DE10142155C1 - Verfahren und Vorrichtung zum modularen Multiplizieren - Google Patents

Verfahren und Vorrichtung zum modularen Multiplizieren

Info

Publication number
DE10142155C1
DE10142155C1 DE10142155A DE10142155A DE10142155C1 DE 10142155 C1 DE10142155 C1 DE 10142155C1 DE 10142155 A DE10142155 A DE 10142155A DE 10142155 A DE10142155 A DE 10142155A DE 10142155 C1 DE10142155 C1 DE 10142155C1
Authority
DE
Germany
Prior art keywords
module
reduction
multiplication
value
intermediate result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10142155A
Other languages
English (en)
Inventor
Astrid Elbe
Norbert Janssen
Holger Sedlak
Jean-Pierre Seifert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE10142155A priority Critical patent/DE10142155C1/de
Application granted granted Critical
Publication of DE10142155C1 publication Critical patent/DE10142155C1/de
Priority to EP05025780A priority patent/EP1628206A3/de
Priority to PCT/EP2002/009404 priority patent/WO2003021424A2/de
Priority to EP02797611A priority patent/EP1421474B1/de
Priority to DE50208508T priority patent/DE50208508D1/de
Priority to AT02797611T priority patent/ATE343171T1/de
Priority to US10/789,462 priority patent/US7016927B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/60Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
    • G06F7/72Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
    • G06F7/722Modular multiplication

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • General Engineering & Computer Science (AREA)
  • Complex Calculations (AREA)
  • Diaphragms For Electromechanical Transducers (AREA)
  • Paper (AREA)
  • Spinning Or Twisting Of Yarns (AREA)

Abstract

Bei einem Verfahren zum modularen Multiplizieren eines Multiplikanden (C) mit einem Multiplikator (M) unter Verwendung eines Moduls (N) werden zunächst 1 Multiplikations-Verschiebungs-Werte mittels eines Multiplikations-Vorausschau-Verfahrens unter Berücksichtigung von 1 Blöcken von Stellen des Multiplikators (M), die aneinander angrenzen, ermittelt (10). Hierauf werden 1 Reduktions-Verschiebungs-Werte mittels eines Reduktions-Vorausschau-Verfahrens für die 1 Blöcke von Stellen des Multiplikators (M) ermittelt (13). Ein Zwischenergebnis (Z) aus einem vorherigen Iterationsschritt, der Modul (N) oder ein von dem Modul abgeleiteter Wert und der Multiplikand (C) werden mit den 1 Multiplikations-Verschiebungs-Werten und den 1 Reduktions-Verschiebungs-Werten beaufschlagt (16), um die 21 + 1 Operanden (17) zu erhalten. Mittels eines Multioperandenaddierers (18) werden die 21 + 1 Operanden zusammengefaßt, um ein aktualisiertes Zwischenergebnis (Z') für einen auf den vorherigen Iterationsschritt folgenden Iterationsschritt zu erhalten, wobei die Iteration so lange fortgesetzt wird, bis sämtliche Stellen des Multiplikators (M) abgearbeitet sind. Abhängig von der Anzahl von Operanden wird die Anzahl von zu berechnenden Zyklen reduziert, so daß auf Kosten eines größeren Hardware-Aufwands eine schnellere Berechnung der modularen Multiplikation möglich ist.

