CN107437998A - 使用不安全和安全环境计算安全椭圆曲线标量乘法 - Google Patents

Abstract

本发明提供一种用于在不安全环境中安全地计算椭圆曲线标量乘法的系统，所述系统包括：包括安全存储器的安全处理器，所述安全处理器被配置成：将安全标量K分解成m₂个随机值k_i，其中i是整数下标；针对下标m₂＜i≤m₁而随机选择m₁‑m₂个值ki；选择m₁个掩码值δ_i；基于随机留数a_i、和k_π(i)来计算m₁个留数c_i，其中π(i)是随机排列；基于随机留数a_i和将被乘的椭圆点来计算m₁个椭圆曲线点G_i；接收m₁个椭圆曲线点；以及通过组合所述接收的椭圆曲线点的一部分并从所述接收的椭圆曲线点的所述部分去掉所述掩码值δ_i来计算所述椭圆曲线标量乘法；存储器装置；以及与所述存储器装置通信的处理器，所述处理器被配置成：接收m₁个留数c_i和椭圆曲线点G_i；基于所述m₁个留数c_i和椭圆曲线点G_i计算m₁个椭圆曲线点P_i；将所述m₁个椭圆曲线点P_i发送到所述安全处理器。

Description

使用不安全和安全环境计算安全椭圆曲线标量乘法

技术领域

本文中所公开的各种示例性实施例大体上涉及使用不安全和安全环境安全地计算椭圆曲线标量乘法。

背景技术

当今软件应用程序广泛用于向用户提供各种服务。这些软件应用程序可托管于多种不同装置上，例如，移动电话、个人计算机、手提电脑、平板电脑、机顶盒等。软件应用程序存在于由消费者使用的许多系统中，或存在于工业系统中。软件应用程序还存在于智能卡和信用卡中。此外，软件应用程序可跨越网络(例如因特网)而实施，其中所述软件应用程序在服务器上运行并且使用各种用户装置存取。这些软件应用程序中的许多者需要使用安全协议来保护内容、信息、交易和私密性。许多软件应用程序运行在攻击者完全控制所述软件应用程序的操作的环境中，且攻击者可能尝试对所述软件应用程序的代码进行逆向工程设计以便获得对安全信息的存取权或甚至理解所述软件的操作以便再现或修改所述软件应用程序的功能性。攻击者可能使用各种逆向工程设计工具(例如，代码分析器和调试器)来获得与所述软件应用程序相关的信息。

发明内容

下文呈现对各种示例性实施例的简要概述。以下概述中可能做出一些简化和省略，这意在突出并且介绍各种示例性实施例的一些方面，但不限制本发明的范围。足以允许本领域的一般技术人员做出并且使用发明性概念的示例性实施例的详细描述将在稍后章节呈现。

各种示例性实施例涉及一种用于在不安全环境中安全地计算椭圆曲线标量乘法的系统，所述系统包括：包括安全存储器的安全处理器，所述安全处理器被配置成：将安全标量K分解成m₂个随机值k_i，其中i是整数下标；针对下标m₂＜i≤m₁而随机选择m₁-m₂个值k_i；选择m₁个掩码值δ_i；基于随机留数a_i、和k_π(i)来计算m₁个留数c_i，其中π(i)是随机排列；基于随机留数a_i和将被乘的椭圆点来计算m₁个椭圆曲线点G_i；接收m₁个椭圆曲线点；以及通过组合所接收的椭圆曲线点的一部分并从所接收的椭圆曲线点的所述部分去掉掩码值δ_i来计算所述椭圆曲线标量乘法；存储器装置；以及与所述存储器装置通信的处理器，所述处理器被配置成：接收m₁个留数c_i和椭圆曲线点G_i；基于所述m₁个留数c_i和椭圆曲线点G_i计算m₁个椭圆曲线点P_i；将所述m₁个椭圆曲线点P_i发送到所述安全处理器。

