本发明专利技术的目的在于提供一种信息安全装置,与现有技术相比可以减少进行秘密通信或认证时应运算的幂运算的处理时间。在该信息安全装置中,通过根据对象数据X和秘密的值d使用窗口法算出乘幂值X^d,来进行秘密通信或认证,在算出乘幂值X^d的过程中,在对基于乘法的运算中出现的随机数R重复了预定次数例如256次二次幂运算之后的乘法中,使用随机数去除数S(=R^(-2^256)),来取消对随机数R的二次幂运算所得到的运算结果,从而不需要现有技术的取消处理。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及针对通过测量执行加密处理时的功率消耗量来分析嵌入到 加密模块中的秘密信息的攻击,使分析变困难的技术。
技术介绍
近年来,提出过各种通过硬件或软件安装的加密模块通过从进行加密 处理时的副信息入手而进行加密密钥的分析的解密法。若非法的第三者分 析加密密钥,并解读私钥,则可以使用解读出的私钥,冒充合法的使用者, 并使用私钥来进行非法行为。例如,作为进行加密密钥的分析的解密法,有称作定时攻击的分析方 法。在称作定时攻击的分析方法中,利用加密模块进行加密处理所需的时 间因用于加密处理的加密密钥的值的不同而稍有不同的情形,来进行加密 密钥的分析。即,在定时攻击中,利用进行加密处理时的处理时间这样的 副信息,来进行加密密钥的解读。在这种解密法中,将进行加密处理时的 功率消耗量作为副信息进行解密的解密方法提出过单纯功率分析攻击(Simple Power Analysis )禾口差分功率分析攻击(Differential Power Analysis) 这样的各种方法。这些解密法还报告出近年来在以低价获得高性能的测量 设备的背景下,还可对IC卡这种安装了加密的实际产品进行分析的情况。 在下面的描述中,将从上述这种加密处理时的加密模块的功率消耗量的变 化即功率波形入手来分析加密密钥的解密方法总称为"功率分析攻击"。对 于定时攻击,在非专利文献1中进行了详细描述,对于功率分析攻击,在 非专利文献2进行了详细描述。下面,说明对RSA加密的单纯功率分析攻击。对于RSA加密,在非 专利文献3中详细描述。<RSA加密的单纯功率分析攻击>RSA加密的解密处理中,针对质数p、 q的积n、作为不超过n的正整 数的密文c与作为正整数的私钥d,进行(^dmodn的计算。作为该计算8方法,已知例如非专利文献4的9页中的二进制(Binary)法。下面说明二 进制法。对d-dO+dlX2+d2X2A2+…+(T (len—1)X2^ (len—1)、 i=0, 1,…,len—l设di二O或l。这里,len表示d的比特数,"X"表示 整数乘法,xAy表示x的y次幂。 (二进制法) 步骤1 — 1: i—len—2, z—c 歩骤1—2: z—z"modn-歩骤l一3:检査di是否为l。在di二l的情况下,z—zXcmodn。 -步骤1_4: i—i—1。检査i是否为负。在为负的情况下,输出z。 除此之外,进入到步骤1一2。上述方法中,将步骤1—2、 l一3、 l一4作为循环来重复计算。在该循 环内,对di (i=l, 2,…,len—1),在di二l的情况下,进行z的二次幂 运算与基于c的乘法,在di=0的情况下,仅执行z的二次幂运算。N是较 大的数、例如,1024比特的整数。通常,二次幂运算与乘法相比,可以实 现计算处理的高效化,所以可以进行高速处理。在该情况下,由于二次幂 运算与乘法处理不同,所以功率波形不同。因此,可以通过测量功率波形,来分析二次幂运算、乘法的运算顺序。 进一步,利用因di而循环内的处理不同的情况,从该顺序求出di的值。若 加以归纳,则可以通过以下的步骤,进行单纯功率分析攻击。 (二进制法的单纯功率分析攻击),步骤2—1:对密文c进行解密,来测量该处理中的功率波形。 ,歩骤2—2:根据上述功率波形求出二次幂运算、乘法的运算顺序。 '歩骤2—3:根据上述顺序求出比特di (i=l, 2,…,len—l)。 〈现有技术的RSA加密的单纯功率分析攻击对策〉 上述的单纯功率分析攻击中,在二进制法的步骤l一3中利用仅在di =1时进行乘法的情形来进行私钥的分析。因此,还提出了下述单纯功率分析攻击的对策方法通过在出=0时 进行l乘以z的乘法,结果并不变化,但是由于在di-O时也进行乘法,使 二次幂运算、乘法的运算顺序不依赖于d的值(参考非专利文献l)。