Description

Die vorliegende Erfindung bezieht sich auf ein Verfahren und eine Vorrichtung zum modularen Multiplizieren eines Multipli­ kanden mit einem Multiplikator unter Verwendung eines Moduls und insbesondere auf das modulare Multiplizieren unter Ver­ wendung eines Multiplikations-Vorausschau- und eines Redukti­ ons-Vorausschau-Verfahrens.
Die Kryptographie ist eine der wesentlichen Anwendungen für die modulare Arithmetik. Ein wesentlicher Algorithmus für die Kryptographie ist der bekannte RSA-Algorithmus. Der RSA- Algorithmus baut auf einer modularen Exponentiation auf, wel­ che folgendermaßen dargestellt werden kann:
C = Md mod (N).
Hierbei ist C eine verschlüsselte Nachricht, M ist eine nicht-verschlüsselte Nachricht, d ist der geheime Schlüssel und N ist der Modul. Der Modul N wird üblicherweise durch Multiplikation zweier Primzahlen p und q erzeugt. Die modula­ re Exponentiation wird mittels des bekannten Square-and- Multiply-Algorithmus in Multiplikationen zerlegt. Hierzu wird der Exponent d in Zweierpotenzen zerlegt, so daß die modulare Exponentiation in mehrere modulare Multiplikationen zerlegt werden kann. Um die modulare Exponentiation rechenmäßig effi­ zient implementieren zu können, wird die modulare Exponentia­ tion daher in modulare Multiplikationen zerlegt, welche dann in Additionen zerlegt werden können.
Die DE 36 31 992 C2 offenbart ein Kryptographie-Verfahren, bei dem die modulare Multiplikation unter Verwendung eines Mul­ tiplikations-Vorausschau-Verfahrens und unter Verwendung ei­ nes Reduktions-Vorausschau-Verfahrens beschleunigt werden kann. Das in der DE 36 31 992 C2 beschriebene Verfahren wird auch als ZDN-Verfahren bezeichnet und anhand von Fig. 8 näher beschrieben. Nach einem Startschritt 900 des Algorithmus wer­ den die globalen Variablen M, C und N initialisiert. Ziel ist es, folgende modulare Multiplikation zu berechnen:
Z = M.C mod N.
M wird als der Multiplikator bezeichnet, während C als der Multiplikand bezeichnet wird. Z ist das Ergebnis der modula­ ren Multiplikation, während N der Modul ist.
Hierauf werden verschiedene lokale Variablen initialisiert, auf die zunächst nicht näher eingegangen werden braucht. An­ schließend werden zwei Vorausschau-Verfahren angewandt. Im Multiplikations-Vorausschau-Verfahren GEN_MULT_LA wird unter Verwendung verschiedener Look-Ahead-Regeln ein Multiplikati­ ons-Verschiebungswert sZ sowie ein Multiplikations- Vorausschau-Parameter a berechnet (910). Hierauf wird der ge­ genwärtige Inhalt des Z-Registers einer Links-Verschiebungs- Operation um sZ-Stellen unterzogen (920).
Im wesentlichen parallel dazu wird ein Reduktions- Vorausschau-Verfahren GEN_Mod_LA (930) durchgeführt, um einen Reduktionsverschiebungswert sN und einen Reduktions-Parameter b zu berechnen. In einem Schritt 940 wird dann der gegenwär­ tige Inhalt des Modul-Registers, also N, um sN Stellen nach links bzw. rechts verschoben, um einen verschobenen Modulwert N' zu erzeugen. Die zentrale Drei-Operanden-Operation des ZDN-Verfahrens findet in einem Schritt 950 statt. Hierbei wird das Zwischenergebnis Z' nach dem Schritt 920 zu dem Mul­ tiplikanden C, der mit dem Multiplikations-Vorausschau- Parameter a multipliziert ist, und zu dem verschobenen Modul N', der mit dem Reduktions-Vorausschau-Parameter b multipli­ ziert ist, addiert. Je nach aktueller Situation können die Vorausschau-Parameter a und b einen Wert von +1, 0 oder -1 haben.
Ein typischer Fall besteht darin, daß der Multiplikations- Vorausschau-Parameter a +1 beträgt, und daß der Reduktion- Vorausschau-Parameter b -1 beträgt, so daß zu einem verscho­ benen Zwischenergebnis Z' der Multiplikand C hinzu addiert wird, und der verschobene Modul N' davon subtrahiert wird. a wird einen Wert gleich 0 haben, wenn das Multiplikations- Vorausschau-Verfahren mehr als eine voreingestellte Anzahl von einzelnen Links-Verschiebungen zulassen würde, also wenn sZ größer als der maximal zulässige Wert von sZ ist, der auch als k bezeichnet wird. Für den Fall, daß a gleich 0 ist, und daß Z' aufgrund der vorausgehenden modularen Reduktion, also der vorausgehenden Subtraktion des verschobenen Moduls noch ziemlich klein ist, und insbesondere kleiner als der verscho­ bene Modul N' ist, muß keine Reduktion stattfinden, so daß der Parameter b gleich 0 ist.
Die Schritte 910 bis 950 werden so lange durchgeführt, bis sämtliche Stellen des Multiplikanden abgearbeitet sind, also bis m gleich 0 ist, und bis auch ein Parameter n gleich 0 ist, welcher angibt, ob der verschobene Modul N' noch größer als der ursprüngliche Modul N ist, oder ob trotz der Tatsa­ che, daß bereits sämtliche Stellen des Multiplikanden abgear­ beitet sind, noch weitere Reduktionsschritte durch Subtrahie­ ren des Moduls von Z durchgeführt werden müssen.
Abschließend wird noch bestimmt, ob Z kleiner als 0 ist. Falls dies der Fall ist, muß, um eine abschließende Reduktion zu erreichen, der Modul N zu Z hinzuaddiert werden, damit schließlich das korrekte Ergebnis Z der modularen Multiplika­ tion erhalten wird. In einem Schritt 960 ist die modulare Multiplikation mittels des ZDN-Verfahrens beendet.
Der Multiplikations-Verschiebungswert sZ sowie der Multipli­ kations-Parameter a, welche im Schritt 910 durch den Mul­ tiplikations-Vorausschau-Algorithmus berechnet werden, erge­ ben sich durch die Topologie des Multiplikators sowie durch die eingesetzten Vorausschau-Regeln, die in der DE 36 31 992 C2 beschrieben sind.
Der Reduktions-Verschiebungswert sN und der Reduktions- Parameter b werden, wie es ebenfalls in der DE 36 31 992 C2 be­ schrieben ist, durch Vergleich des gegenwärtigen Inhalts des Z-Registers mit einem Wert 2/3 mal N bestimmt. Aufgrund die­ ses Vergleiches trägt das ZDN-Verfahren seinen Namen (ZDN = Zwei Drittel N).
Das ZDN-Verfahren, wie es in Fig. 8 dargestellt ist, führt die modulare Multiplikation auf eine Drei-Operanden-Addition (Block 950 in Fig. 8) zurück, wobei zur Steigerung der Re­ chenzeiteffizienz das Multiplikations-Vorausschau-Verfahren und damit einhergehend das Reduktions-Vorausschau-Verfahren eingesetzt werden.
Im nachfolgenden wird anhand von Fig. 9 näher auf das Reduk­ tions-Vorausschau-Verfahren eingegangen, das im Block 930 von Fig. 8 ausgeführt wird. Zunächst wird in einem Block 1000 ei­ ne Reservierung für die lokalen Variablen, d. h. den Redukti­ ons-Vorausschau-Parameter b und den Reduktions- Verschiebungswert sN, durchgeführt. In einem Block 1010 wird der Reduktions-Verschiebungswert sN auf Null initialisiert. Hierauf wird in einem Block 1020 der Wert ZDN berechnet, der gleich 2/3 des Moduls N ist. Dieser Wert, der im Block 1020 bestimmt wird, wird in einem eigenen Register, dem ZDN- Register, auf dem Kryptocoprozessor abgespeichert.
In einem Block 1030 wird dann bestimmt, ob die Variable n gleich 0 ist, oder ob der Verschiebungswert sN gleich -k ist. k ist ein Wert, welcher den maximalen Verschiebungswert, wel­ cher durch die Hardware vorgegeben ist, definiert. Im ersten Durchgang wird der Block 1030 mit NEIN beantwortet, so daß in einem Block 1040 der Parameter n dekrementiert wird, und daß in einem Block 1060 auch der Reduktions-Verschiebungswert um 1 dekrementiert wird. Dann wird in einem Block 1080 die Variable ZDN neu belegt, nämlich mit ihrem halben Wert, was durch eine Rechts-Verschiebung des im ZDN-Register stehenden Werts ohne weiteres erreicht werden kann. In einem Block 1100 wird dann festgestellt, ob der Absolutwert des aktuellen Zwischen­ ergebnisses größer als der im ZDN-Register stehende Wert ist.
