CN101436932A - 一种抵抗简单电耗攻击的模幂计算方法 - Google Patents

Abstract

本发明属于公钥密码体制的安全执行领域，涉及一种抵抗简单电耗攻击的模幂计算方法，当潜在受到简单电耗攻击的软件或硬件密码没备运行公钥体制时，在需要使用秘密密钥或保密参数为指数计算模幂情况下，按下列步骤执行：读取底数x、指数E、和模n；等分二进制表示的指数E为子串E₁和E₂，其二进制表示为

，

，算符

表示不小于c的最小整数，k为指数E的二进制比特串长度；用固定从右向左二进制算法计算模幂对

；根据公式

，用模幂对

计算模幂x^E(mod n)，算符‖表示连接，算符sq^(m)(x，n)表示对整数x做m次模n平方操作。本发明提供的计算方法具有更强的抵抗SPA攻击的能力，同时，具有较快的计算速度。

Description

一种抵抗简单电耗攻击的模幂计算方法

技术领域

本发明属于公钥密码体制的安全执行领域，涉及集成电路安全技术。

背景技术

迄今为止，应用于各种电子设备上的公钥密码体制主要有两类。第一类，是基于大整数分解的密码体制，例如，RSA体制和Rabin-Williams体制。第二类，是基于循环群上离散对数的密码体制，例如，ElGamal体制和数字签名算法(DSA)。上述公钥密码体制大都需要在模整数意义上计算模幂x^E(modn)，这里x，E，和n都是整数。而在这些公钥密码体制中，总有部分模幂中的整数E需要严格保密。

现代密码设备的计算部件是集成电路芯片。芯片都是由晶体管门电路组成，电路在执行不同的程序操作时，电能消耗有所不同，这一点可以通过示波器观察。据此，Kocher等人提出了电耗分析攻击。电耗分析攻击的前提是电耗轨迹与设备执行的指令相关，并与处理的操作数的值有关。这样检查电耗轨迹能够暴露正在执行的指令和寄存器中数据的信息。当密码设备正在执行秘密密钥操作时，攻击者有可能推导出秘密密钥。研究表明，几乎所有的公钥密码系统都潜在存在电耗分析攻击问题，特别是，智能卡这样的需要外界提供电源的嵌入式设备受到电耗分析攻击的威胁尤为巨大。简单电耗分析(SPA)攻击是攻击者通过简单观测秘密密钥操作的电耗轨迹，直接推导出关于秘密密钥保密信息的技术。SPA攻击对攻击的环境和攻击者的设备要求不高，容易实现，因此，是实际应用中的主要安全威胁。在防止SPA攻击模幂计算的技术方面，主要从防护算法设计和保护电路设计两方面着手。由于设备上的公钥密码体制需要依靠具体执行算法实现，同时算法容易维护、更新、修改，因而算法防护措施得到广泛重视。防护算法的设计关键在模幂计算方法。目前，抵抗SPA攻击的模幂计算方法主要思路是程序执行路线固定化或随机化。典型的方法有：始终平方乘计算方法、Joye改进二进制计算方法、Clavier和Joye通用计算方法。需要指出的是，这些模幂计算方法常常都是以牺牲效率为代价的。此外，由于SPA攻击技术的发展，不少现有模幂计算方法已经不能很好抵抗SPA攻击。

发明内容

鉴于抵抗SPA攻击的模幂计算方法存在的问题，本发明目的是提供一种适合密码设备硬件或软件实现的抵抗SPA攻击的模幂计算方法。本发明提供的计算方法具有更强的抵抗SPA攻击的能力，同时，具有较快的计算速度。因此，特别适合于智能卡等计算资源受限的嵌入式设备应用。

本发明采用如下的技术方案：

一种抵抗SPA攻击的模幂计算方法，其特征是，当潜在受到SPA攻击的软件或硬件密码设备运行公钥体制时，在需要使用秘密密钥或保密参数为指数计算模幂情况下，具体执行下列步骤：

