一种攻击椭圆曲线加密算法的方法和攻击设备

摘要

本发明公开了一种攻击椭圆曲线加密算法的方法和攻击设备，包括：攻击设备预先获取具有一字节错误的错误基点的坐标、所在椭圆曲线的曲线参数和阶之间的对应关系，其中，阶为最大素数因子的长度小于或等于预设阈值的阶；攻击设备对加密设备中椭圆曲线加密算法所使用的椭圆曲线的基点的坐标注入一字节错误得到错误基点的坐标；攻击设备控制加密设备根据错误基点的坐标采用椭圆曲线加密算法对明文进行加密得到错误密文输出；攻击设备根据错误密文输出计算错误基点所在的椭圆曲线的曲线参数，在对应关系中查找曲线参数对应的错误基点的坐标和阶；攻击设备根据错误基点的坐标和阶、计算得到的曲线参数和错误密文输出获取明文。本发明提高了攻击效率。

说明书

技术领域

本发明涉及信息安全技术，尤指一种攻击椭圆曲线加密算法的方法和攻 击设备。

背景技术

随着信息科技的发展，信息的安全性被提升到了一个前所未有的高度。 各种加密算法正被广泛地应用于经济、军事、行政等重要部门，用于保护信 息的安全性。对称密码和公钥密码的出现使得信息能从算法级和软件级得到 保护。但是进入21世纪后，随着攻击形式的多样化，攻击性越来越强的方法 也随之产生。尤其是从硬件入手的侧信道攻击和故障注入攻击方法使得许多 安全信息受到了威胁。针对密码算法软硬件实现的分析研究对保护信息安全 具有重要的意义。

“故障攻击”的概念是1996年由Boneh等人首次提出的，是对RSA(Ron  Rivest，Adi Shamir，Leonard Adleman三人姓氏的开头字母)公钥密码体制 的新型攻击方法，该方法利用了密码计算过程中的错误。这种攻击方法一经 提出立即引起了人们的广泛关注，并展示出了其对密码体制安全性的极大破 坏性。1997年，Biham和Shamir将这种攻击方法应用于对称密码体制，首 次提出了“差分故障攻击”的概念，并成功地攻击了数据加密标准(DES， Data Encryption Standard)算法.此后研究人员提出了各种不同的故障攻击方 法，成功攻击了多种密码体制，如椭圆曲线密码编码学(ECC，Elliptic Curves  Cryptography)公钥体制、3DES(Triple DES)算法以及流密码(RC4)算法 等。

下面以SM2解密算法为例说明现有的攻击椭圆曲线加密算法的方法。这 里假设SM2解密算法中标量乘的计算使用了二进制算法。

二进制算法具体实现如下：

为了计算标量乘A＝[k1]P，将标量k1以二进制形式展开得到k1＝(k_n-1，…， k₁，k₀)，其中，k₀为k1的第n个比特位，k₁为k1的第(n-1)个比特位，…， k_n-1为k1的第1个比特位，k_n-1＝1。令i为(n-2)；

令A点的坐标(x₁，y₁，z₁)为椭圆曲线的基点P的坐标，B点的坐标 (x₂，y₂，z₂)为椭圆曲线的基点P的坐标的2倍。

判断出k_i等于1，按照公式λ₁＝x₁z₂，λ₂＝x₂z₁，λ₄＝y₁z₂，λ₅＝y₂z₁，λ₈＝z₁z₂计算中间值λ，按照公式λ₃＝λ₁-λ₂，λ₆＝λ₄-λ₅，λ₇＝λ₁+λ₂，λ₁₀＝λ₃λ₉， 对中间值λ进行扩展；按照公式x₃＝λ₃λ₁₁， y₃＝λ₆(λ₉λ₁-λ₁₁)-λ₄λ₁₀，z₃＝λ₁₀λ₈计算C点的坐标(x₃，y₃，z₃)，计算得到的 C点的坐标即为A点的坐标和B点的坐标之间的和值；按照公式(x₁，y₁， z₁)＝(x₃，y₃，z₃)计算A点的坐标；

