@techreport{oai:ipsj.ixsq.nii.ac.jp:00190577,
 author = {高橋, 彰 and ティブシ, メディ and 阿部, 正幸 and Akira, Takahashi and Mehdi, Tibouchi and Masayuki, Abe},
 issue = {25},
 month = {Jul},
 note = {本講演ではペアリングフレンドリーな曲線に対するフォールト攻撃手法として BlömerとGüntherによって提案された 「特異曲線圧縮点展開攻撃 (singular curve point decompression attack) 」 を，SECG によって標準化された secp の “k” 曲線パラメータに対しても応用可能であることを報告する．我々は攻撃対象として，ビットコインプロトコルにも採用され,今日広範に知られている曲線パラメータ secp 256 k1 上で動作する ECDSA の 8-bit マイクロコントローラ実装を選択した．このフォールト攻撃は強力であり，一度のクロックグリッチを注入することで，署名鍵を完全に復元することが可能であった．よって楕円曲線上の点圧縮 ・ 展開の手法はベースポイントには適用すべきでないと結論づけられる．, In this talk, we report that the singular curve point decompression attack of Blömer and Günther, which was originally presented as an attack against pairing-friendly curves, directly applies to the widely deployed secp k curve series. We experimentally verified that the attack can be carried out against an 8-bit microcontroller implementation of ECDSA over the secp 256 k1 curve, which is a high-profile target owing to its use in the Bitcoin protocol. The fault attack is devastating: the full secret key can be recovered by injecting a single clock glitch fault. We conclude that the point compression / decompression technique should never be applied to base points especially in constrained devices, such as Bitcoin hardware wallets.},
 title = {特異曲線圧縮点展開攻撃のビットコイン用楕円曲線への応用},
 year = {2018}
}