本发明专利技术涉及用于使用椭圆曲线密码学的数字认证的加倍、加法和减法操作的齐次原子式。一种在作为对边带通道攻击的应对措施的椭圆曲线密码学(ECC)认证方案中执行有限域加法(70)和加倍(68)操作的方法。加法(70)和加倍(68)操作是使用涉及相同的操作类型序列和数量的原子式执行的,从而使得执行这些操作的电路(N1)的噪声消耗和电磁发射轮廓完全相同,而不管操作如何。还公开了使用这种原子式的减法操作。
【技术实现步骤摘要】
【专利说明】用于使用椭圆曲线密码学的数字认证的加倍、加法和减法 操作的齐次原子式 相关申请的交叉引用 本申请在35 U.S.C. § 119(e)下要求于2014年9月23日提交的临时申请号 62/053, 907的优先权,该临时申请通过引用结合在此。 联邦自主研究或开发声明 不适用。
本专利技术涉及数据安全领域。更具体地,实施例涉及使用椭圆曲线密码学(ECC)进 行数字通信的认证。
技术介绍
对于范围从大型系统(诸如超级计算机)到最小型系统(诸如嵌入式处理器)的 几乎每种电子系统来说,数据通信安全都是重要问题。实际上,对于诸如被预计部署在"物 联网"α〇τ)中的传感器和致动器之类的小型系统来说,安全正变成显著问题。鉴于其相对 较小的计算能力和远程实施,这些高度分布的Ι〇Τ对象(其将在大范围的服务和应用,包括 健康、教育、资源管理等等上以大数量实现)尤其可能易受攻击和危害。然而,这些传感器 和致动器所组成的网络所执行的功能的重要性使安全风险上升。 施加在这些设备上的功耗的显著约束进一步使IoT设备的安全挑战复杂化。设想 许多传感器、致动器和其他Ι〇Τ节点将通过长寿命电池、设备上的太阳能电池被远程供电 或者从无线通信信号本身获取电力。这样,除其他安全功能诸如加密和解密之外,能够用于 通信认证中涉及的计算的功率预算可能非常有限。 诸如可用于数据通信、数据存储和检索和其他应用的各种方法在数字数据密码学 领域是已知的。通常,密码学领域涵盖数据加密和解密、数字数据的数字认证(例如,签名 /验证方案)等等。公钥密码学(也被称为非对称密码学)是常用的密码学类型。根据该 方法,根据特定的算法生成公-私"密钥"对,每个密钥是数据或信息块。基于生成器多项 式,公钥和私钥彼此具有逆关系,从而使得传输节点使用密钥对中的密钥之一保护通信,而 接收节点使用另一个密钥解密或验证通信。更具体地,在数据加密情况下,使用公钥加密的 数据块能够使用私钥解密;在认证情况下,使用私钥生成的数字签名能够使用公钥验证。公 钥和私钥通过困难的数学问题彼此相关(通常称为"陷门函数"),从而使得根据与私钥相 应的已知公钥的知识确定私钥在计算上是困难的。因此,公钥能够被公开,例如通过不受保 护的通信发送或在公共注册表中列出,以便使得能够在私钥持有方与获得公钥的那些人之 间进行数据通信,而不存在私钥可能由攻击者计算出的现实风险。公钥/私钥方法通常受 青睐,因为私钥的持有方不需要与任何其他方共享该密钥;相比之下,对称密钥方法要求两 方都知道相同的加密密钥。 特定公钥方案提供的安全级别通常与密钥的长度相对应;更长的密钥长度增加根 据公钥导出私钥的难度。公钥和私钥在诸如"DH"、"DSA"和"RSA"等密码学算法下的常规 位长度的范围从约1024个位到15360个位。当然,取决于所期望的安全级别和加密和解密 节点的可用计算能力,密钥的长度能够有很大的不同。 椭圆曲线密码学("ECC")是一种已知类型的公钥密码学,其中公钥和私钥的关系 基于椭圆曲线在有限域上的代数结构。根据该方法,陷门函数是离散对数在有限域上的解。 这个问题在本领域中被称为"离散对数问题"(在有限域上的椭圆曲线的情况下,是"椭圆曲 线离散对数问题"或"E⑶LP"),并且已经被证明比其他公钥方法所基于的问题更棘手。例 如,普遍认为160位的ECC密钥将提供与1024位RSA私钥等效的安全级别,以及512位的 ECC私钥将提供与15360位RSA私钥等效的安全级别。因此,与RSA-类算法相比,ECC方法 的这些更短的密钥长度极大地降低了相关计算的计算成本。 作为进一步的背景,对数据安全的所谓的"边带通道"攻击是指用于识别私钥的间 接技术。然而,对数据通信的所谓的"边带通道"攻击寻求通过间接手段获得私钥值。边带 通道攻击获得有关执行解密过程的解密设备的动作的信息,根据该信息能够推断私钥,而 不是尝试直接恢复加密数据的有效载荷(例如,通过求解离散对数问题,根据公钥导出私 钥)。 作为本领域中的基础,CMOS数字电路在切换逻辑状态时消耗功率并且发出电磁辐 射,但是在稳态下消耗非常少的功率并且发射非常少的电磁能量。