KR20080019642A - 타원 곡선 점 곱셈 - Google Patents
타원 곡선 점 곱셈 Download PDFInfo
- Publication number
- KR20080019642A KR20080019642A KR1020077030378A KR20077030378A KR20080019642A KR 20080019642 A KR20080019642 A KR 20080019642A KR 1020077030378 A KR1020077030378 A KR 1020077030378A KR 20077030378 A KR20077030378 A KR 20077030378A KR 20080019642 A KR20080019642 A KR 20080019642A
- Authority
- KR
- South Korea
- Prior art keywords
- bit
- comb
- instructions
- point
- odd
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04K—SECRET COMMUNICATION; JAMMING OF COMMUNICATION
- H04K1/00—Secret communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/60—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers
- G06F7/72—Methods or arrangements for performing computations using a digital non-denominational number representation, i.e. number representation without radix; Computing devices using combinations of denominational and non-denominational quantity representations, e.g. using difunction pulse trains, STEELE computers, phase computers using residue arithmetic
- G06F7/724—Finite field arithmetic
- G06F7/725—Finite field arithmetic over elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/003—Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/08—Randomization, e.g. dummy operations or using noise
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Mathematical Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Computational Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Algebra (AREA)
- Complex Calculations (AREA)
- Compression, Expansion, Code Conversion, And Decoders (AREA)
- Image Processing (AREA)
Abstract
타원 곡선 점 곱셈 및 암호 시스템에 일반적인 효용성은 물론 특정의 응용을 갖는, 홀수 정수를 기록하고 타원 곡선 점 곱셈을 하도록 구성되어 있는 시스템 및 방법이 기술되어 있다. 한 구현에서, 이 기록은 홀수 정수(k)를 이진 표현으로 변환함으로써 수행된다. 이진 표현은, 예를 들어, 홀수 정수를 표현하는 2의 멱수들에 대한 계수일 수 있다. 이진 표현은 이어서 콤 비트-컬럼(comb bit-column)으로 구성되어 있으며, 모든 비트-컬럼은 부호있는 홀수 정수(signed odd integer)이다. 다른 구현은 이 기록 방법을 적용하며 타원 곡선 점 곱셈을 보다 효율적으로 계산하는, 공지의 콤 방법(comb method)보다 저장된 점들을 덜 갖는, 콤 방법의 변형을 기술하고 있다. 기술된 점 곱셈 방법은 이어서 SPA-방지(Simple Power Analysis-resistant)이도록 수정된다.
암호 시스템, 타원 곡선, SPA-방지, DPA-방지, ECC
Description
ECC(Elliptic Curve Cryptosystem, 타원 곡선 암호 시스템)는 새로 등장하는 부류의 공개키 암호 시스템을 구성하며, 스마트 카드 및 내장된 시스템 등의 응용 분야에서 널리 적용되고 있다. 대부분의 ECC의 보안은 타원 곡선 상의 일군의 점들에 기초한 이산 대수 문제(discrete logarithm problem)를 풀기가 어렵다는 것에 기초하고 있다. 타원 곡선이 올바로 선택되는 경우, 이산 대수를 구하도록 구성된 기존의 방법들 중 최상의 방법은 지수적으로 증가하는 어려움을 갖는다. 따라서, ECC는 타원 곡선 상에서 이산 대수 문제를 푸는 불완전 지수 방법(sub-exponential method)이 없다는 사실을 이용한다. RSA 등의 다른 공개키 암호 시스템과 비교하여, ECC는 동일한 보안 수준에 대해 더 짧은 키 크기(key size)를 사용한다. 이것은 저장 장치, 메모리 및 컴퓨팅 능력에 관한 요구사항이 더 적은 것으로 된다.
불행하게도, ECC에서의 종래의 연산 방법은 사이드 채널 공격(side-channel attack)에 취약하다. 사이드 채널 공격은 암호 시스템 내에서 비밀 정보의 전부 또는 그 일부를 추론하기 위해 암호 연산(cryptographic operation) 동안에 타이밍 또는 전력 소모 등의 관찰가능한 파라미터를 측정한다. 예를 들어, 콤 방법(comb method) 및 기타의 효율적인 점 곱셈 방법들이 전력-분석 공격(power-analysis attack)에 취약하다. 전력 분석 공격은 시스템에 의해 소모되는 전력의 분석에 기 초한다. 시스템에 의해 사용되는 전력에 관한 정보는 공격자가 시스템에 의해 수행되는 연산들에 관한 가정을 하고, 궁극적으로 시스템 내에 포함된 비밀에 관한 추측을 하는 데 도움이 된다.
스칼라 곱셈, 예를 들어, 타원 곡선 점 곱셈은 ECC에서 중요한 역할을 한다. 실제로, 이러한 곱셈이 수행되는 방법은 서로 다른 사이드 채널 공격이 효과적인지에 관한 엄청난 영향을 갖는다. 따라서, 개선된 방법이 있으면 더 안전한 ECC이 얻어진다.
타원 곡선 점 곱셈 및 암호 시스템에 일반적인 효용성은 물론 특정의 응용을 갖는, 홀수 정수를 기록하고 타원 곡선 점 곱셈을 하도록 구성되어 있는 시스템 및 방법이 기술되어 있다. 한 구현에서, 이 기록은 홀수 정수(k)를 이진 표현으로 변환함으로써 수행된다. 이진 표현은, 예를 들어, 홀수 정수를 표현하는 2의 멱수들에 대한 계수일 수 있다. 이진 표현은 이어서 콤 비트-컬럼(comb bit-column)으로 구성되어 있으며, 모든 비트-컬럼은 부호있는 홀수 정수(signed odd integer)이다. 다른 구현은 이 기록 방법을 적용하며 타원 곡선 점 곱셈을 보다 효율적으로 계산하는, 공지의 콤 방법(comb method)보다 저장된 점들을 덜 갖는, 콤 방법의 변형을 기술하고 있다. 기술된 점 곱셈 방법은 이어서 SPA-방지(Simple Power Analysis-resistant)이도록 수정된다.
도 1 내지 도 4는 예시적인 기존의 타원 곡선 점 곱셈 방법을 나타낸 도면.
도 5 및 도 6은 SPA(simple power analysis)를 방지하는 예시적인 기존의 타원 곡선 점 곱셈 방법 또는 대응하는 기록 방법을 나타낸 도면.
도 7은 홀수 스칼라(odd scalar)에 대한 부호있는 홀수로만 된 콤 기록 방법(signed odd-only comb recording method)의 일례를 나타낸 도면.
도 8은 홀수 또는 짝수 스칼라에 대한 부호있는 홀수로만 된 콤 타원 곡선 점 곱셈 방법(signed odd-only comb elliptic curve point multiplication method)의 일례를 나타낸 도면.
도 9는 홀수 차수의 점(a point of odd order)에 대한 부호있는 홀수로만 된 콤 타원 곡선 점 곱셈 방법의 일례를 나타낸 도면.
도 10은 w로 나누어 떨어지는 n에 대한 부호있는 홀수로만 된 콤 타원 곡선 점 곱셈 방법의 일례를 나타낸 도면.
도 11은 SPA-방지 부호있는 홀수로만 된 콤 타원 곡선 점 곱셈 방법의 일례를 나타낸 도면.
도 12는 w로 나누어 떨어지는 
에 대한 SPA-방지 부호있는 홀수로만 된 콤 타원 곡선 점 곱셈 방법의 일례를 나타낸 도면.
도 13은 콤 타원 곡선 점 곱셈에 대해 또는 암호 시스템 내에서 일반적인 효용성을 갖거나 활용될 수 있는 기록의 예시적인 실시예를 나타낸 도면.
도 14는 콤 타원 곡선 점 곱셈 시스템의 연산의 예시적인 실시예를 나타낸 도면.
도 15는 콤 타원 곡선 점 곱셈 방법을 구현하기에 적합한 예시적인 컴퓨팅 환경을 나타낸 도면.
상세한 설명은 첨부 도면을 참조하여 기술되어 있다. 도면에서, 참조 번호의 최좌측 숫자(들)는 참조 번호가 처음으로 나타나는 도면을 식별해준다. 서로 다른 도면에서의 동일한 참조 번호의 사용은 유사하거나 동일한 항목을 나타낸다.
