CN1806224A - 用于防御微分功率分析攻击的方法 - Google Patents

Abstract

为了改进用于防御在至少一个超椭圆密码系统中、特别是在至少一个超椭圆公共密钥密码系统中通过微分功率分析作出的至少一个攻击的方法，该超椭圆公共密钥密码系统是通过在第一组中有限域(K)中任何种类(g)的至少一个超椭圆曲线(C)给出的，其中超椭圆曲线(C)由至少一个系数给出，以使得可以对于超椭圆密码系统的有效而安全的实施方案作出重要的贡献，提出将超椭圆曲线(C)和/或第一组的至少一个元素、特别是至少一个特定的减小的除数和/或标量乘法的至少一个中间结果进行随机化。

Description

用于防御微分功率分析攻击的方法

本发明涉及一种用于防御在至少一个超椭圆密码系统中(特别是在至少一个超椭圆公共密钥密码系统中)通过微分功率(differentialpower)分析作出的至少一个攻击的方法，该超椭圆公共密钥密码系统是由在第一组中有限域上任何种类的至少一个超椭圆曲线给出的，其中超椭圆曲线由至少一个系数给出。

虽然直到最近椭圆密码系统(＝基于ECC(椭圆曲线密码)的系统)被认为比超椭圆密码系统(＝基于HCC(超椭圆曲线密码)的系统)快，但是即使在过去，在有限体上超椭圆曲线的雅可比变分(variation)的使用被建议作为用于密码的椭圆曲线的替代(参见Neal Koblitz，“Afamily of Jacobians suitable for discrete logcryptosystems(适用于离散记录密码系统的雅可比族)”，在S.Goldwasser(Ed.)，“Advances in Cryptology-CRYPTO’88”中，“Lecture Notes in Computer Science”的Vol.403，pp.94-99，21-25 August 1988，Springer-Verlag，1990；Neal Koblitz，“Hyperelliptic Cryptosystems(超椭圆密码系统)”，Journal ofCryptology 1(1989)，pp.139-150)。

然而，最近另外两项进展表明，ECC系统比HEC系统快的观点应当被改变：

在2002年9月，Kim Nguyen(飞利浦半导体)在ECC 2002“Workshop on elliptic curve cryptography”in Essen给出了在实验硬件仿真器上他的第2类Tanja Lange射影公式的实施方案的结果(参见“Inversion-Free Arithmetic on Genus 2 HyperellipticCurves”，Cryptology ePrint Archive，Report 2002/147，2002，http：//eprint.iacr.org/)。该结果提出HEC的竞争性。

此后不久，J.Pelzl，T.Wollinger，J.Guajardo和C.Paar描述了对于第3类曲线的高度有效的公式(J.Pelzl，T.Wollinger，J.Guajardo，C.Paar，“Hyperelliptic Curve Cryptosystems：Closing the Performance Gap to Elliptic Curves”)，包括在“嵌入式微处理器”(ARM7)上的一个重要的情形和实施方案中加倍时间的重大改进。

对于基于HEC的系统在硬件上的有效的实施方案，特别是在芯片卡上，直接产生相对于微分功率分析的HEC的安全性的问题。微分功率分析是由P.Kocher，J.Jaffe和B.Jun在两篇著作中介绍的(参见P.Kocher，J.Jaffe和B.Jun，“Introduction to DifferentialPower Analysis and Related Attacks”，http//www.crytography.com/dpa/technical，1998；P.Kocher，J.Jaffe和B.Jun，“Differential Power Analysis”，Lecture Notesin Computer Science，Vol.1666，pp.388-397，Springer-Verlag，Berlin，Heidelberg，1999)，以及在所引用的著作中被描述。

微分功率分析的简要描述也在以下中给出：

-M.Joye和C.Tymen的著作的第3.2和3.3节，“Protectionagainst Differential Analysis for Elliptic Curve Cryptography-An Algebraic Approach”in C.K.Koc，D.Naccache和C.Paar(Ed.)：CHES 2001，“Lecture Notes in Computer Science”，Vol.2162，pp.377-390，Springer-Verlag，Berlin，Heidelberg，2001或

-J.S.Coron的著作的第3节，“Resistance againstDifferential Power Analysis for Elliptic Curve Cryptosystems”in C.K.Koc和C.Paar(Ed.)：CHES‘99，“Lecture Notes in ComputerScience”，Vol.1717，pp.292-302，Springer-Verlag，Berlin，Heidelberg，1999。

这样的DPA攻击测量密码设备在处理各种输入期间的电流消耗，并设置与数据的内部表示中规定的比特的值相关的测量。然而，微分功率分析的思想是非常通用的，并且它还与另外的物理值(例如电磁辐射)一起起作用。