按照公式${\lambda }_1=3x_2^2+a{z}_2^2,$λ₂＝2y₂z₂，${\lambda }_3=y_2^2,$λ₄＝λ₃x₂z₂，${\lambda }_5={\lambda }_2^2,{\lambda }_6={\lambda }_1^2-8{\lambda }_4$计算中间值，按照公式x₃＝λ₂λ₆，y₃＝λ₁(4λ₄-λ₆)-2λ₃λ₅，z₃＝λ₂λ₅计算C点的 坐标，计算得到的C点的坐标即为B点的坐标的2倍；按照公式(x₂，y₂， z₂)＝(x₃，y₃，z₃)计算B点的坐标；

判断出k_i不等于1，按照公式λ₂＝2y₂z₂，λ₄＝λ₃x₂z₂， 计算中间值，按照公式x₃＝λ₂λ₆，y₃＝λ₁(4λ₄-λ₆)-2λ₃λ₅， z₃＝λ₂λ₅计算C点的坐标，计算得到的C点的坐标即为B点的坐标的2倍； 按照公式(x₂，y₂，z₂)＝(x₃，y₃，z₃)计算B点的坐标；

将i减去1继续执行判断k_i是否等于1的步骤，直到i＝0。最后输出A 点的坐标。

SM2解密算法具体实现如下：

假设明文M的密文C＝C1||C3||C2，klen为C2的比特长度。

从C中取出比特串C1，并将C1转换为椭圆曲线上的点，验证C1是否 满足加密过程中所用的椭圆曲线方程，若不满足则报错并退出；

若C1满足椭圆曲线方程，则计算椭圆曲线点S＝[h]C1，若S是无穷远点， 则报错并退出；

若S不是无穷远点，采用上述二进制算法计算[d_B]C1＝(x₂,y₂)，并将坐标 x₂，y₂转化为比特串；计算t＝KDF(x₁||y₂，klen)，若t为全0比特串，则报 错退出；其中，d_B为用户私钥；

若t为非全0比特串，则从C中取出比特串C₂，计算计算 u＝Hash(x₂||M’||y₂)，从C中取出比特串C3，若u不等于C3，则报错并退 出；若u等于C3，则输出M’。

现有的攻击椭圆曲线密码算法的方法大致包括：

在SM2解密过程中，标量乘[d_B]C1＝(x₂,y₂)是按照二进制算法计算的，在 二进制算法中，令A＝(x₂，y₂)，k＝d_B，P＝C1。标量乘法[d_B]C1＝(x₂,y₂)运算 进行到第i轮时，对点A的x坐标注入错误变为A'＝(x₁',y₁,z₁)，如果错误注入 时k_i为1且处于对中间值λ进行扩展的过程，由于对中间值λ进行扩展的过 程独立于各点的坐标值，仅与计算得到的中间值有关，那么A'的坐标的改变 不会影响中间值λ的扩展和C点的坐标的计算,最终A点的坐标被C点的坐 标代替，最终结果不受“安全错误”的影响，从而得到正确的解密结果；如 果k_i为0，则错误的A'的坐标值将保留并参与后续的标量循环迭代中，最终 输出解密失败。因此，可根据解密成功与否分析出相应时刻的标量比特值k_i。 通过多次试验，最终获得k的每一比特，即获得k后，也就是说获得d_B就能 够根据d_B采用SM2解密算法进行解密得到明文。

现有的攻击椭圆曲线加密算法的方法中，由于对标量乘的实现有要求， 必须采用二进制算法、一直点倍点加、蒙哥马利算法等来实现，错误注入的 时机比较难控制(即只能在对中间值λ进行扩展的过程中进行错误注入)， 还需要知道在标量乘的哪一次迭代中注入错误，一次只能攻击到密钥的1比 特，需要进行多次攻击才能获得完整的密钥，因此，该方法攻击效率较低。

发明内容

为了解决上述问题，本发明提出了一种攻击椭圆曲线加密算法的方法和 攻击设备，能够提高攻击效率。

为了达到上述目的，本发明提出了一种攻击椭圆曲线加密算法的方法， 包括：

攻击设备预先获取具有一字节错误的错误基点的坐标、错误基点所在椭 圆曲线的曲线参数和错误基点的阶之间的对应关系；其中，阶为最大素数因 子的长度小于或等于预设阈值的阶；

