CN100576174C - 检验密码应用的可能素数 - Google Patents

Abstract

本发明提供一种快速地产生以及检验用于密码应用的可能素数的计算机程序。该在计算机硬件上执行的程序指令所执行的步骤包括一聪明增量程序函数，其寻找相继的候选数是通过利用一相当于选定的极小素数的互素数的表以找出加到下一候选数的一增量，藉此可筛出大约四分之三的实在明显的无需接受试除的部份。该程序指令还包括一小素数检验程序函数，其通过将模简化数而不是该些极大候选数本身相对于一列小素数进行试除以提高试除速度。只有大约百分之十的通过小素数检验的候选数将会接着接受更严格，但费时的可能素性检验。

Description

检验密码应用的可能素数

技术领域

本发明涉及密码术，其包括像素数生成、密钥生成及伪随机数生成这样一些基本密码部件。具体地说，本发明涉及计算机软件密码术方法以及相应的程序硬件装置，该装置可进行素数生成以及对产生的候选数作可能素性检验，所述方法特别着重于速度方面。

背景技术

对于各种各样的密码应用，大素数或可能素数是有用的。举例来说，素数可用于产生一公开密钥密码系统(例如RSA)中的密钥对。此外，正如Van DenEnde的美国专利号4,780,840中所述，可以利用素数产生一伪随机数序。这种数序又可用于保密通信用的流密码。

因为在这些类型应用中所要求的可能素数的大小增大，一种能够高效地以密码术方法所用的程控计算机系统或芯片快速地产生这样一些素数的方法变得非常重要。在许多应用中，为增加安全性及灵活性，希望可在使用前才立即产生大的随机素数，而不是依赖一组预先计算出的贮存的素数。不幸的是，一大素数生成的难处在于候选的可能素数必须通过费时的或需要大量计算能力的或两者兼之的演算法(像是Miller-Rabin或Fermat)来检验。能快速地将不太可能的候选数排除的技术，可使在一可能素数被鉴定之前需要进行这种严格检验的次数减至最少。

在美国专利号4,351,982中，Miller et al.揭示从一已知素数开始，通过将序列中的一在前素数P增大到一新数值hP+1(h为随机数)然后对该新数值作素性检验以产生一素数序列。无论何时，当发现一数值为一合数时，将h加2，并且检验新的hP+1。一旦发现一数值hP+1为一素数，在下次搜索时，该数值会用作新的素数P。

 P.Mihailescu在一篇题为「产生可能素数的技术」〔IEEE P1963 Submission(1994)〕的论文中，叙述了一产生素数的筛选方法，素数形式为：

N＝2*(t+k)*Q+1，式中通过加k以某一方式进行候选素数的增量搜索。

J.Brandt et al.在一篇题为「关于以增量搜索来产生可能素数」〔Advances in Cryptology-Crypto‘92，Springer-Verlag(1993)，pp.358-370〕的论文中，叙述了一种对候选数作素性检验的增量搜索。在该文中，用来以在前检验的候选数产生新的候选数的增量永远为2。

本发明的一个目的在于提供一计算机软件(或韧件)方法，通过该方法，一编制了所述软件的计算机系统或芯片可以有效地免除对不太可能的候选数作素性检验以便可以快速地产生以及检验可用于诸如密钥生成的密码应用的可能素数。

本发明的另一个目的在于提供一种以一程控计算机系统或配置的处理芯片的形式的密码装置来实施上述的可能素数产生及检验方法。

发明内容

上述的目的藉由一实施一聪明增量以及一小素数检验技术的方法及装置来达成，其中的相继的候选数，从一随机产生的且为极小素数(例如2、3、5及7)的互素数的第一大候选数开始，将其相对于一指定的小素数组(例如从11到241的素数)作模简化及检验，直到鉴别出一可能候选数作更严格的可能素性检验为止。

该聪明增量程序函数寻找相继的整数候选数是通过利用一个相当于将选定的极小素数的互素数以选定的极小素数的乘积为模(例如以210为模)所制成的表来确定对下一候选数的一增量(不一定为2)。该表使以本发明方法最终找出的素数的形式保持为不能识别，这对密码安全性来说是极为需要的。该聪明增量程序函数可立刻筛出大约四分之三的实在明显的合数，以致于只有剩余的已知为该些极小素数的互素数的候选数才会于本发明程序中的小素数检验函数中接受试除。使用该表还能够在无需将该大整数候选数本身作试除之下就可找到一增量。

