CN102779022B

CN102779022B - 抗边信道攻击的模幂方法和设备

Info

Publication number: CN102779022B
Application number: CN201210145594.6A
Authority: CN
Inventors: M.乔伊
Original assignee: 汤姆森特许公司
Priority date: 2011-05-11
Filing date: 2012-05-11
Publication date: 2017-03-01
Anticipated expiration: 2032-05-11
Also published as: US8984040B2; EP2523097A1; JP5977996B2; EP2523097B1; US20120290634A1; MX2012005408A; BR102012010971A2; CN102779022A; HK1176423A1; EP2523096A1; JP2012239171A; CA2775325A1

Abstract

一种抗边信道攻击的模幂和设备，模幂包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入。在针对从两个值a，b和第一模数N计算结果c使得c＝a·bmod N的至少一个模乘步骤期间，处理器（120）采用该两个值a，b和第一模数N作为输入，使用具有至多线性复杂度的运算从其获得两个运算数a’,b’和第二模数N’‑两个运算数a’,b’中的至少一个与两个值a，b不同，并且当a等于b时，所述两个运算数a’,b’不同‑使得从边信道的观点模乘c＝a·bmod N表现得类似模平方，除了当a’等于b’时。计算中间结果c′＝a′·b′mod N′；使用具有至多线性复杂度的运算从所述中间结果c’推导结果c；并且将结果c用于模幂。

Description

抗边信道攻击的模幂方法和设备

技术领域

本发明大体上涉及密码学（cryptography），并且更具体地涉及抗一定边信道（side channel）攻击的模幂（modular exponentiation）算法。

背景技术

本部分旨在向读者介绍可能与以下描述和/或要求保护的本发明的各个方面有关的技术的各个方面。相信本讨论有助于向读者提供背景信息以促进对本发明各个方面的更好理解。相应地，应该理解要鉴于此地阅读这些陈述，而不视为对现有技术的承认。

公钥（public-key）密码学中的基本运算是模幂。对于输入N，x和d，计算y=x^d modN。自然地存在主要现有技术模幂算法，以下给出其中两个示例。

算法1–从左到右二元方法（binary method）

输入:以及

输出:y=x^d mod N

1:R[0]←1;R[1]←x

2:for j=l-1 down to 0 do

3:R[0]←R[0]²mod N

4:if(d_j≠0)then R[0]←R[0]·R[1]mod N

5:end for

6:return R[0]

算法2-从右到左二元方法

输入:以及

输出:y＝x^d mod N

1:R[0]←1;R[1]←x

2:for j=0 to l-1 do

3:if(dj≠0)then R[0]←R[0]·R[1]mod N

4:R[1]←R[1]²mod N

5:end for

6:return R[0]

虽然两种方法都高效，技术人员将认识到它们可能经历边信道，尤其简单能量分析（SPA）攻击。见“Paul Kocher,Joshua Jaffe,and Benjamin Jun;Differential PowerAnalysis;在M.Wiener，editor,Advances in Cryptology-CRYPTO’99,Lecture Notes inComputer Science第1666卷,388–397页，Springer-Verlag,1999”;和“Paul C.Kocher;Timing Attacks on Implementations of Diffie-Hellman,RSA,DSS,and OtherSystems;在N.Koblitz,editor,Advances in Cryptology-CRYPTO’96,Lecture Notes inComputer Science卷1109,第104–113页，Springer-Verlag,1996”。