攻击设备对加密设备中椭圆曲线加密算法所使用的椭圆曲线的基点的坐 标注入一字节错误得到错误基点的坐标；

攻击设备控制加密设备根据得到的错误基点的坐标采用椭圆曲线加密算 法对明文进行加密得到错误密文输出；

攻击设备根据错误密文输出计算错误基点所在的椭圆曲线的曲线参数， 在对应关系中查找计算得到的曲线参数对应的错误基点的坐标和阶；

攻击设备根据查找到的错误基点的坐标和阶、计算得到的曲线参数和错 误密文输出获取明文。

优选地，当所述攻击设备在所述对应关系中查找不到计算得到的曲线参 数对应的错误基点的坐标和阶时，该方法还包括：

攻击设备继续执行所述对加密设备中椭圆曲线加密算法所使用的椭圆曲 线的基点的坐标注入一字节错误得到错误基点的坐标的步骤。

优选地，所述错误密文输出包括：C₁'、C₂和C₃；所述加密设备根据得到 的错误基点的坐标采用椭圆曲线加密算法对明文进行加密得到错误密文输出 包括：

按照公式C₁'＝[k2]G'计算所述椭圆曲线上的点C₁'的坐标；其中，k2为1 到(N-1)之间的随机数，G’为所述错误基点，N为所述基点G的阶；

按照公式S＝[h]P_B计算所述椭圆曲线上的点S；其中，h为余因子，P_B为 用户公钥；

判断出点S不是无穷远点，按照公式(x₂,y₂)＝[k2]P_B计算x₂，y₂；其中， x₂为点[k2]P_B的横坐标，y₂为点[k2]P_B的纵坐标；

按照公式t＝KDF(x₂||y₂,klen)计算密钥派生函数t；其中，KDF为密钥派 生函数，||为比特串的拼接，klen为明文M的比特长度；

判断出计算得到的t不是全0比特串，按照公式计算所述C₂， 按照公式C₃＝hash(x₂||M||y₂)计算所述C₃。

优选地，当判断出所述计算得到的t为全0比特串时，所述加密设备根 据得到的错误基点的坐标采用椭圆曲线加密算法对明文进行加密得到错误密 文输出还包括：

继续执行所述按照公式C₁'＝[k2]G'＝(x₁,y₁)计算椭圆曲线上的点C₁'的步骤。

优选地，所述错误密文输出包括：C₁'；所述攻击设备根据错误密文输出 计算错误基点所在的椭圆曲线的曲线参数包括：

所述攻击设备按照公式计算所述错误基点所在的椭圆曲 线的曲线参数；其中，b’为所述错误基点所在的椭圆曲线的曲线参数，为C₁'点的坐标，a为所述椭圆曲线的参数。

优选地，所述攻击设备根据查找到的错误基点的坐标和阶、计算得到的 曲线参数和错误密文输出获取明文包括：

所述攻击设备根据查找到的错误基点的坐标和阶、计算得到的曲线参数 获取r；根据获得的r和错误密文输出获取所述明文。

优选地，所述错误密文输出包括：C₂和C₃；所述根据获得的r和错误密 文输出获取明文包括：

令j为0，按照公式(x'_2，j，y'_2，j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)；

按照公式t'_j＝KDF(x'_2,j||y'_2,j,klen)计算t'_j；

按照公式$M_j=C_2\oplus t_j^{\prime }$计算M_j；

按照公式C₃'＝hash(x'_2,j||M_j||y'_2,y)计算C₃'；

判断出C₃'与C₃相等，计算得到的M_j为所述明文；

其中，n’为所述错误基点的阶。

优选地，当判断出C₃'与C3不相等时，所述根据获得的r获取明文还包 括：

将所述j加1继续执行按照公式(x'_2，j，y'_2，j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)的步骤， 直到判断出C₃'与C₃相等或者j为

本发明还提出了一种攻击设备，至少包括：

获取模块，用于预先获取具有一字节错误的错误基点的坐标、错误基点 所在错误基点的阶之间的对应关系；其中，阶为最大素数因子的长度小于或 等于预设阈值的阶；

错误注入模块，用于对加密设备中椭圆曲线加密算法所使用的椭圆曲线 的基点的坐标注入一字节错误得到错误基点的坐标；

控制模块，用于控制加密设备根据得到的错误基点的坐标采用椭圆曲线 加密算法对明文进行加密得到错误密文输出；

计算模块，用于根据错误密文输出计算错误基点所在的椭圆曲线的曲线 参数；

查找模块，用于在对应关系中查找计算得到的曲线参数对应的错误基点 的坐标和阶，根据查找到的错误基点的坐标和阶、计算得到的曲线参数和错 误密文输出获取明文。

优选地，所述查找模块还用于：

在所述对应关系中查找不到计算得到的曲线参数对应的错误基点的坐标 和阶；

所述错误注入模块还用于：

在所述查找模块在所述对应关系中查找不到所述计算得到的曲线参数对 应的错误基点的坐标和阶时，继续对加密设备中椭圆曲线加密算法所使用的 椭圆曲线的基点的坐标注入一字节错误得到错误基点的坐标。