对于基于HEC的密码系统的实施方案的以前的描述主要集中在实施方案的效率，而忽视了实施方案对于通过微分功率分析的攻击的对抗。

从以上缺点和不足出发以及对于所概述的现有技术的评价，本发明是基于改进一开始引用的类型的方法的目的，这样，可以对于基于超椭圆密码的系统的有效和安全的实施方案作出重要的贡献。

这个目的是通过具有权利要求1给出的特征的方法达到的。本发明的有利实施例和适当的改进方案在从属权利要求中被表征。

本发明因此是基于在超椭圆密码系统的实施方案中提供用于防御基于微分功率分析的攻击的对抗措施的原理，以及特别是在于，通过曲线随机化(在以上引用的M.Joye和C.Tymen的著作中曲线的随机化的超椭圆模拟的意义上)和/或通过除数随机化(在以上引用的J.-S.Coron的著作中第三对抗措施的超椭圆模拟的意义上：点的随机化-这里是除数随机化)，作出对抗微分功率分析的对于超椭圆曲线的雅可比变分的标量乘法。

这样，所描述的本发明对于基于超椭圆曲线密码(hcc)的系统的有效和安全的实施方案(即在对抗这样的DPA攻击的基于HEC的密码系统的鲁棒性和保密性的方向上)作出重大贡献，其中除了技术和可行性以外，在下面还将考虑这样的方法的复杂性。

曲线随机化的基本概念是以不能预见的方式修改运算对象的比特。为此，想要的计算不是在给定组而是在随机生成但同构的第二组中执行；其结果然后涉及返回到第一组。

除数随机化的基本概念是修改被缩减的除数所描述的比特，它通常是密码系统的基本元素或标量乘法的中间结果。每当一组元素可以以几种不同的方式进行描述时，就能够使用除数随机化的技术。

本发明还涉及按照上述类型的方法工作的微处理器。

本发明还涉及一种装置，特别是芯片卡和/或特别是智能卡，其具有按照上述的类型的至少一个微处理器。

本发明最后涉及到以下的使用：

-按照上述的类型的一种方法和/或

-按照上述的类型的至少一个微处理器和/或

-按照上述的类型的至少一种装置，特别是至少一个芯片卡和/或特别是至少一个智能卡，

以便防御通过对至少一个超椭圆密码系统(特别是对至少一个超椭圆公共密钥密码系统)的微分功率分析作出的至少一个攻击；这里公共密钥密码系统通常使用非对称加密方法。

正如上面已经描述的，存在各种有利地构建和改进本发明的教导的方法。为此，可参考在权利要求1后面的权利要求。

参考附图显示的实施例的例子将进一步描述本发明，然而，本发明并不限于所述实施例。

图1用图解法显示基于曲线随机化的原理的按照本发明的方法的实施例的例子。

在下面根据第一实施例的例子说明曲线随机化的方法之前，对于超椭圆曲线的理论的面向应用的介绍可参考A.Menezes，Y.-H.Wu和R.Zuccherato的“An Elementary Introduction to HyperelliticCurves”，Appendix in Neal Koblitz，“Algebraic aspects ofcryptography”，Algorithms and Computations in Mathematics，Vol.3，pp.155-178，Springer-Verlag，1998。

下面使用的符号不同于这篇文章，而是遵循按照以下文献的符号：

-Tanja Lange，″Inversion-Free Arithmetic on Genus 2Hyperelliptic Curves″，Cryptology ePrint Archive，Report 2002/147，2002， http：//eprint，iacr.org/，

-Tanja Lange，″Weighted Co-ordinates on Genus 2Hyperelliptic Curves″，Cryptology ePrint Archive，Report 2002/153，2002，http：//eprint，iacr.org/，and

-J.Pelzl，T.Wollinger，J.Guajardo，C.Paar，″Hyperelliptic CurveCryptosystems：Closing the Performance Gap to Elliptic Curves″.

从在有限域K上的类g≥1的两条超椭圆曲线C、 出发，K同构φ：可以被清楚地扩展到雅可比变分的K同构φ：

代替计算在J(C)(K)中的Q＝nD，其中n是自然数以及D是J(C)(K)的元素，则执行：

Q＝φ¹(nφ(D))                                   (1)

换句话说，这意味着图1上的图是可交换的，以及在按照本发明的图上取经由 的较长的路线(图1上的标注符号“xn”指的是“乘以n”)。

在本上下文中，通过雅可比变分的这个K同构实施的用来防御基于微分功率分析作出的攻击的对抗措施是特别成功的，如果曲线C的系数和J(C)(K)的元素的表示(depiction)不同于在φ下图像的表示的话。这例如可以通过所有的运算对象与随机数字相乘而达到。

下面的描述不单表明这是可能的，而且也表明对于这一点只需要几次域运算。

通过曲线的一般同构的曲线随机化的上述的原理的一个实际的实施方案首先假设

-g＞1是自然数

-K是有限域，以及

-C、 是种类g的超椭圆曲线，它们由Weierstraβ方程定义：

C：y²+h(x)y-f(x)＝0                      (2)