Diese Vergleichsoperation im Block 1100 ist die zentrale Ope­ ration des Reduktions-Vorausschau-Verfahrens. Wird die Frage mit JA beantwortet, so ist die Iteration beendet und der Re­ duktions-Vorausschau-Parameter b wird, wie es im Block 1120 dargestellt ist, belegt. Wird die im Block 1100 zu beantwor­ tende Frage dagegen mit NEIN beantwortet, so wird iterativ wieder zurückgesprungen, um die aktuellen Werte von n und sN im Block 1030 zu untersuchen. Wird der Block 1030 irgendwann in der Iteration mit JA beantwortet, so wird zu einem Block 1140 gesprungen, in dem der Reduktions-Parameter b zu Null gesetzt wird. In der in Fig. 8 im Block 950 dargestellten Drei-Operanden-Operation führt dies dazu, daß kein Modul ad­ diert oder subtrahiert wird, was bedeutet, daß das Zwischen­ ergebnis Z so klein war, daß keine modulare Reduktion erfor­ derlich war. In einem Block 1160 wird dann die Variable n neu belegt, wobei dann in einem Block 1180 schließlich der Reduk­ tions-Verschiebungs-Wert sN berechnet wird, welcher in einem Block 940 von Fig. 8 benötigt wird, um die Linksverschiebung des Moduls durchzuführen, um einen verschobenen Modul zu er­ reichen.
In den Blöcken 1200, 1220 und 1240 werden schließlich die ak­ tuellen Werte von n und k hinsichtlich weiterer Variablen MAX und cur_k untersucht, um die aktuelle Belegung des N- Registers zu untersuchen, um sicherzustellen, daß keine Re­ gisterüberschreitungen stattfinden. Die näheren Details sind für die vorliegende Erfindung nicht von Bedeutung, sind je­ doch in der DE 36 31 992 C2 detailliert beschrieben.
Der ZDN-Algorithmus besteht im wesentlichen aus folgenden Schritten:
  • 1. Berechnen des Multiplikations-Verschiebungs-Werts sZ und des Multiplikations-Vorausschau-Parameters a.
  • 2. Verschieben des Inhalts des Z-Registers um sZ Stellen, d. h. Multiplizieren des Zwischenergebnisses des vorherigen Iterationsschritts mit dem Faktor 2sZ.
  • 3. Berechnen des Reduktions-Verschiebungswerts sN und opti­ onal des Reduktions-Vorausschau-Parameters b.
  • 4. Verschieben des Inhalts des N-Registers um sN Stellen, d. h. Multiplizieren des aktuellen Moduls mit dem Faktor 2sN.
  • 5. Durchführen der Drei-Operanden-Addition, um ein aktuali­ siertes Zwischenergebnis Z zu erhalten gemäß folgender Be­ stimmungsgleichung 2 sZ Z + a c + b 2sN N.
Je nach Multiplikations-Vorausschau-Algorithmus ist eine Be­ rechnung von Multiplikations-Vorausschau-Parametern (a) und Reduktions-Vorausschau-Parametern (b) erforderlich. Diese Pa­ rameter können, wie es bekannt ist, Werte von -1,0 und +1 einnehmen.
Je nach Implementation kann der Reduktions-Verschiebungs-Wert sN mittels eines Hilfs-Verschiebungs-Werts si berechnet wer­ den, wie es anhand der Fig. 3a bis 3c erläutert werden wird. In diesem Fall wird zur Berechnung des Reduktions- Verschiebungs-Parameters sN zunächst der Hilfs-Verschiebungs- Wert si, also der Unterschied der höchstwertigen Bits des ak­ tuellen Z-Register-Eintrags und des aktuellen Modul-Register- Eintrags, berechnet, um dann aus der Differenz des Multipli­ kations-Verschiebungs-Werts sZ und des Hilfs-Verschiebungs- Werts si den Reduktions-Verschiebungs-Wert sN zu berechnen.
Wie es aus der DE 36 31 992 C2 bekannt ist, ist die Zeit, die benötigt wird, um eine modulare Multiplikation M C mod N zu berechnen, proportional zu einem Drittel der Länge des Multi­ plikators M in Bits. Dies bedeutet, daß die Anzahl der Zyk­ len, um die modulare Multiplikation zu berechnen, gleich L(M)/3 ist.
Obgleich unter Verwendung des Multiplikations-Vorausschau- Verfahrens und des parallel ablaufenden Reduktions- Vorausschau-Verfahrens bereits eine wesentliche Beschleuni­ gung der modularen Multiplikation erreicht werden kann, be­ steht dennoch der Wunsch, die modulare Multiplikation weiter zu beschleunigen, was insbesondere dann an Bedeutung gewinnt, wenn die Länge des Multiplikators in Bits immer weiter zu­ nimmt, was insbesondere beim RSA-Algorithmus zu einer verbes­ serten Sicherheit des Algorithmus führen kann.
Des weiteren ist eine schnelle Berechnung der modularen Mul­ tiplikation nicht nur beispielsweise bei Chip-Karten von Be­ deutung, wo die Akzeptanz eines Verschlüsselungskonzepts auch davon abhängt, wie lange ein Benutzer warten muß, sondern auch in sogenannten Trusted Centern von Bedeutung, wo bei­ spielsweise 1000 RSA-Verschlüsselungen pro Sekunde durchzu­ führen sind. Solche Trusted Centers treten dort auf, wo ein Security-Server eine Vielzahl von Client-Anfragen bedienen muß.
Die Aufgabe der vorliegenden Erfindung besteht darin, ein schnelleres Verfahren und eine schnellere Vorrichtung zum mo­ dularen Multiplizieren zu schaffen.
Diese Aufgabe wird durch ein Verfahren zum modularen Multip­ lizieren gemäß Patentanspruch 1 oder durch eine Vorrichtung zum modularen Multiplizieren gemäß Patentanspruch 11 geschaf­ fen.
Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daß die Anzahl der Zyklen zum Berechnen der modularen Multiplika­ tion verringert werden kann, wenn statt eines Drei-Operanden- Addierers, wie im Stand der Technik, ein Multi-Operanden- Addierer eingesetzt wird, der für fünf, sieben oder noch mehr Operanden geeignet ist. Im Gegensatz zum herkömmlichen ZDN- Verfahren, bei dem immer ein Iterationsschritt nach dem ande­ ren ausgeführt wird, werden gemäß der vorliegenden Erfindung zwei, drei oder mehr Iterationsschritte auf einmal ausge­ führt. Statt eines Drei-Operanden-Addierers, wie im Stand der Technik, ist hierzu ein Fünf-, Sieben- oder noch höherwerti­ ger Operanden-Addierer von Nöten, dem als Operanden nicht nur das letzte Zwischenergebnis Z, der Multiplikand C und der Mo­ dul zugeführt werden, sondern je nach Ausführung, d. h. ob ein Fünf-Operanden-Addierer, ein Sieben-Operanden-Addierer oder ein noch höherer Addierer verwendet wird, ein verschobe­ nes Zwischenergebnis, ein Multiplikand und ein verschobener Multiplikand sowie ein um zwei verschiedene Verschiebungswer­ te verschobener Modul etc. zugeführt wird. Die Art und Weise, mit der das Zwischenergebnis aus dem vorherigen Iterations­ schritt, der Modul oder ein von dem Modul abgeleiteter Wert und der Multiplikand C jeweils unter Verwendung der Multipli­ kations-Verschiebungs-Werte und der Reduktions-Verschiebungs- Werte beaufschlagt werden, hängt von der ZDN- Bestimmungsgleichung ab. Die Beaufschlagungswerte ergeben sich dadurch, wenn in die ZDN-Gleichung die Gleichung für das aktualisierte Zwischenergebnis aus dem vorherigen Schritt eingesetzt wird, um unter Verwendung des erfindungsgemäßen Addierers für fünf, sieben oder noch mehr Operanden das aktu­ alisierte Zwischenergebnis Z für den übernächsten, überüber­ nächsten oder noch höheren herkömmlichen ZDN-Schritt zu be­ rechnen.
Hierzu werden zunächst zwei oder mehr Multiplikations- Verschiebungs-Werte sZ 1 bis sZ l mittels eines Multiplikations- Vorausschau-Verfahrens unter Berücksichtigung von l Blöcken von Stellen des Multiplikators, welche aneinander angrenzen, ermittelt. Darüber hinaus werden l Reduktions-Verschiebungs- Werte sN 1 bis sN l mittels eines Reduktions-Vorausschau- Verfahrens berechnet, und zwar für die selben l Blöcken von Stellen des Multiplikators.
Das Zwischenergebnis Z aus einem vorherigen Iterations­ schritt, der Modul oder ein von dem Modul abgeleiteter Wert und der Multiplikand werden mit den l Multiplikations- Verschiebungs-Werten und den l Reduktions-Verschiebungs- Werten beaufschlagt, um die 2l + 1 Operanden zu erhalten, wel­ che dann mittels des (2l + 1)-Operanden-Addierers zusammenge­ faßt werden, um ein aktualisiertes Zwischenergebnis für einen auf den vorherigen Iterationsschritt folgenden Iterations­ schritt zu erhalten, wobei die Iteration so lange fortgesetzt wird, bis sämtliche Stellen des Multiplikators abgearbeitet sind.
Wenn ein Multiplikations-Vorausschau-Verfahren verwendet wird, bei dem die Multiplikations-Verschiebungs-Werte für die l Blöcke von aneinander angrenzenden Stellen des Multiplika­ tors voneinander unabhängig sind, ist es ohne weiteres mög­ lich, mehrere Multiplikations-Verschiebungs-Werte im voraus zu berechnen.
