2026-03-16T21:44:55Z https://ipsj.ixsq.nii.ac.jp/oai

oai:ipsj.ixsq.nii.ac.jp:00190577 2025-01-20T01:09:04Z 1164:6389:9385:9512

特異曲線圧縮点展開攻撃のビットコイン用楕円曲線への応用 Application of the Singular Curve Point Decompression Attack to the Bitcoin Curve 高橋, 彰 ティブシ, メディ 阿部, 正幸 Akira, Takahashi Mehdi, Tibouchi Masayuki, Abe 本講演ではペアリングフレンドリーな曲線に対するフォールト攻撃手法として BlömerとGüntherによって提案された 「特異曲線圧縮点展開攻撃 (singular curve point decompression attack) 」 を，SECG によって標準化された secp の “k” 曲線パラメータに対しても応用可能であることを報告する．我々は攻撃対象として，ビットコインプロトコルにも採用され,今日広範に知られている曲線パラメータ secp 256 k1 上で動作する ECDSA の 8-bit マイクロコントローラ実装を選択した．このフォールト攻撃は強力であり，一度のクロックグリッチを注入することで，署名鍵を完全に復元することが可能であった．よって楕円曲線上の点圧縮 ・ 展開の手法はベースポイントには適用すべきでないと結論づけられる． In this talk, we report that the singular curve point decompression attack of Blömer and Günther, which was originally presented as an attack against pairing-friendly curves, directly applies to the widely deployed secp k curve series. We experimentally verified that the attack can be carried out against an 8-bit microcontroller implementation of ECDSA over the secp 256 k1 curve, which is a high-profile target owing to its use in the Bitcoin protocol. The fault attack is devastating: the full secret key can be recovered by injecting a single clock glitch fault. We conclude that the point compression / decompression technique should never be applied to base points especially in constrained devices, such as Bitcoin hardware wallets. 情報処理学会 2018-07-18 jpn technical report https://ipsj.ixsq.nii.ac.jp/records/190577 2188-8671 AA12628305 研究報告セキュリティ心理学とトラスト（SPT） 2018-SPT-29 25 1 5 https://ipsj.ixsq.nii.ac.jp/record/190577/files/IPSJ-SPT18029025.pdf application/pdf 278.3 kB