[发明专利]基于模板的RSA-CRT实现模约减攻击的私钥恢复方法和系统

说明书

本申请实施例公开了基于模板的RSA‑CRT实现模约减攻击的私钥恢复方法和系统，所述方法包括：基于汉明重量模型，对训练设备的模约减操作的能量迹进行多元正态分布建模，得到模约减后中间值逐字节对应的模板；基于选择密文的模板匹配方法，得到RSA算法模约减操作的中间值r，由中间值r恢复RSA算法使用的私钥p；分解公钥n得到私钥q，从而得到RSA的私钥p和q。基于模约减后中间值的汉明重量模型建模，通过采集选择密文模约减的能量迹进行模板匹配获取模约减后中间值的汉明重量，根据私钥恢复算法进行密钥恢复，解决了无法由模约减后中间值的汉明重量恢复私钥的难题。

技术领域

本申请实施例涉及密码学应用技术领域，具体涉及基于模板的RSA-CRT实现模约减攻击的私钥恢复方法和系统。

背景技术

Kocher等提出的差分能量分析开创了侧信道攻击这一研究领域，侧信道攻击主要研究利用密码设备加解密消息过程中泄漏出的能量消耗、电磁辐射等侧信道信息恢复敏感信息。侧信道攻击主要分为两类，一类是建模类攻击，如模板攻击，另一类是非建模类攻击，如相关能量分析。基于建模类攻击，攻击者需要获得两个一模一样的设备，其中一个设备具有足够的控制权，将采集的能量迹进行训练建立模板，使用另一个设备采集的能量迹进行匹配，匹配概率最高的对应为正确密钥。基于非建模类攻击，只需要采集目标设备明文对应的能量迹，将明文与猜测密钥对应的假设能量消耗值计算相关性系数，系数最大对应的密钥猜测为正确密钥。到目前为止，模板攻击的密码算法涵盖了RSA、DES和AES等。由于侧信道攻击的通用性和极强的现实威胁性，分析者对其进行了深入研究，并将其用于破解各种密码算法工程实现，恢复密码算法使用的密钥。

RSA算法是一种被广泛应用的公钥密码算法，对其的侧信道攻击一直是研究的热点。Messees等提出了针对模幂运算的三种差分能量攻击方法：单指数多数据（SingleExponent Multiple Data）、多指数单数据（Multiple Exponent Single Data）、零指数多数据(Zero Exponent Multiple Data），并分析了这三种方法的使用条件。Novak根据Garner重组运算中模p运算中是否要执行加p运算，提出了选择可适应密文的简单能量分析攻击。Yen等提出了一种选择明文的简单能量分析攻击方法，当k是奇数时，。当k是偶数时，。通过观察能量迹可以直接辨别出参与运算的私钥信息。M Witteman利用了RSA-CRT重组运算中近似相等关系，提出了单字节猜测密钥p或q的侧信道攻击方法，Witteman等针对RSA-CRT带有能量消耗分支平衡算法的快速实现方式，提出一种侧信道攻击方法。该方法通过识别相关能量消耗特征，如相邻列之间相关性高的为0，相关性低的为1，以此恢复私钥信息。Coppersmith提出了针对RSA的因子分解定理，如果能够获取p和q的低部分位信息，那么就可以得出p和q，但是目前并没有相关研究者在该条件下成功恢复出p和q值，有许多研究者提出了已知p某些比特恢复p的实现方法，查阅到最新的成果由Stephen等2021年提出的，提出了一种减少格的维度和矩阵大小的方法，使得恢复RSA算法的密钥时间更小，速度更快。

目前，现有技术中模约减攻击都采用了相关能量分析与选择输入消息相结合的方式。在一些场景中，通常可以获取模约减后的汉明重量值，但是由汉明重量值如何恢复RSA算法的私钥是一个亟待解决的难题。

发明内容

为此，本申请实施例提供基于模板的RSA-CRT实现模约减攻击的私钥恢复方法和系统，基于模约减后中间值的汉明重量模型建模，通过采集选择密文模约减的能量迹进行模板匹配获取模约减后中间值的汉明重量，根据私钥恢复算法进行密钥恢复，解决了无法由模约减后中间值的汉明重量恢复私钥的难题。

为了实现上述目的，本申请实施例提供如下技术方案：

根据本申请实施例的第一方面，提供了基于模板的RSA-CRT实现模约减攻击的私钥恢复方法，所述方法包括：

基于汉明重量模型，对训练设备的模约减操作的能量迹进行多元正态分布建模，得到模约减后中间值逐字节对应的模板；