C：y²+ h(x)y- f(x)＝0                       (3)

在域K上，其中

-多项式f、

通过x中的幂次2g+1进行标准化，以及-h(x)、

具有最大的幂次g。

超椭圆曲线C(像超椭圆曲线

)没有奇异仿射点，即没有同时满足方程y²+h(x)y-f(x)＝0和偏微分方程2y+h(x)＝0与h’(x)y-f’(x)＝0的各对(x，y)εKxK。等价条件是判别式4f(x)+h(x)²不趋于零(参见以下文章的定理1.7：P.Lockhart，“On the discriminant of ahyperelliptic curve(超椭圆曲线的判别式)”，Trans.Amer.Math.Soc.342(1994)，No.2，pp.729-752，MR 94f：11054)。类似的条件适用于

C(或 )的投影完成的非仿射点被称为“无穷大”。所有的K-曲线同构性φ：

可以通过以下形式的可变的变换来描述：

(参见以下文章的命题1.2：P.Lockhart，“On thediscriminant of a hyperelliptic curve(超椭圆曲线的判别式)”，Trans.Amer.Math.Soc.342(1994)，No.2，pp.729-752，MR94f：11054)，对于适当的sεK^x，bεK和幂次＜g的A(x)εK[x]。

如果公式(3)中的x或y可以用s^-2x+b或s^-(2g+1)y+A(x)代替，则通过与公式(2)进行比较，可以得出：

$\left\{\begin{array}{c}h\left(x\right)=s^{2g+1}(\stackrel{\‾}{h}(s^{-2}x+b)+2A\left(x\right))\\ f\left(x\right)=s^{2(2g+1)}(\stackrel{\‾}{f}(s^{-2}x+b)-A{\left(x\right)}^2-\stackrel{\‾}{h}(s^{-2}x+b)A\left(x\right)).\end{array}\right.---\left(5\right)$

逆变换是：

同构特性φ：

引起组变分的同构φ：

曲线C的雅可比变分正则同构于理想类组C1⁰(C)，这是更适合于显式计算；因此必须找出如何把φ运算为函数

这里应当指出，在D.Cantor，“Computing in the Jacobian ofa hyperelliptic curve”，Mathematics of Computation，48(1987)，pp.95-101中，开发了用于具有在D.Mumford，“Tata Lectures onTheta II”，Birkhuser，1984中的表示的理想类组中的计算的算法，下面简略地概述：

令D是在给定的对于C的除子类中幂次≤g的唯一主除数，即D＝∑_PεSm_PP-(∑_PεSm_P)_无穷大，

-其中有限的点集S是C(K)的局部集并被指定为D的载体，以及

-其中乘数m₁是满足∑_PεSm_P≤g的正整数。

然后，属于主除数D的理想类由具有以下特性的一对清楚定义的多项式U(t)，V(t)εK[t]给出：

g≥deg_tU≥deg_tV，U是标准化的，以及

按照以下的术语，[U(t)，V(t)]描述减小的除数D。

目的是找出具有类似的特性U(t)、V(t)但属于对于C而不是对于D的除数φ(D)＝∑_PεSm_Pφ(P)-(∑_PεSm_P)_无穷大的两个多项式

换句话说，这意味着，对于所有的域扩展L/K，应用以下关系：

想要的多项式必须如何被构建是明显的。显然，

$\tilde{U}\left(t\right)=\underset{P\∈S}{\mathrm{\Π}}{(t-x_{\mathrm{\φ}\left(P\right)})}^{m_P}=\underset{P\∈S}{\mathrm{\Π}}{(t-s^{-2}{x}_P-b)}^{m_P}---\left(8\right)$

$=s^{-2{\mathrm{\Σ}}_{P\∈S}{m}_P}U\left(s^2(t-b)\right)=s^{-2{\mathrm{dcg}}_{t}U}U\left(s^2(t-b)\right).$

而且，对于所有的 $\mathrm{P\ϵS},\tilde{V}\left(x_{\mathrm{\φ}\left(P\right)}\right)=y_{\mathrm{\φ}\left(P\right)},$ 即

$\tilde{V}(s^{-2}{x}_P+b)=s^{-(2g+1)}{y}_P+A\left(x_P\right)=s^{-(2g+1)}V\left(x_P\right)+A\left(x_P\right).$

适当的候选是

V(t)＝s^-(2g+1)V(s²(t-b))+A(s²(t-b))               (9)

事实上，公式(8)和公式(9)给出正确的答案；这是由于减小的除数的表示的无歧义性：

和 被定义在K上， $\mathrm{deg}\tilde{V}=\mathrm{degV}<\mathrm{degU}=\mathrm{deg}\tilde{U}$ 以及发现