公钥-私钥情况下的一 种边带通道攻击类型是当设备执行涉及私钥的计算时基于该设备随着时间的功耗的测量 值,该测量值直接或者间接根据相关联的电磁辐射获得。依赖功率特征和正在执行的计算 工作量之间的相关性,该功率特征的分析允许攻击者辨别私钥中的" 1"和"〇"位序列。例 如,根据如RSA和ECC的算法的密码学计算涉及通过将数据值与其自身相加私钥所指示的 次数来将该数据值与私钥相乘。在数字情况下,通过顺序地逐位地询问私钥以及根据该位 的值执行计算来执行该操作。例如,每个值为" 1"的私钥位可致使执行一个操作序列,而每 个值为"〇"的私钥位可致使不同的操作序列。通过感测设备在私钥序列的持续时间期间所 消耗的功率,边带通道攻击者能够检测加法和加倍操作之间的计算工作的差异,并且能够 根据这些差异检测私钥值中的" 1"和"0"位序列。 图1示出了反映当设备根据RSA算法解密块数据时设备随着时间所消耗的功率的 所检测到的边带通道信号的示例。在该操作中,针对在私钥的位的位置中的每个" 1"值执 行平方和乘法,而对每个"〇"位的值仅执行平方。因为在该常规示例中,针对" 1"私钥位执 行的乘法涉及比平方操作所要求的更多的设备切换(即,更多数量的加法),图1的检测的 噪声图案展现出比针对平方操作的波形SQUA宽的针对乘法的波形MULT。如图1中明显的, 这允许根据检测发射的噪声或功耗容易地辨别乘法操作。因为用于解密的具体算法通常是 公知的,攻击者知道每个乘法噪声波形MULT与针对私钥中的" 1"位的第二操作相对应。结 果是,该边带通道攻击容易地检测出用于解密所接收的数据的私钥的逐位数字值;例如, 图1的噪声图案将私钥的一部分指示为011010 (将私钥位从LSB应用到MSB)。甚至私钥的 一部分知识都能极大地帮助识别全部私钥,并且因此能够增强秘密地恢复所通信的有效载 荷数据的能力。 作为进一步的背景,Rondepierre 的 "Revisiting Atomic Patterns for Scalar Multiplications on Elliptic Curves (针对椭圆曲线上的标量乘法重新访问 原子式)',,12th International Conference on Smart Card Research and Advanced Application Conference (智能卡研究和高级应用会议第12次国际会议)(CARDIS 2013) (Springer,2014),171-86页描述了一种用于保护椭圆曲线标量乘法不受边带通道分析影 响的方法,其中执行加倍和加法以便具有相同的计算模式(即,相同的边带通道曲线)。具 体地,所描述的加倍和加法操作涉及八次乘法、两次平方操作和十次加法(包括减法-其具 有与加法相同的计算成本),所有操作都以相同的顺序执行。这篇文章还描述了通过相同的 操作序列执行的减法操作,其可在针对有限域标量乘法的替代算法中使用。
技术实现思路
所公开的实施例提供本文档来自技高网...
【技术保护点】
一种操作数字逻辑电路以便执行表示有限域中的点的被乘数与二进制值标量的有限域标量乘法的方法,该方法包括以下步骤:初始化存储和的分量的一个或更多个存储器位置,该和表示该有限域中的点;以及操作该数字逻辑电路以便执行多个操作,该多个操作包括,针对该标量中的多个位的位置中的每一个:将表示该和与该被乘数之一的操作数加倍;响应于该位的位置具有“1”值,将第一和第二操作数相加,该第一和第二操作数表示该和与该被乘数;以及然后前进到该标量中的下一个位的位置;其中,该加倍步骤是使用由以下内容组成的原子式执行的:第一加法;然后第一乘法,其后是第二乘法;然后第二加法;然后第三乘法,其后是第四乘法;然后第三加法;然后第五乘法;然后第四加法;然后第六乘法,其后是第七乘法,其后是第八乘法;然后第五加法;然后第九乘法;然后第六加法,其后是第七加法;然后第十乘法;以及然后第八加法;其中,该相加步骤是使用由以下内容组成的原子式执行的:第一加法;然后第一乘法,其后是第二乘法;然后第二加法;然后第三乘法,其后是第四乘法;然后第三加法;然后第五乘法;然后第四加法;然后第六乘法,其后是第七乘法,其后是第八乘法;然后第五加法;然后第九乘法;然后第六加法,其后是第七加法;然后第十乘法;以及然后第八加法;并且其中,在该执行步骤之后,存储和的分量的存储器位置表示该乘法的乘积。...
【技术特征摘要】
...
【专利技术属性】
技术研发人员:E·T·彼得斯,
申请(专利权)人:德克萨斯仪器股份有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。