小素数检验程序函数会相对于一列小素数进行试除。然而，将一组模简化的数值而不是将该些极大候选数本身(例如是32比特大小而不是1024比特的)进行试除可使该程式的速度提高。该些简化用的模数为一些小素数组的大小受限定(例如最大为32比特)的乘积，候选数将相对于该些相同的小素数作检验。

只有通过小素数检验的候选数(大约为任何给定范围中总体整数的百分之十)才将接受像是Miller-Rabin或Fermat的更严格的可能素性检验。

具体实施方式

本发明为一以计算机执行的用于密码应用的大的(典型为256、324、512、1024比特或更大)可能素数的产生及检验方法。该方法最好实现为软件程序，其可在一计算机可读的媒体上储存及读取以及可通过一通用的可编程计算机系统来执行。该方法也可以实现为在一专用的密码计算机芯片(例如在一聪明卡)中的韧件，或者甚至可作为可配置的硬件(例如一现场可编程门阵列芯片)或者专用电路系统(例如一专用集成电路芯片)，其专门编程或设计用来在其电路系统中执行该方法的步骤。可能素数在密码方面的用途包括产生像是在非对称(公共-私人密钥对)编密码程序中的密键。可能素数在密码方面的另一用途为产生像是流密码通信用的伪随机数。本发明方法典型地为一使用以本方法产生的大的可能素数的较大密码计算机程序的一部份。在被编程来执行本发明的方法的时候，计算机系统或专用芯片可以被视为一种素数产生电路或装置。

本方法通过采用一聪明增量技术以避免必须检验不太可能的候选数来提高可能素数的查找速度。选择一所要求的比特大小(例如1024比特)的随机数以及立即将其增量为一极小素数2、3、5及7的互素数以产生初始的候选数。由利用一列小素数尝试整数除法开始，每一候选数由程控计算机系统或芯片检验，并且如果发现该候选数为合数时，则使该候选数增量一选定的偶数(不一定为2)，以获得一为极小素数如2、3、5及7的互素数的下一候选数。本方法使用该聪明增量技术使以整数除法检验的合数减至最小。不对该大的候选数直接地进行试除，而是对该候选数的32比特的模简化的数作试除，进一步地提高了本方法的速度。当发现一候选数通过该小素数试除检验的时候，则可利用一或多种已知的严格的可能素数检验演算法来检验该有可能的候选数，例如Miller-Rabin检验或Fermat检验。因为这些检验较费时(例如上述的两种检验皆使用模幂运算)，所以只有当那些可能候选数在整数除法中被找出为小素数的互素数时，该些可能候选数才会接受更严格的检验。

计算机程序的主要部分可以包括以下部份：

MainIncrement:＝SmartIncrement(true)；

AleaIsComposite:＝SmallPrimesTest(true)；

Label Generate_Candidate

While(AleaIsComposite＝true)do

   Begin

   LocalIncrement:＝SmartIncrement(false)；

   MainIncrement:＝MainIncrement+LocalIncrement；

   For Counter:＝0to MAX_MODULI-1 do

   Begin

   Table_Mod[Counter]:＝(Table_Mod[Counter]+LocalIncrement)％

    Table_Reductions[Counter]；

   End；

   AleaIsComposite:＝SmallPrimesTest(false)；

   End；

Alea:＝Alea+MainIncrement；

If(not Number_Is_Probably_Prime(Alea))then

   Begin

   AleaIsComposite:＝true；

   Goto Generate_Candidate；

   End；

在此程序中，″Alea″为待检验的随机挑选的候选的整数的名称。可以使用任何随机或伪随机数生成程序，其能够快速地产生一具有要求大小的极大奇数的候选数。″SmallPrimesTest″及″SmartIncrement″分别为本发明将候选数相对于一列小素数进行整数除法检验以及聪明增量技术的函数，以下将作更详细地叙述。在最后，我们获得一个数，其为该些检验用的小素数的互素数(即″AleaIsComposite″的布尔值为假)。然后，对该数可以使用任何一或多种适用的更严格的传统素性检验方法(由函数呼叫″Number_Is_Probably_Prime″示出)。不过，这种严格的检验只在那些首先通过SmallPrimesTest的候选数上实行。(大约百分之九十的可能候选数因为通过SmartIncrement及SmallPrimesTest函数被证实为合数而遭排除，所以较严格的检验只在剩余的百分之十的候选数上进行。)如果该候选数不能通过那些选择的严格素性检验，则会在主程序停止的地方产生一新的候选数。该SmartIncrement函数使用以下的表：