Die l Reduktions-Verschiebungs-Werte sN 1 bis sN l hängen typi­ scherweise von früheren Reduktions-Verschiebungs-Werten und früheren Mulitplikations-Verschiebungs-Werten ab. So hängt der erste Reduktions-Verschiebungs-Wert sN 1 vom ersten Mul­ tiplikations-Verschiebungs-Wert sZ 1 über den Hilfs- Verschiebungs-Wert si 1 ab. Der zweite Reduktions- Verschiebungs-Wert sN 2 hängt jedoch neben dem zweiten Mul­ tiplikations-Verschiebungs-Wert sZ 2 auch von der Summe des um sZ 1 verschobenen Zwischenergebnisses Z, des Multiplikanden C multipliziert mit dem Multiplikations-Vorausschau-Parameter aus dem ersten Schritt a1 und dem um sN 1 verschobenen Modul N multipliziert mit dem Reduktions-Vorausschau-Parameter b1 aus dem vorherigen Schritt ab. Zur Berechnung des Reduktions- Verschiebungs-Parameters sN 2 und des Reduktions-Vorausschau- Parameters b2 könnte die vorher aufgeführte Summe, von der diese Werte abhängen, ermittelt werden. Um den Reduktions- Vorausschau-Parameter sN 2 zu berechnen, wird jedoch nicht die gesamte Summe benötigt, sondern lediglich das höchstwertige Bit dieser Summe, um den korrekten Reduktions-Verschiebungs- Parameter zu erhalten, damit eine korrekte Reduktion parallel zur Multiplikation stattfindet. Daher wird es bevorzugt, die Summe lediglich näherungsweise zu berechnen, was dadurch ge­ schehen kann, daß auf die Miteinbeziehung des Multiplikanden in die Summe verzichtet wird, und dass eine Modultransforma­ tion durchgeführt wird, um einige wenige der höchstwertigen Bits der oben genannten Summe schnell berechnen zu können.
Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend bezugnehmend auf die beiliegenden Zeich­ nungen näher erläutert. Es zeigen:
Fig. 1 ein Blockschaltbild einer erfindungsgemäßen Vor­ richtung zum modularen Multiplizieren mit einem (2l + 1)-Operanden-Addierer;
Fig. 2 ein Blockschaltbild eines Ausführungsbeispiels mit einem Fünf-Operanden-Addierer;
Fig. 3a bis 3c eine schematische Darstellung des Zusammenhangs zwischen dem Multiplikations-Verschiebungs-Wert sZ, dem Hilfs-Verschiebungs-Wert si und dem Reduktions- Verschiebungs-Wert sN;
Fig. 4 ein Ablaufdiagramm für die modulare Multiplikation mit einer Modultransformation;
Fig. 5 die Aufteilung eines Moduls N in einen ersten Ab­ schnitt NT von Bits und in einen zweiten Abschnitt NR von Bits;
Fig. 6 die Aufteilung des transformierten Moduls NT in ei­ nen ersten Abschnitt von Stellen mit der Länge L und die verbleibenden Stellen;
Fig. 7 eine Darstellung der Stellen des 2/3fachen des transformierten Moduls NT;
Fig. 8 eine Flußdiagrammdarstellung des bekannten ZDN- Verfahrens; und
Fig. 9 eine Flußdiagrammdarstellung des bekannten Redukti­ ons-Vorausschau-Verfahrens.
Fig. 1 zeigt ein Blockschaltbild einer erfindungsgemäßen Vor­ richtung zum modularen Multiplizieren eines Multiplikanden (C) mit einem Multiplikator (M), der aus einer Mehrzahl von Stellen besteht, unter Verwendung eines Moduls (N). Die Vor­ richtung umfaßt zunächst eine Einrichtung 10 zum Ermitteln von l Multiplikations-Verschiebungs-Werten. Wie es in der DE 36 31 992 C2 ausgeführt ist, wird hierzu der Multiplikator M, der über einen Multiplikatoreingang 11 der Einrichtung 10 zugeführt wird, abgescannt. An einem Ausgang 12 liefert die Einrichtung 10 Multiplikations-Verschiebungs-Werte sZ 1, . . ., sZ l sowie, wenn der Multiplikations-Lookahead-Algorithmus verwendet wird, der in der DE 36 31 992 C2 offenbart ist, Mul­ tiplikations-Vorausschau-Parameter a1, . . ., al. Ein Multipli­ kations-Verschiebungs-Wert sZ i ist einem Block von Stellen des Multiplikators M zugeordnet, wobei der Block von Stellen durch den verwendeten Lookahead-Algorithmus bestimmt ist. Für aufeinanderfolgende l Blöcke von Stellen des Multiplikators M ergeben sich somit die am Ausgang 12 der Einrichtung 10 auf­ geführten Größen sZ i und ai.
Die erfindungsgemäße Vorrichtung umfaßt ferner eine Einrich­ tung 13 zum Ermitteln von l Reduktions-Verschiebungs-Werten. Der Einrichtung 13 wird über einen Moduleingang 14 der Modul N oder ein transformierter Modul NT zugeführt, wobei der transformierte Modul NT ein Beispiel für einen von dem Modul N abgeleiteten Wert darstellt. Es sei darauf hingewiesen, daß der über den Eingang 14 zugeführte Modulwert N oder NT nicht unbedingt der ursprüngliche Modul N oder der ursprüngliche transformierte Modul NT der modularen Multiplikation ist. Dies wird in der Tat nur beim ersten Iterationsschritt zu­ treffen, also wenn der erste Block von Stellen des Multipli­ kators M "verarbeitet" wird. Bereits beim zweiten Iterations­ schritt ist der über den Moduleingang 14 zugeführte Modulwert der um sN i verschobene ursprüngliche Modul oder der um sN l verschobene ursprüngliche transformierte Modul NT.
Die Einrichtung 13 liefert an ihrem Ausgang 15 Reduktions- Verschiebungs-Parameter sN 1 bis sN l sowie Reduktions- Verschiebungs-Parameter b1 bis bl.
Die Ausgänge 12 und 15 der Einrichtungen 10 und 13 werden ei­ ner Einrichtung 16 zum Beaufschlagen zugeführt. Die Einrich­ tung 16 beaufschlagt den Multiplikanden C, der Modul N bzw. der transformierte Modul NT bzw. die entsprechenden Werte nach einem Iterationsschritt, wie es bezüglich des Eingangs 14 ausgeführt worden ist, sowie ein Zwischenergebnis Z eines vorherigen Iterationsschritts so, daß 2l + 1 Operanden 17 ge­ bildet werden, die dann mittels eines Multioperanden- Addierers 18 für die 2l + 1 Operanden zusammengefaßt werden, um ein aktualisiertes Zwischenergebnis Z' zu erhalten. Das aktu­ alisierte Zwischenergebnis Z' stellt dann in einem nächsten Iterationsschritt wieder die Eingangsgröße Z in die Einrich­ tung 16 zum Beaufschlagen dar.
Die Iteration wird so lange fortgeführt, bis sämtliche Stel­ len des Multiplikators M abgearbeitet sind. Das dann erhalte­ ne aktualisierte Zwischenergebnis Z' an dem Ausgang 19 der Einrichtung 18 stellt dann das Ergebnis der modularen Multi­ plikation dar. Es sei darauf hingewiesen, daß unter Umständen noch eine Reduktion unter Verwendung des ursprünglichen Mo­ duls N stattfinden muß, um das aktualisierte Zwischenergebnis Z' des letzten Iterationsschritts in die Restklasse des ur­ sprünglichen Moduls N zurück zu führen. Wurde eine Modul­ transformation durchgeführt, so muß, um das endgültige Ergeb­ nis der modularen Multiplikation auszurechnen, auch wieder eine Modulrücktransformation stattfinden.
Im nachfolgenden wird auf Fig. 2 eingegangen, um den Aufbau der Einrichtung 16 zum Beaufschlagen von Fig. 1 für den Fall l = 2, d. h. für den Fall eine Fünf-Operanden-Addierers, dar­ zustellen. Bevor näher auf Fig. 2 eingegangen wird, sei dar­ auf hingewiesen, daß Multioperandenaddierer im Kapitel 8 des Fachbuchs "Computer Arithmetic, Algorithms and Hardware De­ signs", Bahrooz Parhami, Oxford, ISBN 0-19-512583-5, be­ schrieben sind.
Die Bestimmungsgleichung des bekannten ZDN-Verfahrens mit ei­ nem Drei-Operanden-Addierer lautet folgendermaßen:
Z' = 2^sZ Z + a C + b 2^sN N.
Z' ist das aktualisierte Zwischenergebnis. Z ist das Zwi­ schenergebnis des vorhergehenden Iterationsschritts. sZ ist der Multiplikations-Verschiebungs-Wert, der von den gerade betrachteten Stellen des Multiplikators abhängt. a ist der Multiplikations-Vorausschau-Parameter, der mit dem Multipli­ kations-Verschiebungs-Wert sZ korrespondiert. b ist der Re­ duktions-Vorausschau-Parameter, der mit dem Reduktions- Verschiebungswert sN korrespondiert, während N den Inhalt des Modulregisters aus dem vorausgehenden Iterationsschritt dar­ stellt.
Erfindungsgemäß wird nunmehr von der Drei-Operanden-Summe ab­ gegangen und eine Summe mit mehr als drei Operanden gebildet, um zwei oder mehr (l) Schritte des bekannten ZDN-Verfahrens in einen einzigen Iterationsschritt des erfindungsgemäßen Verfahrens zusammenzufassen.
Im nachfolgenden wird dies anhand von l = 2 dargestellt. Die Gleichung für das aktualisierte Zwischenergebnis Z' nach ei­ nem Iterationsschritt gemäß dem erfindungsgemäßen Verfahren lautet folgendermaßen:
Z' = 2^sZ 2 (2^sZ 1 Z + a1 C + b1 2^sN 1 N) + a2 C + b2 2^sN 2 N.
Wenn diese Gleichung entsprechen zusammengefaßt wird, ergibt sich folgende Bestimmungsgleichung für das aktualisierte Zwi­ schenergebnis Z':
Z' = 2^(sZ 2 + sZ 1) Z + 2^sZ 2 a1 (C + 2^sZ 2 + sN 1) b1 N + a2 C + b2 2^sN 2 N.
