CN101840325B - 椭圆曲线上的抗故障计算 - Google Patents

Abstract

本发明提供了一种用于检验在椭圆曲线上的加密运算的正确性的装置，该装置包括椭圆曲线上Q＝kP的抗故障计算。由中国剩余给出(110)椭圆曲线并且其中r是整数。在中形成(120)点P^＝CRT(P(mod p)，R(mod r²))；P^在中简化为P并且在中简化为R。在中计算(130)Q^＝kP^。然后在中验证(140)是否Q^三kR(mod r²)，并且如果是，则输出Q＝Q^mod p，否则返回“错误”。本发明还提供一种设备(200)以及计算机程序产品(240)。

Description

椭圆曲线上的抗故障计算

技术领域

本发明一般地涉及加密技术，并且具体地涉及对抗故障攻击的椭圆曲线加密算法。

背景技术

本节旨在向读者介绍与下面描述和/或要求保护的本发明各方面相关的现有技术。相信该讨论有助于向读者提供背景信息以便于更好地理解本发明的各方面。因此，应当从这个角度来理解这些声明，而不是把他们当做对现有技术的承认。

故障攻击在加密计算期间引入错误以获得加密秘密的一个或者更多比特，比如私有解密密钥。在“The Sorcerer’s Apprentice Guide toFault Attacks”，by Hagai Bar-EI，Hamid Choukri，David Naccache，Michael Tunstall，and Claire Whelan，Proceedings of the IEEE，94(2)：370-382，2006(Proc.Of FDTC 2004中的较早版本)以及在“ASurvey On Fault Attacks”by Christophe Giraud and Hugues Thiebeauld，in J.-J.Quisquater，P.Paradinas，Y.Deswarte，and A.A.EI Kalam，editors，Smart Card Research and Advanced Applications VI(CARDIS 2004)，pages 159-176，Kluwer，2004中研究了发动故障攻击的实际方式。

RSA(Rivest-Shamir-Adleman)求幂包括在

中的输入x以及私有指数d上将x提升至d次幂，其中

是整数环(ring of integers)模N，并且N＝pq是两个大素数的乘积。Adi Shamir在“How to CheckModular Exponentiation”，presented at the rump session ofEUROCRYPT’97，Konstanz，Germany，May 13，1997中提供了一种对抗故障攻击的良好对策。该对策是：

1、对于(小)的随机整数r，计算y′＝x^d mod rN

2、计算z＝x^d mod r，

3、检验是否y′≡z(mod r)，以及

如果是，则输出y＝y′mod N；

否则，返回“错误”。

典型地，r是64比特整数。Shamir的方法的正确性是中国剩余定理(CRT)的应用。当计算正确时，显然y′≡y(mod N)并且y′≡z(mod r)。在故障存在的情况中，y′≡z(mod r)的概率大约是1/r。当r是64比特值时，这意味着检测不到故障的概率是大约2^-64。r的值越大意味着需要以更多的计算来得到更高的检测概率。

可以采用Shamir的方法以当在CRT模式中评估时保护RSA求幂；即，当通过x^d mod p以及x^d mod q评估y＝x^d mod N时。在“SecureEvaluation of Modular Functions”by Marc Joye，Pascal Paillier，andSung-Ming Yen，in R.J.Hwang and C.K.Wu，editors，2001 InternationalWorkshop on Cryptology and Network Security，pages 227-229，Taipei，Taiwan，September 2001中讨论了对Shamir的对策的进一步归纳和扩展。

David Vigilant在“RSA With CRT：A New Cost-Effective Solution toThwart Fault Attacks”，in E.Oswald and P.Rohatgi，editors，Cryptographic Hardware and Embedded Systems-CHES 208，volume5154 of Lecture Notes in Computer Science，pages 230-145，Springer，2008中提出了备选的解决方案。该解决方案是：

1、针对(小)随机整数r，形成X＝CRT(x(mod N)，1+r(mod r²))