Table_210[210]＝{0，1，0，0，0，0，0，0，0，0，0，11，0，13，0，0，0，17，0，19，0，0，0，23，0，0，0，0，0，29，0，31，0，0，0，0，0，37，0，0，0，41，0，43，0，0，0，47，0，0，0，0，0，53，0，0，0，0，0，59，0，61，0，0，0，0，0，67，0，0，0，71，0，73，0，0，0，0，0，79，0，0，0，83，0，0，0，0，0，89，0，0，0，0，0，0，0，97，0，0，0，101，0，103，0，0，0，107，0，109，0，0，0，113，0，0，0，0，0，119，0，121，0，0，0，0，0，127，0，0，0，131，0，0，0，0，0，137，0，139，0，0，0，143，0，0，0，0，0，149，0，151，0，0，0，0，0，157，0，0，0，0，0，163，0，0，0，167，0，169，0，0，0，173，0，0，0，0，0，179，0，181，0，0，0，0，0，187，0，0，0，191，0，193，0，0，0，0，0，199，0，0，0，0，0，0，0，0，0，209}

Table_210包括的零值代表所有那些可被2、3、5或7除尽的数。但是那些为2、3、5及7的互素数的数，在表内则为非零值，例如为该些整数本身的值。也可以利用其它的方法区别在该表中代表可除尽及互素数数值的元素。该表有助于SmartIncrement选择一为2、3、5及7的互素数的候选数，以便利用SmallPrimesTest函数作进一步的整数除法检验。

该SmartIncrement函数可以包括以下的程序步骤：

Function SmartIncrement(FirstCall:Boolean):integer

Var Increment:integer；

Begin

If(FirstCall＝true)then

   Begin

   Mod_210:＝Alea％210；

   Increment:＝0；

   End

Else Begin

   Mod_210:＝(Mod_210+2)％210；

   Increment:＝2；

   End；

While(Table_210[Mod_210]＝0)do

   Begin

   Mod_210:＝(Mod_210+2)％210；

   Increment:＝Increment+2；

   End；

Return(Increment)；

End；

SmartIncrement的这一实施例确保每个随后的候选数不可以被2、3、5及7除尽。Alea不会被直接使用。更确切地说，增量计算可以基于将Alea以210为模的余数(即是模余数)。该函数逐步的通过表Table_210来寻找，直到发现该表中下一个由Mod_210所指的值(相当于相应的数值Alea+Increment)为非零值，即是2、3、5及7的互素数。对于密码应用来说，重要的是不要使用一具有已知的具体形式的素数。因此，举例来说，候选数的选择不要限于那些相当于将1以210为模的余数，即使该些候选数会较容易计算。在适当的修改下，可以使用一由2310个数值组成的较大表以鉴定2、3、5、7及11的互素数的整数，但由于该表中的极小素数的数目增加，返回则会逐渐减少。(除了48/210或22.86％的候选数，Table_210可排除所有的，而较大的Table_2310则除了480/2310或20.78％的候选数，可排除所有的。)要较佳地检验较大的小素数(例如11至241)，使用试除胜于用基于表的聪明增量。

小素数检验会利用以下一些表：

Table_SmallPrimes[0..MAX_SMALL_PRIMES-1]＝{11，13，17，19，23，29，31，37，41，43，47，53，59，59，61，67，71，73，79，83，89，97，101，103，107，109，113，127，131，137，139，149，151，157，163，167，173，179，181，191，193，197，199，211，223，227，229，233，239，241}；