实际上除以

是容易的。

现在在下面考虑其中K是非均匀特性的域的情形。假设 $h\left(x\right)=\tilde{h}\left(x\right)=0,$ 则具有按照y→y-h(x)/2和 的可变的变换的定义的方程总是可被变为这个形式。优点是Cantor算法运算得快得多，以及由于同样的原因，在以上的假设下得出在非均匀特性中的显式。对于C、

的公式是：

C：y²-f(x)＝0                           (10)

$\tilde{C}:y^2-\tilde{f}\left(x\right)=0---\left(11\right)$

这意味着在公式(6)中，A(x)＝0。

如果char K≠2g+1，则而且可以假设属于在 中(x)的第二最高的幂次的系数f_2g(以及在 中)趋于零，因为总是可以实行按照x→x-f_2g/(2g+1)的可变的变换。在这种情形下，根据公式(6)，必须有b＝0。

因此，φ具有以下类型：

对于sεK^x。关于非均匀特性，只需要考虑这种类型的同构，即使charK＝2g+1。

的公式然后是：

f(x)＝s^-2(2g+1)f(s²x)。

这个随机化改变Weiorstraβ方程和代表减小的除数(不包括在1上硬连线的那些)的两个多项式的所有系数，即

$\stackrel{\&OverBar;}{U}\left(t\right)=s^{-2{\mathrm{deg}}_{t}U}U\left(s^{2}t\right),\tilde{V}\left(t\right)=s^{-(2g+1)}V\left(s^{2}t\right).$

因此，这个随机化可被看作为在具有非均匀特性的域K的超椭圆密码系统的实施方案中用于防御基于微分功率分析的攻击的安全的对抗措施。

在这个非常快速曲线的明显的说明中，可以通过实施技巧达到随机化，对于非均匀特性的域K，首先选择随机元素sεK^x，然后计算它的相乘的逆量(multiplicative invorso)。这是因为对于φ需要s^-1以及对于φ^-1需要s。

现在在下面详细描述φ。从下式

$f\left(x\right)=x^{2g+1}+\underset{i=0}{\overset{2g-1}{\mathrm{\&Sigma;}}}{f}_t{x}^i$

我们可以得到

对于一般的U(t)和V(t)

$U\left(t\right)=t^g+\underset{i=0}{\overset{g-1}{\mathrm{\&Sigma;}}}{U}_i{t}^i$ 和 $V\left(t\right)=\underset{i=0}{\overset{g-1}{\mathrm{\&Sigma;}}}{V}_i{t}^i,$

所以

$\tilde{U}\left(t\right)=t^g+\underset{i=0}{\overset{g-1}{\mathrm{\&Sigma;}}}{s}^{2i-2g}{U}_i{t}^i$ 和 $\stackrel{\&OverBar;}{V}\left(t\right)=\underset{i=0}{\overset{g-1}{\mathrm{\&Sigma;}}}{s}^{2i-(2g+1)}{V}_i{t}^i.$

为了把φ应用到曲线和基本除数[U(t)，V(t)]，对于k＝2，3，...，2g+1连续计算s^-k：

-如果k是偶数，则U_g-k/2和(如果k不等于2)f_2g+1-k/2乘以s^-k，

-如果k是奇数，则V_g-(k-1)/2乘以s^-k。

对于k＝2g+2，2g+4，...，2(2g+1)，s^-k通过重复地与s^-2的乘法被计算以及f_2g+1-k/2被乘以s^-k。总共这些是7g+1次乘法；φ^-1只需要K中的4g次乘法。

如果建立曲线或至少一个基本域，则也有可用来在每次使用密码装置时避免计算元素s的逆s^-1的实施技巧。

从一开始，在密码装置的初始化阶段期间，随机地生成一对域元素(s₀，s₀ ^-1)连同几个另外的这样的对(K₁，K₁ ^-1)，以及被存储在E²PROM中。

然后，在每次密码运算之前随机地选择指数i；因此在E²PROM中(s₀，s₀ ^-1)用(K_i·s₀，K_i ^-1·s₀ ^-1)代替。这后一对然后在密码装置的当前的运行中代替(s₀，s₀ ^-1)而用于曲线随机化。

总之，可以发现，非均匀特性下的曲线随机化是对抗基于微分功率分析方法的攻击的有效而经济的保护措施。在K中必需的域运算的总计数是11g+1。总之，可以发现，非均匀特性下的曲线随机化是对抗基于微分功率分析方法的攻击的有效而经济的保护措施。在K中必需的域运算的总计数是11g+1。

实际上，这可与用于各个组运算的域运算的数目相比，并且常常远小于在以下的文献中的公式所表示的：

-Tanja Lange，″Inversion-Freo Arithmetic on Genus 2 Hyperelliptic Curves″，Crytology ePrint Archive，Report 2002/147，2002，http：//eprint.iacr.org/，

-Tanja Lange，″Weighted Co-ordinates on Genus 2 Hyperelliptic Curves″，Cryptology，ePrint Archive，Rcport 2002/153，2002，http：//eprint.iacr.org/和

-J.Polzl，T.Wollinger，J.Guajardo，C.Paar，″Hyperelliptic CurveCryptosystoms：Closing the Performance Gap to Elliptic Curves″.