개요
타원 곡선 암호 시스템에 일반적인 효용성 및 특정의 응용을 갖는, 홀수 정수 및 타원 곡선 점 곱셈을 기록하는 것이 기술되어 있다. 한 구현에서, 홀수 스칼라를 부호있는 영이 아닌 표현으로 변환하는 부호있는 홀수로만 된 기록 방법이 제공되며, 여기서 모든 콤 비트-컬럼 
은 부호있는 홀수 정수이다. 다른 구현은 이 기록 방법을 적용하고 타원 곡선 점 곱셈을 보다 효율적으로 계산하는 공지된 콤 방법보다 저장된 점을 덜 갖는 콤 방법의 변형을 기술하고 있다. 기술된 점 곱셈 방법은 이어서 점 덧셈(point addition) 및 점 뺄셈(point subtraction)이 타원 곡선 시스템에서 거의 동일한 계산 복잡도를 갖는다는 사실을 이용함으로써 SPA-방지이도록 수정된다. 기술된 SPA-방지 콤 방법은 콤 방법의 이점 - 사전-계산 점(pre-computation point)이 사전에 또는 다른 곳에서 계산될 때 기타의 SPA-방지 윈도우 방법보다 더 빠르게 실행됨 - 을 이어받도록 구성되어 있다. SPA-방지 방법을 DPA-방지 방법으로 변환하는 기법과 결합하여, 기술된 SPA-방지 콤 실시예는 모든 사이드-채널 공격에 안전하다. 따라서, 본 명세서에 기술된 구현들은 일반적으로 유용하고, 특히 전력 및 컴퓨팅 자원이 귀한 스마트 카드 및 내장된 애플리케이션에서 사용하기에 적합하다.
서론
타원 곡선 방정식이 타원 곡선 암호 시스템(ECC)의 중심 특징이다. 체(field) K에 걸친 타원 곡선은 그의 Weierstrass 형태로 표현될 수 있다.
1. 
이고 
이면, 
이다.
2. 
이고 
이면,
3. 
이면,
어떤 유한체 
에 걸쳐 타원 곡선에 의해 발생되는 그룹 
은 이산 대수 문제를 푸는 일이 아주 어려운 공개키 암호 요구사항을 만족시킨다. 따라서, ECC가 많은 표준 및 응용에서 사용되어 왔다. 암호 연산의 속도를 높이기 위해, 타원 곡선 점을 표현하는 데 투영 좌표(projective coordinate)가 사용된다. Jacobian 투영 좌표를 사용함으로써, Weierstrass 방정식이 이하의 형태로 쓰여질 수 있다.
그러면, 무한대에 있는 점 
은 
(단, 모든 
)으로 표현된다. 어파인 점 (x, y)는 
(단, 모든 
)으로 표현되고, 투영 점 
은 어파인 점 
에 대응한다. 투영 좌표를 사용하여, 더 많은 체 곱셈(field multiplication)을 댓가로 비용이 많이 드는 체 반전(field inversion) 없이 점 덧셈이 계산될 수 있다. 체 곱셈은 보통 체 반전보다 훨씬 더 빠르며, 그 결과 더 빠른 타원 곡선 점 덧셈이 얻어진다. 점이 그 자신에 더해지는 특수한 점 덧셈은 두배점 연산(doubling)이라고 한다. 두배점 연산의 비용은 보통 일반적인 점 덧셈의 비용과 다르다.
암호에서 사용되는 타원 곡선은 체 
또는 체 
(단, m은 큰 정수(large integer)이고 p는 큰 소수(big prime)임)에 걸쳐 정의된 타원 곡선이다. 이들 2가지 종류의 체(field)에 걸쳐, 타원 곡선의 Weierstrass 방정식은 이하의 더 간단한 형태로 변형될 수 있다. 체 
에 걸쳐 정의된
또는, 체 
에 걸쳐 정의된
여기서, p는 큰 소수이다. 이들 방정식은 점 덧셈 및 두배점 연산을 간단화시켜 주며, "단축 Weierstrass 형태(short Weierstrass form)"라고 할 수 있다. 실제의 암호 응용에서, 타원 곡선은 보통 큰 소수-차수(large prime-order) 
의 서브그룹을 가져야만 한다. 타원 곡선 암호 시스템은 통상적으로 
의 이 
-차수 서브그룹에서의 점들만을 이용한다.
점 P를 그 자신에 k번 더하는 것을 스칼라 곱셈 또는 점 곱셈이라고 하며, 
으로 표기하며, 여기서 k는 양의 정수이다. 가장 간단하고 효율적인 스칼라 곱셈 방법은 k를 이진 표현으로 전개(expand)하는 이하의 double-and-add 방법이다.
도 1은 ECC와 관련하여 적용가능한 스칼라 곱셈의 예시적인 double-and-add 방법(100)을 나타낸 것이다. 블록(102)에서, double-and-add 방법(100)에의 입력은 점 P 및 n-비트 정수 
(단, 
임)이다. 블록(104)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 블록(106)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = n-1부터 0까지 -1만큼씩 카운트다운한다. 루프 내에서, 블록(108)에서, 
로 설정하고, 블록(110)에서 
인 경우, 
이다. 블록(112)에서, 스칼라 곱셈의 예시적인 double-and-add 방법(100)은 
의 형태로 
를 반환한다.
정수 k는 (이진) SD(Signed Digit, 부호있는 숫자) 표현 
(단, 
)으로 표현된다. NAF(Non-Adjacent Form)이라고 하는 특수한 SD 표현이 특별히 관심있는 것이며, 여기서 인접한 영이 아닌 숫자가 없다, 즉 모든 
에 대해 
이다. 모든 정수 k는 고유의 NAF를 가지며, NAF는 k의 모든 SD 표현 중에서 최저 가중치를 갖는다. 이진 표현에 대한 예상된 가중치 n/2와 비교하여, 길이 n비트의 NAF의 예상된 가중치는 n/3이다. 타원 곡선 점 뺄셈은 점 덧셈과 거의 동일한 비용이 든다. 따라서, 도 2의 add-and-substract 방법(200)은, k에 대해 NAF를 사용하여, double-and-add 방법(100)보다 더 효율적이 다.
도 2는 스칼라 곱셈(즉, 점 곱셈)에 대한 add-and-substract 방법(200)을 나타낸 것이다. 블록(202)에서, add-and-substract 방법(200)에의 입력은 점 P 및 n-비트 NAF 정수 
,
를 포함한다. 블록(204)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 블록(206)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = n-1부터 0까지 -1만큼씩 카운트다운한다. 루프 내에서, 블록(208)에서, 
로 설정하고, 블록(210)에서 
인 경우, 
이다. 블록(212)에서, 
인 경우 
이다. 블록(214)에서, 
(단, 
임)를 반환한다.
정수 k가 m-ary 표현(단, m은 보통 어떤 정수 
에 대해 
와 같음)으로 전개될 수 있다. 도 3의 m-ary 방법(300)은 저장을 속도와 바꾸기 위해 스칼라 곱셈을 사전-계산 및 평가 단계들로 분할한다. double-and-add 방법(300)은 
인 이 방법의 특수한 경우이다.
도 3은 스칼라 곱셈의 m-ary 방법(300)을 나타낸 것이다. 블록(302)에서, m-ary 방법(300)에의 입력은 점 P 및 정수 
를 포함한다. 블록(304-308)은 사전-계산 단계들을 나타낸 것이다. 블록(304)에서, 점 
를 설정한다. 블록(306)에서, 인덱스 i를 갖는 for-루프 등의 1-스텝 루프에 들어간다. 이 루프는 i = 2부터 m-1까지 카운트한다. 1-스텝 루프 내에서, 블록(306)에서, 
를 설정한다. 블록(308)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 블록(310-314)는 평가 단계를 나타낸 것이다. 블록(310)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = d-1부터 0까지 -1만큼씩 카운트다운한다. 이 루프 내에서, 블록(312)에서, w 두배점 연산을 필요로 하는 
로 설정하고, 단계(314)에서, 
로 설정한다. 블록(316)에서, 
(단, 
임)를 반환한다.
m-ary 방법에서의 사전-계산 단계는 입력 점 P에 대한 저장을 비롯하여 
개 점들을 저장할 필요가 있다. 이 개시 내용에서의 저장 추정(storage estimation)은 점 P의 입력으로 행해진다. 이 방법에 대한 시간 비용의 추정이 행해질 수 있다. 비용 추정에서, 
을 필요로 하는 연산은 카운트되지 않는다. 사전-계산 단계는 
를 계산할 필요가 있다. 두배점 연산 및 덧셈의 합이 동일한 채로 있기 때문에, 또 두배점 연산이 응용들에서 일반적으로 사용되는 투영 좌표를 사용한 덧셈보다 더 효율적이기 때문에, 이 단계에서 두배점 연산의 사용이 일반적으로 선호된다. 효율적인 방식은 이하의 방식으로 계산하는 것이다.
이 방식을 사용하여, 사전-계산은 
(단, D는 두배점 계산(point doubling)을 의미하고 A는 점 덧셈을 의미함)의 비용이 든다. 평가 단계에 대한 시간 비용에 관해서는, 최상위 숫자가 0이 아니라고, 즉 
이라고 가정하는 경우, 이 단계에서의 두배점 연산의 횟수는 
이다. 