Table_Reductions[0..MAX_MODULI-1]＝{11*13*17*19*23*29*31，37*41*43*47*53，59*61*67*71*73，79*83*89*97，101*103*107*109，113*127*131*137，139*149*151*157，163*167*173*179，181*191*193*197，199*211*223*227，229*233*239*241}；

Table_SmallPrimesIndexes[0..MAX_MODULI-1]＝{0，7，12，17，21，25，29，33，37，41，45}。

第一表及第二表分别为一列小于250的基本的已知素数以及以该列中的一些素数组的乘积。在该些表中，素数2、3、5及7不包括在内，因为要保证该随机数″Alea″不仅为奇数，而且还要利用以上文详细说明的″SmartIncrement″程序将其选择为3、5及7的互素数。第二表中的乘积的大小限于32比特以便于除法运算。(可以采用64比特或更大的乘积来代替，随可用的硬件而定。)第三″索引″表用来指出在该列小素数中与第二表中的乘积相应的连续的子集于第一表中的地址。

该表的大小可以扩大或缩小，取决于所要求的检验次数。要认定所要求检验的次数，通常可基于必须产生的素数的比特大小。对于那些比本文给出的表更大的表来说，可以较方便地从所有2、3、5及7的互素数得出该些表，而不是从素数本身。虽然除了素数之外，可以包括少数的合数(例如可将121、143、169、187、209、221及247加到所述表之中)，但产生检验用数值的简易性可能比令检验较绝对需时稍长来得重要。此外，当该列小素数变得较长时，藉由小素数试除排除证实的合数则使返回会逐渐减少。至于何时需要从试除转变到更为严格的Miller-Rabin、Fermat或者一些其它的可能素数检验则为一判断的问题，主要取决于候选数的比特大小及所要求的保密级。

小素数检验函数的计算机程序可以包括如下：

Function SmallPrimesTest(FirstCall:boolean):boolean；

Var Composite:boolean；

Begin

If(FirstCall＝True)then

Begin

For Counter:＝0 to MAX_MODULI-1 do

   Begin

   Table_Mod[Counter]:＝Alea％Table_Reductions[Counter]；

   End；

End；

Composite:＝false；

While(Composite＝false)do

Begin

Counter:＝0；

While((Composite＝false)and(Counter＜MAX_MODULI))do

   Begin

   CounterPrimes:＝Table_SmallPrimes[Table_SmallPrimesIndexes

   [Counter]]；

    While((Composite＝false)and

     (CounterPrimes＜Table_SmallPrimesIndexes[Counter+1]))do

       Begin

       If(((Table_Mod[Counter]+MainIncrement)％

        Table_SmallPrimes[CounterPrimes])＝0)then

          Composite:＝true；

        Else CounterPrimes:＝CounterPrimes+1；

        End；

    Counter:＝Counter+1；

    End；

End；

Return Composite；

End；

在首次执行小素数检验的时候，通过以″Table_Reductions″中的每一素数乘积来进行模除以获得一组32比特余数，原来的大候选整数″Alea″首先被简化为一个小得多的32比特整数表″Table_Mod″。这些在″Table_Mod″中的数值应该被程序保留以供每一随后的″SmallPrimesTest″函数呼叫使用，以致于该大整数除法无需重算。然后，在以目前的试增量″MainIncrement″对″Table_Mod″中的数作首次增量之后，继而使用索引表将该候选数相对于相应简化用的乘积中的相同素数来进行试除检验，并且检查其余数。如果以任何在″TableSmallPrimes″中的小素数作试除的结果为零值，那么目前的候选数就被确定为合数，并且送回真值(Composite＝true)，而无需对该候选数作任何进一步的试除。如果以所有测试的小素数得出的余数皆为非零值，那么就送回假值(Composite＝false)，而且主程序会继续进行更严格的可能素性检验。

一旦一候选数通过所有检验，即证明该数为一可能素数。然后，该数会由密码程序的其它部份用于这样一些应用，像非对称(公用密钥)分组密码的密钥生成或者流密码通信用的伪随机数生成(如美国专利号4,780,840中所述)。尤其相关的应用是在聪明卡交易中产生话路密钥，因为较快产生以及检验速度使本方法能够通过放置在聪明卡上的单一芯片处理器毫无延误地执行。

Claims (15)