此外，各种示例性实施例涉及一种用于使用安全处理器和不安全处理器安全地计算椭圆曲线标量乘法的方法，所述方法包括：通过所述安全处理器：将安全标量K分解成m₂个随机值k_i，其中i是整数下标；针对下标m₂＜i≤m₁随机选择m₁-m₂个值k_i；选择m₁个掩码值δ_i；基于随机留数a_i、和k_π(i)计算m₁个留数c_i，其中π(i)是随机排列；基于随机留数a_i和将被乘的椭圆点来计算m₁个椭圆曲线点G_i；接收m₁个椭圆曲线点；以及通过组合所接收的椭圆曲线点的一部分并从所接收的椭圆曲线点的所述部分去掉掩码值δ_i来计算所述椭圆曲线标量乘法；以及通过所述不安全处理器：接收m₁个留数c_i和椭圆曲线点G_i；基于m₁个留数c_i和椭圆曲线点G_i计算m₁个椭圆曲线点P_i；将m₁个椭圆曲线点P_i发送到所述安全处理器。

此外，各种示例性实施例涉及一种编码有用于使用安全处理器和不安全处理器安全地计算椭圆曲线标量乘法的指令的非暂时性机器可读存储媒体，所述非暂时性机器可读存储媒体包括：用于由所述安全处理器执行的指令，包括：用于将安全标量K分解成m₂个随机值k_i的指令，其中i是整数下标；用于针对下标m₂＜i≤m₁随机选择m₁-m₂个值k_i的指令；用于选择m₁个掩码值δ_i的指令；用于基于随机留数a_i、和k_π(i)计算m₁个留数c_i的指令，其中π(i)是随机排列；用于基于随机留数a_i和将被乘的椭圆点来计算m₁个椭圆曲线点G_i的指令；用于接收m₁个椭圆曲线点的指令；以及用于通过组合所接收的椭圆曲线点的一部分并从所接收的椭圆曲线点的所述部分去掉掩码值δ_i来计算所述椭圆曲线标量乘法的指令；以及用于由所述不安全处理器执行的指令，包括：用于接收m₁个留数c_i和椭圆曲线点G_i的指令；用于基于m₁个留数c_i和椭圆曲线点G_i计算m₁个椭圆曲线点P_i的指令；用于将m₁个椭圆曲线点P_i发送到所述安全处理器的指令。

描述各种实施例，其中所述安全处理器进一步：随机选择m₁个留数a_i；以及将所述m₁个留数a_i存储在安全存储器中。

描述各种实施例，其中m₁个掩码值δ_i选自存储在安全存储器中的预先计算的随机值集合。

描述各种实施例，其中基于随机留数a_i和将被乘的椭圆点计算m₁个椭圆曲线点G_i对于1≤i≤m₁被计算成：其中G是椭圆曲线的将被乘的椭圆点，n是所述椭圆点G的乘法阶。

描述各种实施例，其中将安全标量K分解成m₂个随机值k_i包括针对1≤i＜m₂-1选择m₂-1个随机值k_i并且计算其中n是所述椭圆点的乘法阶。

描述各种实施例，其中计算m₁个留数c_I被计算成k_π(i)mod n，其中n是所述椭圆点的乘法阶。

描述各种实施例，其中计算m₁个椭圆曲线点P_i被计算成P_i＝c_i·G_i。

描述各种实施例，其中通过组合所接收的椭圆曲线点的一部分并从所接收的椭圆曲线点的所述部分去掉掩码值δ_i计算所述椭圆曲线标量乘法被计算成：其中G是所述椭圆曲线的将被乘的椭圆点。

附图说明

为了更好地理解各种示例性实施例，可参看附图，其中：

图1示出用于实施椭圆曲线点乘的硬件图。

为了促进理解，相同附图标号用于指代具有大体上相同或类似结构和/或大体上相同或类似功能的元件。

具体实施方式

描述和图式示出了本发明的原理。因此应了解，本领域的技术人员将能够设计虽然未在本文中明确地描述或示出但体现本发明的原理且包括在本发明原理的范围内的各种布置。此外，本文中所述的所有例子主要明确地意在用于教学目的以辅助读者理解本发明的原理和由本发明人所提供的用于深化本领域的概念，且所有例子应解释为不限于此些具体叙述的例子和条件。此外，除非另外指明(例如，“或另外”或“或在替代方案中”)，否则本文所使用的术语“或”是指非排斥性或(即，和/或)。而且，本文所描述的各种实施例未必相互排斥，因为一些实施例可以与一个或多个其它实施例组合以形成新的实施例。

