CN1554047A - 计算模指数结果之装置及方法 - Google Patents

Abstract

于一用以计算一模指数结果之装置中，系使用中国剩余定理(CRT)，其中两辅助指数系使用两辅助指数及两次模数计算。为了改善RSA CRT计算之安全性以对抗密码学攻击者，该辅助指数之随机化及/或该次模数之改变系被执行。因此，分别会有一安全RSA解密及RSA加密，其系藉由计算时间有效率之中国剩余定理。

Description

计算模指数结果之装置及方法

本发明是关于模指数，尤其是关于使用中国剩余理论(CRT)之模指数。

在详细的解说RSA密码系统之前，会先概括说明一些密码学的基础概念。一般来说，我们系区别为对称性加密法，其亦称作秘密钥加密法，以及公开钥加密法，其亦称作具有一公开钥之加密方法。

一种通讯系统具有两人使用具有一对称钥之加密法可如下描述。第一人经由通往第二人之一安全信道传送其加密钥，其后，第一人藉由该钥将其秘密讯息加密，并且经由一公开或非安全信道传送该加密之讯息至第二人，第二人接着使用该对称钥解密该加密之讯息，该对称钥系已经经由该安全信道传递至该第二人。一个相当重要的问题在于，此类加密系统要提供一种交换该秘密钥之有效方法，亦即必须找到一个安全信道。

相反地，一种非对称性加密法系如下执行。想要获得一秘密讯息之一人传递其公开钥给另一人，亦即该人所欲从其获得一秘密信息之人，该公开钥系经由一非安全信道传送，亦即经由一个「公开」信道。

欲传送一秘密讯息之人接收另一人之该公开钥，使用该公开钥加密该讯息，且再一次经由一非安全信道传送该加密之讯息，亦即经由一公开信道，传送至该公开钥之提供人。只有具有该产生之公开钥之人可提供秘密钥以解密该加密之讯息，甚至具有使用该公开钥加密该讯息者亦不能解密该讯息，这种概念的优点在于两人之间不需安全的信道，亦即不需要秘密钥之交换，具有加密该讯息之人不需要知道该讯息接收者之秘密钥。

一种物质模拟于该非对称性加密概念或是公开钥加密概念如下所述。假设有一个金属盒，该金属盒之盖子系由一组合锁所锁住，仅有想获得一加密讯息的人会知道该组合，如果该锁是开着的且公开使用，想要传送一秘密讯息的每一个人都能放置该讯息至该金属盒并且关上盖子，然而，只有盒子的制造者知道该组合锁之组合，只有此人能解密该讯息，亦即再度打开盖子，即便放入该讯息至该盒子的人也不可能再把讯息从里头拿出来。

非对称性或公开钥加密该念最重要的就是基础数学问题，用以解密之其解法几乎是不可能使用该公开钥的，然而，其解法则很容易知道秘密钥，所知最佳公开钥加密系统之一系为RSA加密系统，RSA加密系统系被描述于「应用加密学手册，Menezes，van Oorschot，Vanstone，CRC press 1997」，第285页至第291页中。

接下来，以第3图作为参考来说明RSA算法。最初的状态是一传送人加密一讯息m，其系另一个传送者必须要再一次解密，该加密实体必须于一开始，即步骤200中，获得该公开钥(n，e)，以便可以送给另一人一加密讯息，其后，该加密实体，于步骤210中，必须将该加密讯息以一整数m表示，其中m必须在从0至n-1的范围中，在步骤220中，其系确实加密步骤，该加密实体必须计算下列方程式：

c＝m^e mod n

c系为该加密讯息，接着于步骤230中输出，并且经由一公开信道转换至该加密讯息之接收者，在第2图中，其系参照步骤240，在步骤250中，该接收者接收该加密讯息c，且于步骤260中，其系确实解密步骤，执行下列计算：

m＝c^d mod n

从第3图中可看出，仅需要该公开钥(n，e)用以加密，而不需要该秘密钥d，尽管当解密时需要该秘密钥d。

问题是在于一个攻击者如何可以侵害RSA加密系统，他知道该公开钥，即n和e，他能将模数n分解成两个质数因子之乘积，且接着精确地计算该秘密钥d，就如同该真正的钥产生器者所做的。为此，该攻击者必须测试所有可能的质数对p’、q’，以便寻找该秘密钥d，有时同样地也考虑e。由于小质数p和q，此问题可相对地轻易地藉由测试解决，如果p和q，亦即该模数n等于p和q之乘积，变的比较大，则分解该模数之不同可能性将会大大地增加，这就是RSA系统之安全性基础。因此，很明显地可以知道，一个安全的RSA加密系统必须使用非常长的数字，举例来说，其具有512、1024甚至2048位之长度。