인 경우, 블록(314)에서의 덧셈이 필요하지 않다. k가 균일하게 분포되어 있는 것으로 가정하면, 평가 단계에서의 덧셈의 평균 횟수는 
이다. 따라서, 평가 단계에서의 평균 시간 비용은 대략 
이고, 평균 총 시간 비용은 대략 
이다.
m-ary 방법의 수정이 이들을 더욱 효율적인 것으로 만들 수 있다. 예를 들어, m-ary 방법은 또한 슬라이딩 윈도우 방법(sliding window method)으로 확장될 수 있다. 콤 방법(comb method)은 점 곱셈 방법의 추가적인 카테고리이다. 스칼라 곱셈을 역시 효율적으로 계산할 수 있는 콤 방법이 공지되어 있다. n-비트 정수 
(단, 
임)인 것으로 하자. 정수 
에 대해, 
으로 설정한다. 이어서, 
(단, 
임)를 정의한다. 이들 계산과 부합하는 방식으로, 도 4의 콤 방법(400)은 정수 k를 표현하기 위해 w개 행 및 d개 열을 갖는 이진 행렬(binary matrix)을 사용하고, 행렬을 열별로 처리한다.
도 4는 스칼라 곱셈을 위한 고정-기점 방법(fixed-base comb method)(400)을 나타낸 것이다. 블록(402)에서, 고정-기점 콤 방법(400)에의 입력은 점 P, 정수 
, 및 윈도우 폭 
을 포함한다. 사전-계산 단계는 블록(404-408)에 나타내어져 있다. 블록(404)에서, 모든 
에 대해 
가 계산된다. 블록(406)에서, 
(단, 각각의 
는 길이 d의 비트-문자열임)를 구한다. 이 연산에서 하나 이상의 0(영)으로 좌측에 패딩하는 것이 필요할 수 있다. 
가 
의 i번째 비트를 나타내는 것으로 한다. 
를 정의한다. 블록(408)에서, 점 
가 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다.
블록(410-414)은 평가 단계를 나타낸다. 블록(410)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = d-1부터 0까지 -1만큼씩 카운트다 운된다. 이 루프에서, 블록(412)에서, 
를 설정하고, 블록(414)에서, 
로 설정한다. 블록(416)에서, 
(단, 
임)를 반환한다.
콤 방법은 사전-계산 단계에서 
개 점을 저장한다. 콤 방법의 시간 비용이 추정될 수 있다. 사전-계산 단계에서, 
에 대해 
가 계산될 필요가 있다. 이것을 달성하기 위해, 
개 두배점 연산의 비용이 드는 
가 먼저 계산된다. 이어서, 
내의 단지 2개의 영이 아닌 비트의 모든 가능한 조합이 두배점 연산의 결과로부터 계산된다. 
개의 이러한 조합이 있다. 각각의 조합은 한번의 점 덧셈을 사용한다. 이 스텝에서 
번의 점 덧셈이 있다. 그 다음 스텝에서, 정확하게 3개의 영이 아닌 비트를 갖는 모든 조합이 계산된다. 
개의 이러한 조합이 있다. 각각은 이전에 계산된 결과로부터 한번의 점 덧셈을 필요로 한다. 따라서, 이 스텝은 
번의 점 덧셈의 비용이 든다. 이 절차는 모든 비트가 영이 아닐 때까지 계속된다. 사전-계산 단계에서의 점 덧셈의 총 횟수는 따라서 다음과 같다.
따라서, 사전-계산 단계에서의 시간 비용은 다음과 같다.
평가 단계에서의 시간 비용을 추정하기 위해, 
의 최상위 열이 영이 아닌 것으로, 즉 
인 것으로 가정한다. 이어서, 평가 단계에서의 두배점 연산의 횟수는 (d-1)이다. 
인 경우, 블록(414)에서의 점 덧셈이 필요하지 않다. k가 균일하게 분포되어 있는 것으로 가정하면, 
일 확률은 
이고, 점 덧셈의 평균 횟수는 
이다. 따라서, 평가 단계에서의 평균 시간 비용은 대략 
이다. 이 비용은 이전에 도출된 바와 같이 
인 m-ary 방법에 대한 평가 단계에서의 시간 비용보다 훨씬 더 작다. 평가 단계에서의 이 이득은 콤 방법에 대한 사전-계산 단계에서의 더 높은 시간 비용의 댓가이다. 콤 방법의 총 시간 비용은 다음과 같다.
사이드-채널 공격 및 대응책
2가지 유형의 전력 분석 공격은 SPA(Simple Power Analysis) 및 DPA(Differential Power Analysis)이다. SPA는 스칼라 곱셈 동안에 암호-장치(crypto-device)에서의 하나의 전력 소모 자취(single trace)를 분석한다. 기록된 전력 소모 데이터로부터 분기 명령어 조건이 식별될 수 있다. 이것은 타원 곡선 두배점 연산의 연속성(continuity)을 나타낸다. double-and-add 방법이 스칼라 곱셈을 계산하는 데 사용되는 경우, 비밀 곱셈기 k의 각각의 비트의 값 
가 이 공격으로 누설된다. 스칼라 곱셈 방법의 경우, SPA가 add-and-subtract 또는 m-ary 방법에 있어서의 각각의 숫자 
또는 
에 대한 값 또는 콤 방법에서의 
을 추론할 수 없지만, 숫자 또는 
가 0이 아닌지(정보 누설(information leak)을 구성함)를 검출할 수 있다.
DPA가 스칼라 곱셈의 많은 전력 자취를 기록하고 기록 및 에러 정정 기법들 간의 상관을 사용하여 비밀 k의 어떤 숫자 또는 모든 숫자를 추론한다. DPA는 SPA보다 더욱 복잡하지만 더 강력하다. SPA-방지 스칼라 곱셈 방법이 반드시 DPA 공격을 방지해야만 하는 것은 아니지만, SPA-방지 방법을 DPA-방지 방법으로 변환하기 위해 많은 대응책이 사용될 수 있다. 한 대응책은 동일한 입력에 대해 서로 다른 실행, 따라서 전력 소모를 하는 것이다. 이 효과를 달성하는 데 보통 랜덤화(randomization)가 이용된다. 투영 좌표에서 입력 점을 랜덤화하는 것, 지수 파라미터 표현을 랜덤화하는 것, 타원 곡선 방정식을 랜덤화하는 것, 및 체 표현(field representation)을 랜덤화하는 것을 비롯한 다수의 랜덤화 접근방법이 실 행가능하다. 그에 부가하여, 이들 랜덤화 접근방법 각각이 본 명세서에 기술된 SPA-방지 방법을 DPA 공격을 방지하도록 변환하는 데 적용될 수 있다.
효과적이도록 하기 위해, ECC는 SPA 공격에 대한 대응책을 제공해야만 한다. 본 명세서에 기술된 ECC의 구현의 특정의 접근방법은 곱셈기 k의 임의의 특정의 값에 상관없이 스칼라 곱셈의 실행을 하는 것이다. 예를 들어, double-and-add 방법이 SPA 공격을 방지하게 하는 간단한 방법은 
가 0인지 1인지에 상관없이 동일한 동작이 적용되도록 방법에서 분기 동작을 제거하는 것이다. 그에 따라, double-and-add-always 방법이 구성될 수 있다.
도 5는 SPA 방지(resistance)를 제공하는 double-and-add-always 방법(500)을 나타낸 것이다. 블록(502)에서, double-and-add-always 방법(500)에의 입력은 점 P 및 n-비트 정수 
를 포함한다. 블록(504)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 블록(506)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = n-1부터 0까지 -1만큼씩 카운트다운한다. 루프 내에서, 블록(508)에서, 
로 설정하고, 블록(510)에서, 
로 설정하며, 블록(512)에서, 
로 설정한다. 블록(514)에서, 
(단, 
는 
형태를 가짐)를 반환한다.
SPA 공격에 대해 보호하는 다른 전략은 도 4의 콤 방법(400)에서의 
를 부호있는 표현 
(단, 각각의 
는 영이 아님)으로 확장하는 것이다. 이하의 절차는 콤 방법에서 
(단, 
임)로 표현되는 홀수 정수 k에 대한 이러한 부호있는 표현 
를 구하는 데 사용된다. 
이라고 하고 다음과 같이 설정함으로써 나머지를 작성한다.
그렇지 않은 경우,
콤 방법은 종래의 콤 방법에 이 부호있는 표현을 사용하여 짝수 k에 대한 
및 홀수 k에 대한 
를 계산한다. 그 다음에, 점 2P가 계산된다. 점 P 또는 2P가 종래의 콤 방법의 결과로부터 뺄셈되어 원하는 점 kP를 구한다. 이 콤 방법은 사전-계산 단계에서 원래의 콤 방법이 갖는 것과 동일한 시간 및 공간 비용, 즉 
개의 점의 저장 및 
을 갖는다. 이 평가 단계는 d-1번의 점 덧셈 및 d-1번의 두배점 연산의 비용이 든다. 종래의 콤 방법 이후의 마지막 단계는 한번의 두배점 연산 및 한번의 뺄셈의 비용이 든다. 따라서, 총 비용은 
번의 두배점 연산 및 
번의 덧셈 연산이다. 도 4의 방법(400)과 비교하여, 이 방법은 동일한 저장 비용 및 약간 더 높은 시간 비용이 든다.