提供安全功能的装置可使用安全处理器装置来提供安全功能。此类装置还可以包括不安全处理器装置。归因于产生安全处理器的成本和复杂度，不安全处理器装置的计算能力与安全处理装置相比可能大很多。在安全处理器装置上运行的密码编译例程因此受限于该安全处理器装置的计算能力，且可能具有较长执行时间。

本文中描述了诸多实施例，其中密码编译算法的大部分计算密集的步骤可被分担到更有力的不安全处理器装置，使得安全处理器装置可稍后仅正确地重建所要结果。

现将描述使用安全处理器和不安全处理器两者来计算椭圆曲线标量乘法的方法。然后将示出该方法可以怎样用于实例化椭圆曲线数字签名算法。此描述采用可视为安全的安全处理器装置(例如，安全元件)和攻击者具有完全存取权的不安全处理器装置。在许多系统中，不安全处理器装置可具有显著好于安全处理器装置的计算能力和性能。

在本文所描述的实施例中，最为耗时的步骤可在不安全处理器装置上执行。然而，为了保持安全，该不安全处理器装置将作用于被模糊或掩蔽的数据，使得观测密码编译操作的攻击者得不到足够信息来计算该计算中所涉及的机密标量。

现将提供椭圆曲线密码术(ECC)的简要描述。令F_p表示素数基数p＞3的有限域。任何满足4a³+27b²≠0的a，b∈F_p定义经过F_p的椭圆曲线E_a，b。经过F_p的E_a，b的点群组E_a，b(F_p)被定义为零点∞以及满足短魏尔斯特拉斯(Weierstrass)方程

y²＝x³+ax+b (1)

以及以下写成为相加性的分组定律的数对集合(x，y)∈F_p×F_p。对于P∈E_a，b(F_p)，定义P+∞＝∞+P＝P。对于非零P＝(x₁，y₁)和Q＝(x₂，y₂)∈E_a，b(F_p)，在x₁＝x₂和y₁＝-y₂的情况下，定义P+Q＝∞。否则，P+Q＝(x，y)且x＝λ²-x₁-x₂和y＝λ(x₁-x)-y₁，其中

因此，使用这些仿射魏尔斯特拉斯坐标来表示群组元素，倍增(即，P＝Q)不同于常规相加(即，P≠Q)。

基于经过有限域的椭圆曲线的该代数结构，可建置公钥密码编译原语。与例如基于RSA的不对称密码编译系统相比，ECC的关键特征中的一者是显著更小的密钥大小。许多ECC协议中最耗时的操作是针对整数k和点P∈E(F_p)的椭圆曲线标量乘法kP。该标量乘法可定义为将该点P自身相加(k-1)次。举例来说，参看下文针对数字签名算法的椭圆曲线变型的算法1，所述算法1由美国国家标准与技术研究所标准化，其中第5步包括椭圆点P的标量乘法。

从20世纪90年代末开始，众所周知，在执行密码编译原语时所获得的功率轨迹的统计分析可能与所使用的机密密钥材料相关，且因此揭示关于该机密密钥材料的信息。此类差分功率分析和更多后续工作是破坏密码编译算法的实施安全性的强大工具。存在许多技术来对抗此类攻击。这些技术可通过提供另外的安全属性来在算法级或者硬件级上起作用。此类旁信道攻击不能够提取机密密钥材料的环境可表示为安全环境。此类专用硬件平台的代价是此类专用硬件平台以比不安全硬件平台低得多的时钟频率执行。

在以下描述中，假设使用被定义经过有限域E(F_p)的椭圆曲线以及素数阶n的生成元G∈E(F_p)。

为了成功地执行计算，安全处理器装置将具有对一些预先计算的数据的存取权，所述数据可被计算成初始化阶段的部分。此数据可按规则间隔刷新，但为本文的描述起见，采用固定的参数集合。

此初始化阶段可采用整数m₁＞2和t≥m₁作为输入，所述整数m₁＞2和t≥m₁控制预先计算的值的数目并且限定稍后在安全与不安全处理器装置之间传输的数据量。给定整数m₁和t，可计算随后的值。