在上述RSA加密的单纯功率分析攻击对策中,在di=l时进行乘以c的乘法、在di=0时进行乘以1的乘法,乘数不同。提出过利用该情形来 分析di是0还是1的攻击(称作BigMac攻击)(参考非专利文献5)。若使 用该攻击,则即使进行上述单纯功率分析攻击对策,也可分析出d的值。 这是因为,在乘数相同的情况下,存在所得功率波形一致的部分的可能性 高,所以可以将通过单纯功率分析得到的乘法的功率波形分类为2种(例 如,组A和组B)。这时,组A与组B与di比特值的对应仅为2种情形。 是在组A中对应di= 1 、在组B中对应di=0的情形和在组A中对应di=0、 在组B中对应di二l的情形。分别对这两种情形,例如,通过再次对密文 进行解密,可以明白哪一种对应正确,即可以取得私钥。因此,专利文献1中,为了使私钥的分析变困难,公开了下述技术 将私钥d分割为由预定的比特数构成的多个块,在二进制法的乘法时,将 每个块不同的随机数乘以值z,而与di值无关,在对所有di的二次幂运算 和乘法的运算结束后,使用该随机数的取消值来取消相乘的随机数。专利文献1中,在进行对密文c的cTd运算之前,求出值R与S。这 里,RXSmodn二l。并且,对各di执行二次幂运算和乘法的运算。这时,使用值R来设置 该随机数,使得对每个块用于乘法的运算的随机数不同。例如,通过对第 m块使用随机数R a m来进行乘法,可对每块使用不同随机数。对于所有块的二次幂运算和乘法运算结束后,使用值S,去除由随机 数R带来的影响,从而得到cTd。根据该技术,对于每个块,di=0、 l的对应存在2个模式。但是,由 于在所有块中存在2个对应的模式,所以对私钥d整体来说,存在2^ (块 数)个模式。因此,私钥的分析者必须检査全部2A (块数)个模式。因此 私钥的分析变困难。专利文献1:日本特开2000—165375号公报非专禾U文献1: Paul Kocher. Timing attacks on implementations of Diffie —Hellman, RSA, DSS, and other systems. In Neal Koblitz, editor, CRYPTO' 96, LNCS1109, Springer—Verlag, 1996, pp. 104—113.非专禾U文献2: P. Kocher, J. Ja_e, an犯.Jun," Di—erential Power Analysis, " Advances in Cryptology—CRYPTO' 99, LNCS, 1666, Springer一Verlag, 1999, pp. 388—397.非专利文献3:冈本龙明、山本博资、"現代喑号"、产业图书(1997年)非专禾廿文献4: H. Cohen, "A Course in Computational Algebraic Number Theory", GTM 138, Springer—Verlag, 1996, p9与一专禾!j文献5: C. D. Walter, " Sliding windows succumbs to Big Mac Attack", CHES2001, LNCS2162, Springer—Verlag, 2001, pp. 286—299.非专利文献本文档来自技高网...
【技术保护点】
一种信息安全装置,在由预定的集合和使用其元的基本元定义的群中,通过进行将使用了元X的基本运算重复d次的幂运算d&X,由此安全且可靠地处理预定的信息,其特征在于,包括: 取得单元,取得值d;以及 主运算单元,使用窗口法,按照值d的 每个窗口进行进位运算和基于该窗口的窗口值及元X的窗口运算,由此进行幂运算d&X; 所述主运算单元 在第一窗口的窗口运算中,使用随机数R; 在第二窗口的窗口运算中,使用取消值S,该取消值S取消从所述第一窗口到该第二窗口为止对 所述随机数R进行的进位运算所累积的累积运算因数。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:布田裕一,野仲真佐男,松崎枣,
申请(专利权)人:松下电器产业株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。