从第3图中可知，一模指数必须在一RSA加密法中计算以便由一非加密讯息m中产生一加密讯息c，且亦要在解密中计算以便由一加密讯息c产生一解密讯息m，这在第3图中藉由步骤220和260中可清楚得知。当计算该模指数时，中国剩余定理(CRT)特别具有优势，其系当在使用整数，尤其是该模块n系为长数字时，然而，如同已经说明的，该RSA算法的安全性系基于该整数为长整数的事实上。

中国剩余定理系于上述所提之「应用密码学之手册」第610页及接下来的页数中描述。中国剩余定理，尤其是知名的Garner算法形式，系基于将具有模数n之该模指数分成两个第二次模数p、q之模指数，其中该次模数p、q系系为质数，且其乘积结果就是模数n，具有一场模数之模指数系因此被分为两个具有短的次模数(典型地具有一半长度)之模指数。此方法之优点在于仅需要计算具有一半长度之单位，或是当该计算单位长度一样时，便可以使用两倍长度的数字，其将导致安全性和芯片面积之更有利的关系，亦即，通常可改善表现和价格间的关系。

应用于所描述之模指数之中国剩余定理如下所述。首先，两质数p、q，如果可能的话，其需要具有一样的长度，且其p×q的乘积所得之模数n系被计算，其后，一第一辅助数dp系如下计算：

dp＝d mod(p-1)

接着，一第二辅助数dp系被计算：

dp＝d mod(q-1)

接下来，一第三辅助数Mp系被计算：

Mp＝c^dp mod p

另一辅助数Mq系如下计算：

Mq＝c^dp mod q

在一最终统合步骤，模指数之结果，亦即在本例中，没有加密过的文件讯息m系如下计算，假设c系为欲被加密之讯息：

m＝Mq+[(Mp-Mq)×q^-1 mod p]×q

从上述中国剩余定理之说明可以看出，一具有长模数n之模指数被分成两个具有次模数p和q之模指数，其仅具有一半长度，且在最后计算该未加密文件讯息m之步骤中，系执行一总和运算，其中系需要与一次模数p相关之被乘数倒数q^-1，因为该次模数p系短于该原始模数n，所以该被乘数倒数q^-1之计算，举例来说，系使用延伸欧几里德(Euclidian)算法，是可能具有一合理之计算特异错综性。

虽然中国剩余定理的使用分别减低了计算时间效率及一安全IC之芯片面积消耗度，该中国剩余定理具有关于攻击该加密系统之问题，举例来说，例如所谓的侧面信道攻击，暴力分析法或是试误攻击法，一个攻击者可能于该算法上执行此种攻击以「破解」该秘密钥d。

在RSA加密法方面，亦即当一加密讯息c由该未加密过讯息计算，该安全问题并未那么明显，因为对加密一讯息来说，不管怎样都只有公开钥e被使用，然而，这问题会在当使用RSA作为签名算法时发生。

本发明之目的在于提供一安全和有效率之概念，用以计算该模指数，其系藉由CRT保护该RSA签名避免遭受试误攻击。

本发明目的之达成系藉由一种装置，其系用以计算一模指数之结果，其系根据权利要求第1项或第6项，或是藉由一种装置，其系用以计算一模指数之结果，其系根据权利要求第9项或第10项。

本发明系基于该模指数之安全性结果能增加，其系RSA加密系统之基础运算，即使当使用中国剩余定理时，以便更有效率地能计算该RSA模指数，此能藉由中国剩余定理之随机化辅助数量达成，或是藉由引进于该模指数中之一安全性参数给次模数达成，该指数及/或受该安全性参数影响之该该模数变化之随机化提供了增加之安全性以对抗侧面信道攻击或是试误攻击，该模数系属该中国剩余定理之两「附属指数」。