以上对于曲线的一般的同构给出的自变量也不变地应用于下面讨沦的情形，其中K是均匀特性的域。然而。在这种情形下，

必须不等于零；换句话说，这意味着一般同构的使用比起非均匀特性的情形是不太有效的。

代替按照公式(4)的一般同构，假设b＝0和A(x)＝0以及如在非均匀特性的情形下一样工作。下式的同构

对于sεF₂d\F₂，如下地随机化方程的所有系数：

$\left\{\begin{array}{c}\stackrel{-}{h}\left(x\right)=s^{-(2g+1)}h\left(s^{2}x\right)\\ \stackrel{\&OverBar;}{f}\left(x\right)=s^{-2(2g+1)}f\left(s^{2}x\right)\end{array}\right.---\left(13\right)$

正如在通过对于非均匀的特性的域K的实施的技巧达到的非常快速曲线随机化的以上的明显说明那样，也有通过对于以下的均匀特性的域K的实施的技巧执行的非常快速曲线随机化的以上的明显说明：

$f\left(x\right)=x^{2g+1}+\underset{i=0}{\overset{2g-1}{\mathrm{\&Sigma;}}}{f}_i{x}^i$ 和 $h\left(x\right)=\underset{i=0}{\overset{g}{\mathrm{\&Sigma;}}}{h}_i{x}^i,$

则

$\tilde{f}\left(x\right)=x^{2g+1}+\underset{i=0}{\overset{2g-1}{\mathrm{\&Sigma;}}}{s}^{2i-2(2g+1)}{f}_i{x}^i$ 和 $\stackrel{\&OverBar;}{h}\left(x\right)=\underset{i=0}{\overset{g}{\mathrm{\&Sigma;}}}{s}^{2i-(2g+1)}{h}_i{x}^i$

以及对于

的公式再次读出

$\tilde{U}\left(t\right)=t^g+\underset{i=0}{\overset{g-1}{\mathrm{\&Sigma;}}}{s}^{2i-2g}{U}_i{t}^i$ 和 $\tilde{V}\left(t\right)=\underset{i=0}{\overset{g-1}{\mathrm{\&Sigma;}}}{s}^{2i-(2g+1)}{V}_i{t}^i.$

可以得出结论，不需要按照公式(4)的那种类型的一般同构，而按照公式(12)的那种类型就能够有效地随机化内部的表示的所有比特。

的系数以与 的系数相同的方式根据h(x)的系数进行计算：对于k＝3，5，...，2g+1，则V_g-(k-1)/2和h_g-(k-1)/2乘以s^-k，以及h_g乘以s^-1；这意味着，比起非均匀特性的情形至多再需要g+1次域运算，对于φ的使用的所有的花费是在选择s和计算s^-1后的8g+2次乘法。上述的实施技巧在这里是不必要的，因为在二进制下求逆是足够快的。

下面分析对于恒定的h和对于非恒定的h但经由F₂定义的情形的区别：

对于均匀特性，必须注意，如果定义的方程的系数由于通过量原因而被限制，则将出现问题，其中应当考虑最简单的情形，h(x)是不趋于零的常数，因为在公式(6)中 也是常数并不趋于零。

然而，具有不趋于零的c和具有degf＝5超级奇异点的方程y²+cy＝f(x)的曲线(参见以下文章的定理9：S.D.Galbraith，“Supersingular curves in cryptography”，in C.Boyd(Ed..)，ASIACRYPT 2001，“Lecture Notes in Computer Science”，Vol.2248，pp.495-513，Springer-Verlag，2001)不适用于这里感兴趣的密码应用，这是代数几何学的已知结果。

相反，在均匀特性下类别g＝3的超椭圆曲线不是超级奇异的(参见J.Scholten 和H.J.Zhu，“Hyperelliptic curves incharacteristic 2”，Inter.Math.Research Notices，17(2002)，pp.905-917)，因此在原理上具有不趋于零的c和具有degf＝7的方程y²+cy＝f(x)的曲线可以在扩展度和组次序被适当地选择的条件下被使用。

虽然在由J.Pelzl，T.Wollinger，J.Guajardo和C.Paar提交的著作“Hyperelliptic Curve Cryptosystems：Closing thePerformance Gap to Elliptic Curves”中给出用于情形h(x)＝1的非常快速的加倍公式，但是除数加倍的速度也可被大大地加速，如果h(x)是不趋于零的常数的话。如果 $\tilde{h}\left(x\right)=s^{-(2g+1)}$ c＝s^-7c；这使得种类g＝2的曲线的情形变得重要。

