CN104601322A

CN104601322A - 用于密码芯片中三元扩域的蒙哥马利阶梯算法

Info

Publication number: CN104601322A
Application number: CN201310533581.0A
Authority: CN
Inventors: 顾海华
Original assignee: Shanghai Huahong Integrated Circuit Co Ltd
Current assignee: Shanghai Huahong Integrated Circuit Co Ltd
Priority date: 2013-10-31
Filing date: 2013-10-31
Publication date: 2015-05-06

Abstract

本发明公开了一种用于密码芯片中三元扩域的蒙哥马利阶梯算法，包括如下步骤：步骤（1），计算k_n-1，…，k₀,满足k＝k_n-13^n-1+…+k₀,其中k_n-1＝1或2；步骤（2），R[0]＝k_n-1P，R[1]＝(k_n-1+1)P；步骤（3），i从n-2到0循环：其中，步骤（3.1），如果k_i＝0，那么R[2]=3R[0],R[1]=2R[0]+R[1]；步骤（3.2），如果k_i＝1,那么R[2]＝2R[0]+R[1]，R[1]＝R[0]+2R[1]；步骤（3.3）,如果k_i＝2，那么R[2]＝R[0]+2R[1]，R[1]＝3R[1]；步骤（3.4），R[0]=R[2]；步骤（4），输出R[0]。本发明充分利用三元扩域的特点，即3次方能够迅速地计算；从而提高了椭圆曲线上点乘的计算效率。同时，本发明只需要x坐标参与运算，可以节省密码芯片的存储开销。

Description

用于密码芯片中三元扩域的蒙哥马利阶梯算法

技术领域

本发明涉及密码学领域，特别是涉及一种用于密码芯片中三元扩域的蒙哥马利阶梯算法。

背景技术

三元扩域GF(3m)上的椭圆曲线可以表示为y²＝x³+ax²+b，其中a，b∈GF(3^m)，且b≠0。点(x，y)的逆元是(x，-y)。

对于椭圆曲线上任意点P，定义P+∞＝P。

对于椭圆曲线上任意点P＝(x₁，y₁)≠∞和Q＝(x₂，y₂)≠∞，如果记P+Q＝(x₃，y₃)，则x₃＝λ²-a-x₁-x₂，y₃＝λ·(x₁-x₃)-y₁，其中

λ = \frac{y_{2} - y_{1}}{x_{2} - x_{1}} .

对于椭圆曲线上任意点P＝(x₁，y₁)≠∞，如果记2P＝(x₂，y₂)，则x₂＝λ²-a+x₁，y₂＝λ(x₁-x₂)-y₁，其中

对于椭圆曲线上任意点P＝(x₁，y₁)≠∞，如果记3P＝(x₃，y₃)，则

x_{3} = ({(x_{1}^{3} + b)}^{3} - a^{3} {bx}_{1}^{3}) / (a^{2} {(x_{1}^{3} + b)}^{2}),

y_{3} = (y_{1}^{9} - a^{3} y_{1}^{3} {(x_{1}^{3} + b)}^{2}) / (a^{3} {(x_{1}^{3} + b)}^{3}) .

蒙哥马利阶梯（Montgomery ladder）算法最初是针对二元扩域提出，根据其推导方法，也可以得到针对三元扩域的蒙哥马利阶梯算法如下：

步骤（1），计算k_n-1，…，k₀，满足k＝k_n-12^n-1+…+k₀，其中k_n-1＝1；

步骤（2），R[0]＝d_n-1P，R_[1]＝(d_n-1+1)P；

步骤（3），i从n-2到0循环，其中：

步骤（3.1），如果k_i＝0，那么R[2]＝2R[0]，R[1]＝R[0]+R[1]；

步骤（3.2），如果k_i＝1，那么R[2]＝R[0]+R[1]，R[1]＝2R[1]；

步骤（3.3），R[0]=R[2]；

步骤（4），输出R[0]。

为了表述清晰，把P，R[0]，R[1]，R[0]+R[1]的x坐标分别记为x₀，x₁，x₂，x₃，于是

x_{3} = \frac{b + x_{1} \cdot x_{2} \cdot (a - x_{1} - x_{2})}{{(x_{2} - x_{1})}^{2}} - x_{0} .

以上方法的不足在于它没有充分利用三元扩域的特性，即三元扩域中x³可以迅速实现。从而导致三元扩域的蒙哥马利阶梯算法在密码芯片中运算效率低下，以至于许多密码芯片不得不选用其它方法。