本发明之另一优点在于已存在之密码程序，其具有之该RSA指数能使用CRT计算而不需要修改，但仅有CRT标准参数能被修改，而非用以计算使用该次模数之该两模指数之核心计算步骤。

这表示当下该RSA钥之该钥管理之所有构造仍然可以被使用。

本发明之较佳实施例将在其后参照附加图式更详细地说明，其中：

第1图所示为一种用以计算该模指数之装置，其系根据本发明之一第一实施例，其中该附属指数之指数系随机排列；

第2a图所示为一区段，其系为用以计算该模指数之一种装置，其系根据本发明之一第二实施例，其系能自行实施或是与本发明之该第一实施例一起实施，其中该次模数系随机排列；

第2b图为一错误检查技术，其系用以在总和该结果前检查该附属指数之结果；

第3图系为用以加密和解密之RSA算法之一流程图。

第1图所示为一种发明装置，其系用以安全地计算使用中国剩余定理之一模指数结果。输入参数系为两质数p、q，其乘积即为该模指数之模数n，该钥d系为另一个输入参数。接下来，本发明之第一实施例将就于RSA算法中解密方面来说明，该解密讯息m系由一加密讯息c计算，其系使用根据下列方程式之秘密钥d：

m＝C^d mod n

该发明装置包含装置100用以计算该第一辅助数dp，其系根据下列方程式：

dp＝d mod(p-1)

另一个装置102用以计算一第二辅助数dq系执行下列方程式：

dq＝d mod(q-1)

该发明装置用以计算一模指数结果，更包含装置104用以产生一随机数IRND 104，此装置依次之后系为装置106以计算一第三辅助数dp’，其系根据下列方程式：

dp’＝IRND×(p-1)+dp

该第三辅助数dp’系因此为该第一辅助数之一随机化指数，其系藉由用以计算该第五辅助数Mp之装置110计算，，其系形成以执行下列方程式：

Mp＝c^dp’mod p

模拟来说，装置108系被提供以计算一第四辅助数dq’，其系根据下列方程式：

dq’＝IRND(q-1)+dq

用以计算该第六辅助数Mq之装置112藉由该第四辅助数运算，该第四辅助数代表该第二附属指数之随机指数：

Mq＝c^dq’mod q

装置114最终计算该结果m，亦即于本实施例中为该解密讯息，系根据下列方程式：

m＝Mq+[(Mp-Mq)×q^-1 mod p]×q

RSA算法所需要之该模指数此外能安全地被形成，其系当该附属模数d或是附属模数q系改变时，此即于第2a图中说明。根据本发明之一第二实施例之一种装置包含装置120，其系用以产生一质数T作为一安全参数，其系较佳地为一相对小之质数，以便不要「牺牲」太多该中国剩余定理之计算时间优势就为了有利于安全性，该第一附属指数Mp之结果，如同该第二附属指数Mq之结果，其系并不使用原始附属次模数p、q计算，而是分别使用附属次模数p×T及q×T，系接着分别与安全性参数藉由装置110’和112’提供。即便该次模数p、q独自改变，亦即没有分别随机化该附属指数dp’和dq’，提供一增加之安全性以对抗密码学攻击者。然而，根据本发明之最安全方法，系为使用附属指数之随机化，如同第1图所说明，以及改变之附属模数，如同第2a图所说明。在本例中，用以计算一模指数之结果之装置将如同第1图所说明形成，不同处只在提供装置120，以及第1图之装置110和112分别使用次模数pT和qT，其系提供较安全之参数而非次模数p和q。

与安全参数一起提供之次模数之使用与该随机化指数，如同第2b图所说明，可使得在使用第1图之装置114计算该结果之前执行一附属计算，如同第2b图方块140所说明，如果该方程式被满足，就能产生一输出指示中国剩余定理(CRT)已经正确地被执行。(方块142)。