정수 
(단, 
임)에 대한 또다른 SPA-방지 m-ary 스칼라 곱셈 방법은, 
이고 d'이 d 또는 d+1 중 어느 하나이도록, 먼저 k를 다른 표현 
으로 변환한다. 직관적으로, 이 기록 방법은 0 숫자를 
로 치환하고 그 다음 상위 숫자를 조정하여 k가 그대로 있도록 한다. 이 기록 방법은 2개의 보조값 
및 
(단, 
이고 
임)로 재귀적으로 표현된다. 
로 설정한다. 그 다음에, 
에 대해, 
이라고 하고
이라고 하자.
방정식 
이 항상 성립한다는 것에 유의한다.
변환 이후에, 이 스칼라 곱셈 방법은, 사전-계산 단계가 
및 
를 계산할 필요가 있다는 것을 제외하고는, 
에 대해 도 3의 m-ary 방법(300)과 정확히 동일하다. 두배점 연산 및 덧셈의 합이 동일한 채로 있고 또 두배점 연산이 응용에서 일반적으로 사용되는 투영 좌표를 사용한 덧셈보다 더 효율적이기 때문에, 우리는 이 단계에서 가능한 한 많은 두배점 연산을 사용하려고 한다. 가장 효율적인 방식은 수학식 1을 사용하여 계산하는 것이며, 그 결과 사전-계산 단계에 대한 비용 
이 얻어진다. 이 평가 단계는 
인 경우 
의 비용이 들거나, 
인 경우 
의 비용이 든다. 따라서, 총 비용은 적어도 
이다. 그에 부가하여, 사전-계산 단계는 
개 점을 기억하고 있다.
또다른 SPA-방지 홀수로만 된 m-ary 스칼라 곱셈 방법은 홀수 정수 
(단, 
임)를 다른 표현 
(단, 
임)으로 변환하는 생각에 기초하고 있다. 이것은 이하의 기록 방법으로 달성될 수 있다.
도 6은 홀수 스칼라에 대한 또다른 SPA-방지 홀수로만 된 m-ary 기록 방법(600)을 나타낸 것이다. 블록(602)에서, 홀수로만 된 m-ary 기록 방법(600)에의 입력은 홀수 n-비트 정수 
(단, 
임)을 포함한다. 블록(604)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i=0부터 d-1까지 1만큼씩 카운트한다. 루프 내에서, 블록(606)에서, 
가 홀수이면, 
로 설정하고, 블록(608)에서, 
가 짝수이면 
및 
으로 설정한다. 블록(610)에서, 출력 
(단, 
임)을 반환한다.
이 변환을 사용하여, 짝수 k에 대한 
및 홀수 k에 대한 
를 계산하기 위해 도 3의 m-ary 방법(단, 
임)(300)이 사용된다. P 또는 2P는 이어서 도 3의 방법(300)의 결과로부터 차감되어 원하는 점 kP를 얻는다. 방법(600)은 
개의 점 
을 저장할 필요가 있다. 이들 점은, 먼저 2P를 계산하고 이어서 방정식 
으로 반복적으로 나머지를 계산함으로써, 사전-계산 단계에서 계산될 수 있다. 이 단계에서의 비용 은 
이다. 평가 단계에서의 for-루프는 
의 비용이 들고, 사후-처리 단계는 2P를 계산하는 한번의 두배점 연산 및 P 또는 2P를 차감하는 한번의 뺄셈의 비용이 든다. OT의 방법에 대한 총 비용은 따라서 
이다.
홀수로만 된 콤 방법
홀수로만 된 콤 방법의 실시예는 ECC에서의 공지의 콤 방법보다 상당한 진보를 포함한다. 홀수로만 된 콤 실시예는 스칼라 k의 모든 콤 비트-컬럼 
을 부호있는 영이 아닌 표현 
으로 변환한다. 공지의 기술과 상당히 달리, 모든 발생된 
는 부호있는 홀수 정수이다. 보다 구체적으로는, 이 실시예는 각각의 콤 비트-컬럼 
에 대해 
(단, 
은 -1로 정의됨) 및 
를 발생한다. 유익하게도, 사전-계산 단계는 ECC에서의 종래의 콤 방법에서의 점들의 절반만 계산 및 저장하면 된다.
도 7은 홀수 스칼라에 대한 부호있는 홀수로만 된 콤 기록 방법(700)의 예시적인 상세를 나타낸 것이다. 방법(700)은 콤 타원 곡선 점 곱셈에서 사용하도록 구성된 타원 곡선 계산을 수행한다. 이 기록 방법(700)은 윈도우 폭 
(단, 
임)에 대해 구성되어 있다. 방법(700)에의 입력은 홀수 n-비트 정수 
(단, 
임)를 포함한다. 이 방법으로부터의 출력은 
(단, 각각의 
는 d 비트 길이의 이진 문자열이고 필요한 경우 좌측에 0을 패딩함)을 포함한다. 도 7에서, 
가 
의 r번째 비트를 나타내는 것으로, 즉 
인 것으로 하자. 
으로 정의한다. 이 출력은 
및 
에 대해 
및 
을 만족시킨다.
도 7을 참조하면, 홀수 스칼라에 대한 부호있는 홀수로만 된 콤 기록 방법(700)의 동작이 이해될 수 있다. 블록(702)에서, 입력이 
(단, 
임)에 따라 홀수 n-비트 정수로 설정된다. 블록(704)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = 0부터 d-1까지 1만큼씩 카운트한다. 루프 내에서, 블록(706)에서, 
인 경우, 
로 설정하고, 블록(708)에서, 
인 경우, 
및 
으로 설정한다. 블록(710)에서 루프를 빠져 나갈 때, 
및 
로 설정한다. 블록(712)에서, 
인 동안에 계속되도록 구성되어 있는 인덱스 i를 갖는 while-루프 등의 루프에 들어간다. 루프 내에서, 블록(714)에서, e가 홀수이고 
인 상황이 
및 
으로 설정함으로써 해결되고, 블록(716)에서, 대안적인 상황이 
및 
으로 설정함으로써 해결된다. 블록(718)에서, i는 
으로 설정함으로써 증분된다. 블록(720)에서, 출력 
(단, 각각의 
은 d 비트 길이의 이진 문자열이고 
를 구성 비트로 가지며 필요한 경우 좌측에 0으로 패딩함)이 반환된다.
방법(700)은 먼저 
라는 사실을 이용함으로써 마지막 (즉, 최하위) d 비트의 각각의 비트를 1 또는 
로 변환한다. 환언하면, 
내의 각각의 비트 
는 1 또는 
이다. 기록 방법의 나머지는 d번째 비트로부터 최상위 비트 쪽으로 각각의 비트를 처리한다. 현재의 비트가 1이고 동일한 콤 비트-컬럼 
에서 최하위 비트와 다른 부호를 갖는 경우, 현재의 비트는 
로 설저되고 나머지 상위 비트로 이루어진 값은 1만큼 가산되어 k의 값을 그대로 유지한다. 이 프로세스는 홀수 n-비트 정수 k를 표현하는 wd 비트 
를 발생한다.
따라서, 도 7의 방법(700)은, 홀수 스칼라 k가 주어질 때, 
등의 비트 문자열 
및 
의 시퀀스(단, 
및 
이고, 
및 
이며, 
임)를 출력한다. 이상의 내용은 다음과 같이 증명될 수 있다. 방법(700)에 의해 발생된 각각의 
가 
이고 
(단, 
임)이라는 조건을 만족시키는 것은 명백하고, k가 홀수이기 때문에, 
이다. 블록(704-708)은 
에서의 마지막 비트 
가 1 또는 
으로 설정한다. 따라서, 
이다. 방법(700)에서, 
인 경우, 블록(714)에 의해 
는 
로 설정되거나 블록(716)에 의해 0으로 설정된다. 
인 경우, 
은 블록(716)에 의해 0 또는 1로 설정된다. 이것은 각각의 
에서의 최하위 비트를 제외한 모든 비트가 0이거나 최하위 비트와 동일한 값을 갖는다는 것을 의미한다.
이것은 
(단, 
임)를 증명하기 위한 유도에 의해 행해질 수 있다. 이 방정식은 k가 홀수이기 때문에 j=0에 대해 성립한다. 이 방정식이 j-1 < d에 대해 성립하는 경우, 방법(700)에서의 스텝 2 및 3은 이 방정식이 j<d에 대해서도 성립하게 해준다. j=d-1로 설정함으로써, 원하는 방정식을 갖는다.
블록(714) 이전에 i번째 루프에 들어갈 때의 e의 값을 
(단, i>d임)으로 나타내기로 한다. 수학식 3이 
에 대해 항상 성립하는 것으로 하자.
