本篇博文介绍针对椭圆曲线签名算法的基于格攻击的密钥恢复方法，本研究将这种方法应用于椭圆曲线签名算法。针对椭圆曲线算法的攻击研究一般主要集中于算法的两个运算阶段，即标量乘阶段和组合阶段。对于椭圆曲线签名算法，针对标量乘阶段的攻击目标是恢复标量，即随机数的值。在只能获取随机数一部分比特信息的情况下，结合格基归约的方法仍然可以恢复密钥。这使得我们在攻击带有防护的算法实现时，可以考虑尝试恢复随机数一部分信息，而不是必须恢复完整的数值。这种使用格基归约的攻击方法称作格攻击，需要我们解决的问题就是如何将恢复密钥的问题归约到格上的最短向量问题。

签名算法密钥恢复问题的转化方法

格和隐数问题

给定一个素数 $p$, 记 $\lfloor s{\rfloor }_p$ 为 $s$ 除以 $p$的模数，则隐数问题表述如下：给定若干数量随机选取的整数 $t_i\in F_p$ 和一个固定的未知整数 $\alpha$, 在二进制表示下已知 $\lfloor \alpha t_i{\rfloor }_p$的最高$l$ 比特信息，要求恢复$\alpha$的值，整数 $x\in F_p$的最高$l$ 比特信息记为 $MS{B}_{l,p}(x)$.
定义1（格 （LATTICE））,设 $R^m$是 $m$ 维欧式空间，给定 $n$ 个线性无关向量 $b_1,b_2,...b_n\in R^m$,则由这些向量生成的格$L$定义为这 $n$格向量的所有整数线性组合组成的集合。
L = { ∑ i = 1 n x i b i ∣ x i ∈ Z } L = \{\sum_{i=1}^{n}x_i b_i | x_i \in Z\} L={i=1∑n​xi​bi​∣xi​∈Z}
这 $n$ 个向量 { b 1 , b 2 , . . . b n ∈ R m } \{b_1,b_2,...b_n \in R^m\} {b1​,b2​,...bn​∈Rm}设为格$L$的一组基。如果以这 $n$ 个列向量构成 $m\times n$ 矩阵 B，则格 $L$同样可定义为矩阵 $B$ 生成：
L ( B ) = { B x ∣ x ∈ Z n } = { v ∈ R n ∣ ( v ) = ∑ i = 1 n x i b i ∣ x i ∈ Z L(B) = \{Bx|x\in Z^n\}=\{v\in R^n|(v)=\sum_{i=1}^{n}x_i b_i | x_i \in Z L(B)={Bx∣x∈Zn}={v∈Rn∣(v)=i=1∑n​xi​bi​∣xi​∈Z
当 $m=n$时，格 $L$称为满格。
最近向量问题是格中一个基本问题，其定义如下：给定格$L$和一个目标向量$u\in R^n$ 且$u$不在个$L$中，找到一个向量 $v\in L$，使得$u$和$v$之间的欧式距离$||u-v||$最小。

考虑隐数问题的一个实例：随机选取 $t_1,...t_d$，并定义相应的最高$l$ 比特信息 $u_i=MS{B}_{l,p}(\lfloor \alpha t_i{\rfloor }_p)$.此时，给定$t_1,...t_d$，$u_1,...u_d$，以及 $l$ 和 $p$,我们的目标是获取隐藏数值$\alpha$。有，$u_i-\lfloor \alpha t_i{\rfloor }_p\le p/2^{l+1}$,这里包含了 $d$个不等式。此时，我们可以将这 $d$个不等式解释成是一个由 $u_i$构成的向量与另一个与 $\alpha$有关的向量之间的距离很小。引入一个由如下矩阵生成的格 $L(B)$.
$$B=\left(\begin{array}{ccccc}p& 0& \cdots & 0& 0\\ 0& p& \ddots & ⋮& ⋮\\ ⋮& \ddots & \ddots & 0& ⋮\\ 0& \cdots & 0& p& 0\\ t_1& \cdots & \cdots & t_d& 1/2^{l+1}\end{array}\right)$$