如果藉由装置140所说明之等式状态未被满足，则无输出144发生，如果一CRT错误发生，在藉由装置114之该「总和」之前计算就能被终止。除此之外，其确保该随机化之附属指数dp’及dq’系分别调为次模数pT和qT，其系由该安全系参数改变，如果如其所愿，该附属指数系为随机化，且该次模数系改变，因为该延伸之次模数、相对较小之质数32771系较佳地作为该安全性参数T，以为了CRT节省计算和安全性之间之调和。

由装置140检查之中间结果确保在该算法之结果输出前能发生一中断，举例来说，其系当Mp及/或Mq计算期间，于安全性IC上之一试误攻击发生时，此攻击会失效，因为在本例中一攻击之「CRT错误」系由装置140产生，以致于不会有输出，而试误攻击将因此失败。除此之外，必须要指出的是，藉由该中间结果检查之保护并不算很复杂，因为该参数T系较佳地唯一小质数，以致于在第2b图中之方块140之该指数跟该模数比起来具有一较小指数。

图式符号说明

100用以计算一第一辅助数dp之装置

102用以计算一第二辅助数dq之装置

104用以产生一随机号码IRND之装置

106用以产生一第三辅助数dp’之装置

108用以产生一第四辅助数dq’之装置

110用以计算一第五辅助数Mp之装置

110’用以产生使用一变化次模数之第五辅助数Mp之装置

112用以计算一第六辅助数Mq之装置

112’用以产生使用一变化次模数之第六辅助数Mq之装置

114用以计算该模指数结果之装置

120用以产生该安全性参数T之装置

140用以计算一第七辅助数H7及一第八辅助数H8之装置

142用以确定该第七辅助数和该第八辅助数符合之装置

144用以指示于CRT中一错误之装置

200获得该公开钥

210以一数字表示该讯息

220计算c

230输出c

240信道

250接收c

260计算m

Claims (9)