●选择m₁个随机留数a_i∈(Z/nZ)^*，使得对于1≤i≤m₁，0≤a_i＜n，并且将所述m₁个随机留数a_i存储在与所述安全处理器装置相关联的安全环境中。

●选择t个随机留数λ_i∈(Z/nZ)^*，使得对于1≤i≤t，0≤λ_i＜n。定义集合

Λ＝{λ₁，λ₂，...，λ_t}

并且将此集合存储在所述安全环境中。

●针对1≤i≤m₁，计算m₁个椭圆曲线点

其中所有G_i，G∈E(F_p)和G是所述椭圆曲线标准中指定的生成元。将这些椭圆曲线点G_i发送到不安全处理器。

当a_i、λ_j和G_i(对于1≤i≤n和1≤j≤t)已被预先计算并且存储在安全处理器装置上时，可开始对椭圆曲线标量乘法的计算。安全处理器装置对来自初始化阶段的输入数据和标量k(所述标量k需要保密)执行以下步骤。

●选择随机整数k∈(Z/nZ)^*。

●选择随机整数m₂∈[1，2，...，m₁]。

●将k分解为m₂个随机部分。举例来说，所述分解可通过针对1≤i＜m₂-1选择m₂-1个随机值k_i∈(Z/nZ)^*并且将最后的值计算为来实现。这些分解值可进行再组合以确定值k。此外，对分解值的计算还可稍后被组合，因此结果是对所述值k的计算。

●针对下标m₂＜i≤m₁，选择m₁-m₂个随机值k_i∈(Z/nZ)^*。另外的随机值用于进一步掩蔽与k相关联的实际值，如下文所见。

●选择随机排列π：

●选择m₁个(不必不同的)值δ_i∈Λ(来自(Z/nZ)^*的预先计算的随机元素的集合)。这些值用于创建m₁元组(例如，有限有序列表)

●针对1≤i≤m₁，将m₁个留数c_i∈Z/nZ计算为 使用随机排列选择使用δ_i和k_i值的阶进一步对攻击者掩盖各种计算，并且这种用法将不同于点乘的每一迭代。

●将这些m₁个留数c_i和椭圆曲线点G_i发送到不安全处理器装置。

在接收到所述m₁个留数c_i(1≤i≤m₁)之后，所述不安全处理器装置利用预先计算的点G_i∈E(F_p)计算m₁个椭圆曲线标量乘法

对于1≤i≤m₁，P_i＝c_i·G_i。

由于值c_i和G_i是较大值，因此比起由所述安全处理器装置执行，此计算将由所述不安全处理器装置更高效且快速地执行。所述不安全处理器装置将所得点P_i∈E(F_p)传送回到所述安全处理器装置。

所述安全处理器装置接收这些m₁个点，所述点对应于

接下来，所述安全处理器装置组合合适的点并且去掉最终模糊处理(掩码)以将所需的椭圆曲线标量乘法计算为

因为对手可观测传输于安全与不安全处理器装置之间的m₁个留数，恢复随机值k的难度依赖于解决子集求和问题的例子的难度。

上文所描述的实施例示出怎样在两个计算装置之间划分椭圆曲线标量乘法的工作负载的技术。这些计算装置中的一者可视为安全的(例如，安全元件)，而另一装置可为不安全的但被假设具有显著较好的计算能力。此工作的分配是以如下方式执行：使得所述计算的计算密集部分在不安全(但更快的)装置上执行，同时仍保证安全性。此混合方法可用于(例如)提高基于密码编译方案的椭圆曲线的性能。

图1示出用于实施椭圆曲线点乘的硬件图100。如所示出，装置100包括经由一个或多个系统总线110互连的不安全处理器装置120、安全处理器装置125、存储器130、用户接口140、网络接口150和存储装置160。应理解，在一些方面中，图1构成抽象图，而装置100的组件的实际组织可能比所示更加复杂。

不安全处理器装置120可以是能够执行存储在存储器130或存储装置160中的指令或以其它方式处理数据的任何硬件装置。由此，处理器可包括微处理器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其它类似装置。

安全处理器装置120可以是能够执行存储在安全存储器或为所述安全处理器装置的部分的存储装置上的指令或以其它方式处理数据的任何硬件装置。由此，处理器可包括微处理器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其它类似装置。

