本发明专利技术提供了一种用于检验在椭圆曲线上的加密运算的正确性的装置,该装置包括椭圆曲线上Q=kP的抗故障计算。由中国剩余给出(110)椭圆曲线并且其中r是整数。在中形成(120)点P^=CRT(P(mod?p),R(mod?r2));P^在中简化为P并且在中简化为R。在中计算(130)Q^=kP^。然后在中验证(140)是否Q^三kR(mod?r2),并且如果是,则输出Q=Q^mod?p,否则返回“错误”。本发明专利技术还提供一种设备(200)以及计算机程序产品(240)。
【技术实现步骤摘要】
本专利技术一般地涉及加密技术,并且具体地涉及对抗故障攻击的椭圆曲线加密算法。
技术介绍
本节旨在向读者介绍与下面描述和/或要求保护的本专利技术各方面相关的现有技 术。相信该讨论有助于向读者提供背景信息以便于更好地理解本专利技术的各方面。因此,应 当从这个角度来理解这些声明,而不是把他们当做对现有技术的承认。故障攻击在加密计算期间引入错误以获得加密秘密的一个或者更多比特,比如 禾人*角军 f f_。 $“The Sorcerer' s Apprentice Guide toFault Attacks", by Hagai Bar-EI, Hamid Choukri, David Naccache, Michael Tunstall, and Claire ffhelan, Proceedings of the IEEE, 94 (2) :370-382,2006 (Proc. Of FDTC 2004 中的较早版本)以 及在"ASurvey On Fault Attacks,,by Christophe Giraud and Hugues Thiebeauld, in J. -J. Quisquater, P. Paradinas, Y. Deswarte, and A. A.EI Kalam, editors, Smart Card Research and Advanced Applications VI(CARDIS 2004), pages 159—176, Kluwer,2004 中研究了发动故障攻击的实际方式。RSA (Rivest-Shamir-Adleman)求幂包括在UNZ中的输入x以及私有指数d上 将x提升至d次幂,其中S/A这是整数环(ring of integers)模N,并且N = pq是两个大 素数的乘禾只° Adi Shamir 在"How to CheckModular Exponentiation,,, presented at the rump session ofEUROCRYPT' 97, Konstanz, Germany, May 13,1997 中提供了一种对抗故障 攻击的良好对策。该对策是1、对于(小)的随机整数r,计算y ‘ = xd mod rN2、计算 z = xd mod r,3、检验是否y'三z(mod r),以及如果是,则输出y = y' mod N;否则,返回“错误”。典型地,r是64比特整数。Shamir的方法的正确性是中国剩余定理(CRT)的应 用。当计算正确时,显然y' ^y(mod N)并且y' ^ z(mod r)。在故障存在的情况中, y' EZ(mod r)的概率大约是i/r。当r是64比特值时,这意味着检测不到故障的概率是 大约2_64。r的值越大意味着需要以更多的计算来得到更高的检测概率。可以采用Shamir的方法以当在CRT模式中评估时保护RSA求幂;S卩,当通过xd mod p 以及 xd mod q 评估 y = xd mod N 时。在"SecureEvaluation of Modular Functions "by Marc Joye, Pascal Paillier, andSung—Ming Yen, in R. J. Hwang and C. K. ffu, editors, 2001 Internationalfforkshop on Cryptology and Network Security, pages 227-229, Taipei, Taiwan, September 2001中讨论了对Shamir的对策的进一步归纳和扩展。David Vigilant 在“RSA With CRT :A New Cost-Effective Solution toThwartFault Attacks,,,in E. Oswald and P. Rohatgi, editors, Cryptographic Hardware and Embedded Systems—CHES 208, volume5154 of Lecture Notes in Computer Science, pages 230-145,Springer,2008中提出了备选的解决方案。该解决方案是1、针对(小)随机整数 r,形成 X = CRT (x (mod N),1+r (mod r2))2、计算 y' = xd mod r2N ;3、检验是否 y'三 l+dr(mod r2),以及如果是,则输出y = y' mod N;否则,返回“错误”。在步骤1中,CRT代表中国剩余定理的应用;即,如此获得的X满足X 二 x (mod N) 以及X^l+r(mod r2)。因此,当计算无故障时,得到y ‘ ^ xd(mod N)以及y' ^ (1+r)d(mod r2)。步骤3的正确性遵循二项式定理。得到 其中广代表(d k)二项式系数。通过模r2来简化该等式得到(l+r)dE 1+dr(mod r2),从而当计算无故障时, y' ^ l+dr(mod r2)。未检测出故障的概率预期是大约1/r2。因此,在Vigilant的方法中 r的32比特值应当提供与Shamir的方法中r的64比特值相同的安全级别。Vigilant的方法相对于Shamir的方法具有几个优点。具体地,Vigilant的方法 将求幂z = xd mod r换为更快的乘法1+dr mod r2,然而应当理解,假如<p(r)的值是已知的,则可以将Shamir的方法中的z的评估加速为一 nTOd — m()d r (其中cp代表欧拉q>函数)。 此外,Vigilant的方法应用于CRT模式中的RSA。利用Shamir以及Vigilant的对策向RSA的应用来描述了这些对策。然而,应当 理解由于对于相同的所推测的安全级别来说密钥更短,因此椭圆曲线加密(ECC)是相对于 RSA的感兴趣的备选。在ECC中,给定椭圆曲线E上的点P以及整数k,基本运算包含计算标量乘法kP, 即,P+P+"*+P(k次),其中+代表E上的群运算。攻击者的目的是通过引起故障来恢复k的 值(或者其一部分)。尽管Shamir的对策推广至椭圆曲线标量乘法(参见例如Johannes Blomer, Martin Otto, and Jean-Pierre Seifert :“Sign Change Fault Attackson Elliptic Curve Cryptosystems". In L. Breveglieri, I.Koren, D. Naccache, and J. -P. Seifert, editors,Fault Diagnosis and Tolerance inCryptography—FDTC 2006,volume 4236 of Lecture Notes in ComputerScience, pages 36-52. Springer-Verlag, 2006.),由于不存在 二项式定理的等价物,所以Vigilant的方法并没有容易地适于推广至椭圆曲线标量乘法本文档来自技高网...
【技术保护点】
一种检验在第一椭圆曲线E(Z/pZ)上的加密运算的正确性的方法,所述方法包括在处理器(220)中的下列步骤:从所述第一椭圆曲线E(Z/pZ)和第二椭圆曲线E(Z/r↑[2]Z)获得由中国剩余给出的第三椭圆曲线E^(Z/pr↑[2]Z)≡E(Z/pZ)×E(Z/r↑[2]Z),其中r是整数;在E^(Z/pr↑[2]Z)上执行运算以获得第一结果;在E↓[1](Z/r↑[2]Z)上执行运算以获得第二结果,其中E↓[1](Z/r↑[2]Z)代表E(Z/r↑[2]Z)以r为模简化至E(Z/rZ)上的单位元素的点的子集;验证所述第一结果和所述第二结果在E↓[1](Z/r↑[2]Z)中是否相等;以及如果相等,则以p为模而简化的形式输出E^(Z/pr↑[2]Z)中所述运算的所述第一结果。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:马克乔伊,
申请(专利权)人:汤姆森许可贸易公司,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。