主要问题存在于条件转移（conditional branch）的出现中，即，该“if”语句。

克服这个问题的一种方式是在一轮（round）的每个循环执行乘法，换言之，只要d_j=0执行伪乘法（fake multiplication）。见“Jean-Sébastien Coron;Resistance AgainstDifferential Power Analysis for Elliptic Curve Cryptosystems;在K.和C.Paar,editors,Cryptographic Hardware and Embedded Systems-CHES’99,LectureNotes in Computer Science第1717卷,第292–302页，Springer-Verlag,1999”。然而作为结果的实现方式更慢；成本从每比特大约1.5个乘法增加到每比特2个乘法。增加的缺点在于该实现方式变得易受安全错误(safe error)攻击；见“Sung-Ming Yen and Marc Joye;Checking before output may not be enough against fault-based cryptanalysis;IEEE Transactions on Computers,49(9):967-970,2000”；和“Sung-Ming Yen,Seung-JooKim,Seon-Gan Lim,and Sang-Jae Moon;A Countermeasure Against One PhysicalCryptanalysis May Benefit Another Attack;在K.Kim,editor,Information Securityand Cryptology-ICISC 2001,Lecture Notes in Computer Science第2288卷,417-427页.Springer-Verlag,2002”。

一种更好的防止SPA类型攻击的方式是使用所谓边信道原子性（atomicity）；见“Chevallier-Mames,Mathieu Ciet,and Marc Joye;Low-Cost Solutions forPreventing Simple Side-channel Analysis:Side-Channel Atomicity;IEEETransactions on Computers,53(6):760–768,2004”。对应的算法是：

算法3–从左到右二元方法（原子化（atomic））

输入:以及

输出:y=x^d mod N

1:R[0]←1;R[1]←x

2:j←l-1;b←0

3:while(j≥0)do

4:R[0]←R[0]·R[b]mod N

5:

6:end while

7:return R[0]

算法4–从右到左二元方法（原子化）

输入:以及

输出:y=x^d mod N

1:R[0]←1;R[1]←x

2:j←0;b←1

3:while(j≤l-1)do

4:

5:R[b]←R[b]·R[1]mod N；j←j+b

6:end while

7:return R[0]

在算法3和4中，表示XOR（异或）算子，并且表示否算子（negation operator）（即，如果b=0，则并且如果b=1，则）。

将要认识到成本没有增加，而保持在大约每比特1.5个乘法。进一步将要认识到边信道原子性不限于二元求幂（binary exponentiation）方法。在以上提及的Chevallier-Mames,Ciet和Joye的论文中还可以发现其他算法。

虽然边信道原子性导致非常好的算法，但是应该强调该方法假定乘法运算是原子化的。更明确地，其假定不可能通过观察适合边信道来在模平方（modular squaring）和模乘(modular multiplication)之间做出区分。该假定不总是满足。在“Frédéric Amiel,Feix,Michael Tunstall,Claire Whelan,and William P.Marnane;Distinguishing Multiplications from Squaring Operations;In R.Avanzi,L.Keliher,and F.Sica,editors,Selected Areas in Cryptography-SAC2008,LectureNotes in Computer Science第5394卷,346–360页，Springer-Verlag,2009”中报道了具体（concrete）攻击。

因此将要认识到需要以下解决方案，其中从边信道的观点，模乘表现得（behave）类似模平方。本发明提供了这种解决方案。

发明内容

在第一方面，本发明针对一种执行模幂的方法，包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入。在针对从两个值a，b和第一模数N计算结果c使得c＝a·bmod N的至少一个模乘步骤期间，处理器采用该两个值a，b和第一模数N作为输入；从该两个值a，b和第一模数N获得两个运算数a’,b’和第二模数N’，使得该两个运算数a’,b’中的至少一个与所述两个值a，b不同，并且当a等于b时，所述两个运算数a’,b’不同，使得从边信道的观点模乘c＝a·b mod N表现得类似模平方，除了当a’等于b’时；其中，使用具有至多线性复杂度（at most linear complexity）的运算从值a获得运算数a’，从值b获得运算数b’，并且从第一模数N获得第二模数N’；计算中间结果c′＝a′·b′mod N′；从所述中间结果c’推导结果c，其中使用具有至多线性复杂度的运算从c’获得c；并且将结果c用于模幂。