(1)读取底数x、指数E、和模n；

(2)等分二进制表示的指数E为子串E₁和E₂，其二进制表示为

算符

表示不小于c的最小整数，k为指数E的二进制比特串长度；

(3)用固定从右向左二进制算法计算模幂对

(4)根据公式

用模幂对计算模幂x^E(modn)，算符‖表示连接，算符sq^(m)(x，n)表示对整数x做m次模n平方操作。

作为优选实施方式，本发明中的步骤(3)具体按照下列步骤执行：

3.1 将x赋值给S，并令C₀＝1；C₁＝1；C₂＝1；C₃＝1；

3.2 将S赋值给 $C_{2\·b_{2.1}+b_{1.1}};$

3.3 从i＝2至

步长为1，执行循环语句：

S＝S·S(modn)； $C_{2\·b_{2.i}+b_{1.i}}=S\·C_{2\·b_{2.i}+b_{1.i}}\left(\mathrm{mod}n\right);$

3.4 计算C₁＝C₁·C₃(mod n)；C₂＝C₂·C₃(mod n)。

本发明中的步骤(3)如果采用硬件实现，提供两个模乘法器，实现步骤如下：

3.1 将x赋值给寄存器S，开辟C₀，C₁，C₂，C₃四个寄存器，令C₀＝1；C₁＝1；C₂＝1；C₃＝1；

3.2 将S赋值给

并计算S＝S·S(mod n)；

3.3 从i＝2至

步长为1，在逻辑控制器的控制下利用两个模乘法器分别执行以下循环体的两条语句：

$C_{2\·b_{2.i}+b_{1.i}}=S\·C_{2\·b_{2.i}+b_{1.i}}\left(\mathrm{mod}n\right);$   S＝S·S(mod n)；

3.4 计算

3.5 计算C₁＝C₁·C₃(mod n)；C₂＝C₂·C₃(mod n)。

本发明所提出的模幂计算方法是安全的，即攻击者不能通过其获取的计算方法执行信息推断出需要严格保密的指数E的任何1比特取值。与同类算法相比，本发明提出的计算方法各方面的特性非常适合于密码设备执行，具有更高的安全性，更快的计算速度。

附图说明

图1采用两个模乘法器实现固定从右向左二进制算法的硬件结构图；

图2本发明的抵抗SPA攻击的模幂计算方法流程总框图。

具体实施方式

在对本发明的技术方案做进一步说明之前，首先说明本发明所采用的符号。

B₁ AND B₂表示对等长的二进制串B₁和B₂按位进行逻辑与操作，例如，01011011AND11001101＝01001001。

NOT B表示对二进制串B按位进行逻辑非操作，例如，NOT10101101＝01010010。

B₁‖B₂表示对二进制串B₁和B₂进行连接操作，例如，01011011‖11001101＝0101101111001101。

x·y(mod n)表示对整数x和y进行模乘操作，特殊情况当x＝y时，为模平方操作，即x²(modn)。

sq^(m)(x，n)表示对整数x做m次模n平方操作，例如，sq⁽³⁾(x，n)＝(((x)²(mod n))²(modn))²(mod n)＝x²³(mod n)。

表示不小于c的最小整数，例如，

1表示全部位都为1的二进制串，即1＝111...。

下面详细介绍本发明的抵抗SPA攻击的模幂计算方法。

公钥密码体制执行中，计算模幂x^E(modn)，这里x，E，和n都是整数，其中指数E需要严格保密。指数E的二进制表示为(b_kb_k-1...b₁)₂。模幂x^E(modn)按如下步骤计算：

第1步，将指数E的二进制串分成等长的二进制子串E₁和E₂并满足E＝E₁‖E₂。如果二进制长度k是奇数在指数E的二进制串的最高位添加1比特0。两个二进制子串分别为

和

第2步，使用固定从右向左二进制算法计算模幂对 $\{x^{E_1}\left(\mathrm{mod}n\right),x^{E_2}\left(\mathrm{mod}n\right)\}=\{x^{E_1\mathrm{AND}\left(\mathrm{NOT}{E}_2\right)+E_1\mathrm{AND}{E}_2}\left(\mathrm{mod}n\right),x^{\left(\mathrm{NOT}{E}_1\right)\mathrm{AND}{E}_2+E_1\mathrm{AND}{E}_2}\left(\mathrm{mod}n\right)\}.$ 固定从右向左二进制算法描述如下：