2、计算y′＝x^d mod r²N；

3、检验是否y′≡1+dr(mod r²)，以及

如果是，则输出y＝y′mod N；

否则，返回“错误”。

在步骤1中，CRT代表中国剩余定理的应用；即，如此获得的X满足X≡x(mod N)以及X≡1+r(mod r²)。因此，当计算无故障时，得到y′≡x^d(mod N)以及y′≡(1+r)^d(mod r²)。步骤3的正确性遵循二项式定理。得到 ${(1+r)}^d=\underset{0\≤k\≤d}{\mathrm{\Σ}}\left(\begin{array}{c}d\\ k\end{array}\right)1^{d-k}{r}^k,$ 其中

代表二项式系数。通过模r²来简化该等式得到(1+r)^d≡1+dr(mod r²)，从而当计算无故障时，y′≡1+dr(mod r²)。未检测出故障的概率预期是大约1/r²。因此，在Vigilant的方法中r的32比特值应当提供与Shamir的方法中r的64比特值相同的安全级别。

Vigilant的方法相对于Shamir的方法具有几个优点。具体地，Vigilant的方法将求幂z＝x^d mod r换为更快的乘法1+dr mod r²，然而应当理解，假如

的值是已知的，则可以将Shamir的方法中的z的评估加速为

(其中

代表欧拉函数)。此外，Vigilant的方法应用于CRT模式中的RSA。

利用Shamir以及Vigilant的对策向RSA的应用来描述了这些对策。然而，应当理解由于对于相同的所推测的安全级别来说密钥更短，因此椭圆曲线加密(ECC)是相对于RSA的感兴趣的备选。

在ECC中，给定椭圆曲线E上的点P以及整数k，基本运算包含计算标量乘法kP，即，P+P+…+P(k次)，其中+代表E上的群运算。攻击者的目的是通过引起故障来恢复k的值(或者其一部分)。

尽管Shamir的对策推广至椭圆曲线标量乘法(参见例如Johannes

Martin Otto，and Jean-Pierre Seifert：“Sign Change Fault Attackson Elliptic Curve Cryptosystems”.In L.Breveglieri，I.Koren，D.Naccache，and J.-P.Seifert，editors，Fault Diagnosis and Tolerance inCryptography--FDTC 2006，volume 4236 of Lecture Notes in ComputerScience，pages 36-52.Springer-Verlag，2006.)，由于不存在二项式定理的等价物，所以Vigilant的方法并没有容易地适于推广至椭圆曲线标量乘法。