이것은 유도에 의해 행해질 수 있다. 수학식 2를 사용함으로써, 
이 얻어진다. 이것은 수학식 3이 i=d에 대해 성립한다는 것을 증명한다. 수학식 3이 
에 대해 성립하는 것으로 가정한다. 
가 홀수이고 
인 경우, 
이고 
이며, 
이다.
증명해야할 마지막 것은 
이다. k가 n 비트의 정수이기 때문에, 
는 n-d 비트의 정수, 즉 
이다. 
에 대해 수학식 4를 증명하기 위해 유도를 사용한다.
i=d일 때는 이미 증명하였다. i(단,
)에 대해 성립하는 것으로 가정하자. 
가 홀수인 경우, 부등식은 
임을 암시한다. 이 경우에, 블록(714-716)은 
를 제공한다, 즉 이 경우에 수학식 3이 i+1에 대해 성립한다. 
가 짝수인 경우, 블록(716)으로부터, 
이다.
수학식 3이 여전히 성립한다. 환언하면, 수학식 4가 
에 대해 성립 한다. 따라서, 수학식 4가 
에 대해 성립하는 것으로 증명된다. 수학식 4는 
임을 유도한다.
도 7의 기록 방법(700)은 홀수 스칼라에 대해서만 동작한다. 스칼라 k가 짝수 정수인 경우, 도 8의 방법(800)이 활용될 수 있다. 도 8에서, 먼저 홀수 스칼라 k' = k+1에 대해 점 곱셈을 계산하고, 이어서 그 결과로부터 P를 차감하여 원하는 결과 kP를 얻는다.
도 8은 부호있는 홀수로만 된 콤 방법(800)의 동작을 나타낸 것이다. 블록(802)에서, 점 P 및 정수 k>0을 포함하는 입력이 수신된다. 사전-계산 단계는 블록(804-810)을 포함한다. 블록(804)에서, 모든 
에 대한 
의 계산을 비롯한 사전-계산이 행해진다. 블록(806)에서, k가 짝수인 경우, k' = k+1로 설정하고, 그렇지 않은 경우, k' = k로 설정한다. (유의할 점은 k가 짝수인 경우 k' = k-1로 설정할 수 있고 그렇지 않은 경우 k' = k로 설정할 수 있다는 것이다.) 블록(808)에서, 도 7의 방법(700)은 대응하는 콤 비트-컬럼 
을 계산하기 위해 k'에 적용될 수 있다. 블록(810)에서, 점 
은 처음에 무한대에 있는 점으로 설정된다, 즉 
으로 설정된다. 블록(812-818)은 평가 단계를 구성한다. 블록(812)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = d-1부터 0까지 -1만큼씩 카운트다운한다. 이 루프 내에서, 블록(814)에서, 
로 설정하고, 블록(816)에서 
로 설정한다. 블록(818)에서, 
형태의 출력이 반환되며, 여기서 k가 짝수이면, 
가 반환되고, 그렇지 않으면, 
가 반환된다. (유의할 점은 k' = k-1이면, k가 짝수일 때 P를 더한다.)
실제의 ECC 응용에서, 큰 소수 차수 
를 갖는 서브그룹에서의 타원 곡선 점만이 실제로 사용된다. 이 경우에, 부호있는 홀수로만 된 콤 방법(800)이 짝수 k 에 대해 
이 홀수이고 
이라는 사실을 이용함으로써 사후-처리 블록(818)을 제거하기 위해 수정될 수 있다. 이 수정된 방법은 도 9에 기술되어 있다.
도 9는 홀수 차수의 점에 대한 부호있는 홀수로만 된 콤 방법의 동작을 나타낸 것이다. 블록(902)에서, 홀수 차수 
의 점 P 및 정수 k>0을 포함하는 입력이 수신된다. 사전-계산 단계는 블록(904-910)을 포함한다. 블록(904)에서, 사전-계산이 행해진다. 예를 들어, 모든 
에 대해 
이 계산된다. 블록(906)에서, k'이 설정된다. 상세하게는, k가 홀수인 경우, k' = k로 설정하고, 그렇지 않은 경우, 
로 설정한다. 블록(908)에서, 도 7의 방법(700)이 k'에 적용되고, 그에 의해 k'에 대응하는 콤 비트-컬럼 
을 계산한다. 블록(910)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 블록(912-916)은 평가 단계를 구성한다. 블록(912)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = d-1부터 0까지 -1만큼씩 카운트다운한다. 루프 내에서, 블록(914)에서, 
로 설정하고, 블록(916)에서, 
로 설정한다. 블록(918)에서, 
형태의 
가 반환된다. 유의할 점은 상기 블록(916)에서 홀수 k에 대해 
가 
로 설정되고, 짝수 k에 대해 
로 설정 된다.
도 7의 기록 방법(700)에서, d는 도 4의 원래의 고정 기점 콤 방법(400)에서 사용되는 
대신에 
로서 정의된다. n이 w로 나누어 떨어지지 않는 경우, 우리의 기록 방법에서의 d는 원래의 콤 방법과 정확하게 동일하다, 즉 
이다. 그렇지만, n이 w로 나누어 떨어지는 경우, 우리의 방법의 d는 방법(400)에서 사용되는 d보다 1 더 크다, 즉 
이다. d를 1만큼 증가시키면 사전-계산 단계에서 w-1개의 부가적인 두배점 연산이 있게 되고, 평가 단계에서 한번의 부가적인 덧셈 및 한번의 부가적인 두배점 연산이 있게 된다. 어떤 부가적인 동작도 바람직하지 않다. 다행히, n이 w로 나누어 떨어지는 경우 부가적인 동작의 대부분이 이하의 수정된 콤 방법에 기술된 바와 같이 주의깊은 조작에 의해 제거될 수 있다.
도 10은 n이 w로 나누어 떨어지는 경우에 대한 부호있는 홀수로만 된 콤 방법의 동작을 나타낸 것이다. 블록(1002)에서, 점 P 및 n-비트 정수 k>0을 포함하는 입력이 수신된다. 사전-계산 단계는 블록(1004-1010)을 포함한다. 블록(1004)에서, 사전-계산이 행해진다. 예를 들어, 모든 
에 대해 
가 계산된다. 블록(1006)에서, k mod 4가 평가되고, k'이 설정 된다. 상세하게는, k mod 4 = 0인 경우, k' = k/2 + 1로 설정하고, k mod 4 = 1인 경우, 
로 설정하며, k mod 4 = 2인 경우, k' = k/2로 설정하고, k mod 4 = 3인 경우, 
로 설정한다. 블록(1008)에서, 대응하는 콤 비트-컬럼 
를 계산하기 위해 방법(700)이 k'에 적용된다. 블록(1010)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 평가 단계는 블록(1012-1026)을 포함한다. 블록(1012)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = d-1부터 0까지 -1만큼씩 카운트다운한다. 루프 내에서, 블록(1014)에서, 
로 설정하고, 블록(1016)에서 
으로 설정한다. 블록(1018)에서, k mod 4 = 0인 경우, 
로 설정한다. 블록(1020)에서, 
로 설정한다. 블록(1022)에서, k mod 4 = 1인 경우, 
로 설정하고, 블록(1024)에서, k mod 4 = 3인 경우, 
로 설정한다. 블록(1026)에서, 
형태로 
를 반환한다.
블록(1006)으로 인해, 방법(1000)에서 사용되는 d의 값은 
과 등가이고, 원래의 콤 방법(400)과 동일하다. 방법(800)과 비교하여, 방법(1000)은 n이 w로 나누어 떨어질 때 사전-계산 단계에서 w-1번의 두배점 연산을 절감한다. 이 경우 에, k mod 4 = 2인 경우 한번의 덧셈도 역시 평가 단계에서 절감된다. 여러가지 방법들의 더 많은 성능 비교가 본 명세서에서 나중에 제공된다.
방법(800, 1000)은 SPA-방지를 하지 못한다. 양 방법에서 모든 콤 비트-컬럼 
이 영이 아니더라도, 스칼라 k의 마지막 비트의 값이 SPA에 의해 도 8의 블록(818)에서 검출가능하고, 스칼라 k의 마지막 2 비트의 정보가 SPA에 의해 도 10의 블록(1016) 이후의 단계들로부터 누출될 수 있다. 모든 
이기 때문에, 3개의 콤 방법(800, 900, 1000)에 대한 for 루프에서의 동작들은 대안적인 점 두배점 연산 및 점 덧셈의 시퀀스 
이며, 따라서 비밀 스칼라 k에 관한 어떤 정보도 SPA에 누출하지 않는다. 이것은 우리가 
비트(단, 
는 점 P의 차수임)의 정수로서 모든 스칼라 k(또는 보다 구체적으로는 도 9의 블록(906)에서의 k')를 취하더라도 방법(900)이 SPA-방지 콤 방법임을 암시한다. 그것이 SPA-방지 방법을 연구하는 데 있어서의 일반적인 가정이다. for-루프 이후에 잠재적인 더미 동작들을 삽입함으로써, 상기의 SPA-비방지 방법들을 SPA-방지 방법으로 변환할 수 있다. 방법(800)은 이하의 SPA-방지 콤 방법으로 수정될 수 있다.