在非常数h的情形下，为了速度的原因，h(x)的系数常常在F₂中被选择(例如参见：Tanja Lango，“Inversion-Ftee Arithmotic onGenus 2 Hyperelliptic Curves”，Cryptology ePrint Archive，Report 2002/147，2002，http：//eprint.iacr.org/，或Tanja Lange，“Wcighted Co-ordinates on Genus 2 Hypere1liptic Curves”，Cryptology ePrint Archive，Report 2002/153，2002，http：//eprint.iacr.org/)。

然而，在非常数h根据公式(6)在F₂上被规定的情形下，存在与以下问题的等价性：如果h(x)εF₂[x]，则对于哪些bεK和对于哪些sεK^x是 $\tilde{h}\left(x\right)=s^{-(2g+1)}h\left(s^2(x-b)\right)\mathrm{\&epsiv;}{F}_2\left[x\right]?$

如果r＝(2g+1)-2 deg h，则

的首项系数s^-r等于1，因为这个首项系数不趋于零；数r是奇数、正的且≤2g-1。

密码系统必须抵抗由Gaudry发起的指数计算攻击(参见P.Gaudry，“An algorithm for solving the discrete log problem onhypcrelliptic curves”，in“Advances in Cryptology-Eurocrypt2000”，pp.19-34，“Lecture Notes”in ComputerScience”，Vol.1807，Springer-Verlag，Berlin，Heidoberg，2000)，即如果g≤4，则r≤7，以及对于r只有非常少的可能的数值；这使得它的随机化变得不必要。

令扩展度d＝[K：F₂]。

在本上下文中，应当注意到，为了对抗由weil descent发起的攻击(参见G.Frey，“How to disguise an elliptic curve(Weildescent)”，Talk at ECC’98，Waterloo，1998(在http：//www.cacr.math.uwaterloo.ca/conferenees/1998/ecc98/slides.html上可得到幻灯片)；G.Frey，“Application of arithmetical geometry to cryptographicconstructions”，in“Finite fields and applications(Augsburg，1999)”，pp.128-161，Springer，Berlin，2000)，对于扩展度d，选择在≥160/g的量级下的质数p，或者选择在≥80/g的量级下的质数p的两倍。

S的可能值是X^r-1的不可约的因子的零数字，幂次除以d。如果d＝p≥160/g≥40(＝优选的情形)，则s＝1；如果d＝2p，且p≥80/g≥20，则s只可以是幂次1或2的X^r-1的经由F₂的因子的零数字。这样的因子的快速列表(应当指出，r是奇数且≤7)表明，或者s＝1，或者r＝3和s²+s+1＝0。如果h(x)的两个系数不趋于零，则总是有s＝1。

如果我们现在从σ：α→α²开始作为K/F₂的Frobenius自同构，则h(-b^σj)＝h(-b)^σj＝h(-b)_εF₂，对于所有的j，因为 $\tilde{h}\left(x\right)=h(x-b)\mathrm{\&epsiv;}{F}_2\left[x\right].$ 换句话说，这意味着-b的所有的共轭属于h(x)-h(-b)＝0的Frobenius解。如果b不是F₂的元素，则至少有p≥80/g个这样的共轭，其中h(x)的幂次至多是g≤4。为此，b必须是F₂的元素；对于b只有两个可能性，所以b的随机化是无意义的。

因此可以得出结论，适当的同构是以下类型：

其中A(x)εK[x]是具有幂次≤g。

在超椭圆模拟的意义上，这里的情形类似于在M.Joye和C.Tymen的所述著作中在椭圃曲线的随机化方面描述的情形，因为两个多项式的仅仅一个多项式或仅仅一半坐标可以有效地被随机化。

事实上，情形甚至更坏，因为按照公式(6)不是f的所有系数可被随机化成 它增加根据微分功率分析的成功攻击的概率，如果只使用曲线随机化的话。

总之，对于上述的曲线随机化的方法，可以发现对于在均匀特性下种类2的超椭圆曲线的这个对抗措施

-或者是不充分的，因为只有两个系数可被随机化，

-或者抑制密码系统的功率，因为对抗措施使用按照公式(4)的一般的同构，并把h的系数留在(4)F²的外面。

在类别3的情形下，可以使用对于方程y²+cy＝f(x)和一般同构的曲线。在这种情形下，在公式(4)中固定b＝0和A(x)＝0是足够的，以及对于非均匀特性的情形在以前描述的结束处进行，以便合理地随机化所有的系数。