Die Exponenten zur Basis 2 in der obigen Gleichung können, wie es bekannt ist, durch Verschiebung der entsprechenden Re­ gisterinhalte um die durch die Exponenten gegebene Anzahl von Stellen nach links oder rechts bewirkt werden. Eine mögliche schaltungsmäßige Implementation der obigen Gleichung ist in Fig. 2 dargestellt. Ein erster Operand 17a wird durch Ver­ schieben des Registerinhalts Z 20 um sZ 1 + sZ 2 Stellen er­ reicht. Ein zweiter Operand 17b wird dadurch erhalten, daß der Inhalt des Multiplikandenregisters 21 um sZ 2 Stellen ver­ schoben wird und ferner mit dem Vorzeichen des Multiplikati­ ons-Vorausschau-Parameters a1 beaufschlagt wird. Analog dazu wird ein dritter Operand 17c erhalten, indem der Inhalt des Multiplikandenregisters 21 mit dem Vorzeichen des Multiplika­ tions-Vorausschau-Parameters a2 beaufschlagt wird. Ein vier­ ter Operand 17d wird dadurch erhalten, daß der Inhalt des Mo­ dulregisters 22 zunächst um sN 1 + sZ 2 Stellen verschoben wird und ferner mit dem Vorzeichen des Reduktions-Vorausschau- Parameters b1 beaufschlagt wird. Der letzte Operand 17e für den Fall l = 2 wird dadurch erhalten, daß der Inhalt des Mo­ dulregisters 22 um sN 2 Stellen verschoben wird und ferner mit dem Vorzeichen von b2 beaufschlagt wird. Die fünf Operanden 17a bis 17e werden dann in dem Fünf-Operanden-Addierer 18 aufaddiert, um das aktualisierte Zwischenergebnis Z' für einen Iterationsschritt des erfindungsgemäßen Verfahrens zu er­ halten.
Über einen Z-Datenpfad 23 wird das aktualisierte Zwischener­ gebnis in das Z-Register 20 eingespeist, damit das Z-Register 20 für den nächsten Iterationsschritt bereit ist. Während der Multiplikand C in allen Iterationsschritten der gleiche ist, wird der um sN 2 Stellen verschobene Modul N' über einen Mo­ duldatenpfad 24 wieder in das Modulregister 22 zurückgeführt, damit auch das Modulregister 22 für den nächsten Iterations­ schritt vorbereitet ist.
Es sei darauf hingewiesen, daß die Verschiebungswerte sZ i, sN i sowie die Parameter ai und bi im voraus berechnet werden müs­ sen, wie es durch die Einrichtungen 10 und 13 von Fig. 1 an­ gedeutet ist. Dasselbe gilt, wenn statt l = 2 l = 3 gewählt wird. In diesem Fall würde die Bestimmungsgleichung für das aktualisierte Zwischenergebnis Z' folgendermaßen lauten:
Z' = 2^sZ 3 [2^sZ 2 (2^sZ 1 Z + a1 C + b1 2^sN 1 N) + a2 C + b2 2^sN 2 N] + a3 C + b3 2^sN 3 N.
Ein Ausmultiplizieren und Zusammenfassen der obigen Gleichung ergibt dann die Verschiebungs- bzw. Vorzeichenwerte für einen Sieben-Operanden-Addierer, um gewissermaßen drei Einzel­ schritte des bekannten ZDN-Verfahrens in einen einzigen Ite­ rationsschritt des erfindungsgemäßen ZDN-Verfahrens zusammen­ zufassen.
Aus den bezüglich l = 2 und l = 3 gegebenen Beispielen für die Berechnung der Verschiebungswerte und der Vorzeichenwerte ist es für Fachleute ohne weiteres möglich, auch für l = 4 und darüberliegende Zahlen den Aufbau der Einrichtung 16 zum Beaufschlagen von Fig. 1 zu ermitteln.
Es sei darauf hingewiesen, daß mit zunehmendem l der Hard­ ware-Aufwand steigt, jedoch gleichzeitig die Anzahl der zu berechnenden Zyklen gemäß L(M)/(l 3) abfällt. Es wurde he­ rausgefunden, daß ein Optimum zwischen Hardware-Aufwand auf der einen Seite und Zeitersparnis auf der anderen Seite bei einem Wert von l = 3 liegt, d. h. bei einer Schaltung mit ei­ nem Sieben-Operanden-Addierer.
Im nachfolgenden wird auf die Berechnung der l Multiplikati­ ons-Verschiebungs-Werte (Einrichtung 10 von Fig. 1) bzw. auf der Berechnung von l Reduktions-Verschiebungs-Werte (Einrich­ tung 13 von Fig. 1) eingegangen. Während die Berechnung der Multiplikations-Verschiebungs-Werte sZ 1, . . ., sZ l und der mit denselben korrespondierenden Multiplikations-Verschiebungs- Werte a1 . . ., al durch den verwendeten Multiplikations- Lookahead-Algorithmus bestimmt ist, existieren verschiedene Möglichkeiten, um die Berechnung der l Reduktions- Verschiebungs-Werte sN 1, . . ., sN l sowie der damit einhergehen­ den Reduktions-Vorausschau-Parameter b1, . . ., bl effizienter zu gestalten. Während diese Parameter ohne weiteres berechnet werden können, indem die runde Klammer der Bestimmungsglei­ chung für das aktualisierte Zwischenergebnis Z' im Falle von l = 2 vollständig ausgerechnet wird, ist diese Berechnung dennoch redundant, da ja nicht sämtliche Bits der Summe in der runden Klammer benötigt werden, um den Reduktions- Verschiebungs-Wert sN 2 zu berechnen, sondern da lediglich ei­ nige höchstwertige Bits dieser Summe benötigt werden.
Um die Berechnung der Klammer bzw. der höchstwertigen Bits der Klammer zu vereinfachen, kann zunächst der Multiplikand C in der Klammer für die Berechnung von sN 2 vernachlässigt wer­ den. Entscheidend für das höchstwertige Bit der Klammer ist daher nicht der Multiplikand C, welcher während der gesamten Rechnung statisch ist und nicht nach oben bzw. nach unten verschoben wird. Zur Berechnung von sN 2 wird daher aus der Drei-Operanden-Summe in der Klammer bereits eine Zwei- Operanden-Summe.
Zur Berechnung der Reduktions-Verschiebungs-Werte sN 1, . . ., sN l empfiehlt es sich ferner, einen Hilfs-Reduktions- Verschiebungswert si einzuführen. Anhand der nachfolgenden Fig. 3a bis 3c wird auf die Berechnung des Hilfs- Verschiebungs-Werts si eingegangen, um die Berechnung des Re­ duktions-Verschiebungswerts sN unter Verwendung des Hilfs- Reduktions-Verschiebungswerts si darzustellen. In Fig. 3a sind ein Zwischenergebnis Z und ein Modul N dargestellt. Le­ diglich beispielhaft hat das Zwischenergebnis vier Bits, wäh­ rend der Modul 9 Bits hat. Nunmehr sei angenommen, daß in dem Block 920 von Fig. 8 ein verschobenes Zwischenergebnis Z be­ rechnet wird, was durch Multiplizieren mit 2^sZ erreicht wer­ den kann.
So sei angenommen, daß im Multiplikator 8 Nullen waren, was dazu führt, daß der Multiplikations-Verschiebungswert sZ gleich 8 war. Um eine modulare Reduktion zu erreichen, muß der Modul N in die Größenordnung des verschobenen Zwischener­ gebnis Z' kommen. Erfindungsgemäß soll der Modul N so weit verschoben werden, daß das oberste Bit des verschobenen Zwi­ schenergebnisses Z' und das oberste Bit des verschobenen Mo­ duls N gleich sind. Wie es aus Fig. 3b zu sehen ist, ist hierzu ein Reduktions-Verschiebungswert von sN gleich 3 er­ forderlich.
Aus Fig. 3b ist ebenfalls zu sehen, daß die Ermittlung von sN eigentlich erst durchgeführt werden kann, wenn sZ berechnet worden ist, d. h. daß eine parallele Ausführung der Blöcke 910 und 930 von Fig. 8, wie es für die vorliegende Erfindung bevorzugt wird, nicht möglich ist. Aus diesem Grund wird der Hilfs-Verschiebungs-Parameter si eingeführt. Vorteilhaft an si ist, daß dieser Wert berechnet werden kann, ohne das sZ des aktuellen Schritts zu kennen.
Aus Fig. 3c ist zu sehen, daß sZ immer gleich der Summe aus si und sN ist. sN hängt somit immer mit sZ und si derart zusam­ men, daß folgende Gleichung gilt:
sN = sZ - Si.
Das zeitaufwendige iterative Verfahren zum Bestimmen von sN kann somit zerlegt werden in ein zeitaufwendiges iteratives Verfahren zum Bestimmen von si (Block 930, 940) und eine schnelle Differenz-Operation (sN = sZ - si). Damit ist eine nahezu parallele Ausführung der beiden Vorausschau-Verfahren möglich, wobei die einzige serielle Komponente darin besteht, daß vor dem Berechnen von sN der tatsächliche Wert von sZ durch den Multiplikations-Vorausschau-Algorithmus bereits be­ rechnet und geliefert worden ist.
Wie es bereits ausgeführt worden ist, kann die Berechnung der Klammer bzw. die Berechnung von sN 2 weiter vereinfacht wer­ den, indem eine Modultransformation eingeführt wird. Mittels der Modultransformation wird, wie es nachfolgend ausgeführt wird, der zeitaufwendige ZDN-Vergleich zur Berechnung des Hilfs-Verschiebungs-Werts si stark vereinfacht, wobei die Be­ stimmungsgleichung für si folgendermaßen lautet:
2/3 2^(-si) N < |Z| ≦ 4/3 2^(-si) N
Fig. 4 zeigt ein Ablaufdiagramm des erfindungsgemäßen Verfah­ rens zum modularen Multiplizieren eines Multiplikanden C mit einem Multiplikator M unter Verwendung eines Moduls N. Zu­ nächst wird in einem Schritt 40 der Modul N in einen trans­ formierten Modul NT gemäß folgender Gleichung transformiert:
NT - T × N.
In einem Schritt 42 wird dann die modulare Multiplikation un­ ter Verwendung des transformierten Moduls NT und des vorbe­ stimmten Bruchteils des transformierten Moduls, der beim be­ vorzugten Ausführungsbeispiel 2/3 beträgt, abgearbeitet. Be­ zogen auf die modulare Exponentiation bedeutet dies, daß eine RSA-Gleichung folgender Form berechnet wird:

CT: = Md mod NT.
Es wird also das Ergebnis der modularen Exponentiation C nicht in der durch den Modul N definierten Restklasse sondern in der durch den transformierten Modul NT definierten Rest­ klasse berechnet, weshalb auf der linken Seite der obigen Gleichung nicht C sondern CT steht. Das erfindungsgemäße Kon­ zept zeichnet sich dadurch aus, daß durch die Verwendung des transformierten Moduls NT die Berechnung des Hilfs- Reduktions-Verschiebungswerts si, die der Iterationsschleife von Fig. 9 des bekannten Reduktions-Vorausschau-Verfahrens entspricht, stark vereinfacht ist.
In einem abschließenden Schritt 44 wird dann wieder eine Rück-Transformation von NT zu N durchgeführt, indem eine Ope­ ration ausgeführt wird, die folgender Gleichung entspricht:
C: = CT mod N.
Das transformierte Ergebnis CT, das in der Restklasse des transformierten Moduls NT liegt, wird dabei vorzugsweise durch eine einfache Verschiebungs/Subtraktions-Reduktion in die Restklasse des Moduls N zurückgeführt, so daß C das Er­ gebnis der modularen Exponentiation ist.
Die Transformation des Moduls N in einen transformierten Mo­ dul NT unter Verwendung des Transformators T aus Schritt 10 wird so durchgeführt, daß der vorbestimmte Bruchteil des transformierten Moduls, also beim bevorzugten Ausführungsbei­ spiel das 2/3fache des transformierten Moduls, eine höher­ wertige Stelle mit einem ersten vorbestimmten Wert hat, der zumindest eine niederwertige Stelle folgt, die einen zweiten vorbestimmten Wert hat. Damit kann der Vergleich des Zwi­ schenergebnisses Z mit dem 2/3fachen des transformierten Mo­ duls stark vereinfacht werden, nämlich indem die oberste Stelle von Z, die ebenfalls den ersten vorbestimmten Wert hat, gesucht wird, und die Differenz zwischen der höherwerti­ gen Stelle mit ersten vorbestimmten Wert des vorbestimmten Bruchteils des transformierten Moduls und der obersten Stelle des Zwischenergebnisses Z mit dem ersten vorbestimmten Wert gleich der Differenz si ist.
Zusammengefaßt stellt sich dies folgendermaßen dar. N wird vorzugsweise in der 32-Bit-CPU und nicht im Krypto- Coprozessor in einen transformierten Modul NT transformiert, so daß gilt:
NT: = T × N,
wobei T eine natürliche Zahl ist.
Für NT ergibt sich folgende Gestalt, wenn sämtliche verwende­ ten Zahlen Binärzahlen sind:
NT = 1100 . . . 0 XX . . . XX
Für das 2/3fache des transformierten Moduls ergibt sich dann folgender Wert:
2/3 NT = 100 . . . 0 X'X' . . . X'X'
Aus NT und 2/3 NT ist zu sehen, daß beide eine erste Portion von beispielsweise 16 Bits haben, und dann eine Portion von L(N) Bits X bzw. X'. Für den sogenannten ZDN-Vergleich werden nur die obersten 16 Bits des 2/3fachen des transformierten Moduls NT herangezogen, da sich dann bereits eine Fehlerwahr­ scheinlichkeit von besser als etwa 2-10 ergibt. Es müssen also nicht alle 512, 1024 oder 2048 Bits des 2/3fachen des trans­ formierten Moduls zum ZDN-Vergleich herangezogen werden, son­ dern es genügt, wenn dieser Vergleich mit den obersten 16 Bits des transformierten Moduls durchgeführt wird. Selbstver­ ständlich könnten auch noch weniger Bits von 2/3 NT zum Ver­ gleich herangezogen werden, dann steigt jedoch die Fehlerwahrscheinlichkeit nach und nach an. Da die Fehler jedoch un­ kritisch sind und nur zu einem suboptimalen Verhalten des Re­ duktions-Vorausschau-Verfahrens führen, ist dieser Weg ohne weiteres gangbar.
Das 2/3fache des transformierten Moduls NT hat somit eine höherwertige Stelle mit dem Wert 1, der zumindest eine nie­ derwertige Stelle folgt, die einen Wert 0 hat, also einen zweiten vorbestimmten Wert. Bei dem vorstehend beschriebenen Ausführungsbeispiel ist die Anzahl der niederwertigen Stellen 15. Selbstverständlich können auch hier größere oder kleinere Blöcke genommen werden, je nach dem, welche Größenunterschie­ de zwischen dem Zwischenergebnis Z und dem 2/3fachen des transformierten Moduls NT zu erwarten sind bzw. bearbeitet werden sollen. Für den Betrag des Zwischenergebnisses Z der modularen Multiplikation, also des Ergebnisses der Drei- Operanden-Addition im Block 950 von Fig. 8 ergibt sich fol­ gende Gestalt:
|Z| = 00 . . . 01YY . . . Y
Der Hilfs-Verschiebungswert si wird gemäß folgender Gleichung berechnet:
2/3 NT × 2-si < |Z| ≦ 4/3 NT × 2-si.
Aufgrund der Topologie des 2/3fachen des transformierten Mo­ duls NT ist der Wert si immer der Abstand zwischen dem höchstwertigen Bit mit einer 1 des 2/3fachen des transfor­ mierten Moduls NT und der höchstwertigen 1 des Betrags des Zwischenergebnisses.
Erfindungsgemäß kann diese Stellendifferenz bzw. der Wert si trivial ermittelt werden. Keine Iteration ist mehr erforder­ lich.
Darüber hinaus ist kein ZDN-Register mehr erforderlich, um das 2/3fache des Moduls zu speichern, da per Definition zu­ mindest die oberen beispielsweise 16 Bit des 2/3fachen des transformierten Moduls NT immer die gleiche Gestalt haben. Kein Bit-Komparator ist mehr erforderlich.
Aufgrund der Tatsache, daß kein ZDN-Register und kein ZDN- Komparator erforderlich sind, ist das gesamte Rechenwerk auf einer kleineren Chipfläche unterzubringen.
Außerdem hat der Krypto-Control-Part, also die Steuerlogik für den ZDN-Vergleich, eine kleinere Komplexität, da die auf­ wendige Iterationsschleife von Fig. 9 nicht ausgeführt werden muß. Schließlich geht die Berechnung schneller, so daß sich durch die Berechnung des Hilfs-Verschiebungswerts si keine Timing-Probleme mehr für den gesamten Algorithmus ergeben.
Im nachfolgenden wird anhand der Fig. 5 bis 7 auf die er­ findungsgemäße Transformation genauer eingegangen.
Wie es bereits ausgeführt worden ist, besteht ein wesentli­ cher Teil des ZDN-Algorithmus darin, dass folgende Gleichung erfüllt ist
2/3 2-si N < |Z| ≦ 4/3 2-si N.
si wird als Hilfs-Verschiebungswert bezeichnet und ist der Verschiebungswert, der notwendig ist, um Z stellenmäßig zu derselben Position wie N zu schieben. Im Stand der Technik waren zur Berechnung von si Vergleichsoperationen von |Z| mit 2/3 N notwendig.
Erfindungsgemäß wird der Vergleich mit 2/3 vereinfacht, indem der Modul in den transformierten Modul NT transformiert wird, wobei der transformierte Modul NT größer als N ist, bevor ir­ gendeine modulare Operation mit N ausgeführt wird. Dann wer­ den alle Berechnungen Modulo NT durchgeführt. Nachdem das Ergebnis der Berechnung jedoch in der Restklasse N sein muß, wird erfindungsgemäß eine abschließende Reduktion mit N durchgeführt.
Wie es in Fig. 5 gezeigt ist, sei N eine Ganzzahl mit einer Länge von N Bits. Da der Modul N immer eine positive Ganzzahl ist, d. h. MSB = 0 in der Zweier-Komplement-Darstellung, ist das Vorzeichenbit gleich 0 und das zweit-höchstwertige Bit (MSB -1) des Moduls N ist immer gleich 1. Für den ZDN- Vergleich ist es nicht erforderlich, sämtliche Bits des Mo­ duls mit sämtlichen Bits des Zwischenergebnisses zu verglei­ chen, sondern es ist ausreichend, eine Anzahl von m Bits für den ZDN-Vergleich zu verwenden. Die höchstwertigen m Bits des Moduls N definieren einen ersten Teil des Moduls NT, während die restlichen N - m Bits des Moduls einen zweiten Teil NR des Moduls definieren. Bei einem bevorzugten Ausführungsbeispiel ist m gleich 16. Selbstverständlich sind auch größere oder kleinere Werte von m möglich.
Wie es in Fig. 6 gezeigt ist, wird die Transformation derart ausgeführt, daß der transformierte Modul NT 16 Bit länger ist als der ursprüngliche Modul von Fig. 2.
Für den ZDN-Vergleich ist es ausreichend, die ersten 16 Bit von NT zu verwenden, wobei bei einem bevorzugten Ausführungs­ beispiel der vorliegenden Erfindung nur 12 Bits zum Vergleich verwendet werden, während die niederstwertigen 4 Bits einen Puffer für mögliche Überträge darstellen, die von noch nie­ derwertigeren Bits kommen können.
In diesem Fall ist die Wahrscheinlichkeit, daß der Vergleich ein falsches Ergebnis ergibt, kleiner als 2-12. Falls der Ver­ gleich ein falsches Ergebnis liefert, wird nur ein suboptima­ ler Reduktions-Verschiebungswert sN erzeugt, das Ergebnis Mo­ dulo N ist jedoch nach wie vor korrekt.
Wenn der Modul wie in Fig. 5 in der Zweierkomplementdarstel­ lung verwendet wird, dann kann der Modul N folgendermaßen zerlegt werden:
N = 2n-m NT + NR.
Nun wird N zu NT unter Verwendung des Transformators T trans­ formiert, wobei T eine geeignet gewählte Ganzzahl ist, was aus Kongruenzgründen der Fall sein muß. NT sollte die in Fig. 6 gezeigte Form haben, d. h. das höchstwertige Bit (MSB) von NT muß gleich 0 sein, da NT eine positive Ganzzahl sein soll. Wie es nachfolgend ausgeführt wird, müssen das zweithöchstwertige und das dritthöchstwertige Bit des trans­ formierten Moduls gleich 1 sein, während sämtliche anderen Bits des obersten Abschnitts des transformierten Moduls NT, welcher in Fig. 6 mit dem Bezugszeichen 33 bezeichnet ist, einen Wert von "0" haben sollten. Nur in diesem Fall ergibt sich nämlich für das 2/3fache von NT, daß der oberste Ab­ schnitt des 2/3fachen von NT, wie es in Fig. 7 gezeigt ist, lediglich ein Bit mit einer "1" hat, während alle anderen Bits in diesem obersten Abschnitt 44 gleich "0" sind, so daß der bereits beschriebene triviale Vergleich zur Bestimmung von si ausgeführt werden kann.
Zunächst wird jedoch anhand von Fig. 6 auf die Berechnung des transformierten Moduls NT unter Verwendung des Transformators T eingegangen. Es gelte folgende Definition:
NT = T N = T(2n-m NT + NR)
Für den Transformator T gilt folgendes:
Damit ergibt sich für den transformierten Modul NT folgendes:
Wenn beispielsweise typische Werte für p und m genommen wer­ den, also p gleich 32 Bit und m gleich 16 Bit, so ergibt sich für NT folgendes:
Es sei darauf hingewiesen, daß die Berechnung von NT vorzugs­ weise in der Host-CPU durchgeführt wird, und nicht im Krypto- Coprozessor. Die Host-CPU umfaßt ein Kurzzahl-Rechenwerk, was jedoch für die Berechnung von NT ausreichend ist. Da T eine Ganzzahl sein muß und die Berechnungen innerhalb des Krypto- Coprozessors Modulo NT anstatt Modulo N durchgeführt werden, wobei NT größer als N ist, sind nur die ersten p - m gleich 16 Bits von NT für den trivialen ZDN-Vergleich, um den Hilfs- Verschiebungswert si zu berechnen, relevant. Die anderen n Bits von NT können irgendeine Zahl sein, sie sind für die Be­ rechnung des Hilfs-Verschiebungswerts si, also für den Ver­ gleich mit Z nicht relevant. Selbstverständlich werden jedoch alle Bits des transformierten Moduls NT für die Drei- Operanden-Addition benötigt, die nunmehr statt unter Verwen­ dung des verschobenen Moduls unter Verwendung des verschobe­ nen transformierten Moduls ausgeführt wird.
Für die gewählten Werte für m und p ist der Transformator T eine 16-Bit-Ganzzahl. Daher muß die Division, die zur Berech­ nung von T erforderlich ist, bzw. die zur Berechnung von NT erforderlich ist, nur für die höchstwertigen 32 Bits durchge­ führt werden, und kann daher schnell und einfach auf der Host-CPU programmiert werden.
In Fig. 7 ist das 2/3fache des transformierten Moduls NT ge­ zeigt. Da das MSB-1 und das MSB-2 von NT gleich "1" sind, wie es in Fig. 6 gezeigt ist, und folgendes gilt:
(11)2 = (3)10 und (2/3 × 3)2 = (2)10 = (10)2,
ergibt sich ein einfaches Bitmuster für das 2/3fache des transformierten Moduls NT, wobei die Länge des 2/3fachen des transformierten Moduls NT gleich n - m + p ist.
Aufgrund der speziellen Gestalt von 2/3 NT wird nun der Ver­ gleich mit |Z| sehr einfach. Es ist bekannt, daß die höchst­ wertige Eins von 2/3 NT an einer Position n + p - m - 2 an dem Be­ ginn einer modularen Operation ist. Ein Zeiger für das Register Z startet dann bei einem bevorzugten Ausführungsbei­ spiel an dem MSB von Z und sucht nach der ersten "1" von Z. Wenn das MSB von Z gleich 1 ist, dann ist Z eine negative Zahl, und man sucht statt dessen die erste Null von Z.
Die Differenz der Bitposition der ersten Eins im Register N und im Register Z bestimmt den Hilfs-Verschiebungswert si.
Da das Ergebnis der Modulo-Operation in der Restklasse N sein muß, wird erfindungsgemäß eine Endreduktion Modulo N durchge­ führt, es muß also eine Rücktransformation (Schritt 44 in Fig. 4) durchgeführt werden.
Die Transformation von N zu NT hat die folgenden Vorteile im Vergleich zum bekannten ZDN-Vergleich:
Statt der Berechnung von 2/3 N innerhalb des Kryptocoprozes­ sors kann eine einfache Transformation von N in NT in der Host-CPU durchgeführt werden.
Auf dem Chip werden kein ZDN-Register und keine Komparatorlo­ gik benötigt, weshalb die Chipgröße kleiner und die Komplexi­ tät des Coprozessors geringer werden.
Die Verwendung der Modultransformation ermöglicht auf einfa­ che Art und Weise die Berechnung des Hilfs-Verschiebungs- Werts si, ohne den gesamten Inhalt der Klammer bzw. der Klam­ mern in den Bestimmungsgleichungen für das aktualisierte Zwi­ schenergebnis Z' berechnen zu müssen.
Die einzelnen Schritte zur Durchführen des erfindungsgemäßen Verfahrens gemäß einem bevorzugten Ausführungsbeispiel der vorliegenden Erfindung am Beispiel 1 = 2 lauten somit folgen­ dermaßen:
  • 1. Durchführen einer Modultransformation.
  • 2. Berechnen der Multiplikations-Verschiebungs-Werte sZ 1 und sZ 2 sowie der Multiplikations-Vorausschau-Parameter a1 und a2.
  • 3. Berechnen des Hilfs-Verschiebungs-Werts si 1 und Berechnen des ersten Reduktions-Verschiebungs-Werts sN 1 = sZ 1 - si 1 und Ermitteln des ersten Reduktions-Vorausschau-Parameters b1.
  • 4. Berechnen des Inhalts eines Hilfszwischenergebnisses, das der besagten Klammer ohne Berücksichtigung des Multiplikanden entspricht, um daraus und unter Verwendung des um sN 1 ver­ schobenen Modulregisterinhalts den zweiten Hilfs- Verschiebungs-Wert si 2 zu berechnen, aus dem dann wiederum ohne weiteres der Reduktions-Verschiebungs-Parameter sN 2 be­ rechnet werden kann.
  • 5. Durchführen der Fünf-Operanden-Addition mit den durch die Verschiebungswerte und Verschiebungsparameter beaufschlagten Werten für C, N bzw. NT und Z.
  • 6. Iterieren der vorgenannten Schritte, bis sämtliche Stel­ len des Multiplikators abgearbeitet sind.
  • 7. Durchführen einer Modulrücktransformation
Schließlich sei darauf hingewiesen, dass das erfindungsgemäße Konzept des Multioperanden-Addierers zur Berechnung mehrerer herkömmlicher ZDN-Schritte auf einmal auch für Ringe der Form f2[x/N(x)] (wobei N(x) ein Polynom vom Grad d ist) eingesetzt werden kann, wobei dann sämtliche Größen als Polynome einer Variablen x aufzufassen sind, und die Koeffizienten der ein­ zelnen Potenzen von x in den entsprechenden Registern abzu­ speichern sind.
Bezugszeichenliste
10
Einrichtung zum Ermitteln von Multiplikations- Verschiebungs-Werten
11
Multiplikatoreingang
12
Multiplikations-Verschiebungs-Werte-Ausgang
13
Einrichtung zum Ermitteln der Reduktions- Verschiebungs-Werte
14
Moduleingang
15
Reduktions-Verschiebungs-Wert-Ausgang
16
Einrichtung zum Beaufschlagen
17
a 2l + 1 Operanden, 1. Operand
17
b 2l + 1 Operanden, 2. Operand
17
c 2l + 1 Operanden, 3. Operand
17
d 2l + 1 Operanden, 4. Operand
17
e 2l + 1 Operanden, 5. Operand
18
Einrichtung zum Zusammenfassen
19
Ausgang für das aktualisierte Zwischenergebnis
20
Z-Register
21
C-Register
22
N-Register
23
Datenpfad für das Z-Register
24
Datenpfad für das N-Register
40
Einrichtung zum Transformieren des Moduls
42
Einrichtung zum iterativen Abarbeiten der modularen Multiplikation
44
Einrichtung zum Rücktransformieren des transformierten Ergebnisses
900
Start des ZDN-Verfahrens
910
Multiplikations-Vorausschau-Verfahren für den ZDN- Algorithmus
920
Verschieben von Z nach links oder rechts
930
Reduktions-Vorausschau-Verfahren für den ZDN- Algorithmus
940
Verschieben des Moduls nach links
950
Drei-Operanden-Addition für den ZDN-Algorithmus
960
Ende des ZDN-Algorithmus
1000
Globale Variablen
1010
Initialisierung des Reduktions-Verschiebungswerts
1020
Berechnen von ZDN
1030
Untersuchen von n und sN
1040
Dekrementieren von n
1060
Dekrementieren des Reduktions-Verschiebungswerts
1080
Berechnen von ZDN/2
1100
Vergleich des Zwischenergebnisses mit ZDN
1120
Bestimmen des Reduktions-Vorausschau-Parameters
1140
Bestimmen des Reduktions-Vorausschau-Parameters
1160
Berechnen von n
1180
Berechnen des Reduktions-Vorausschau-Parameters
1200
Untersuchen von n
1220
Berechnen von cur_k
1240
Berechnen von cur_k