输入：

输出：和存储于寄存器C₁和C₂中。

(1) S＝x；C₀＝1；C₁＝1；C₂＝1；C₃＝1；

(2)  $C_{2\·b_{2.1}+b_{1.1}}=S;$

(3) for i＝2 to 

    {

(3.1) S＝S·S(mod n)；                      /*模平方*/

(3.2)  $C_{2\·b_{2.i}+b_{1.i}}=S\·C_{2\·b_{2.i}+b_{1.i}}$ (mod n)；                 /*模乘*/

     }

(4)C₁＝C₁·C₃(mod n)；C₂＝C₂·C₃(modn)；    /*模乘*/

若计算方法采用硬件实现，且提供两个模乘法器，固定从右向左二进制算法可做如下变形，其中，计算第(4)步一次循环的高效硬件结构如图1。

输入：

输出：

和存储于寄存器C₁和C₂中。

(1) S＝x；C₀＝1；C₁＝1；C₂＝1；C₃＝1；

(2)  $C_{2\·b_{2.1}+b_{1.1}}=S;$

(3) S＝S·S(mod n)；                    /*模平方*/

(4) for i＝2 to 

    {

(4.1)  $C_{2\·b_{2.i}+b_{1.i}}=S\·C_{2\·b_{2.i}+b_{1.i}}\left(\mathrm{mod}n\right);$                 /*模乘*/

(4.2) S＝S·S(modn)；                     /*模平方*/

    }

(5)

               /*模乘*/

(6)C₁＝C₁·C₃(mod n)；C₂＝C₂·C₃(mod n)；  /*模乘*/

第3步，使用如下公式通过模幂对计算模幂x^E(modn)的值。

对本发明的模幂计算方法正确性阐述如下：

考虑上面计算模幂x^E(mod n)的方法，可以发现对于任意的等长二进制串E₁和E₂有：

E₁ AND(NOT E₂)+E₁AND E₂＝E₁AND((NOTE₂)+E₂)＝E₁AND 1＝E₁和

(NOTE₁)AND E₂+E₁AND E₂＝((NOTE₁)+E₁)AND E₂＝1 AND E₂＝E₂。

因此，计算模幂

和

可以先分别计算出模幂

和

再通过2次模乘得到 $x^{E_1}\left(\mathrm{mod}n\right)=x^{E_1\mathrm{AND}\left(\mathrm{NOT}{E}_2\right)}\·x^{E_1\mathrm{AND}{E}_2}\left(\mathrm{mod}n\right)$ 和 $x^{E_2}\left(\mathrm{mod}n\right)=x^{E_1\mathrm{AND}\left(\mathrm{NOT}{E}_2\right)}\·x^{E_1\mathrm{AND}{E}_2}\left(\mathrm{mod}n\right).$ 观察固定从右向左二进制算法(变形情况完全类似)，第(1)至(3)步是经典从右向左二进制算法的扩展，可以同时计算出

和

存储于寄存器C₀，C₁，C₂，和C₃之中。原因是当(NOT b_1，i)AND(NOT b_2，i)＝1时，2·b_2，i+b_1，i＝0；当b_1，iAND(NOT b_2，i)＝1时，2·b_2，i+b_1，i＝1；当(NOT b_1，i)AND b_2，i＝1时，2·b_2，i+b_1，i＝2；当b_1，iAND b_2，i＝1时，2·b_2，i+b_1，i＝3。因此，固定从右向左二进制算法中第(3.2)步将按照经典从右向左二进制算法的模式将各个应该计算的模乘正确存入对应寄存器并最终得到对应结果。固定从右向左二进制算法中第(4)步再通过2次模乘得到

和

存于寄存器C₁和C₂。

由于E＝E₁‖E₂且E₂的二进制长度为

有进而有

因此，模幂计算方法的第3步将计算出模幂x^E(modnn)的值。

对模幂计算方法技术效果的详细说明如下：

一、模幂计算方法的SPA安全特性

(1)SPA攻击模型。对于任意模幂计算操作，设定攻击者可以通过对执行过程中的电耗轨迹进行分析得到计算方法的如下信息：

1)区分所有不同程序语句，例如，“if”条件语句。

2)区分模乘和模平方操作。

3)发现操作数完全相同的所有模乘和所有模平方操作，确定一个操作数为固定值的所有模乘操作。

(2)模幂计算方法的SPA安全特性。在以上SPA攻击模型下，前面提出的模幂计算方法是安全的，即攻击者不能通过其获取的计算方法执行信息推断出需要严格保密的指数E的任何1比特取值。