在第一优选实施例中，a′＝2a，b′＝b+N并且N′＝2N，并且c′＝c/2。

在第二优选实施例中，a′＝N-a，b′＝b并且N′＝N，并且c′＝N-c。第一模数N是奇数是有利的。

在第二方面，本发明针对一种执行模幂的处理器，所述模幂包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入。所述处理器包括以下部件，在针对从两个值a，b和第一模数N计算结果c使得c＝a·b mod N的至少一个模乘期间，用于：采用该两个值a，b和第一模数N作为输入；从该两个值a，b和第一模数N获得两个运算数a’,b’和第二模数N’，使得该两个运算数a’,b’中的至少一个与所述两个值a，b不同，并且当a等于b时，所述两个运算数a’,b’不同，使得从边信道的观点模乘c＝a·b mod N表现得类似模平方，除了当a’等于b’时；其中，使用具有至多线性复杂度的运算从值a获得运算数a’，从值b获得运算数b’，并且从第一模数N获得第二模数N’；计算中间结果c′=a′·b′mod N′；从所述中间结果c’推导结果c，其中使用具有至多线性复杂度的运算从c’获得c；其中所述处理器还包括用于将结果c用于模幂的部件。

在第二优选实施例中，a′=N-a，b′＝b并且N′＝N，并且c′＝N-c。第一模数N是奇数是有利的。

在第三方面，本发明针对一种其上存储有指令的计算机程序产品，当处理器执行所述指令时，执行第一方面的方法。

附图说明

现在将参照附图，通过非限定性示例来描述本发明的优选特征，在附图中：

图1图示了根据本发明优选实施例的用于执行抵抗（resistant against）某些边信道攻击的求幂(exponentiation)的装置。

具体实施方式

本发明的主要发明性构思在于(如已经提及的)使得从边信道的观点，模乘表现得类似模平方，这可以用于提供抵抗某些边信道攻击的模幂算法。

这可以通过以下来实现：对a和b以N为模的模乘进行求值，使得当a=b时，在模乘中出现的两个运算数（operand）的值不同。

第一优选实施例基于对于任何元素的观察：

a·b mod N=[(a+a)·(b+N)mod 2N]/2

证明：定义整数T=(a+a)·(b+N)和S=T/2。得到因此，得到(T mod 2N)/2≡S≡ab(mod N)。注意到(T mod2N)/2在{0，...,N-1}中，现在结果如下。

值得注意：当a=b时，(a+a)·(b+N)=(2a)·(a+N)和2a≠a+N，这是由于a=N是不可能的，因为a在中（即，在集合{0,1，...,N-1}中）。换言之，当a=b时，在模乘(a+a)·(b+N)mod 2N中出现的两个运算数的值不同。

第二优选实施例依赖于恒等式：

a·b mod N=N–[(N–a)·b mod N]

证明：定义整数S=N–[(N-a)·b mod N]。由于(-1)²=1，显然地得到S≡a·b(modN)。另外S∈{0,...,N-1}。

此外，如果N是奇数，值得注意当a=b时，在模乘(N-a)·b mod N中出现的两个运算数的值不同。实际上，当a=b时，得到(N-a)·b=(N-a)·a并且当N是奇数时总是满足(N-a)≠a。

如果a’和b’是运算数并且N’是修改的模乘中的模数，并且c’是需要被调整以获得正确输出c的修改的模乘的结果，那么将认识到运算数a’和b’以及模数N’是使用具有至多线性复杂度的运算获得的–技术人员将认识到N’=2N正常地实现为加法或位移（bitshift）–如对于用于从c’获得c使用的操作的情况–“除法”实现为位移。

任一实施例都可用于在背景部分中描述的算法3和4，以引起以下算法。

算法3’–实现第一实施例的从左到右二元方法（原子化）

输入:以及

输出:y=x^d mod N

1:R[0]←1;R[1]←x

2:j ←l-1;b←0

3:while(j≥0)do

4:R[0]←((R[0]+R[0])·(R[b]+N)mod 2N)/2

5:

6:end while

7:return R[0]

算法4’-实现第二实施例的从右到左二元方法（原子化）

输入:以及

输出:y=x^d mod N

1:R[0]←1;R[1]←x

2:j←0;b←1

3:while(j≤l-1)do

4:

5:R[b]←N–[(N–R[b])·R[1]mod N];j←j+b

6:end while

7:return R[0]

应该注意到存在其中重写公式（formula）产生模平方的例子。这样的一个示例是使用第一实施例的公式的以N=120的70和20的模乘：

((70+70)·(20+120)mod 240)/2=(140·140mod 240)/2=(19600mod 240)/2=160/2=80。使用第二实施例的公式的这样的一个示例是以N=121的70和51的模乘：

121–((121-70)·51mod 121)=121–(51·51mod 121)=121–(2601mod121)=61。

然而将要认识到这些出现相比于原始原子化方案中的平方要罕见得多，虽然这些出现比不出现更经常。另外，当与某些随机化技术组合时，可能难以产生这样的冲突值（colliding value）。这例如，当模幂y=x^d mod N被计算为y=[(x+r·N)^d mod t·N]mod N时发生，其中t是对于一些安全性参数k的随机k比特整数并且r是{0，...,t-1}中的随机整数。

图1图示了根据本发明优选实施例的设备。设备100包括至少一个接口单元110，被适配用于与其它设备（未示出）通信；至少一个处理器120，以及至少一个存储器130，被适配用于存储数据，诸如累加量（accumulator）和中间计算结果(intermediary calculationresult)。处理器120被适配为根据发明性方法的任何实施例计算模乘，并且还执行实施这个乘法的模幂算法，如先前在此描述的。一种计算机程序产品140（诸如CD-ROM或DVD）包括所存储的指令，当通过处理器120执行所述指令时执行根据本发明任何实施例的方法。

将要认识到本乘法方法可以提供模幂算法，该模幂算法提供对抗边信道攻击增加的保护。

在描述以及（适当处的）权利要求和附图中公开的每个特征可以单独提供或者以任何合适的组合提供。描述为以硬件实施的特征还可以以软件实施，反之亦然。权利要求中出现的参考数字仅是例示的方式并且将不对权利要求的范围有限制影响。

Claims

1.一种执行模幂的处理器(100)，所述模幂包括迭代模乘步骤并且采用第一模数N，秘密指数d和底x作为输入，所述处理器使得能够通过观察适合的边信道来在模平方和模乘之间做出区分，并且所述处理器包括在针对从两个值a，b和第一模数N计算结果c使得c＝a·bmodN的至少一个迭代模乘步骤期间用于以下的部件(120)：

-采用该两个值a，b和第一模数N作为输入；

-从该两个值a，b和第一模数N获得两个运算数a’,b’和第二模数N’，使得该两个运算数a’,b’中的至少一个与所述两个值a，b不同，并且当a等于b时，所述两个运算数a’,b’不同，使得从边信道的观点模乘c＝a·bmodN表现得类似模平方，除了当a’等于b’时；其中，使用具有至多线性复杂度的运算从值a获得运算数a’，从值b获得运算数b’，并且从第一模数N获得第二模数N’；

-计算中间结果c'＝a'·b'modN'；以及

-从所述中间结果c’推导结果c，其中使用具有至多线性复杂度的运算从c’获得c；

其中所述处理器还包括用于将结果c用于模幂的部件(120)。

2.如权利要求1所述的处理器，其中a'＝2a，b'＝b+N并且N'＝2N，并且其中c'＝c/2。

3.如权利要求1所述的处理器，其中，a'＝N-a，b'＝b并且N'＝N，并且其中c'＝N-c。

4.如权利要求3所述的处理器，其中，第一模数N是奇数。