Claims (11)

1. Verfahren für einen Prozessor zum modularen Multiplizieren eines Multipli­ kanden (C) mit einem Multiplikator (M), der aus einer Mehr­ zahl von Stellen besteht, unter Verwendung eines Moduls (N), mit folgenden Schritten:
Ermitteln (10) von l Multiplikations-Verschiebungs-Werten (sZ 1, . . ., sZ l) mittels eines Multiplikations-Vorausschau- Verfahrens unter Berücksichtigung von l Blöcken von Stellen des Multiplikators (M), die aneinander angrenzen, wobei l größer oder gleich 2 ist;
Ermitteln (13) von l Reduktions-Verschiebungs-Werten (sN 1, . . ., sN l) mittels eines Reduktions-Vorausschau-Verfahrens für die l Blöcke von Stellen des Multiplikators (M);
Beaufschlagen (16) eines Zwischenergebnisses (Z) aus einem vorherigen Iterationsschritt, des Moduls (N) oder eines von dem Modul (N) abgeleiteten Werts und des Multiplikanden (C) mit den l Multiplikations-Verschiebungs-Werten und den l Re­ duktions-Verschiebungs-Werten, um 2l + 1 Operanden (17a bis 17e) zu erhalten; und
Zusammenfassen (18) der (2l + 1)-Operanden, um ein aktualisier­ tes Zwischenergebnis (Z') für einen auf den vorherigen Itera­ tionsschritt folgenden Iterationsschritt zu erhalten, wobei eine Iteration so lange fortgesetzt wird, bis sämtliche Stel­ len des Multiplikators (M) abgearbeitet sind.
2. Verfahren gemäß Anspruch 1, bei dem im Schritt des Ermittelns (10) von l Multiplikations- Verschiebungs-Werten ferner 1 Multiplikations-Vorausschau- Parameter (a1, . . ., al) ermittelt werden;
im Schritt des Ermittelns (13) von l Reduktions- Verschiebungs-Werten ferner l Reduktions-Vorausschau- Parameter (b1, . . ., bl) ermittelt werden; und
im Schritt des Beaufschlagens (16) die l Multiplikations- Vorausschau-Parameter und die l Reduktions-Vorausschau- Parameter verwendet werden, um die 2l + 1 Operanden zu erhal­ ten.
3. Verfahren gemäß Anspruch 1 oder 2, bei dem im Schritt des Ermittelns (13) der l Reduktions-Verschiebungs-Werte fol­ gende Teilschritte durchgeführt werden:
Berechnen eines Hilfs-Verschiebungs-Werts (si) aus einem Zwi­ schenergebnis (Z) und einem Modulwert (N) für einen vorherge­ henden Iterationsschritt;
Bilden einer Differenz aus dem Multiplikations-Verschiebungs- Wert für eine erste Anzahl von Stellen des Multiplikators (M) und dem Hilfs-Verschiebungs-Wert (si), um einen Reduktions- Verschiebungs-Wert (sN) zu erhalten.
4. Verfahren gemäß Anspruch 3, bei dem der Schritt des Er­ mittelns (13) von l Reduktions-Verschiebungs-Werten ferner folgende Teilschritte aufweist:
Berechnen eines Hilfszwischenergebnisses unter Verwendung des Zwischenergebnisses (Z) für den vorausgehenden Iterations­ schritt, des ersten Multiplikations-Verschiebungs-Werts (sZ 1), des Moduls (N) und des Reduktions-Verschiebungs-Werts (sN), jedoch ohne Berücksichtigung des Multiplikanden (C);
Berechnen eines Hilfsmoduls durch Verschieben des Moduls oder des von dem Modul abgeleiteten Werts um eine Anzahl von Stel­ len gleich dem Reduktions-Verschiebungs-Wert (sN);
Berechnen eines weiteren Hilfs-Verschiebungs-Werts (sie) aus dem Hilfszwischenergebnis und dem Hilfsmodul; und
Bilden einer Differenz aus dem zweiten Multiplikations- Verschiebungs-Wert (sZ 2) und dem zweiten Hilfs-Verschiebungs- Wert (si 2), um den zweiten Reduktions-Verschiebungs-Wert (sN 2) zu erhalten.
5. Verfahren gemäß einem der vorhergehenden Ansprüche,
bei dem vor dem Schritt des Ermittelns (10) von l Multiplika­ tions-Verschiebungs-Werten und vor dem Schritt des Ermittelns (13) von l Reduktions-Verschiebungs-Werten ferner folgender Schritt durchgeführt wird:
Transformieren (40) des Moduls (N) in einen transformierten Modul (NT), der größer als der Modul (N) ist, wobei ein vor­ bestimmter Bruchteil (2/3) des transformierten Moduls eine höherwertige Stelle mit einem ersten vorbestimmten Wert hat, der zumindest eine niederwertige Stelle folgt, die einen zweiten vorbestimmten Wert hat;
und bei dem nach einer Abarbeitung sämtlicher Stellen des Multiplikators ferner folgender Schritt durchgeführt wird:
Rücktransformieren (44) des aktualisierten Zwischenergebnis­ ses (Z') durch modulares Reduzieren des aktualisierten Zwi­ schenergebnisses unter Verwendung des Moduls (N),
wobei die Schritte des Ermittelns (10, 13), des Beaufschla­ gens (16) und des Zusammenfassens (18) auf der Basis des transformierten Moduls (NT) durchgeführt werden.
6. Verfahren gemäß Anspruch 5, bei dem im Schritt des Er­ mittelns von l Reduktions-Verschiebungs-Werten (13) in einem Teilschritt ein Multiplikationszwischenergebnis und ein Re­ duktions-Verschiebungs-Wert (sN) ermittelt werden, wobei der Reduktions-Verschiebungs-Wert (sN) unter Verwendung einer Be­ stimmung der Anzahl von Stellen zwischen der höherwertigen Stelle mit dem ersten vorbestimmten Wert des transformierten Moduls und der höchstwertigen Stelle des Zwischenergebnisses (Z), die den ersten vorbestimmten Wert hat, berechnet wird.
7. Verfahren gemäß Anspruch 5 oder 6, bei dem der vorbe­ stimmte Bruchteil des Moduls 2/3 beträgt.
8. Verfahren gemäß einem der Ansprüche 5 bis 7, bei dem das höchstwertige Bit des transformierten Moduls ein Vorzeichen- Bit ist und ein höherwertiger Abschnitt des vorbestimmten Bruchteils des Moduls folgendermaßen lautet:
01000 xx . . . xx,
wobei die mit xx bezeichneten Bits beliebige Werte haben kön­ nen.
9. Verfahren gemäß Anspruch 8, bei dem der höherwertige Ab­ schnitt des transformierten Moduls (NT) folgendermaßen lau­ tet:
01100 . . . 00.
10. Verfahren gemäß einem der vorhergehenden Ansprüche, bei dem der Modul eine Ganzzahl ist, oder bei dem der Modul ein Polynom einer Variablen ist.
11. Vorrichtung zum modularen Multiplizieren eines Multi­ plikanden (C) mit einem Multiplikator (M), der aus einer Mehrzahl von Stellen besteht, unter Verwendung eines Moduls (N), mit folgenden Merkmalen:
einer Einrichtung zum Ermitteln (10) von l Multiplikations- Verschiebungs-Werten (sZ 1, . . ., sZ l) mittels eines Multiplikations-Vorausschau-Verfahrens unter Berücksichtigung von l Blöcken von Stellen des Multiplikators (M), die aneinander angrenzen, wobei l größer oder gleich 2 ist;
einer Einrichtung zum Ermitteln (13) von l Reduktions- Verschiebungs-Werten (sN 1, . . ., sN l) mittels eines Reduktions- Vorausschau-Verfahrens für die l Blöcke von Stellen des Mul­ tiplikators (M);
einer Einrichtung zum Beaufschlagen (16) eines Zwischenergeb­ nisses (Z) aus einem vorherigen Iterationsschritt, des Moduls (N) oder eines von dem Modul (N) abgeleiteten Werts und des Multiplikanden (C) mit den l Multiplikations-Verschiebungs- Werten und den l Reduktions-Verschiebungs-Werten, um 2l + 1 O­ peranden (17a bis 17e) zu erhalten; und
einer Einrichtung zum Zusammenfassen (18) der (2l + 1)- Operanden, um ein aktualisiertes Zwischenergebnis (Z') für einen auf den vorherigen Iterationsschritt folgenden Iterati­ onsschritt zu erhalten, wobei eine Iteration so lange fortge­ setzt wird, bis sämtliche Stellen des Multiplikators (M) ab­ gearbeitet sind.
DE10142155A 2001-08-29 2001-08-29 Verfahren und Vorrichtung zum modularen Multiplizieren Expired - Fee Related DE10142155C1 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE10142155A DE10142155C1 (de) 2001-08-29 2001-08-29 Verfahren und Vorrichtung zum modularen Multiplizieren
EP05025780A EP1628206A3 (de) 2001-08-29 2002-08-22 Verfahren und Vorrichtung zum modularen Multiplizieren
PCT/EP2002/009404 WO2003021424A2 (de) 2001-08-29 2002-08-22 Verfahren und vorrichtung zum modularen multiplizieren
EP02797611A EP1421474B1 (de) 2001-08-29 2002-08-22 Verfahren und vorrichtung zum modularen multiplizieren
DE50208508T DE50208508D1 (de) 2001-08-29 2002-08-22 Verfahren und vorrichtung zum modularen multiplizieren
AT02797611T ATE343171T1 (de) 2001-08-29 2002-08-22 Verfahren und vorrichtung zum modularen multiplizieren
US10/789,462 US7016927B2 (en) 2001-08-29 2004-02-26 Method and apparatus for modular multiplication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10142155A DE10142155C1 (de) 2001-08-29 2001-08-29 Verfahren und Vorrichtung zum modularen Multiplizieren