现在说明模幂计算方法在执行的过程中不会泄露严格保密的指数E的任何1比特取值。模幂计算方法的第1步不会泄露指数E的任何1比特取值，这是因为第1步仅仅是将指数E分成等长的两个二进制子串E₁和E₂。虽然攻击者可以区分所有不同程序语句，但不能得到指数E的任何1比特取值，因为在这一步所有程序行为都与指数E的具体取值无关。而模幂计算方法的第3步对于任何输入都是固定地做

次模平方和1次模乘操作，因此，即使攻击者具有上述1)至3)的电耗分析攻击能力也不可能得到指数E的任何1比特取值。

剩下需要讨论的就是模幂计算方法的第2步的安全问题。观察固定从右向左二进制算法(变形情况完全类似)可以发现：

1)对于任何输入，固定从右向左二进制算法中的所有程序语句都与需要严格保密的指数E没有任何关系。因此，虽然攻击者可以区分所有不同程序语句，但并不能通过这一能力分析得出指数E的任何1比特取值。

2)在固定从右向左二进制算法中，有两个操作与指数E有关系，也就是模乘和模平方操作。因为在循环中任何(b_1，i，b_2，i)∈{(0，0)，(0，1)，(1，0)，(1，1)}

所以每次循环有且仅有1次模乘操作。这样对于任何指数E，模乘和模平方操作都以同样的间隔顺序执行。虽然攻击者可以区分模乘和模平方操作，但这一能力并不能帮助分析出指数E的任何1比特取值。

3)在固定从右向左二进制算法中，一次循环中的模乘操作可写成C_j＝S·C_j(modn)(j＝0，1，2，3)。在寄存器S中的值由前一次循环中的模平方操作更新，因此，寄存器S中是随机值。在寄存器C_j(j＝0，1，2，3)中的值由相应以往循环中的模乘操作更新，因此，寄存器C_j(j＝0，1，2，3)中也是随机值。由于寄存器S和C_j(j＝0，1，2，3)中存储的都是随机值，所以攻击者即使能发现操作数完全相同的模乘和模平方操作，以及一个操作数为固定值的模乘操作，也不能依靠其分析得出指数E的任何1比特取值。

综合以上，得出在SPA攻击模型下，攻击者不能通过其获取的模幂计算方法执行信息推断出需要严格保密的指数E的任何1比特取值。

二、模幂计算方法的执行效率

在计算效率方面，按照评价此类计算方法的惯例，不区分模乘和模平方操作，统一看作模乘操作，其它操作相对于模乘操作计算开销可以忽略。由于在模幂计算方法的第2步中，任意(b_1，i，b_2，i)∈{(0，0)，(0，1)，(1，0)，(1，1)}

因而在每次循环中，模乘S·C₀(mod n)，S·C₁(mod n)，S·C₂(mod n)，和S·C₃(mod n)操作之中必有一个执行。在模幂计算方法的第3步中，需要

次模乘操作。因此，在平均和最差情况下总的模乘数量都为：

次。在同时提供两个模乘法器的情况下，模幂计算方法的第2步中第(4.1)步和第(4.2)步并行执行，可以看作1次模乘，因此，在平均和最差情况下总的模乘数量都为：次。

在存储效率方面，模幂计算方法的开销都来源于第2步，很显然，需要5个寄存器，即S和C_j(j＝0，1，2，3)。

三、同类算法比较

目前已经存在的抵抗SPA攻击的模幂计算方法主要包括：始终平方乘计算方法、Joye改进二进制计算方法、Clavier和Joye通用计算方法几种。可以将这些计算方法与本发明提出的计算方法做简要比较，如表1所示。在安全等级方面，都使用前面提到的SPA攻击模型加以评估。计算方法实施评估主要考查计算方法在具体实现时技术复杂程度。在计算效率方面，按照传统考虑平均和最差的情况，且都假定模幂指数的二进制表示长度为偶数k。在存储开销方面，主要考虑计算方法在做模幂计算时需要的寄存器数量，此外，还考虑需要始终安全存储的附加数据。

