Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 2 au 4 juin 2021.

Return of ECC dummy point additions: Simple Power Analysis on efficient P-256 implementationAndy Russon


Date : 03 juin 2021 à 11:15 — 15 min.

This presentation aims to show that the efficient implementation of elliptic curve P-256 (also known as secp256r1), present in several cryptographic libraries such as OpenSSL and its forks, is vulnerable to Simple Power Analysis (SPA).

This is made possible by the use of dummy point additions to make to the scalar multiplication constant-time with a regular behavior. However, when not done carefully, those can be revealed on a power trace and divulge the corresponding part of a secret scalar.

Combined with a lattice attack, it is then possible to recover a secret ECDSA signing key.


Cette présentation a pour but de montrer que l'implémentation efficace de la courbe elliptique P-256 (également connue sous le nom de secp256r1), qui est présente dans plusieurs bibliothèques cryptographiques telles que OpenSSL et ses forks, est vulnérable aux attaques SPA (Simple Power Analysis).

Ceci est la conséquence de l'utilisation d'additions factices de points pour rendre l'opération de multiplication scalar à temps constant en ayant un comportement régulier. Cependant, lorsqu'elles ne sont pas effectuées avec soin, ces additions factices peuvent être observées sur une trace de consommation de courant et révéler la partie correspondante de la valeur secrète.

Avec une attaque à base de réseau Euclidien, il est possible de récupérer une clé de signature secrète ECDSA.