Publications (1)

Publication Number Publication Date
DE10142155C1 true DE10142155C1 (de) 2002-05-23

Family

ID=7696878

Family Applications (2)

Application Number Title Priority Date Filing Date
DE10142155A Expired - Fee Related DE10142155C1 (de) 2001-08-29 2001-08-29 Verfahren und Vorrichtung zum modularen Multiplizieren
DE50208508T Expired - Fee Related DE50208508D1 (de) 2001-08-29 2002-08-22 Verfahren und vorrichtung zum modularen multiplizieren

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE50208508T Expired - Fee Related DE50208508D1 (de) 2001-08-29 2002-08-22 Verfahren und vorrichtung zum modularen multiplizieren

Country Status (5)

Country Link
US (1) US7016927B2 (de)
EP (2) EP1628206A3 (de)
AT (1) ATE343171T1 (de)
DE (2) DE10142155C1 (de)
WO (1) WO2003021424A2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10223853A1 (de) * 2002-05-28 2004-01-08 Technische Universität Braunschweig Carolo-Wilhelmina Verfahren und integrierte Schaltung zur Durchführung einer Multiplikation modulo M
WO2004027597A2 (en) * 2002-09-20 2004-04-01 Koninklijke Philips Electronics N.V. Quisquater reduction

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7426529B2 (en) * 2002-06-06 2008-09-16 Infineon Technologies Ag Processor and method for a simultaneous execution of a calculation and a copying process
US20040120516A1 (en) * 2002-12-23 2004-06-24 International Business Machines Corporation Modular reduction method which recognizes special conditions
US7765252B1 (en) * 2004-03-19 2010-07-27 Microsoft Corporation Five-term karatsuba-variant calculator
US7363336B1 (en) 2004-03-19 2008-04-22 Microsoft Corporation Six-term Karatsuba-variant calculator
CN108984689B (zh) * 2018-07-02 2021-08-03 广东睿江云计算股份有限公司 一种联合文件系统中多副本同步方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3631992C2 (de) * 1986-03-05 1988-12-08 Holger 3300 Braunschweig De Sedlak

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0239749B1 (de) * 1986-03-05 1990-07-25 Holger Sedlak Kryptographie-Verfahren und Kryptographie-Prozessor zur Durchführung des Verfahrens
US5349551A (en) * 1993-07-30 1994-09-20 The United States Of America As Represented By The Director Of National Security Agency Device for and method of preforming an N-bit modular multiplication in approximately N/2 steps
EP0947914B1 (de) * 1998-03-30 2004-12-15 Rainbow Technologies Inc. Vom Rechenaufwand her effizientes modulares Multiplikationsverfahren und Gerät
JP3950638B2 (ja) * 2001-03-05 2007-08-01 株式会社日立製作所 耐タンパーモジュラ演算処理方法
US7607165B2 (en) * 2001-03-09 2009-10-20 The Athena Group, Inc. Method and apparatus for multiplication and/or modular reduction processing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3631992C2 (de) * 1986-03-05 1988-12-08 Holger 3300 Braunschweig De Sedlak

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10223853A1 (de) * 2002-05-28 2004-01-08 Technische Universität Braunschweig Carolo-Wilhelmina Verfahren und integrierte Schaltung zur Durchführung einer Multiplikation modulo M
DE10223853B4 (de) * 2002-05-28 2005-06-23 Technische Universität Braunschweig Carolo-Wilhelmina Verfahren und integrierte Schaltung zur Durchführung einer Multiplikation modulo M
WO2004027597A2 (en) * 2002-09-20 2004-04-01 Koninklijke Philips Electronics N.V. Quisquater reduction
WO2004027597A3 (en) * 2002-09-20 2004-11-11 Koninkl Philips Electronics Nv Quisquater reduction

Also Published As

Publication number Publication date
EP1421474B1 (de) 2006-10-18
WO2003021424A3 (de) 2003-09-25
ATE343171T1 (de) 2006-11-15
EP1628206A2 (de) 2006-02-22
EP1421474A2 (de) 2004-05-26
US7016927B2 (en) 2006-03-21
DE50208508D1 (de) 2006-11-30
WO2003021424A2 (de) 2003-03-13
EP1628206A3 (de) 2006-05-17
US20040210613A1 (en) 2004-10-21

Similar Documents

Publication Publication Date Title
DE10107376A1 (de) Verfahren und Vorrichtung zum modularen Multiplizieren und Rechenwerk zum modularen Multiplizieren
DE69826963T2 (de) Gerät für die modulare Inversion zur Sicherung von Information
DE102020120371A1 (de) Integrierte schaltungen mit modularen multiplikationsschaltkreisen
DE10260655B3 (de) Vorrichtung und Verfahren zum Berechnen einer Multiplikation mit einer Verschiebung des Multiplikanden, insbesondere bei der kryptographischen Berechnung
EP1499954B1 (de) Berechnung eines ergebnisses einer modularen multiplikation
DE10013068C2 (de) Potenzierungsoperationsvorrichtung
DE10111987A1 (de) Verfahren und Vorrichtung zum modularen Multiplizieren
DE10142155C1 (de) Verfahren und Vorrichtung zum modularen Multiplizieren
DE10260660B3 (de) Modulare Multiplikation mit paralleler Berechnung der Look-Ahead-Parameter u.a. bei der kryptographischen Berechnung
DE10357661A1 (de) Modularer Montgomery-Multiplizierer und zugehöriges Multiplikationsverfahren
DE102006025713B9 (de) Kryptographie-Vorrichtung und Kryptographie-Verfahren zum Berechnen eines Ergebnisses einer modularen Multiplikation
EP1474741B1 (de) Vorrichtung und verfahren zum berechnen eines ergebnisses aus einer division
DE10151129B4 (de) Verfahren und Vorrichtung zum Berechnen eines Ergebnisses einer Exponentiation in einer Kryptographieschaltung
DE69030169T2 (de) Hochleistungsaddierer mit Carry-Vorhersage
EP1478999B1 (de) Vorrichtung und verfahren zum umrechnen eines terms
DE10219164B4 (de) Vorrichtung und Verfahren zum Berechnen eines ganzzahligen Quotienten
DE102008050800B4 (de) Vorrichtung und Verfahren zum Bestimmen einer modularen multiplikativen Inversen
EP1508087B1 (de) Verfahren und integrierte schaltung zur durchführung einer multiplikation modulo m
DE10050589B4 (de) Vorrichtung und Verfahren zur Verwendung beim Durchführen einer Gleitkomma-Multiplizier-Akkumulier-Operation
DE10156708A1 (de) Verfahren und Vorrichtung zum Multiplizieren und Verfahren und Vorrichtung zum Addieren auf einer elliptischen Kurve
DE3924344C2 (de)

Legal Events

Date Code Title Description
8100 Publication of patent without earlier publication of application
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee