抗边信道攻击的模幂方法和设备技术

一种抗边信道攻击的模幂和设备，模幂包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入。在针对从两个值a，b和第一模数N计算结果c使得c＝a·bmod?N的至少一个模乘步骤期间，处理器（120）采用该两个值a，b和第一模数N作为输入，使用具有至多线性复杂度的运算从其获得两个运算数a’,b’和第二模数N’-两个运算数a’,b’中的至少一个与两个值a，b不同，并且当a等于b时，所述两个运算数a’,b’不同-使得从边信道的观点模乘c＝a·bmod?N表现得类似模平方，除了当a’等于b’时。计算中间结果c′＝a′·b′mod?N′；使用具有至多线性复杂度的运算从所述中间结果c’推导结果c；并且将结果c用于模幂。

【技术实现步骤摘要】
抗边信道攻击的模幂方法和设备
本专利技术大体上涉及密码学（cryptography），并且更具体地涉及抗一定边信道（sidechannel）攻击的模幂（modularexponentiation）算法。
技术介绍
本部分旨在向读者介绍可能与以下描述和/或要求保护的本专利技术的各个方面有关的技术的各个方面。相信本讨论有助于向读者提供背景信息以促进对本专利技术各个方面的更好理解。相应地，应该理解要鉴于此地阅读这些陈述，而不视为对现有技术的承认。公钥（public-key）密码学中的基本运算是模幂。对于输入N，x和d，计算y=xdmodN。自然地存在主要现有技术模幂算法，以下给出其中两个示例。算法1–从左到右二元方法（binarymethod）输入:以及输出:y=xdmodN1:R[0]←1;R[1]←x2:forj=l-1downto0do3:R[0]←R[0]2modN4:if(dj≠0)thenR[0]←R[0]·R[1]modN5:endfor6:returnR[0]算法2-从右到左二元方法输入:以及输出:y＝xdmodN1:R[0]←1;R[1]←x2:forj=0tol-1do3:if(dj≠0)thenR[0]←R[0]·R[1]modN4:R[1]←R[1]2modN5:endfor6:returnR[0]虽然两种方法都高效，技术人员将认识到它们可能经历边信道，尤其简单能量分析（SPA）攻击。见“PaulKocher,JoshuaJaffe,andBenjaminJun;DifferentialPowerAnalysis;在M.Wiener，editor,AdvancesinCryptology-CRYPTO’99,LectureNotesinComputerScience第1666卷,388–397页，Springer-Verlag,1999”;和“PaulC.Kocher;TimingAttacksonImplementationsofDiffie-Hellman,RSA,DSS,andOtherSystems;在N.Koblitz,editor,AdvancesinCryptology-CRYPTO’96,LectureNotesinComputerScience卷1109,第104–113页，Springer-Verlag,1996”。主要问题存在于条件转移（conditionalbranch）的出现中，即，该“if”语句。克服这个问题的一种方式是在一轮（round）的每个循环执行乘法，换言之，只要dj=0执行伪乘法（fakemultiplication）。见“Jean-SébastienCoron;ResistanceAgainstDifferentialPowerAnalysisforEllipticCurveCryptosystems;在K.和C.Paar,editors,CryptographicHardwareandEmbeddedSystems-CHES’99,LectureNotesinComputerScience第1717卷,第292–302页，Springer-Verlag,1999”。然而作为结果的实现方式更慢；成本从每比特大约1.5个乘法增加到每比特2个乘法。增加的缺点在于该实现方式变得易受安全错误(safeerror)攻击；见“Sung-MingYenandMarcJoye;Checkingbeforeoutputmaynotbeenoughagainstfault-basedcryptanalysis;IEEETransactionsonComputers,49(9):967-970,2000”；和“Sung-MingYen,Seung-JooKim,Seon-GanLim,andSang-JaeMoon;ACountermeasureAgainstOnePhysicalCryptanalysisMayBenefitAnotherAttack;在K.Kim,editor,InformationSecurityandCryptology-ICISC2001,LectureNotesinComputerScience第2288卷,417-427页.Springer-Verlag,2002”。一种更好的防止SPA类型攻击的方式是使用所谓边信道原子性（atomicity）；见“Chevallier-Mames,MathieuCiet,andMarcJoye;Low-CostSolutionsforPreventingSimpleSide-channelAnalysis:Side-ChannelAtomicity;IEEETransactionsonComputers,53(6):760–768,2004”。对应的算法是：算法3–从左到右二元方法（原子化（atomic））输入:以及输出:y=xdmodN1:R[0]←1;R[1]←x2:j←l-1;b←03:while(j≥0)do4:R[0]←R[0]·R[b]modN5:6:endwhile7:returnR[0]算法4–从右到左二元方法（原子化）输入:以及输出:y=xdmodN1:R[0]←1;R[1]←x2:j←0;b←13:while(j≤l-1)do4:5:R[b]←R[b]·R[1]modN；j←j+b6:endwhile7:returnR[0]在算法3和4中，表示XOR（异或）算子，并且表示否算子（negationoperator）（即，如果b=0，则并且如果b=1，则）。将要认识到成本没有增加，而保持在大约每比特1.5个乘法。进一步将要认识到边信道原子性不限于二元求幂（binaryexponentiation）方法。在以上提及的Chevallier-Mames,Ciet和Joye的论文中还可以发现其他算法。虽然边信道原子性导致非常好的算法，但是应该强调该方法假定乘法运算是原子化的。更明确地，其假定不可能通过观察适合边信道来在模平方（modularsquaring）和模乘(modularmultiplication)之间做出区分。该假定不总是满足。在“FrédéricAmiel,Feix,MichaelTunstall,ClaireWhelan,andWilliamP.Marnane;DistinguishingMultiplicationsfromSquaringOperations;InR.Avanzi,L.Keliher,andF.Sica,editors,SelectedAreasinCryptography-SAC2008,LectureNotesinComputerScience第5394卷,346–360页，Springer-Verlag,2009”中报道了具体（concrete）攻击。因此将要认识到需要以下解决方案，其中从边信道的观点，模乘表现得（behave）类似模平方。本专利技术提供了这种解决方案。
技术实现思路
在第一方面，本专利技术针对一种执行模幂的方法，包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入。在针对从两个值a，b和第一模数N计算结果c使得c＝a·bmodN的至少一本文档来自技高网...

【技术保护点】
一种执行模幂的方法，包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入，所述方法在处理器（100）中执行并且在针对从两个值a、b和第一模数N计算结果c使得c=a·b？mod？N的至少一个模乘步骤期间包括以下步骤？采用该两个值a，b和第一模数N作为输入；？从该两个值a，b和第一模数N获得两个运算数a’,b’和第二模数N’，使得该两个运算数a’,b’中的至少一个与所述两个值a，b不同，并且当a等于b时，所述两个运算数a’,b’不同，使得从边信道的观点模乘c=a·b？mod？N表现得类似模平方，除了当a’等于b’时；其中，使用具有至多线性复杂度的运算从值a获得运算数a’，从值b获得运算数b’，并且从第一模数N获得第二模数N’；？计算中间结果c′=a′·b′mod？N′；？从所述中间结果c’推导结果c，其中使用具有至多线性复杂度的运算从c’获得c；以及？将结果c用于模幂。

【技术特征摘要】
2011.05.11 EP 11305568.5;2011.08.03 EP 11176404.91.一种执行模幂的处理器(100)，所述模幂包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入，所述处理器使得能够通过观察适合的边信道来在模平方和模乘之间做出区分，并且所述处理器包括在针对从两个值a，b和第一模数N计算结果c使得c＝a·bmodN的至少一个迭代模乘步骤期间用于以下的部件(120)：-采用该两个值a，b和第一模数N作为输入；-从该两个值a，b和第一模数N获得两个运算数a’,b’和第二模数N’，使得该两个运算数a’,b’中的至少一个与所述两个值a，b...

【专利技术属性】
技术研发人员：M乔伊，
申请(专利权)人：汤姆森特许公司，
类型：发明
国别省市：