在所有的另外的情形下，推荐其它技术，诸如除数随机化，它在非均匀特性下也是可行的，以及下面把它作为第二实施例示例加以说明，它可以如下的方式被实施：

-与曲线随机化的第一实施例组合，或

-与曲线随机化的第一实施例无关。

在除数随机化的技术中，通常是密码系统的基本单元或标量乘法的中间结果的减小的除数的表示的比特被修正。如果组元素可以以几种不同的方式被表示，则使用除数随机化的技术。

来自现有技术的值得注意的例子是椭圆曲线的投影坐标：两个三元组(X，Y，Z)和(X’，Y’，Z’)代表同一个点，如果不趋于零的元素s存在于基本域以使得X＝sX’、Y＝sY’和Z＝sZ’。在雅可比坐标中(参见D.V.Chudnovsky和G.V.Chudnovsky，“Sequences of numbers generatedby addition in formal groups and new primality and factoringtests”，Advances in Applied Mathematics，7(1987)，pp.385-434)，两个三元组(X，Y，Z)和(X’，Y’，Z’)代表同一个点，如果X＝s²X’、Y＝s³Y’和Z＝sZ’，其中s_εK^x。

最近，提出了对于类别2的超椭圆曲线的替换的坐标系统。由Miyamoto等人提出的无求逆的系统(参见Y.Miyamoto，H.Doi，K.Matsuo，J.Chao和S.Tsuji，“Afast addition algorithm of genustwo hyperelliptic curve”，Proceedings of SCIS 2002，IEICEJapan，pp.497-502，2002，in Japanese)(它对于椭圆曲线的投影坐标的超椭圆一致性起作用)由Lange扩展和改进(参见Tanja Lange，“Inversion-Free Arithmetic on Genus 2 Hyperelliptic Curves”，Cryptology ePrint Archive，Report 2002/147，2002，http：//eprint.iacr.org/)，Lange还研究出雅可比坐标的一致性，即加权的坐标(参见Tanja Lange，“Weighted Co-ordinates on Genus2 Hyperelliptic Curves”，Cryptology ePrint Archive，Report2002/153，2002，http：//eprint.iacr.org/)。对于种类3还不知道类似的系统。

曲线的类别越大，对于同一个组级别的基本体越小，因此，求逆与乘法的速度比越小。这使得无求逆公式对于类别3不太有吸引力，因为一次求逆用许多次乘法交换。然而，对于类别3的曲线已经存在有效的比特随机化过程以用于非均匀特性和均匀特性。

在投影坐标中(种类2)，具有相关多项式对的除数D被显示为五元组[U₁，U₀，V₁，V₀，Z]，其中

U(t)＝t²+U₁t/Z+U₀/Zand V(t)＝V₁t/Z+V₀/Z.

除数随机化如下地工作：选择随机sεK^x以及施加以下变换：

[U₁，U₀，U₁，V₁，V₀，Z]→[SU₁，SU₀，SV₁，SV₀，SZ].

在加权的坐标中，除数D通过六元组[U₁，U₀，V₁，V₀，Z₁，Z₂]被显示，其中U(t)＝t²+U₁t/Z₁ ²+U₀/Z₁ ²和V(t)＝V₁t/(Z₁ ³Z₂)+V₀/(Z₁ ³Z₂)。

为了使得基本除数或中间的计算不可见，随机地选择K^x中的两个元素s₁、s₂，以及执行以下的变换：

[U₁，U₀，V₁，V₀，Z₁，Z₂]→[s₁ ²U₁，s₁ ²U₀，s₁ ³s₂V₁，s₁ ³s₂V₀，s₁Z₁，s₂Z₂]

如果使用以下的附加的可选坐标

z₁＝Z₁ ²，z₂＝Z₂ ²，z₃＝Z₁·Z₂和z₄＝z₁·z₂＝z₃ ²

则这些附加的可选坐标也必须被更新；更新的最快速方式是通过三次平方(quadration)和一次乘法从Z₁和Z₂的图像中恢复它们。

按照本发明的提出的两个措施，即曲线随机化的措施(＝第一实施例)和除数随机化的措施(＝第二实施例)，每个单独地和组合地增强对抗微分功率分析的超椭圆密码系统。曲线随机化的技术和除数随机化的技术的引入是简单的，以及对于通过量只有可忽略的影响。

按照第一实施例的方法，即曲线随机化，把雅可比变分中的标量乘法输送到随机选择的同构组中。标量乘法在这个第二组中执行，以及标量乘法的结果返回到第一组。曲线随机化的方法可应用于任何类别的曲线。

按照第二实施例的方法，即除数随机化，它是Coron的第三对抗措施的超椭圆变例。除数随机化只可应用于其坐标系统对于在相关的雅可比变分中的组运算是已知的曲线族，它们相应于椭圆投影或雅可比。

上述的用于防御根据微分功率分析对于超椭圆密码系统的实施方案的攻击的两个对抗措施可以互相独立地或同时地被使用。

标注符号列表

C       超椭圆曲线

      变抉的超椭圆曲线

D       除数，特别是减小的除数

g       类别

J       雅可比变分

K       域，特别尤其是有限域

n       标量

s       元素，特别是不趋于零的元素

s₁     第一元素，特别是不趋于零的第一元素

s₂     第二元素，特别是不趋于零的第二元素

t       变量

φ              表示

φ^-1   逆表示

[U₁，U₀，V₁，V₀，Z]     五元组

[sU₁，sU₀，sV₁，sV₀，sZ]    变换的五元组

[U₁，U₀，V₁，V₀，Z₁，Z₂]    六元组

[s₁ ²U₁，s₁ ²U₀，s₁ ³s₂V₁，s₁ ³s₂V₀，s₁Z₁，s₂Z₂]  变换的六元组

Claims (10)

