減后中間值的漢明重量模型建模，通過采集選擇密文模約減的能量跡進(jìn)行模板匹配獲取模約減后中間值的漢明重量，根據(jù)私鑰恢復(fù)算法進(jìn)行密鑰恢復(fù)，解決了無法由模約減后中間值的漢明重量恢復(fù)私鑰的難題。

技術(shù)領(lǐng)域

本申請(qǐng)實(shí)施例涉及密碼學(xué)應(yīng)用技術(shù)領(lǐng)域，具體涉及基于模板的RSA-CRT實(shí)現(xiàn)模約減攻擊的私鑰恢復(fù)方法和系統(tǒng)。

背景技術(shù)

Kocher等提出的差分能量分析開創(chuàng)了側(cè)信道攻擊這一研究領(lǐng)域，側(cè)信道攻擊主要研究利用密碼設(shè)備加解密消息過程中泄漏出的能量消耗、電磁輻射等側(cè)信道信息恢復(fù)敏感信息。側(cè)信道攻擊主要分為兩類，一類是建模類攻擊，如模板攻擊，另一類是非建模類攻擊，如相關(guān)能量分析。基于建模類攻擊，攻擊者需要獲得兩個(gè)一模一樣的設(shè)備，其中一個(gè)設(shè)備具有足夠的控制權(quán)，將采集的能量跡進(jìn)行訓(xùn)練建立模板，使用另一個(gè)設(shè)備采集的能量跡進(jìn)行匹配，匹配概率最高的對(duì)應(yīng)為正確密鑰。基于非建模類攻擊，只需要采集目標(biāo)設(shè)備明文對(duì)應(yīng)的能量跡，將明文與猜測(cè)密鑰對(duì)應(yīng)的假設(shè)能量消耗值計(jì)算相關(guān)性系數(shù)，系數(shù)最大對(duì)應(yīng)的密鑰猜測(cè)為正確密鑰。到目前為止，模板攻擊的密碼算法涵蓋了RSA、DES和AES等。由于側(cè)信道攻擊的通用性和極強(qiáng)的現(xiàn)實(shí)威脅性，分析者對(duì)其進(jìn)行了深入研究，并將其用于破解各種密碼算法工程實(shí)現(xiàn)，恢復(fù)密碼算法使用的密鑰。

RSA算法是一種被廣泛應(yīng)用的公鑰密碼算法，對(duì)其的側(cè)信道攻擊一直是研究的熱點(diǎn)。Messees等提出了針對(duì)模冪運(yùn)算的三種差分能量攻擊方法：?jiǎn)沃笖?shù)多數(shù)據(jù)（SingleExponent Multiple Data）、多指數(shù)單數(shù)據(jù)（Multiple Exponent Single Data）、零指數(shù)多數(shù)據(jù)(Zero Exponent Multiple Data），并分析了這三種方法的使用條件。Novak根據(jù)Garner重組運(yùn)算中模p運(yùn)算中是否要執(zhí)行加p運(yùn)算，提出了選擇可適應(yīng)密文的簡(jiǎn)單能量分析攻擊。Yen等提出了一種選擇明文的簡(jiǎn)單能量分析攻擊方法，當(dāng)k是奇數(shù)時(shí)，。當(dāng)k是偶數(shù)時(shí)，。通過觀察能量跡可以直接辨別出參與運(yùn)算的私鑰信息。M Witteman利用了RSA-CRT重組運(yùn)算中近似相等關(guān)系，提出了單字節(jié)猜測(cè)密鑰p或q的側(cè)信道攻擊方法，Witteman等針對(duì)RSA-CRT帶有能量消耗分支平衡算法的快速實(shí)現(xiàn)方式，提出一種側(cè)信道攻擊方法。該方法通過識(shí)別相關(guān)能量消耗特征，如相鄰列之間相關(guān)性高的為0，相關(guān)性低的為1，以此恢復(fù)私鑰信息。Coppersmith提出了針對(duì)RSA的因子分解定理，如果能夠獲取p和q的低部分位信息，那么就可以得出p和q，但是目前并沒有相關(guān)研究者在該條件下成功恢復(fù)出p和q值，有許多研究者提出了已知p某些比特恢復(fù)p的實(shí)現(xiàn)方法，查閱到最新的成果由Stephen等2021年提出的，提出了一種減少格的維度和矩陣大小的方法，使得恢復(fù)RSA算法的密鑰時(shí)間更小，速度更快。

目前，現(xiàn)有技術(shù)中模約減攻擊都采用了相關(guān)能量分析與選擇輸入消息相結(jié)合的方式。在一些場(chǎng)景中，通常可以獲取模約減后的漢明重量值，但是由漢明重量值如何恢復(fù)RSA算法的私鑰是一個(gè)亟待解決的難題。

發(fā)明內(nèi)容

為此，本申請(qǐng)實(shí)施例提供基于模板的RSA-CRT實(shí)現(xiàn)模約減攻擊的私鑰恢復(fù)方法和系統(tǒng)，基于模約減后中間值的漢明重量模型建模，通過采集選擇密文模約減的能量跡進(jìn)行模板匹配獲取模約減后中間值的漢明重量，根據(jù)私鑰恢復(fù)算法進(jìn)行密鑰恢復(fù)，解決了無法由模約減后中間值的漢明重量恢復(fù)私鑰的難題。

為了實(shí)現(xiàn)上述目的，本申請(qǐng)實(shí)施例提供如下技術(shù)方案：

根據(jù)本申請(qǐng)實(shí)施例的第一方面，提供了基于模板的RSA-CRT實(shí)現(xiàn)模約減攻擊的私鑰恢復(fù)方法，所述方法包括：

基于漢明重量模型，對(duì)訓(xùn)練設(shè)備的模約減操作的能量跡進(jìn)行多元正態(tài)分布建模，得到模約減后中間值逐字節(jié)對(duì)應(yīng)的模板；