第四十四个知识点:在ECC密码学方案中，描述一些基本的防御方法

第四十四个知识点:在ECC密码学方案中，描述一些基本的防御方法

原文地址：http://bristolcrypto.blogspot.com/2015/08/52-things-number-44-describe-some-basic.html

在上篇文章中我们提到了在ECC中对抗侧信道攻击的一些基本防御。这篇文章似乎是为了完整性，同时对AES问询的同样的问题。

在我们讨论这个问题之前，我想要澄清我们要讨论什么样的策略。从这点看出，我们将会仅仅讨论实现层面的对策，而不是考虑硬件的对策例如双轨道安全或者位置安全。然而标题说可能无效，但是我还是尽可能说写可能有效的方法。

椭圆曲线密码作为一种规则，在抵抗边信道攻击方面是相当好的，但仍有一些值得考虑的地方。

标量乘法

和其它密码学中的算法一样，标量乘法也是最容易泄露的算法，就像RSA中的。这在椭圆曲线密码学中没有什么不同，因为加法运算符和倍乘运算符的行为不同。各种可以应用在RSA算法中的技术也能在这里使用，例如指数盲猜方法对于每一个标量乘法你选择一个值\(r\)使得\([a]P = [a+r]P\)，其中\(a\)是一个保持秘密的值，\(P\)是椭圆曲线的生成器。由于标量乘法只泄漏关于标量的信息，因此只有当您想要保持标量机密时才需要应用这种技术。近年来，人们对椭圆曲线的创建进行了大量的研究，发现椭圆曲线具有相同的二重运算和加法运算，从而解决了这一问题。

点在曲线上吗

有时候，\(x\)的值被选择学习，曲线使用雅各比符号，在多项式\(x^3+a \cdot x + b\)的结果是平方数。如果\((x,y)\)是椭圆曲线上的点。从链接的算法中可以看出，计算雅可比矩阵符号的过程是变长的，因此可能会泄漏关于秘密值的信息\(x^3 + a \cdot x + b\)。防御方法是使用\(r^2(x^3+a \cdot x + b\)使用这种技术，我们可以检查x是否是曲线上的一个有效点，但由于它被随机的r盲化了，所以它不会泄漏任何关于基础点的信息。

理论安全

对于已知的边信道攻击，椭圆曲线在没有太多帮助的情况下是合理安全的，但可以通过秘密共享某些方案来提高安全性。假设每个共享泄漏都是独立的，那么就有可能创建可证明对任意泄漏函数(包括那些只能在理论上发生而不能在实践中发生的函数)具有安全性的方案。这一领域的密码学已成为众所周知的泄漏弹性密码学。http://users-cs.au.dk/stm/local-cache/KilPie10.pdf