도 11은 SPA-방지 부호있는 홀수로만 된 콤 방법(1100)의 동작을 나타낸 것이다. 블록(1102)에서, 점 P 및 정수 k>0를 포함하는 입력이 수신된다. 사전-계산 단계는 블록(1104-1110)을 포함한다. 블록(1104)에서, 사전-계산이 행해진다. 예를 들어, 모든 
에 대해 
가 계산 된다. 블록(1106)에서, k가 짝수인 경우, k' = k+1로 설정하고, 그렇지 않은 경우 k' = k+2로 설정한다. 블록(1108)에서, 대응하는 콤 비트-컬럼 
를 계산하기 위해 방법(700)이 k'에 적용된다. 블록(1110)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 평가 단계는 블록(1112-1120)을 포함한다. 블록(1112)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = d-1부터 0까지 -1만큼씩 카운트다운한다. 루프 내에서, 블록(1114)에서, 
로 설정하고, 블록(1116)에서 
로 설정하며, 블록(1118)에서, 
로 설정한다. 블록(1120)에서, 
형태의 출력이 반환된다. 상세하게는, k가 짝수인 경우, 
를 반환하고, 그렇지 않은 경우, 
를 반환한다.
앞서 언급한 바와 같이, SPA-방지 방법을 연구함에 있어서, 스칼라는 
비트(단, 
는 점 P의 차수임)의 정수로 생각된다, 즉 도 7의 방법(700)에서 
이다. 이 경우에, 
이 w로 나누어 떨어지는 경우, 도 11의 방법(1100)에서 사용되는 d의 값은 도 4의 원래의 콤 방법(400)에서의 d보다 1 더 크며, 그 결과 더 높은 계산 복잡도가 얻어진다. 이하의 SPA-방지 방법(1200)은 d를 증가시키지 않으며, 따라서 증가된 계산 복잡도를 제거한다.
도 12는 
가 w로 나누어 떨어지는 경우의 SPA-방지 부호있는 홀 수로만 된 콤 방법(1200)의 동작을 나타낸 것이다. 블록(1202)에서, 차수 
의 점 P 및 n-비트 정수 k>0을 포함하는 입력이 수신된다. 사전-계산 단계는 블록(1204-1212)을 포함한다. 블록(1204)에서, 사전-계산이 행해진다. 예를 들어, 모든 
에 대해 
이 계산된다. 블록(1206)에서, 
인 경우, 
를 설정하고, 그렇지 않은 경우, k* = k를 설정한다. 블록(1208)에서, k*이 짝수인 경우, k' = k* + 2로 설정한다. 블록(1210)에서, 대응하는 콤 비트-컬럼 
을 계산하기 위해 방법(700)이 k'에 적용된다. 블록(1212)에서, 점 
는 처음에 무한대에 있는 점으로 설정된다, 즉 
로 설정한다. 평가 단계는 블록(1214-1226)을 포함한다. 블록(1214)에서, 인덱스 i를 갖는 for-루프 등의 루프에 들어간다. 이 루프는 i = d-1부터 0까지 -1만큼씩 카운트다운한다. 루프 내에서, 블록(1216)에서, 
로 설정하고, 블록(1218)에서, 
이면, 
로 설정하고, 그렇지 않은 경우, 
로 설정한다. 블록(1220)에서, 
로 설정한다. 블록(1222)에서, 
이면 
로 설정하고, 그렇지 않은 경우, 
로 설정한다. 블록(1224)에서, k*이 짝수이면, 
로 설정하고, 그렇지 않은 경우, 
로 설정한다. 블록(1226)에서, 
는 
인 출력으로서 반환된다.
유의할 점은 도 12의 방법(1200)에서, 블록(1206)은 k*이 
보다 작거나 같게 해준다. 또한, 이 방법에서 사용되는 d가 
와 같도록 하기 위해 k'이 
비트의 정수이어야만 한다. 그렇지 않은 경우, 원하는 결과를 달성하기 위해 블록(1206)에서 짝수 k*에 대해 k'을 k*-1로 설정하고 홀수 k*에 대해 k*-2로 설정할 수 있다. 이 경우에, 블록(1222)은 
인 경우 
를 -1로 설정하고 그렇지 않은 경우 1로 설정한다.
동작의 보안
전력 분석에 대한 기술된 점 곱셈 방법의 보안에 대해 이 섹션에서 기술한다. SPA에 대한 보안에 대해 먼저 설명하고, 뒤이어서 DPA, 2차 DPA, 및 기타 사이드 채널 공격을 방지하기 위해 기술된 방법을 어떻게 변환해야 하는지에 대한 설명이 온다.
콤 방법(900, 1100, 1200)은 점 뺄셈이 전력 분석에 대한 점 덧셈과 거의 동일하다는 사실을 이용한다. 그에 부가하여, 기술된 콤 방법은 점 곱셈을 계산함에 있어서 각각의 루프에서 한번의 점 덧셈과 한번의 두배점 연산을 수행한다. 이것은 모든 스칼라 k에 대해 동일한 시퀀스가 실행된다는 것을 의미한다. 따라서, SPA는 실행의 전력 소모를 검사함으로써 비밀 k에 관한 어떤 정보도 추출할 수 없다. 환언하면, 콤 방법(900, 1100, 1200)은 정말로 SPA-방지를 한다.
그렇지만, SPA-방지 점 곱셈 방법이 반드시 DPA 공격을 방지해야 하는 것은 아니다. 랜덤화 투영 좌표 또는 랜덤 동형 곡선(random isomorphic curve)이 기술된 방법을 DPA-방지 방법으로 변환하는 데 사용될 수 있다.
방금 언급한 랜덤화 방식이 사용될 때, 2차 DPA 공격은 여전히 콤 방법(900, 1100, 1200)에 성공적으로 적용될 수 있다. 이러한 2차 공격은 어느 
가 로드되는지를 결정하기 위해 전력 소모와 로딩된 데이터의 해밍 가중치 간의 상관을 이용한다. 이러한 2차 DPA 공격을 좌절시키기 위해, 테이블에서 점을 얻은 후에 모든 사전-계산된 점들을 랜덤화하는 방식이 사용될 수 있으며, 따라서 고정된 해밍 가중치가 없다.
최근에 제안된 DPA 공격은 많은 랜덤화 방식에 관한 세분화 공격(refinement attack)이다. 이 공격은 좌표들 중 하나가 0인 특수한 점들을 이용한다. 이러한 DPA 공격은 
에 걸쳐 정의된 타원 곡선 
(단, b는 모듈로 p의 2차 잉여(quadratic residue)가 아님)을 선택하고 기술된 스칼라 곱셈 방법의 적용에서 입력 점으로서 임의의 점 (x, 0)를 거부하는 것만으로 해결될 수 있다. 카디날리티(cardinality) 
가 큰 소수인 경우, 점 (x, 0)은 적격인 입력 점이 될 수 없는데, 그 이유는 이들이 타원 곡선 상에 있지 않기 때문이다. 상기한 랜덤화 기법과 대책을 결합하면, 기술된 콤 방법이 모든 전력-분석 공 격을 좌절시킬 수 있다.
동작의 효율성
콤 방법(800-1200)은 
개의 점의 저장을 필요로 한다. 이들 콤 방법의 사전-계산 단계에서, 
가 먼저 계산된다. 이것은 
번의 두배점 연산의 비용이 든다. 이어서, 
과 
의 모든 가능한 조합이 
번의 점 덧셈의 비용이 드는 도 4의 방법(400)에 대한 사전-계산 단계와 동일한 방식으로 계산된다. 사전-계산 단계에서의 기술된 콤 방법의 총 비용은 따라서 
이다. 평가 단계에서의 콤 방법(800-1200)의 시간 비용은 for-루프 이후의 사후-처리로 인해 약간 변한다. 스칼라 k가 랜덤하게 분포되어 있는 것으로 가정하면, 평가 단계에서의 평균 비용이 도 8의 방법(800)에 대해 
이고, 도 9의 방법(900)에 대해 
이며, 도 10의 방법(1000)에 대해 
이고, 도 11 및 도 12의 방법(1100, 1200) 둘다에 대해 
이다.
도 8 내지 도 10의 고정-기점 콤 방법(800, 900, 1000)과 도 4의 원래의 고정-기점 콤 방법(400)과의 비교가 행해질 수 있다. 표 1은 이들 방법에 대한 공간 과 시간 비용을 열거한 것이다. 표 1에서의 콤 방법(800-1000)은 원래의 콤 방법(400)에서의 
의 저장된 점들의 대략 절반인 
개를 저장한다. 그에 부가하여, 콤 방법(800-1000)은 사전-계산 단계에서 도 4의 원래의 콤 방법(400)보다 
-w번의 점 덧셈을 절감한다. 평가 단계는 표 1의 4개의 방법 모두에 대해 유사한 시간 비용을 갖는다. 사전-계산된 점들에 대해 대략 동일한 저장 공간을 유지하기 위해, w의 값이 콤 방법(400)에서 사용되는 
보다 1 더 큰 
로서 선택되는 방식으로 방법(800-1000)이 이용될 수 있다. 이 결과 콤 방법(400)과 유사한 저장(
대 
)이 얻어지지만, 방법(800-1000)에서 사용되는 d가 더 작기 때문에 평가 단계에서의 계산이 훨씬 더 빠르다.