优选地，所述计算模块具体用于：

按照公式计算所述错误基点所在的椭圆曲线的曲线参 数；其中，b’为所述错误基点所在的椭圆曲线的曲线参数，为C₁' 点的坐标，a为所述椭圆曲线的参数。

优选地，所述查找模块具体用于：

根据查找到的错误基点的坐标和阶、计算得到的曲线参数获取r；根据 获得的r和错误密文输出获取所述明文。

优选地，所述查找模块具体用于：

根据查找到的错误基点的坐标和阶、计算得到的曲线参数获取r；

令j为0，按照公式(x'_2，j，y'_2，j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)；

按照公式t'_j＝KDF(x'_2,j||y'_2,j,klen)计算t'_j；

按照公式$M_j=C_2\oplus t_j^{\prime }$计算M_j；

按照公式C₃'＝hash(x'_2,j||M_j||y'_2,y)计算C₃'；

判断出C₃'与C₃相等，计算得到的M_j为所述明文。

优选地，所述查找模块还用于：

判断出C₃'与C₃不相等，将所述j加1继续执行按照公式(x'_2，j，y'_2，j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)的步骤，直到判断出C₃'与C₃相等或者j为

与现有技术相比，本发明包括：攻击设备预先获取具有一字节错误的错 误基点的坐标、错误基点所在椭圆曲线的曲线参数和错误基点的阶之间的对 应关系；其中，阶为最大素数因子的长度小于或等于预设阈值的阶；攻击设 备对加密设备中椭圆曲线加密算法所使用的椭圆曲线的基点的坐标注入一字 节错误得到错误基点的坐标；攻击设备控制加密设备根据得到的错误基点的 坐标采用椭圆曲线加密算法对明文进行加密得到错误密文输出；攻击设备根 据错误密文输出计算错误基点所在的椭圆曲线的曲线参数，在对应关系中查 找计算得到的曲线参数对应的错误基点的坐标和阶；攻击设备根据查找到的 错误基点的坐标和阶、计算得到的曲线参数和错误密文输出获取明文。通过 本发明的方案，攻击设备在加密前对基点的坐标进行错误注入，并且由攻击 设备控制加密设备进行加密，错误注入的时机比较容易控制，并且只要做一 次攻击就能够获得明文，因此，提高了攻击效率。

附图说明

下面对本发明实施例中的附图进行说明，实施例中的附图是用于对本发 明的进一步理解，与说明书一起用于解释本发明，并不构成对本发明保护范 围的限制。

图1为本发明攻击椭圆曲线加密算法的方法的流程图；

图2为本发明攻击设备的结构组成示意图。

具体实施方式

为了便于本领域技术人员的理解，下面结合附图对本发明作进一步的描 述，并不能用来限制本发明的保护范围。需要说明的是，在不冲突的情况下， 本申请中的实施例及实施例中的各种方式可以相互组合。

参见图1，本发明提出了一种攻击椭圆曲线加密算法的方法，包括：

步骤100、攻击设备预先获取具有一字节错误的错误基点的坐标、错误 基点所在椭圆曲线的曲线参数和错误基点的阶之间的对应关系。

本步骤中，阶为最大素数因子的长度小于或等于预设阈值的阶。

本步骤中，具有一字节错误的错误基点是指对椭圆曲线加密算法所使用 的椭圆曲线的基点的坐标注入一字节错误得到的错误基点。

其中，椭圆曲线加密算法可以是商密(SM2)算法，或椭圆曲线加密方 案(ECIES，Elliptic Curve Integrated Encryption Scheme)算法。

其中，椭圆曲线加密算法所使用的椭圆曲线系统参数(包括基点的坐标 等)可以从相应算法标准中获得。例如，SM2椭圆曲线的基点的坐标来自商 密标准SM2算法，商密标准SM2算法中推荐的256(bit)比特安全曲线的 曲线参数如表1所示。其中，p为有限域Fp的规模，a和b是定义在Fp上 的一条椭圆曲线的参数，N为基点的阶，Gx为基点的横坐标(即x坐标)， Gy为基点的纵坐标(即y坐标)，表中各参数是以十六进制的形式表示的。