因此应当理解需要一种解决方案，该解决方案提供对抗ECC上的故障攻击的备选对策。本发明提供了这样的解决方案。

发明内容

第一方面，本发明提出了一种检验在第一椭圆曲线

上的加密运算的正确性的方法。处理器从所述第一椭圆曲线

以及第二椭圆曲线

获得由中国剩余给出的第三椭圆曲线

其中r是整数；在

上执行运算以获得第一结果；在

上执行运算以获得第二结果，其中

代表中以r为模简化至

上的单位元的点的子集；在

中验证所述第一结果和所述第二结果是否相等；以及如果相等，则以p为模而简化

的形式来输出所述运算的所述第一结果。

在第一优选实施例中，所述加密运算是

中的标量乘法，用于椭圆曲线

上的Q＝kP的抗故障计算。在

中形成点P^＝CRT(P(mod p)，R(mod r²))，使得P^在

中简化为P并且在

中简化为R，其中CRT代表中国剩余方法。在

中计算Q^＝kP^并且在

中验证是否Q^≡kR(mod r²)并且仅当在Q^≡kP(mod r²)的情况下输出Q＝Q^mod p。

在第二优选实施例中，随机地选择所述整数r。

在第三优选实施例中，所述整数r具有预定的值。

有利地，所述整数r是素数。

此外有利地，随机地选择

中的所述点R。

在另一个优选实施例中，将所述椭圆曲线表示为Edwards曲线或者表示为Jacobi曲线。

第二方面，本发明提供了一种用于检验在第一椭圆曲线

上的加密运算的正确性的设备。所述设备包括用于执行以下操作的装置：从所述第一椭圆曲线

以及第二椭圆曲线获得由中国剩余给出的第三椭圆曲线

其中r是整数；在

上执行运算以获得第一结果；在

上执行运算以获得第二结果，其中

代表了

中以r为模简化至

上的单位元的点的子集；在

中验证所述第一结果和所述第二结果是否相等；以及如果相等，则以p为模而简化

的形式输出所述运算的所述第一结果。

在第一优选实施例中，所述加密运算是

中的标量乘法，用于椭圆曲线

上Q＝kP的抗故障计算。所述设备包括用于执行以下操作的装置：在

中形成点P^＝CRT(P(mod p)，R(mod r²))，使得P^在中简化为P并且在

中简化为R，其中CRT代表中国剩余方法；在

中计算Q^＝kP^；在

中验证是否Q^≡kR(mod r²)并且仅当在Q^≡kR(mod r²)的情况下输出Q＝Q^mod p。

第三方面，本发明提供了一种计算机程序产品，在所述计算机程序产品上存储有指令，当由处理器执行所述指令时，所述指令执行根据第一方面的任意一个实施例所述的方法。

附图说明

现在将参考附图通过非限制性示例来描述本发明的优选特征，其中：

图1示出了根据本发明的优选实施例的抗故障方法的流程图；

图2示出了根据本发明的优选实施例的用于执行抗故障椭圆曲线加密计算的设备。

具体实施方式

令

为环，

表示在

上定义的椭圆曲线上的有理点集合。考虑在整数环模r²(ring of integers modulo r²)上定义的椭圆曲线，定义子集为

其中

表示上的单位元(identity element)。

图1示出了根据本发明的优选实施例的抗故障方法的流程图。可以使用下列方法来在椭圆曲线

上执行Q＝kP的抗故障计算：

1、考虑110由中国剩余给出的椭圆曲线

其中r是(小)整数。

2、在

中形成120点P^＝CRT(P(mod p)，R(mod r²))；即，点P^使得

a、在

中P^简化至P，以及

b、在

中P^简化至R。

3、

中计算130Q^＝kP^。

4、在

中检验140是否Q^≡kR(mod r²)，以及

如果是，则输出Q＝Q^mod p；

否则，返回“错误”。

值得注意的是在检验步骤(即，上述步骤4)中可以在中计算kR，这比在

中计算要快得多。依赖于椭圆曲线表示，这典型地总计为一个乘法再模r²。应当理解的是在

中，kR＝(k mod r)R。

所述方法具有众多的变体。例如，可以随机地选择整数r或者将整数r固定为预定的值。还可以将该整数选择为素数。对于

中的点R是一样的，即，可以随机地选择该点R或者将该点R固定为预定的值。

此外，可以以若干种方式来执行步骤4；具体地，可以使用所谓的感染计算(infective computation)来实施步骤4以避免显式的分支指令。在“RSA Speedup With Chinese Remainder Theorem Immune AgainstHardware Fault Cryptanalysis”by Sung-Ming Yen，Seungjoo Kim，Seongan Lim，and Sang-Jae Moon；IEEE Transactions on Computers，52(4)：461-472，2003；(Proc.of ICISC 2001中的较早版本)以及在“SignChange Fault Attacks On Elliptic Curve Cryptosystems”by Johannes

Martin Otto，and Jean-Pierre Seifert；in L.Breveglieri，I.Koren，D.Naccache，and J.-P.Seifert，editors，Fault Diagnosis and Tolerance inCryptography--FDTC 2006，volume 4236 of Lecture Notes in ComputerScience，pages 36-52；Springer-Verlag，2006中对感染计算进行了描述。

此外，可以用不同的方式来表示椭圆曲线。由于单位元不需要特殊的处理，因此具体感兴趣的是所谓的完整模型。该曲线的示例是Edwards曲线(由Daniel J.Bernstein和Tanja Lange在“Faster Additionand Doubling on Elliptic Curves”，in K.Kurosawa，editor，Advances inCryptology--ASIACRYPT 2008，volume 4833 of Lecture Notes inComputer Science，pages 29-50；Springer，2007中描述的)以及Jacobi曲线(由Olivier Billet和Marc Joye在“The Jacobi Model of An EllipticCurve and Side-Channel Analysis”，in M.Fossorier，T.Hoholdt，and A.Poli，editors，Applied Algebra，Algebraic Algorithms and Error-CorrectingCodes(AAECC-15)，volume 2643 of Lecture Notes in Computer Science，pages 34-42；Springer，2003中描述的)。