도 9, 도 11 및 도 12의 기술된 SPA-방지 콤 방법(900, 1100, 1200)과 SPA-방지를 하는 방법(400)의 수정 간에 비교가 행해질 수 있다. 이들 SPA-방지 방법에 대한 공간 및 시간 비용이 표 2에 열거되어 있다. 다시 말하면, SPA-방지 콤 방법(900, 1100, 1200)은 수정된 콤 방법(400)보다 사전-계산된 점들을 위한 저장의 약 절반을 사용하지만, 사전-계산 단계에서 
번의 점 덧셈을 절감한다. 방법(1100, 1200)은 평가 단계에서 수정된 방법(400)과 동일한 시간 비용이 들지만, 기술된 방법(900)은 이 단계에서 한번의 두배점 연산 및 한번의 점 덧셈을 절감한다. 표 2의 데이터로부터, 방법(900)은 n이 w로 나누어 떨어지지 않는 경우 가장 효율적인 SPA-방지 콤 방법이다. n이 w로 나누어 떨어지는 경우, 방법(1200) 이 추천되는데, 그 이유는 이 경우에 
이 
보다 1 더 크며, 그 결과 더 높은 시간 비용이 발생하기 때문이다.
<표 1> 고정-기점 콤 방법(400)과 고정-기점 콤 방법(800-1000)에 대한 공간 및 평균 시간 비용의 비용
| 방법(400) | 방법(800) | 방법(900) | 방법(1000) | |
| d |
 |
 |
 |
  |
| 저장 |
 |
 |
 |
 |
| 사전-계산 단계 |
 |
 |
 |
 |
| 평가 단계 |
 |
 |
 |
 |
| 총 비용 |
 |
 |
 |
 |
본 명세서에 기술된 SPA-방지 실시예와 기타 SPA-방지 점 곱셈 방법과의 비교는 유익하다. 2개의 SPA-방지 m-ary 스칼라 곱셈 방법에 대한 공간 및 시간 비용(하나는 SPA-방지를 하는 확장된 m-ary 방법이고, 다른 하나는 도 6의 기록 방법(600)을 사용하는 m-ary 방법임)이 표 3의 두번째 및 세번째 컬럼에 열거되어 있다. 표 2 및 표 3으로부터, 도 9, 도 11 및 도 12의 기술된 SPA-방지 콤 방법(900, 1100, 1200)은 기록 방법(600)을 사용하는 m-ary 방법(다른 쪽 SPA-방지 m-ary 방법보다 점이 1개 더 적음)과 동일한 수의 사전-계산된 점을 저장한다.
점 곱셈 방법이 SPA 공격을 방지하도록 하기 위해, 특정의 k 값에 대한 암호 실행 절차의 의존성을 제거하기 위해 부가적인 동작이 필요하다. 이것은 SPA-방지 방법의 효율성이 유사한 접근방법의 비-SPA-방지 방법과 비교하여 일반적으로 저하된다는 것을 의미한다. 가장 효율적인 점 곱셈 방법은, 사전-계산 및 평가 단계 둘다에서의 총 비용이 고려되는 경우, SPA-방지를 하지 않는 부호있는 m-ary 윈도우 방법이다. 부호있는 m-ary 윈도우 방법 비용에 대한 공간 및 시간 비용이 표 3의 첫번째 컬럼에 열거되어 있다. 이 방법은 모든 SPA-방지 방법보다 더 적은 점을 저장하지만 더 빠르게 실행된다. 공간 및 시간 불이익이 보안이 최상위 우선순위인 많은 응용에서 거의 중요하지 않다. 평가 단계만이 고려되는 경우, 기술된 콤 방법이 부호있는 m-ary 윈도우 방법보다 더 빠르다.
<표 2> SPA-방지 콤 방법들에 대한 공간 및 평균 시간 비용의 비교
| 종래의 SPA-방지 콤 | 도 9의 방법(900) | 도 11의 방법(1100) | 도 12의 방법(1200) | |
| d |
 |
 |
 |
 |
| 저장 |
 |
 |
 |
 |
| 사전-계산 단계 |
 |
 |
 |
 |
| 평가 단계 |
 |
 |
 |
 |
| 총 비용 |
 |
 |
 |
 |
<표 3> 비-SPA-방지 부호있는 m-ary 방법(첫번째 컬럼)과 2개의 종래의 SPA-방지 m-ary 방법
에 대한 공간 및 평균 시간 비용
| 부호있는 m-ary 윈도우 | 종래의 SPA-방지 m-ary 방법 | 도 6의 기록 방법(600)을 사용하는 SPA-방지 m-ary 방법 | |
| d |
 |
 |
 |
| 저장 |
 |
 |
 |
| 사전-계산 저장 |
 |
 |
 |
| 평가 단계 |
 |
 |
 |
| 총 비용 |
 |
 |
 |
응용 예
방법(800-1200)은 많은 ECC 응용에서 사용될 수 있다. 이들은 사전-계산이 사전에 또는 다른 어떤 사람에 의해 계산될 수 있는 경우에(많은 응용에서 그러함) 특히 효율적이다. 이 섹션은 몇개의 이러한 응용 시나리오에 대해 기술한다. 한 예는 위조-방지 및 안전한 환경을 제공하여 비밀을 저장하고 중요한 암호 동작을 실행하기 위해 스마트 카드가 사용되는 시스템인 반면, 별도의 보다 강력한 컴퓨팅 서브시스템은 다른 동작을 책임지고 있다. 셀룰러 전화 및 WAP(wireless application protocol, 무선 애플리케이션 프로토콜) 장치는 이러한 시스템의 일반적인 예이다. 셀룰러 전화에서, SIM(Subscriber Identification Module) 카드는 중요한 가입자 정보 및 무선 네트워크에의 적법한 액세스를 제공할 책임을 지고 있는 인증 및 암호화 방법을 안전하게 저장하는 스마트 카드이다. 전화의 CPU, 메모리 및 저장 장치는 다른 동작들을 책임지고 있다. WIM(Wireless Identity Module) 카드는 WAP 장치에서 유사한 역할을 한다. 이러한 시스템에서, 장치의 CPU에 의해 계산된 점들이 관찰가능하지만 위조가능하지 않은 경우, 평가 단계를 실행하기 위해 스마트 카드를 사용하면서 사전-계산을 보다 강력한 장치의 CPU에 위임하는 것이 가능할 수 있다. 유의할 점은, 점 자체가 비밀인 한, 사전-계산이 어떤 비밀도 포함하지 않는다는 것이다.
ECDSA(Elliptic Curve Digital Signature Algorithm, 타원 곡선 디지털 서명 알고리즘)은 또다른 예이다. ECDSA는 디지털 서명 표준(Digital Signature Standard)이라고 하는 U.S. 정부 표준에 규정된 DSA(Digital Signature Algorithm, 디지털 서명 알고리즘)의 타원 곡선 유사물이다. ECDSA는 많은 표준에서 채택되고 있다. 이는 서명 발생 및 검증을 포함한다. P가 공개적으로 알고 있는 타원 곡선 점이고 
가 점 P의 소수 차수이라고 하자. 이하의 방식으로 서명이 발생되고 검증된다. 즉, ECDSA 서명 발생: 메시지 m에 서명하기 위해, 키 쌍(d, 
)과 연관되어 있는 개체 A가 이하의 단계들을 실행한다.
1. 
이도록 랜덤한 또는 의사 랜덤한 정수 k를 선택한다.
2. 
및 
를 계산한다. 
인 경우, 단계 1로 간다.
3. 
를 계산한다.
4. 
를 계산하며, 여기서 SHA-1은 보안 해쉬 표준(Secure Hash Standard)에 규정된 SHA(Secure Hash Algorithm)이다.
5. 
를 계산한다. s=0인 경우, 단계 1로 간다.
6. 메시지 m에 대해 A에 의해 발생된 서명이 (r, s)이다.
ECDSA 서명 검증: 메시지 m에 대한 A의 서명 (r, s)을 검증하기 위해, 개체 B는 A의 공개키 
를 획득하고 이하의 단계들을 실행한다.
1. 구간 
에서 r 및 s가 정수임을 검증한다.
2. 
을 계산한다.
3. 
를 계산한다.
4. 
및 
를 계산한다.
5. 
를 계산한다. 
인 경우, 서명을 거부한다. 그렇지 않은 경우, 
를 계산한다.
6. 
인 경우에만 서명을 수락한다.