256bit椭圆曲线系统参数 p＝0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFF a＝0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFC

b＝0x28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93 N＝0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123 Gx＝0x32C4AE2C1F1981195F9904466A39C9948FE30BBFF2660BE1715A4589334C74C7 Gy＝0xBC3736A2F4F6779C59BDCEE36B692153D0A9877CC62A474002DF32E52139F0A0

表1

其中，可以对椭圆曲线加密算法所使用的椭圆曲线的基点的横坐标(即 x坐标)，或纵坐标(即y坐标)注入一字节错误。

其中，一字节错误可以是一字节中的一个或一个以上比特的错误。例如， 一字节中包含有八比特，则一字节错误可以是包含有一比特错误的字节，或 包含有两比特错误的字节，等等。

本步骤中，如何根据具有一字节错误的错误基点的坐标获取所在椭圆曲 线的曲线参数和阶属于本领域技术人员的公知常识，并不用于限定本发明的 保护范围，这里不再赘述。

本步骤中，可以由攻击设备或其他设备先计算出所有可能的对应关系， 再将所有可能的对应关系中的阶分解为素数因子，然后从所有可能的对应关 系中筛选出阶的最大素数因子的长度小于或等于预设阈值对应的对应关系保 存到攻击设备中。

本步骤中，预设阈值可以是192。

步骤101、攻击设备对加密设备中椭圆曲线加密算法所使用的椭圆曲线 的基点的坐标注入一字节错误得到错误基点的坐标。

本步骤中，攻击设备可以在加密设备将椭圆曲线系统参数从存储区传入 到寄存器的过程中对基点的坐标注入一字节错误。

本步骤中，攻击设备在加密前对基点的坐标进程错误注入，并且由攻击 设备控制加密设备进行加密，错误注入的时机比较容易控制，并且只要做一 次攻击就能够获得明文，因此，提高了攻击效率。

步骤102、攻击设备控制加密设备根据得到的错误基点的坐标采用椭圆 曲线加密算法对明文进行加密得到错误密文输出。

本步骤中，攻击设备如何控制加密设备对明文进行加密属于本领域技术 人员的公知常识，并不用于限定本发明的保护范围，这里不再赘述。

本步骤中，当椭圆曲线加密算法为商密(SM2)加密算法时，加密过程 如下：

按照公式C₁'＝[k2]G'＝(x₁,y₁)计算椭圆曲线上的点C₁'的坐标；其中，k2为1 到(N-1)之间的随机数，G’为错误基点，N为基点G的阶；

按照公式S＝[h]P_B计算椭圆曲线上的点S，判断出点S为无穷远点，报错 并退出；其中，h为余因子，P_B为用户公钥；判断出点S不是无穷远点，按 照公式(x₂,y₂)＝[k2]P_B计算x₂，y₂；其中，x₂为点[k2]P_B的横坐标，y₂为点[k2]P_B的纵坐标。

按照公式t＝KDF(x₂||y₂,klen)计算密钥派生函数t，判断出计算得到的t为 全0比特串，继续执行按照公式C₁'＝[k2]G'＝(x₁,y₁)计算椭圆曲线上的点C₁'的步 骤；其中，KDF为密钥派生函数，||为比特串的拼接，klen为明文M的比特 长度；

判断出计算得到的t不是全0比特串，按照公式计算C₂，按照 公式C₃＝hash(x₂||M||y₂)计算所述C₃。

步骤103、攻击设备根据错误密文输出计算错误基点所在的椭圆曲线的 曲线参数，在对应关系中查找计算得到的曲线参数对应的错误基点的坐标和 阶。

本步骤中，当攻击设备在对应关系中查找不到计算得到的曲线参数对应 的错误基点的坐标和阶时，继续执行攻击设备对加密设备中椭圆曲线加密算 法所使用的椭圆曲线的基点的坐标注入一字节错误得到错误基点的坐标的步 骤。

本步骤中，攻击设备可以按照公式计算错误基点所在的 椭圆曲线的曲线参数；其中，b’为错误基点所在的椭圆曲线的曲线参数，为C₁'点的坐标，a为椭圆曲线参数(即表1中的a)。