存储器130可包括各种存储器，例如，L1、L2或L3高速缓冲存储器或系统存储器。由此，存储器130可包括静态随机存取存储器(SRAM)、动态RAM(DRAM)、快闪存储器、只读存储器(ROM)，或其它类似存储器装置。

用户接口140可包括用于实现与例如管理员的用户通信的一个或多个装置。举例来说，用户接口140可包括用于接收用户命令的显示器、鼠标和键盘。在一些实施例中，用户接口140可包括可经由网络接口150呈现给远程终端的命令行接口或图形用户接口。

网络接口150可包括用于实现与其它硬件装置通信的一个或多个装置。举例来说，网络接口150可包括网络接口卡(NIC)，该网络接口卡被配置成根据以太网协议通信。另外，网络接口150可实施TCP/IP堆栈以用于根据TCP/IP协议通信。用于网络接口150的各种替代的或另外的硬件或配置将是显而易见的。

存储装置160可包括一个或多个机器可读存储媒体，例如只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储媒体、光学存储媒体、快闪存储器装置，或类似存储媒体。在各种实施例中，存储装置160可存储用于由不安全处理器装置120执行的指令或由不安全处理器装置120操作的数据。举例来说，存储装置160可存储用于控制硬件100的各种基本操作的基本操作系统161。此外，存储装置160可包括通过上文所描述的不安全处理器装置120执行点乘步骤的不安全点乘指令162。

将显而易见的是，描述为存储在存储装置160中的各种信息可另外或替代地存储在存储器130中。就此而言，存储器130也可被视为构成“存储装置”，并且存储装置160可被视为“存储器”。各种其它布置将是显而易见的。此外，存储器130和存储装置160都可被视作“非暂时性机器可读媒体”。如本文中所使用，术语“非暂时性”应被理解为不包括暂时信号但包括所有形式的存储装置，包含易失性存储器和非易失性存储器两者。

虽然主机装置100示出为包括每个所描述的组件中的一个组件，但是在各种实施例中，各种组件可以重复。举例来说，不安全处理器装置120可包括多个微处理器，所述多个微处理器被配置成独立地执行本文中所描述的方法，或被配置成执行本文中所描述的方法的步骤或子例程，使得多个处理器协作以实现本文中描述的功能性。同样，安全处理器装置125可包括多个微处理器，所述多个微处理器被配置成独立地执行本文中所描述的方法，或被配置成执行本文中所描述的方法的步骤或子例程，使得多个处理器协作以实现本文中描述的功能性。

根据本发明的实施例的方法可在计算机系统上实施成计算机实施的方法。用于根据本发明的方法的可执行代码可存储在计算机程序媒体上。计算机程序媒体的例子包括存储器装置、光学存储装置、集成电路、服务器、在线软件等。此类计算机系统还可包括其它硬件元件，包括存储装置、用于利用外部系统以及在所述计算机系统的元件之间传输数据的网络接口。

在本发明的实施例中，计算机程序可包括适用于在所述计算机程序运行于计算机上时执行根据本发明的方法的所有步骤的计算机程序代码。优选地，所述计算机程序被实施在非暂时性计算机可读媒体上。

根据本发明的创建白盒实施方案的掩盖代码的方法可在计算机上实施为计算机实施的方法。用于根据所述实施例的方法的可执行代码可存储在计算机程序媒体上。在此类方法中，计算机程序可包括适于当所述计算机程序在计算机上运行时执行所述方法的所有步骤的计算机程序代码。所述计算机程序在非暂时性计算机可读媒体上实施。

在处理器上运行以实施本发明的实施例的特定软件的任何组合构成特定专用机器。

如本文中所使用，术语“非暂时性机器可读存储媒体”应理解为不包括暂时传播信号，但包括所有形式的易失性和非易失性存储器。此外，如本文中所使用，术语“处理器”应理解为涵盖多种装置，例如微处理器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)和其它类似处理装置。当软件在处理器上实施时，所述组合变为单个特定机器。