1.一种用以计算一模指数结果之装置，n系为一模数，d系为一指数，且c系为一属于模指数之数，其包含：

用以计算一第一辅助数dp之装置(100)，

其中dp系定义如下：

dp＝d mod (p-1)，

其中p系为一第一质数；

用以计算一第二辅助数dp之装置(102)，

其中dp系定义如下：

dq＝d mod (q-1)，

其中q系为一第二质数，

其中p和q之一乘积等于该模数n；

用以产生一随机号码(IRND)之装置(104)；

用以产生一第三辅助数dp’之装置(106)，

其中dp’系定义如下：

dp’＝IRND×(p-1)+dp；

用以产生一第四辅助数dq’之装置(108)，

其中dq’系定义如下：

dq’＝IRND×(q-1)+dq；

用以产生一第五辅助数Mp之装置(110)，

其中该第五辅助数Mp系定义如下：

$\mathrm{Mp}=c^{{\mathrm{dp}}^{,}}\mathrm{mod}p;$

用以产生一第六辅助数Mq之装置(112)，

其中该第六辅助数Mq系定义如下：

$\mathrm{Mq}=c^{d{q}^{,}}\mathrm{mod}q;$ 以及

用以计算该模指数m结果之装置(114)，

其中m系定义如下：

m＝Mq+[(Mp-Mq)×q^-1 mod p]×q。

2.如权利要求第1项所述之装置，更包含用以产生一安全性参数T之装置(120)，

其中用以产生该第五辅助数Mp之装置(110)系形成以便如下计算该第五辅助数：

$\mathrm{Mp}=c^{{\mathrm{dp}}^{,}}\mathrm{mod}\left(\mathrm{pT}\right),$ 以及

其中用以产生该第六辅助数Mq之装置(112)系形成以便如下计算该第六辅助数：

$\mathrm{Mp}=c^{{\mathrm{dq}}^{,}}\mathrm{mod}(q\×T).$

3.如权利要求第2项所述之装置，更包含用以计算一第七辅助数H7之装置，

其中该第七辅助数H7系定义如下：

H7＝Mp×Mq mod T，以及

其中更提供用以计算一第八辅助数H8之装置，

其中该第八辅助数H8系定义如下：

$H8=c^{({\mathrm{dp}}^{,}+{\mathrm{dq}}^{,})\mathrm{mod}(T-1)}\mathrm{mod}T;$ 以及

用以比较该第七和第八辅助数之装置，其中用以比较之装置系配置以指示一错误，其系当该第七和该第八辅助数不同时。

4.根据前述权利要求中任一项之装置，其中该装置系提供给一RSA译码或RSA签名，m系为一未加密之讯息，d系为一秘密钥，及c系为一加密讯息。

5.一种用以计算一模指数之装置，n系为一模数，d系为一指数，且c系为一属于模指数之数，其包含：

用以计算一第一辅助数dp之装置(100)，

其中dp系定义如下：

dp＝d mod (p-1)，

其中p系为一第一质数；

用以计算一第二辅助数dp之装置(102)，

其中dp系定义如下：

dq＝d mod (q-1)，

其中q系为一第二质数，

其中p和q之一乘积等于该模数n；

用以提供一安全性参数T之装置(104)；

用以产生一第三辅助数p×T及一第四辅助数q×T之装置，

用以产生一第五辅助数Mp之装置(110)，

其中该第五辅助数Mp系定义如下：

$\mathrm{Mp}=c^{\mathrm{dp}}\mathrm{mod}(p\×T);$

用以产生一第六辅助数Mq之装置(112)，

其中该第六辅助数Mq系定义如下：

$\mathrm{Mq}=c^{\mathrm{dq}}\mathrm{mod}(q\×T);$ 以及

用以计算该模指数m结果之装置(114)，

其中m系定义如下：

m＝Mq+[(Mp-Mq)×q^-1 mod p]×q。

6.根据权利要求第5项所述之装置，其中该安全性参数T系为一质数。

7.根据权利要求第3或5项所述之装置，其中该安全性参数T分别跟该第一质数p及该第二质数q相比系为较小。

8.一种用以计算一模指数结果之方法，n系为一模数，d系为一指数，且c系为一属于该模指数之数，其步骤系包含：

计算(100)一第一辅助数dp，

其中dp系定义如下：

dp＝d mod (p-1)，

其中p系为一第一质数；

计算(102)一第二辅助数dp，

其中dp系定义如下：

dq＝d mod(q-1)，

其中q系为一第二质数，

其中p和q之一乘积等于该模数n；

提供(104)一随机号码(IRND)；

产生(106)一第三辅助数dp’，

其中dp’系定义如下：

dp’＝IRND×(p-1)+dp；

产生(108)一第四辅助数dq’，

其中dq’系定义如下：

dq’＝IRND×(q-1)+dq；

产生(110)一第五辅助数Mp，

其中该第五辅助数Mp系定义如下：

$\mathrm{Mp}=c^{{\mathrm{dp}}^{,}}\mathrm{mod}p;$

产生(112)一第六辅助数Mq，

其中该第六辅助数Mq系定义如下：

$\mathrm{Mq}=c^{{\mathrm{dq}}^{,}}\mathrm{mod}q;$ 以及

计算(114)该模指数m结果，

其中m系定义如下：

m＝Mq+[(Mp-Mq)×q^-1 mod p]×q。

9.一种用以计算一模指数结果之方法，n系为一模数，d系为一指数，且c系为一属于该模指数之数，其步骤系包含：

计算(100)一第一辅助数dp，

其中dp系定义如下：

dp＝d mod (p-1)，

其中p系为一第一质数；

计算(102)一第二辅助数dp，

其中dp系定义如下：

dq＝d mod (q-1)，

其中q系为一第二质数，

其中p和q之一乘积等于该模数n；

产生(104)一安全性参数T；

产生一第三辅助数p×T及一第四辅助数q×T，

产生(110)一第五辅助数Mp，

其中该第五辅助数Mp系定义如下：

$\mathrm{Mp}=c^{\mathrm{dp}}\mathrm{mod}(p\×T);$

产生(112)一第六辅助数Mq，

其中该第六辅助数Mq系定义如下：

$\mathrm{Mq}=c^{\mathrm{dq}}\mathrm{mod}(q\×T);$ 以及

计算(114)该模指数m结果之装置，

其中m系定义如下：

m＝Mq+[(Mp-Mq)×q^-1 mod p]×q。

Images