构建一个属于格 $L(B)$的行向量 $y=(\lfloor \alpha t_1{\rfloor }_p,...\lfloor \alpha t_d{\rfloor }_p,\alpha /2^{l+1})$，显然，向量 $y$ 与另一个属于格$L$的行向量 $u=(u_1,...u_d,0)$之间的距离很近，即，满足
$$||y-u|{|}_{\infty }<p/2^{l+1}$$.
向量 $y$ 暴露了 $\alpha$的信息，将其称作隐藏向量。
此时，我们向最近向量问题靠拢。
m i n { ∣ ∣ u − w ∣ ∣ ; w ∈ L ( B ) } ≤ d + 1 p / 2 l + 1 min \{||u-w||; w\in L(B)\} \leq \sqrt{d+1}p/2^{l+1} min{∣∣u−w∣∣;w∈L(B)}≤d+1 ​p/2l+1
然后应用上述最近向量问题的描述，我们需要求解一个向量 $v\in L(B)$，使得
∣ ∣ u − v ∣ ∣ ≤ 2 ( d + 1 ) / 4 m i n { ∣ ∣ u − w ∣ ∣ ; w ∈ L ( B ) } ≤ d + 1 2 ( d + 1 ) / 4 p / 2 l + 1 ||u-v||\leq 2^{(d+1)/4} min \{||u-w||; w\in L(B)\} \leq \sqrt{d+1} 2^{(d+1)/4} p/2^{l+1} ∣∣u−v∣∣≤2(d+1)/4min{∣∣u−w∣∣;w∈L(B)}≤d+1 ​2(d+1)/4p/2l+1
进而，我们得到格向量 $y-v$满足如下等式
$$||y-v|{|}_{\infty }\le ||y-u|{|}_{\infty }+||u-v||\le \frac{p(1+\sqrt{d+1}{2}^{(d+1)/4})}{2^{l+1}}$$

当 $l$已知的最高比特位数和 $d$ 不同$t_i$的个数足够大时，向量$y-v$很大概率是一个零向量。即我们通过解决最近向量问题得到的结果$v$，在很大概率下就是我们所需要的隐藏向量 $y$。

SM2签名算法密钥恢复问题的转化

以SM2签名算法为例，把密钥签名私钥的问题归约到隐数问题。假设已知随机数 $k$的最低 $l$比特信息，定义这部分信息为 $ls{b}_l(k)$，则 $k=2^{l}b+ls{b}_l(k)$，其中 $b$是一个不小于0的整数（随机数）。显然，$b<n/2^l$。将等式带入到公式 $s=(k+r)(1+d_A{)}^{-1}-r\mathrm{mod}n$,得到下式：
$$b=(s+r)2^{-l}{d}_A-(ls{b}_l(k)-s)2^{-l}\mathrm{mod}n$$
定义 $t=\lfloor (s+r)2^{-l}{\rfloor }_n$ 以及 $u=\lfloor (ls{b}_l(k)-s)2^{-l}{\rfloor }_n$,则等式简化为 $b=d_{A}t-u\mathrm{mod}n$。$|x{|}_n$表示将 $x$约减到$[-n/2,n/2)$范围内，约减的方法是不断将 $x$减去$n$，直到$x$小于$n/2$。此时，由于$b\le n/2^l$，得到如下不等式。
$$0\le \lfloor d_{A}t-u{\rfloor }_n\le n/2^l$$
进而得到
$$|d_{A}t-u-n/2^{l+1}{|}_n\le n/2^{l+1}$$
令 $v=2^{l+1}u+n$, 则得到
$$|d_{A}t-v/2^{l+1}{|}_n\le n/2^{l+1}$$
根据隐数问题的定义，在这种条件下，$v/2^{l+1}$ 即表示 $\lfloor d_{A}t{\rfloor }_n$ 的最高 $l$比特信息。现在给定 $d$组签名结果$(r_i,s_i)$，计算每一组的$(t_i,v_i)$。即，
$$t_i=\lfloor (s_i+r_i)2^{-l}{\rfloor }_n$$
$$v_i=2^{l+1}\lfloor (ls{b}_l(k)-s)2^{-l}{\rfloor }_n+n$$
满足：
$$|d_A{t}_i-v_i/2^{l+1}{|}_n\le n/2^{l+1}$$
构建一个$d+1$维的格 $L(B^{\prime })$，这个格由如下矩阵$B^{\prime }$生成：

$$B^{\prime }=\left(\begin{array}{ccccc}n& 0& \cdots & 0& 0\\ 0& n& \ddots & ⋮& ⋮\\ ⋮& \ddots & \ddots & 0& ⋮\\ 0& \cdots & 0& n& 0\\ t_1& \cdots & \cdots & t_d& 1/2^{l+1}\end{array}\right)$$
隐藏向量 $y=(\lfloor d_A{t}_1{\rfloor }_n,...\lfloor d_A{t}_d{\rfloor }_n,d_A/2^{l+1})$ 与向量 $v=(v_1/2^{l+1},v_2/2^{l+1},...,v_d/2^{l+1},0)$之间的距离很接近。因此可按上一节介绍的最近向量问题求解隐藏向量。
与SM2类似，由于随机数$k$可以表示为 $k=2^{l}b+ls{b}_l(k)$，则有：
$b=s^{-1}r{2}^{-l}{d}_A-(ls{b}_l(k)-s^{-1}z)2^{-l}\mathrm{mod}n$
令 $t=s^{-1}r{2}^{-l}$以及 $u=(ls{b}_l(k)-s^{-1}z)2^{-l}$,后续推导同SM2类似，不做赘述。