虽然已特定参考各种示例性实施例的某些示例性方面来详细地描述各种示例性实施例，但应理解，本发明能够容许其它实施例，且本发明的细节能够容许在各种显而易见的方面的修改。如对于本领域的技术人员而言显而易见，变化和修改可被实现，同时保持在本发明的精神和范围内。因此，前文公开内容、描述和图式仅出于说明性目的，并且不以任何方式限制本发明，本发明仅由权利要求书限定。

Claims (16)

1.一种用于在不安全环境中安全地计算椭圆曲线标量乘法的系统，其特征在于，包括：

包括安全存储器的安全处理器，所述安全处理器被配置成：

将安全标量K分解为m₂个随机值k_i，其中i是整数下标；

针对所述下标m₂＜i≤m₁，随机选择m₁-m₂个值k_i；

选择m₁个掩码值δ_i；

基于随机留数a_i、和k_π(i)计算m₁个留数c_i，其中π(i)是随机排列；

基于随机留数a_i和将被乘的椭圆点来计算m₁个椭圆曲线点G_i；

接收m₁个椭圆曲线点；以及

通过组合所述接收的椭圆曲线点的一部分并从所述接收的椭圆曲线点的所述部分去掉所述掩码值δ_i来计算所述椭圆曲线标量乘法；

存储器装置；以及

与所述存储器装置通信的不安全处理器，所述处理器被配置成：

接收m₁个留数c_i和椭圆曲线点G_i；

基于所述m₁个随机留数c_i和椭圆点G_i来计算m₁个椭圆曲线点P_i；

将所述m₁个椭圆曲线点P_i发送到所述安全处理器。

2.根据权利要求1所述的系统，其特征在于，所述处理器进一步被配置成：

随机选择m₁个留数a_i；以及

将所述m₁个留数a_i存储在所述安全存储器中。

3.根据权利要求1所述的系统，其特征在于，所述m₁个掩码值δ_i选自存储在所述安全存储器中的预先计算的随机值集合。

4.根据权利要求1所述的系统，其特征在于，基于随机留数a_i和将被乘的椭圆点计算m₁个椭圆曲线点G_i对于1≤i≤m₁被计算成：

<mrow> <msub> <mi>G</mi> <mi>i</mi> </msub> <mo>=</mo> <mrow> <mo>(</mo> <msubsup> <mi>a</mi> <mi>i</mi> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <mi>mod</mi> <mi> </mi> <mi>n</mi> <mo>)</mo> </mrow> <mo>&amp;CenterDot;</mo> <mi>G</mi> <mo>,</mo> </mrow>

其中G是所述椭圆曲线的将被乘的椭圆点，且n是所述椭圆点G的乘法阶。

5.根据权利要求1所述的系统，其特征在于，将安全标量K分解成m₂个随机值k_i包括针对1≤i＜m₂-1选择m₂-1个随机值k_i并且计算其中n是所述椭圆点的所述乘法阶。

6.根据权利要求1所述的系统，其特征在于，计算m₁个留数c_I被计算成：

<mrow> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>=</mo> <msub> <mi>a</mi> <mi>i</mi> </msub> <mo>&amp;CenterDot;</mo> <msubsup> <mi>&amp;delta;</mi> <mrow> <mi>&amp;pi;</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <mo>&amp;CenterDot;</mo> <msub> <mi>k</mi> <mrow> <mi>&amp;pi;</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </msub> <mi>mod</mi> <mi> </mi> <mi>n</mi> <mo>,</mo> </mrow>

其中n是所述椭圆点的所述乘法阶。

7.根据权利要求1所述的系统，其特征在于，计算m₁个椭圆曲线点P_i被计算成：

P_i＝c_i·G_i。

8.根据权利要求1所述的系统，其特征在于，通过组合所述接收的椭圆曲线点的一部分并从所述接收的椭圆曲线点的所述部分去掉所述掩码值δ_i来计算所述椭圆曲线标量乘法被计算成：

<mrow> <mi>k</mi> <mo>&amp;CenterDot;</mo> <mi>G</mi> <mo>=</mo> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <msub> <mi>m</mi> <mn>2</mn> </msub> </msubsup> <msub> <mi>&amp;delta;</mi> <mi>i</mi> </msub> <mo>&amp;CenterDot;</mo> <msub> <mi>P</mi> <mrow> <msup> <mi>&amp;pi;</mi> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msup> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </msub> <mo>,</mo> </mrow>

