当前位置：首页 > news >正文

安全错误攻击

news 2026/2/11 2:10:32

近年来基于错误的密码分析（fault-based cryptanalysis）已成为检测智能卡（Smartcard）安全的重要因素。这种基于错误的密码分析，假设攻击者可以向智能卡中导入一定数量的、某种类型的错误，那么智能卡会输出错误的信息，攻击者有可能利用这些错误信息揭露出嵌入在智能卡中的秘密参数（如密钥）。为此，一些研究者提出了通过检验计算结果的正确性来防止这种攻击，即如果检验结果不正确，那么拒绝输出，从而使攻击者无法得到想要的错误信息。
然而，仅通过检验计算结果来防止这种攻击的方法不可行。以RSA中模指数运算为例，提出了一种所谓基于安全错误的对RSA的攻击。该攻击可以攻破RSA的一些实现算法，即使那些算法中加入了检验计算结果的步骤。

密码实现

RSA 算法中经常用到的是模幂运算 $M^d\mod N$ 。其中将私钥表达成二进制的形式，即， $\sum_{i=0}^{n-1}d_i 2^i, d_i\in\{0,1\}$ 。从而在密码芯片中对应R-L比特算法实现。
在算法1中，当 $d_i = 1$ 时，算法执行一次模乘运算( $A\cdot B^2\mod N$ )和一次摸平方运算（ $B^2\mod N$ ）。当 $d_i=0$ 时，算法只需执行一次摸平方运算。
其中，RSA 用到模乘运算 $A\cdot B \mod N$ 。将A表达成 $2^t$ 进制的形式， $\sum_{j=0}^{m-1}A_j(2^t)^j A_j\in\{0,1,\cdots,2^t-1\},m=\lceil n/t \rceil$ 。则模乘运算的结果 $R$ 可用以下表达式来实现。
$=((\cdots( (A_{m-1}B)2^t + A_{m-2}B)2^t+\cdots + A_1B)2^t + A_0B) \mod N$

算法1 R-L 比特模幂
输入： $M$ , $(d_{n-1},\cdots ,d_0)_2$ , $N$
输出： $A = M^d \mod N$
1.1 $\longleftarrow 1$ ; $\longleftarrow M$
1.2 for $i$ from $0$ to $n - 1$
1.3 if ( $d_i=1$ ) then $\longleftarrow A\cdot B \mod N$
1.4 $\longleftarrow B^2 \mod N$
1.5 endfor

算法2 底数为 $2^t$ 的模乘运算
输入： $A, B, N$
输出： $A\cdot B \mod N$
2.1 $\longleftarrow 0$
2.2 for $j$ from $m - 1$ downto $0$
2.3 $\longleftarrow (R2^t + A_j B)\mod N$
2.4 endfor

将算法1和算法2合并起来，那么R-L比特模幂运算可写成如下实现过程。

算法3
输入： $M$ , $(d_{n-1},\cdots ,d_0)_2$ , $N$
输出： $A = M^d \mod N$
3.1 $\longleftarrow 1$ ; $\longleftarrow M$
3.2 for $i$ from $0$ to $n - 1$
3.3 if ( $d_i=1$ ) then
3.4 $\longleftarrow 0$
3.5 for $j$ from $m - 1$ downto $0$
3.6 $\longleftarrow (R2^t + A_j B)\mod N$
3.7 endfor
3.8 $\longleftarrow R$
3.9 endif
3.10 $\longleftarrow 0$
3.11 for $j$ from $m - 1$ downto $0$
3.12 $\longleftarrow (R2^t + A_j B)\mod N$
3.13 endfor
3.14 $\longleftarrow R$
3.15 endfor

基于安全错误的攻击

考虑针对算法3进行攻击，攻击者攻击目的是要找到运算中隐藏着的密钥 $d$ 。
所谓安全错误，是指在算法中导入1比特或几比特错误，但这一错误可能并不会影响最终的模幂运算结果。
例如，在 $d_i = 1$ 时的第 $i$ 次循环中，向寄存器 $A_k$ 中导入错误，且满足 $k > j$ ，那么，由于正确的 $A_k$ 在先前的子循环中已经使用了，所以算法三第3步的子循环不会计算出错，即， $R$ 计算正确。而紧接着 $\longleftarrow R$ 使得先前导入的错误被清除。于是算法三在以下的计算都不会受到影响。从而使得最终的计算结果是正确的。把这样导入的错误称之为安全错误。换言之，安全错误发生了却并没有带来错误的计算结果。
但是，导入的安全错误并不总是安全的。在一些情况下安全错误也会使得计算结果不正确。例如，在 $d_i=0$ 的第 $i$ 次循环中，向 $A_k$ 中导入错误，且满足 $k > j$ ，这时导入的错误就会使得最后的计算结果出错。因为，当 $d_i=0$ 时，整个循环将跳过第3步，从而使得导入的错误不能得到纠正，并带入到下面的循环中。
通过上面分析得到以下结论。当 $d_i = 1$ 时，导入的安全错误不会影响计算结果的正确性；当 $d_i=0$ 时，导入的安全错误会使得计算结果不正确。
基于以上的分析，攻击者分别对 $d$ 的每一位 $d_i$ 进行攻击。为了攻击第 $i$ 比特，在算法第 $i$ 次循环中导入安全错误。如果算法三输出正确结果，那么由以上分析，得 $d_i=1$ ；如果算法三输出错误结果，或者算法三通过附加的检测出计算结果错误，从而拒绝输出，那么攻击者可知 $d_i=0$ 。
这就是说，即是智能卡检测出错误，并拒绝输出，攻击者仍可利用这一点得到 $d_i$ 的值。所以说，对算法三实现模幂运算，通过检验计算结果的方式不能防止基于安全错误的攻击。但，通过加指数掩码，每一次进行模幂运算时，在指数 $d$ 上增加随机数，可防止该攻击。

安全错误攻击

密码实现

基于安全错误的攻击

相关文章：

安全错误攻击

ELK安装、部署、调试（八）logstash配置语法详解

SPI协议

机器学习算法系列————决策树（二）

ACM中的数论

我的创作纪念日 —— 一年之期

qt.qpa.plugin:找不到Qt平台插件“wayland“|| （下载插件）Ubuntu上解决方案

详解Spring Boot中@PostConstruct的使用

判断子序列

Python Opencv实践 - 轮廓特征（最小外接圆，椭圆拟合）

Ubuntu22.04 LTS+NVIDIA 4090+Cuda12.1+cudnn8.8.1

重装系统后，MySQL install错误，找不到dll文件，或者应用程序错误

线程同步机制类封装及线程池实现

Linux中的用户、组和权限

python学习--基本数据类型之字典

【OpenCV入门】第九部分——模板匹配

在设计web页面时，为移动端设计一套页面，PC端设计一套页面，并且能自动根据设备类型来选择是用移动端的页面还是PC端的页面。

微信小程序地图应用总结版

分支创建查看切换

参编三大金融国标，奇富科技以技术促行业规范化演进

简易版抽奖活动的设计技术方案

模型参数、模型存储精度、参数与显存

【Redis技术进阶之路】「原理分析系列开篇」分析客户端和服务端网络诵信交互实现（服务端执行命令请求的过程 - 初始化服务器）

基于Uniapp开发HarmonyOS 5.0旅游应用技术实践

鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个医院查看报告小程序

多种风格导航菜单 HTML 实现（附源码）

如何配置一个sql server使得其它用户可以通过excel odbc获取数据

Unity VR/MR开发-VR开发与传统3D开发的差异

uni-app学习笔记三十五--扩展组件的安装和使用

C++--string的模拟实现