1.一种用于计算机执行的密码程序应用中的方法，所述应用的安全性取决于大素数，所述方法产生一个或一个以上用于所述密码程序应用的可能候选素数，其特征在于所述方法包括以硬件执行的密码应用指令，所述指令按以下的步骤程序实施：

提供一具有一指定的第一比特大小的伪随机数；

将所述伪随机数加上一第一增量以产生一第一候选数，所述第一增量要这样选择以使所述第一候选数为一组极小素数的互素数；

由所述第一候选数开始，通过相对于一列除所述极小素数组之外的小素数作试除来重复地检验相继的候选数，直到找出一候选数，其为所述列中全部的所述小素数的互素数，所述相继候选数由以下步骤检验：

(i)计算所述第一候选数的一组模简化数，所述模简化数组的元素为余数，所述余数相当于所述第一候选数以一所述小素数列中的一些不同素数组的每一相应乘积为模，所述乘积具有一指定的最大第二比特大小，所述第二比特大小比所述第一比特大小至少小四分之三；

(ii)维持一主增量，对于每一所述相继候选数，所述主增量都要校正，当以每一相继更新的所述主增量加到所述第一候选数时，就会提供下一个为所述极小素数组的互素数的所述相继候选数；

(iii)对于以目前校正的所述主增量来增量的所述模简化数组的每一元素，除非以及直到找出一候选数为合数为止，通过相对于相应的小素数组的每一素数作试除检验所述的增量的元素以确定所得余数是否为零值，如是的话，则标明目前的候选数为合数；

在找出一为所述列中全部的所述小素数的互素数之后，使相等于所述第一候选数与所述目前的主增量相加的所述候选数，接受至少一严格的可能素性检验，而且假如根据任何一所述严格的可能素性检验找出一候选数为合数，那么就如前所述般通过相对于所述小素数组作试除不断地检验所述相继候选数直到找出一既通过所述小素数试除又通过所述严格的可能素性检验的候选数，这样的候选数被认为是一可能素数；以及

将所述可能素数用于所述密码程序。

2.根据权利要求1所述的方法，其特征在于：所述用于执行所述密码程序应用的指令的硬件包括一通用的可编程计算机系统，而所述密码程序为一可由所述计算机系统读取的软件形式。

3.根据权利要求1所述的方法，其特征在于：所述用于执行所述密码程序应用的指令的硬件包括一集成电路片，而所述密码程序为一可由所述电路片存取的韧件形式。

4.根据权利要求1所述的方法，其特征在于：所述用于执行所述密码程序应用的指令的硬件包括一可配置的逻辑片，所述逻辑片经配置以执行所述密码程序。

5.根据权利要求1所述的方法，其特征在于：所述密码程序以一专用集成电路的形式专门用来执行所述步骤程序。

6.根据权利要求1所述的方法，其特征在于：所述第一比特大小至少为256比特。

7.根据权利要求1所述的方法，其特征在于：所述第二比特大小为32比特。

8.根据权利要求1所述的方法，其特征在于：所述极小素数组包括2、3、5及7。

9.根据权利要求8所述的方法，其特征在于：所述小素数列包括11至241的所有相继的素数。

10.根据权利要求8所述的方法，其特征在于：通过使一相当于所述伪随机数以210为模的余数与一包括210个元素表示0到209数值的表作比较，得出所述第一增量，其中在所述表中，与所有的2、3、5及7的互素数数值相应的所述表元素不同于可被2、3、5及7之中任何一个除尽的数相应的所述表元素，而且进行比较是要找出一增量，其将使所述余数成为一为所有的2、3、5及7的互素数的数值。

11.根据权利要求10所述的方法，其特征在于：通过与所述有210元素的表比较得出所述主增量，所述每一相继的主增量值可使所述余数成为所述表中的素数的下一互素数。

12.根据权利要求1所述的方法，其特征在于：所述严格的可能素性检验包括Miller-Rabin检验。

13.根据权利要求1所述的方法，其特征在于：所述严格的可能素性检验包括Fermat检验。

14.根据权利要求1所述的方法，其特征在于：所述可能素数用于产生至少一密码密钥。

15.根据权利要求4所述的方法，其特征在于：所述可配置的逻辑片是一现场可编程逻辑阵列。