步骤104、攻击设备根据查找到的错误基点的坐标和阶、计算得到的曲 线参数和错误密文输出获取明文。具体包括：

攻击设备根据查找到的错误基点的坐标和阶、计算得到的曲线参数获取 r；根据获得的r和错误密文输出获取明文。

其中，r为满足C₁'＝[k2]G'＝[r]G'的标量。

其中，可以采用代数攻击方法(如Pollard-Hellman、Baby-Step Giant-Step、 Pollard’s rho等)获取r，具体实现属于本领域技术人员的公知常识，并不用 于限定本发明的保护范围，这里不再赘述。

其中，根据获得的r和错误密文输出获取明文包括：

令j为0，按照公式(x'_2，j，y'_2，j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)；

按照公式t'_j＝KDF(x'_2,j||y'_2,j,klen)计算t'_j；

按照公式$M_j=C_2\oplus t_j^{\prime }$计算M_j；

按照公式C₃'＝hash(x'_2,j||M_j||y'_2,y)计算C₃'；

判断出C₃'与C₃相等，计算得到的M_j为正确的明文。

其中，n’为错误基点的阶。

其中，当判断出C₃'与C₃不相等时，将j加1继续执行按照公式 (x'_2，j，y'_2，j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)的步骤，直到判断出C₃'与C₃相等或者j为 $\frac{N-k2\mathrm{mod}{n}^{\prime }}{n^{\prime }}.$

参见图2，本发明还提出了一种攻击设备，至少包括：

获取模块，用于预先获取具有一字节错误的错误基点的坐标、错误基点 所在椭圆曲线的曲线参数和错误基点的阶之间的对应关系；其中，阶为最大 素数因子的长度小于或等于预设阈值的阶；

错误注入模块，用于对加密设备中椭圆曲线加密算法所使用的椭圆曲线 的基点的坐标注入一字节错误得到错误基点的坐标；

控制模块，用于控制加密设备根据得到的错误基点的坐标采用椭圆曲线 加密算法对明文进行加密得到错误密文输出；

计算模块，用于根据错误密文输出计算错误基点所在的椭圆曲线的曲线 参数；

查找模块，用于在对应关系中查找计算得到的曲线参数对应的错误基点 的坐标和阶，根据查找到的错误基点的坐标和阶、计算得到的曲线参数和错 误密文输出获取明文。

本发明的攻击设备中，查找模块还用于：

在对应关系中查找不到计算得到的曲线参数对应的错误基点的坐标和 阶；

错误注入模块还用于：

在查找模块在对应关系中查找不到计算得到的曲线参数对应的错误基点 的坐标和阶时，继续对加密设备中椭圆曲线加密算法所使用的椭圆曲线的基 点的坐标注入一字节错误得到错误基点的坐标。

本发明的攻击设备中，计算模块具体用于：

按照公式计算错误基点所在的椭圆曲线的曲线参数；其 中，b’为错误基点所在的椭圆曲线的曲线参数，为C₁'点的坐标， a为椭圆曲线的参数。

本发明的攻击设备中，查找模块具体用于：

根据查找到的错误基点的坐标和阶、计算得到的曲线参数获取r；根据 获得的r和错误密文输出获取明文。

本发明的攻击设备中，查找模块具体用于：

根据查找到的错误基点的坐标和阶、计算得到的曲线参数获取r；

令j为0，按照公式(x'_2，j，y'_2，j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)；

按照公式t'_j＝KDF(x'_2,j||y'_2,j,klen)计算t'_j；

按照公式$M_j=C_2\oplus t_j^{\prime }$计算M_j；

按照公式C₃'＝hash(x'_2,j||M_j||y'_2,y)计算C₃'；

判断出C₃'与C₃相等，计算得到的M_j为明文。

本发明的攻击设备中，查找模块还用于：

判断出C₃'与C₃不相等，将j加1继续执行按照公式(x'_2,j,y'_2,j)＝[r+jn']P_B计算(x'_2,j,y'_2,j)的步骤，直到判断出C₃'与C₃相等或者j为

需要说明的是，以上所述的实施例仅是为了便于本领域的技术人员理解 而已，并不用于限制本发明的保护范围，在不脱离本发明的发明构思的前提 下，本领域技术人员对本发明所做出的任何显而易见的替换和改进等均在本 发明的保护范围之内。