1.在至少一个超椭圆密码系统中，特别是在至少一个超椭圆公共密钥密码系统中，一种用于防御通过微分功率分析作出的至少一个攻击的方法，该超椭圆公共密钥密码系统由在第一组的有限域(K)上任何种类(g)的至少一个超椭圆曲线(C)给出，其中超椭圆曲线(C)由至少一个系数给出，其特征在于，超椭圆曲线(C)和/或第一组的至少一个元素，特别是至少一个特定的被缩减的除数和/或标量乘法的至少一个中间结果被随机化。

2.如在权利要求1中要求的方法，其特征在于，在超椭圆密码系统中要处理和/或编码的运算对象的比特由超椭圆曲线(C)、特别是由超椭圆曲线(C)的至少一个系数和/或由密码系统的至少一个基本单元例如由至少一个特定的被缩减的除数和/或标量乘法的至少一个中间结果来表示。

3.如在权利要求1或2中要求的方法，其特征在于，在超椭圆曲线(C)的雅可比变分J(C)(K)中的至少一个标量乘法发生在不同于第一组并相对于第一组同构的第二组中，其特别是随机地选择的。

4.如在权利要求3中要求的方法，其特征在于以下步骤：

-通过至少一个表示(φ)，特别是通过至少一个K同构，把超椭圆曲线(C)的雅可比变分J(C)(K)变换成经变换的超椭圆曲线 $(\tilde{c}=\mathrm{\&phi;}\left(C\right))$ 的雅可比变分J (K)；

-经变换的超椭圆曲线 $(\tilde{c}=\mathrm{\&phi;}\left(C\right))$ 的雅可比变分J (K)与至少一个标量(n)相乘；以及

-通过与在乘以标量(n)的超椭圆曲线(C)的雅可比变分J(C)中的表示(φ)相逆的表示(φ^-1)，对乘以经变换的超椭圆曲线 的标量(n)的雅可比变分J (K)进行反变换，

其中

-该表示(φ)相应于从第一组到第二组的变换

-该逆表示(φ^-1)相应于从第二组到第一组的变换。

5.如在权利要求1到4的至少一项中要求的方法，其特征在于以下步骤：

-把具有相关的多项式对的至少一个特定的缩减的除数(D)表示为在投影坐标中的至少一个五元组[U₁，U₀，V₁，V₀，Z]，其中U(t)＝t²+U₁t/Z+U₀/Z和V(t)＝V₁t/Z+V₀/Z；

-从域(K^x)中选择，特别是随机选择至少一个不趋于零的元素(s)；以及

-通过选择的元素(s)把五元组[U₁，U₀，V₁，V₀，Z]变换成经变换的五元组[sU₁，sU₀，sV₁，sV₀，sZ]。

6.如在权利要求1到4的至少一项中要求的方法，其特征在于以下步骤：

-把具有相关的多项式对的至少一个特定的缩减的除数(D)表示为在投影坐标中的至少一个六元组[U₁，U₀，V₁，V₀，Z₁，Z₂]，其中U(t)＝t²+U₁t/Z₁ ²+U₀/Z₁ ²和V(t)＝V₁t/(Z₁ ³Z₂)+V₀/(Z₁ ³Z₂)；

-从域(K^x)中选择，特别是随机选择至少两个不趋于零的元素(s₁，s₂)；以及

-通过选择的元素(s₁，s₂)把六元组[U₁，U₀，V₁，V₀，Z₁，Z₂]变换成经变换的六元组[s₁ ²U₁，s₁ ²U₀，s₁ ³s₂V₁，s₁ ³s₂V₀，s₁Z₁，s₂Z₂]。

7.如在权利要求1到6的至少一项的任一项中要求的方法，其特征在于，该方法在特别是被分配给至少一个芯片卡和/或特别是被分配给至少一个智能卡的至少一个微处理器上被实施。

8.按照如在权利要求1到7的至少一项中要求的方法工作的微处理器。

9.一种具有如在权利要求8中要求的微处理器的装置，特别是一种芯片卡和/或特别是一种智能卡。

10.如在权利要求1到7的至少一项中要求的方法和/或如在权利要求8中要求的微处理器和/或如在权利要求9中要求的至少一个装置特别是至少一个芯片卡和/或至少一个智能卡，在至少一个超椭圆密码系统中，特别是在至少一个公共密钥密码系统中防御通过微分功率分析作出的至少一个攻击中的使用。

Images