表1 目前典型相关计算方法特性比较

从表1可以看出，与同类计算方法比较，本发明提出的计算方法各方面的特性非常适合于密码设备执行。唯一不足之处就是，计算过程中寄存器需求略大，但在多数情况下，安全性，计算速度，和实施复杂度才是评价和选择抵抗SPA攻击的模幂计算方法主要考虑的因素。

下面举一个实例说明抵抗SPA攻击的模幂计算方法如何运行。根据目前对公钥密码系统的安全参数要求，模幂x^E(mod n)的各个操作数常常为1024比特以上。但本实例只是为了说明计算方法如何运行，为使实例简单明了反映计算方法各技术特征，仅选择32比特的操作数。若指数E＝3154091967＝(10111011111111111001111110111111)₂，而底数x和模n为任意一个32比特整数，这样为简单可以省略模n的书写。按照附图说明图2的步骤，计算方法运行过程如下：

第1步，将指数E按二进制等分为子串E₁＝(1011101111111111)₂＝48127和E₂＝(1001111110111111)₂＝40895，这里显然E＝E₁‖E₂。

第2步，在二进制子串E₁和E₂为输入时，固定从右向左二进制算法变形情况的主要计算过程可以由表2描述。

第3步，通过模幂对 $\{x^{E_1}=x^{48127},x^{E_2}=x^{40895}\}$ 计算模幂 $x^E=x^{E_1\left|\right|E_2}={\left(x^{48127}\right)}^{2^{16}}\·x^{40895}=x^{3154051027}\·x^{40895}=x^{3154091967}.$

表2 当E₁＝(1011101111111111)₂和E₂＝(1001111110111111)₂时，固定从右向左二进制算法变形情况的运行过程

Claims (3)

1.一种抵抗简单电耗攻击的模幂计算方法，其特征是，当潜在受到简单电耗攻击的软件或硬件密码设备运行公钥体制时，在需要使用秘密密钥或保密参数为指数计算模幂情况下，具体执行下列步骤：

(1)读取底数x、指数E、和模n；

(2)等分二进制表示的指数E为子串E₁和E₂，其二进制表示为

算符

表示不小于c的最小整数，k为指数E的二进制比特串长度；

(3)用固定从右向左二进制算法计算模幂对

(4)根据公式

用模幂对

计算模幂x^E(mod n)，算符‖表示连接，算符sq^(m)(x，n)表示对整数x做m次模n平方操作。

2.根据权利要求1所述的抵抗简单电耗攻击的模幂计算方法，其特征是，其中的步骤(3)具体按照下列步骤执行：

3.1将x赋值给S，并令C₀＝1；C₁＝1；C₂＝1；C₃＝1；

3.2将S赋值给 $C_{2\·b_{\mathrm{2,1}}+b_{\mathrm{1,1}}};$

3.3从i＝2至

步长为1，执行循环语句：

S＝S·S(mod n)； $C_{2\·b_{2,i}+b_{1,i}}=S+C_{2\·b_{2,i}+b_{1,i}}\left(\mathrm{mod}n\right);$

3.4计算C₁＝C₁·C₃(modn)；C₂＝C₂·C₃(modn)。

3.根据权利要求1所述的抵抗简单电耗攻击的模幂计算方法，其特征是，其中的步骤(3)采用硬件实现，提供两个模乘法器，实现步骤如下：

3.1将x赋值给寄存器S，开辟C₀，C₁，C₂，C₃四个寄存器，令C₀＝1；C₁＝1；C₂＝1；C₃＝1；

3.2将S赋值给

，并计算S＝S·S(mod n)；

3.3从i＝2至

步长为1，在逻辑控制器的控制下利用两个模乘法器分别执行以下循环体的两条语句：

$C_{2\·b_{2,i}+b_{1,i}}=S\·C_{2\·b_{2,i}+b_{1,i}}\left(\mathrm{mod}n\right);S=S\·S\left(\mathrm{mod}n\right);$

3.4计算

3.5计算C₁＝C₁·C₃(mod n)；C₂＝C₂·C₃(mod n)。

Images