发明内容

本发明要解决的技术问题是提供一种用于密码芯片中三元扩域的蒙哥马利阶梯算法，能够提高椭圆曲线上点乘的计算效率，且可以节省密码芯片的存储开销。

为解决上述技术问题，本发明的用于密码芯片中三元扩域的蒙哥马利阶梯算法，包括如下步骤：

步骤（1），计算k_n-1，…，k₀,满足k＝k_n-13^n-1+…+k₀,其中k_n-1＝1或2；

步骤（2），R[0]＝k_n-1P，R[1]＝(k_n-1+1)P；

步骤（3），i从n-2到0循环，其中：

步骤（3.1），如果k_i＝0，那么R[2]=3R[0],R[1]=2R[0]+R[1]；

步骤（3.2），如果k_i＝1，那么R[2]＝2R[0]+R[1]，R[1]＝R[0]+2R[1]；

步骤（3.3），如果k_i＝2，那么R[2]＝R[0]+2R[1]，R[1]＝3R[1]；

步骤（3.4），R[0]=R[2]；

步骤（4），输出R[0]。

其中2R[0]+R[1]＝(R[0]+R[1])+R[0],即可以先计算R[0]+R[1]，再加R[0]来得到2R[0]+R[1]。这样计算的优势在于可以只用x坐标。为了表述清晰，把P，R[0]，R[1]，R[0]+R[1]，2R[0]+R[1]的x坐标分别记为x₀，x₁，x₂，x₃，x₄,于是

x_{3} = \frac{b + x_{1} \cdot x_{2} \cdot (a - x_{1} - x_{2})}{{(x_{2} - x_{1})}^{2}} - x_{0}

x_{4} = \frac{b + x_{1} \cdot x_{3} \cdot (a - x_{1} - x_{3})}{{(x_{1} - x_{3})}^{2}} - x_{2}

对于2R[1]+R[0]也用相同的方法计算，只需要改变下标即可。又根据背景知识知，计算三倍点3P的x坐标只需要P点的x坐标，所以本发明的整个过程也只用x坐标就足够，不需要y坐标。

本发明充分利用三元扩域的特点，即3次方能够迅速地计算；从而提高了椭圆曲线上点乘的计算效率。同时，本发明只需要x坐标参与运算，可以节省密码芯片的存储开销。

附图说明

下面结合附图与具体实施方式对本发明作进一步详细的说明：

附图是在标量乘计算过程中使用本发明的流程图。

具体实施方式

为了使三元扩域的蒙哥马利阶梯算法适用于密码芯片，本发明基于三元扩域提出了一个新的蒙哥马利阶梯算法。这种算法适用于计算密码芯片中椭圆曲线的点乘。

下面结合附图，进一步说明本发明的具体实施细节。

取三元扩域GF(3⁹⁷)，为了表述清晰，三元扩域中的元素用多项式系数表示。取椭圆曲线y²＝x³+ax²+b的参数a和b分别为：

a=1002122120101011202210022222122102020222122012120021212000000211210002200121001，

b=0010212221001211012212102120011201010220011012101212120202212122122002211001221。

蒙哥马利阶梯方法的特点是只需要x坐标，于是随机选择一个点P，它的x坐标值为：

1010202201211002121002111111122012210112012022112120201011011210020121002002220。

令k=7，则k₁＝2，k₀＝1，这里n＝2。

R[0]的x坐标值为：

1212220201012201100101010002101111112201112211221012002201221022222102201220222。

R[1]的x坐标值为：

0201110111101101121012210110211211200100002202102202212202221102102100111010212。

因为i←n-2＝0，k₀＝1，所以计算R[2]←2R[0]+R[1]，R[1]←R[0]+2R[1]得到R[2]的x坐标值为：

0102012012102222000001221100012221011011120111212101101120102122101210112111101。

R[1]的x坐标值为：

0202101200200120011120110121120201212202022012010002011210220220002220011200122。

R[0]←R[2]i←i-1＝0，最后输出R[0]的x坐标值为：

以上通过具体实施方式对本发明进行了详细的说明，但这些并非构成对本发明的限制。在不脱离本发明原理的情况下，本领域的技术人员还可做出许多变形和改进，这些也应视为本发明的保护范围。

Claims

1.一种用于密码芯片中三元扩域的蒙哥马利阶梯算法，其特征在于，包括如下步骤：

步骤（1），计算k_n-1，…，k₀，满足k＝k_n-13^n-1+…+k₀，其中k_n-1＝1或2；

步骤（2），R[0]＝k_n-1P，R[1]＝(k_n-1+1)P；

步骤（3），i从n-2到0循环，其中：

步骤（3.1），如果k_i＝0，那么R[2]＝3R[0]，R[1]＝2R[0]+R[1]；

步骤（3.3），如果k_i＝2，那么R[2]＝R[0]+2R[1]，R[1]＝3R[1]；

步骤（3.4），R[0]=R[2]；

步骤（4），输出R[0]。

2.如权利要求1所述的蒙哥马利阶梯法，其特征在于：整个所述算法只需要x坐标参与运算。

3.如权利要求1或2所述的蒙哥马利阶梯算法，其特征在于：步骤3.1和3.2中2R[0]+R[1]通过以下公式计算：

x_{3} = \frac{b + x_{1} \cdot x_{2} \cdot (a - x_{1} - x_{2})}{{(x_{2} - x_{1})}^{2}} - x_{0}

x_{4} = \frac{b + x_{1} \cdot x_{3} \cdot (a - x_{1} - x_{3})}{{(x_{1} - x_{3})}^{2}} - x_{2}

其中x₀，x₁，x₂，x₃，x₄分别为P，R[0]，R[1]，R[0]+R[1]，2R[0]+R[1]的x坐标。