其中G是所述椭圆曲线的将被乘的椭圆点。

9.一种用于使用安全处理器和不安全处理器安全地计算椭圆曲线标量乘法的方法，其特征在于，包括：

通过所述安全处理器：

将安全标量K分解为m₂个随机值k_i，其中i是整数下标；

针对所述下标m₂＜i≤m₁，随机选择m₁-m₂个值k_i；

选择m₁个掩码值δ_i；

基于随机留数a_i、和k_π(i)计算m₁个留数c_i，其中π(i)是随机排列；

基于随机留数a_i和将被乘的椭圆点来计算m₁个椭圆曲线点G_i；

接收m₁个椭圆曲线点；以及

通过组合所述接收的椭圆曲线点的一部分并从所述接收的椭圆曲线点的所述部分去掉所述掩码值δ_i来计算所述椭圆曲线标量乘法；以及

通过所述不安全处理器：

接收m₁个留数c_i和椭圆曲线点G_i；

基于所述m₁个随机留数c_i和椭圆点G_i来计算m₁个椭圆曲线点P_i；

将所述m₁个椭圆曲线点P_i发送到所述安全处理器。

10.根据权利要求1所述的系统，其特征在于，所述安全处理器进一步：

随机选择m₁个留数a_i；以及

将所述m₁个留数a_i存储在安全存储器中。

11.根据权利要求9所述的方法，其特征在于，所述m₁个掩码值δ_i选自存储在安全存储器中的预先计算的随机值集合。

12.根据权利要求9所述的方法，其特征在于，基于随机留数a_i和将被乘的椭圆点来计算m₁个椭圆曲线点G_i对于1≤i≤m₁被计算成：

<mrow> <msub> <mi>G</mi> <mi>i</mi> </msub> <mo>=</mo> <mrow> <mo>(</mo> <msubsup> <mi>a</mi> <mi>i</mi> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <mi>mod</mi> <mi> </mi> <mi>n</mi> <mo>)</mo> </mrow> <mo>&amp;CenterDot;</mo> <mi>G</mi> <mo>,</mo> </mrow>

其中G是所述椭圆曲线的将被乘的椭圆点，且n是所述椭圆点G的乘法阶。

13.根据权利要求9所述的方法，其特征在于，将安全标量K分解成m₂个随机值k_i包括针对1≤i＜m₂-1选择m₂-1个随机值k_i并且计算其中n是所述椭圆点的所述乘法阶。

14.根据权利要求9所述的方法，其特征在于，计算m₁个留数c_I被计算成：

<mrow> <msub> <mi>c</mi> <mi>i</mi> </msub> <mo>=</mo> <msub> <mi>a</mi> <mi>i</mi> </msub> <mo>&amp;CenterDot;</mo> <msubsup> <mi>&amp;delta;</mi> <mrow> <mi>&amp;pi;</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <mo>&amp;CenterDot;</mo> <msub> <mi>k</mi> <mrow> <mi>&amp;pi;</mi> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </msub> <mi>mod</mi> <mi> </mi> <mi>n</mi> <mo>,</mo> </mrow>

其中n是所述椭圆点的所述乘法阶。

15.根据权利要求9所述的方法，其特征在于，计算m₁个椭圆曲线点P_i被计算成：

P_i＝c_i·G_i。

16.根据权利要求9所述的方法，其特征在于，通过组合所述接收的椭圆曲线点的一部分并从所述接收的椭圆曲线点的所述部分去掉所述掩码值δ_i来计算所述椭圆曲线标量乘法被计算成：

<mrow> <mi>k</mi> <mo>&amp;CenterDot;</mo> <mi>G</mi> <mo>=</mo> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <msub> <mi>m</mi> <mn>2</mn> </msub> </msubsup> <msub> <mi>&amp;delta;</mi> <mi>i</mi> </msub> <mo>&amp;CenterDot;</mo> <msub> <mi>P</mi> <mrow> <msup> <mi>&amp;pi;</mi> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msup> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> </mrow> </msub> <mo>,</mo> </mrow>

其中G是所述椭圆曲线的将被乘的椭圆点。