图2示出了根据本发明的优选实施例的设备。该设备200包括适于与其它设备(图中未示出)进行通信的至少一个接口单元210、至少一个处理器220以及适于存储数据的至少一个存储器230(如，累加器和中间计算结果)。处理器220适用于根据如本文之前描述的本发明方法的任意一个实施例来计算求幂。一种计算机程序产品240(如，CD-ROM或者DVD)包括所存储的指令，当由处理器220执行该指令时，该指令执行根据本发明的任意一个实施例所述的方法。

可以以独立或者以任何恰当的组合的形式来提供在说明书和(恰当的地方)和权利要求以及附图中公开的每一个特征。以硬件来实现的特征也可以采用软件来实现，反之亦然。出现在权利要求中的参考数字仅作为说明之用并且不应当对权利要求的范围起到任何限制作用。

Claims (9)

1.一种检验在第一椭圆曲线

上的加密运算的正确性的方法，所述方法包括在处理器(220)中的下列步骤：

从所述第一椭圆曲线和第二椭圆曲线

获得由中国剩余方法给出的第三椭圆曲线

其中r是整数；

在上执行所述加密运算以获得第一结果；

在

上执行所述加密运算以获得第二结果，其中

代表以r为模简化至

上的单位元素的点的子集；

验证所述第一结果和所述第二结果在

中是否相等；以及

如果相等，则以p为模而简化的形式输出所述第一结果。

2.根据权利要求1所述的方法，其中，所述加密运算是

由的标量乘法，用于椭圆曲线

上Q=kP的抗故障计算，其中k是整数，所述方法包括下列步骤：

在

中形成(120)点P^＝CRT(P(mod p)，R(mod r²))，使得P^在

中简化为点P并且在

中简化为点R，其中CRT代表中国剩余方法；

在

中计算(130)Q^=kP^；

在

中验证(140)是否Q^≡kR(mod r²)，并且仅当在Q^≡kR(mod r²)的情况下输出Q=Q^mod p。

3.根据权利要求1所述的方法，其中，所述整数r是随机地选择的。

4.根据权利要求1所述的方法，其中，所述整数r具有预定的值。

5.根据权利要求3和4中任一项所述的方法，其中，所述整数r是素数。

6.根据权利要求2所述的方法，其中，

中的所述点R是随机地选择的。

7.根据权利要求1或2所述的方法，其中所述椭圆曲线表示为Edwards曲线或者表示为Jacobi曲线。

8.一种用于检验在第一椭圆曲线上的加密运算的正确性的设备(200)，所述设备(200)包括用于执行以下操作的装置(220)：

从所述第一椭圆曲线和第二椭圆曲线

获得由中国剩余方法给出的第三椭圆曲线

其中r是整数；

在上执行所述加密运算以获得第一结果；

在

上执行所述加密运算以获得第二结果，其中

代表

以r为模简化至

上的单位元素的点的子集；

验证所述第一结果和所述第二结果在

中是否相等；以及

如果相等，则以p为模而简化的形式输出所述第一结果。

9.根据权利要求8所述的设备(200)，其中所述加密运算是

中的标量乘法，用于椭圆曲线

上Q＝kP的抗故障计算，其中k是整数，所述设备(200)包括用于执行以下操作的装置(220)：

在中形成点P^=CRT(P(mod p)，R(mod r²))，使得P^在

中简化为点P并且在中简化为点R，其中CRT代表中国剩余方法；

在

中计算Q^=kP^；

在

中验证是否Q^≡kR(mod r²)，并且仅当在Q^≡kR(mod r²)的情况下输出Q=Q^mod p。

Images