ECDSA 서명의 경우, P, 
및 r, s, e가 공개 값이다. 스칼라 k는 비밀로 유지되어야만 한다. 그렇지 않은 경우, 비밀키 d가 방정식 
로부터 도출될 수 있다. 따라서, 비밀키 d 및 ECDSA 서명 발생이 안전하게 저장 및 실행되어야만 한다. 이것은, kP를 계산하기 위해 P의 사전-계산된 점을 저장하고 점 곱셈 방법을 사용하여 전력 분석을 방지하는 스마트 카드로 편리하게 달성될 수 있다. 본 명세서에 기술된 SPA-방지 콤 방법은 이 응용에 이상적인데, 그 이유는 서명을 발생하는 데 평가 단계만이 실행되기 때문이다. 반면에, ECDSA 서명 검증은 어떤 비밀키도 사용하지 않는다. ECDSA 서명을 검증함에 있어서, 
를 계산하는 데 본 명세서에 기술된 SPA-비방지 콤 방법이 사용될 수 있으며, 부호있는 m-ary 윈도우 방법이 
를 계산하는 데 사용된다. 이것은 점 곱셈 방법들의 효율적인 조합인데, 그 이유는 P의 사전-계산 점들이 사전에 계산될 수 있고, 콤 방법이 이 경우에 기타 방법들보다 더 효율적이기 때문이다. 이와 반대로, 
의 사전-계산 점들은 사전에 계산될 수 없는데, 그 이유는 공개키 
가 개체마다 다르기 때문이다. 부호있는 m-ary 윈도우 방법이 이 경우에 적절하다.
예시적인 방법
도 13은 타원 곡선 암호 시스템의 타원 곡선 점 곱셈에서 사용하도록 구성될 수 있는 기록 시스템의 동작을 나타내는 예시적인 구현(1300)을 나타낸 것이다. 이 구현(1300)은 스마트 카드, 셀룰러 전화, 워크스테이션 또는 메인프레임 컴퓨팅 환경 등의 많은 서로 다른 컴퓨팅 환경에서 사용하도록 구성되어 있다. 블록(1302)에서, 홀수 정수 k가 이진 표현으로 변환된다. 이 이진 표현은, 예를 들어, 2의 멱수의 계수일 수 있다. 블록(1302)의 변환은, 블록(1304-1308)에서 논의되는 예시적인 변환 등의 다수의 방식으로 수행될 수 있다. 블록(1304)에서, 홀수 정수 k의 이진 표현의 최하위 d 비트의 각각의 비트가 변환된다. 이 변환은 각각의 비트-컬럼에서의 최하위 비트가 1 또는 
이도록 수행된다. 유의할 점은 이 변환이 도 7의 블록(704-708)에서 기술되는 방식으로 수행될 수 있다는 것이다. 블록(1306)에서, i번째 위치에 있는 결과 비트가 0 또는 부호있는 1이 되도록 이진 표현 중 d보다 상위에 있는 비트들이 변환되며, 여기서 부호있는 1은 (i mod d)번째 위치에 있는 비트에 따라 부호가 주어진다. 블록(1306)의 변환은, 도 7의 블록(712-718)에 또는 블록(1308)에 나타낸 것 등의, 다양한 서로 다른 방식으로 수행될 수 있다. 블록(1308)에서, 현재 비트의 부호는 동일한 콤 비트-컬럼에서의 최하위 비트의 부호와 비교된다. 부호가 서로 다르고 현재 비트가 1인 경우, 현재 비트는 
로 설정되고, k의 값을 유지하기 위해 그 다음 상위 비트의 값은 1만큼 증분된다. 블록(1310)에서, 이 이진 표현은 콤 비트-컬럼으로 구성되고, 모든 비트-컬럼은 부호있는 홀수 정수이다. 보다 구체적으로는, 구현(1300)이 각각의 콤 비트-컬럼 
에 대해 
및 
(단, 
는 -1로서 정의됨)을 발생할 수 있다.
도 14는 타원 곡선 점 곱셈 시스템의 동작(1400)의 일례를 나타낸 것이다. 블록(1402)에서, 점 P 및 정수 k(단, k는 짝수 또는 홀수 정수임)가 수신된다. 블록(1404)에서, k'은 적어도 부분적으로 k의 값에 기초하여 설정되고, k'은 홀수 정수이다. 예를 들어, 도 8의 블록(806)에서, k'은 k의 상태에 기초하여 짝수 또는 홀수로 설정된다. 블록(1406)에서, 홀수 정수 k'은 비트-컬럼을 포함하는 이진 표현으로 변환되고, 모든 비트-컬럼은 부호있는 홀수 정수이다. 예를 들어, 이것은 도 7의 방법(700)에 따라 수행될 수 있다. 그에 따라, 동작(1406)은 각각의 콤 비트-컬럼 
에 대해 
및 
(단, 
는 -1로서 정의됨)을 생성할 수 있다. 블록(1408)에서, 값 
를 계산하기 위해 콤 비트-컬럼 및 점 P가 처리되며, 여기서 
는 k의 서로 다른 값에 대해 서로 다르게 설정될 수 있다. 예를 들어, 블록(818, 916, 1018, 1022-1024, 1120, 1222-1224) 모두는 부분적으로 k에 기초하여 
를 설정한다. 블록(1410)에서, 
가 출력되며, 
는 kP를 나타낸다.
본 명세서에 기술된 방법들 중 어느 방법이라도 스마트 카드, 컴퓨터 시스템 또는 임의의 디지털 처리 장치 및/또는 컴포넌트 상에서 수행될 수 있다. 예를 들어, 이들 방법은 프로세서 및/또는 컴퓨터 판독가능 매체 상에 정의된 명령어의 실행에 의해 수행될 수 없다. "프로세스 판독가능 매체"는, 본 명세서에서 사용되는 바와 같이, 스마트 카드, 컴퓨터 또는 임의의 컴퓨팅 또는 계산 장치 및/또는 컴포넌트인지에 상관없이, 프로세서에서 사용하거나 실행하는 명령어를 포함하거나 저장할 수 있는 임의의 수단일 수 있다. 프로세서 판독가능 매체는 전자, 자기, 광, 전자기, 적외선 또는 반도체 시스템, 장치, 기기 또는 컴포넌트일 수 있지만, 이에 한정되는 것은 아니다. 프로세서 판독가능 매체의 보다 구체적인 예로는, 그 중에 서도 특히, 스마트 카드 상의 메모리 컴포넌트, 휴대용 컴퓨터 디스켓, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 소거가능 프로그램가능 판독 전용 메모리(EPROM 또는 플래쉬 메모리), 광 및/또는 자기 메모리, CD-RW(rewritable compact disc), 및 휴대용 CD-ROM(compact disc read-only memory)이 있다.
하나 이상의 방법들이 흐름도 및 흐름도의 블록들과 연관된 텍스트에 의해 기술되어 있지만, 이들 블록이 반드시 제시되어 있는 순서로 수행되어야만 하는 것은 아님과 대안의 순서로 하여도 유사한 이점이 얻어질 수 있다는 것을 잘 알 것이다. 게다가, 이들 방법이 배타적이지 않으며 단독으로 또는 서로 함께 수행될 수 있다.
예시적인 컴퓨팅 환경
도 15는 타원 곡선 암호 시스템을 구현하기에 적합한 예시적인 컴퓨팅 환경을 나타낸 것이다. 하나의 구체적인 구성이 도시되어 있지만, 임의의 특정의 응용의 요구를 만족시키기 위해 임의의 컴퓨팅 환경으로 대체될 수 있다. 컴퓨팅 환경(1500)은 컴퓨터(1502) 형태의 범용 컴퓨팅 시스템을 포함한다. 컴퓨터(1502)의 컴포넌트들은 하나 이상의 프로세서 또는 처리 장치(1504), 시스템 메모리(1506), 및 프로세서(1504)를 비롯한 다양한 시스템 컴포넌트들을 시스템 메모리(1506)에 연결시키는 시스템 버스(1508)를 포함할 수 있지만, 이에 한정되는 것은 아니다. 시스템 버스(1508)는 메모리 버스 또는 메모리 컨트롤러, 주변 장치 버스, PCI(Peripheral Component Interconnect) 버스, AGP(accelerated graphics port), 및 다양한 버스 아키텍쳐 중 임의의 것을 사용하는 프로세서 또는 로컬 버스를 비 롯한, 임의의 몇가지 유형의 버스 구조들 중 하나 이상을 나타낸다.
컴퓨터(1502)는 일반적으로 다양한 컴퓨터 판독가능 매체를 포함한다. 이러한 매체는 컴퓨터(1502)에 의해 액세스가능한 임의의 이용가능한 매체일 수 있으며 휘발성 및 비휘발성 매체, 이동식 및 비이동식 매체 둘다를 포함한다. 시스템 메모리(1506)는, 랜덤 액세스 메모리(RAM)(1510) 등의 휘발성 메모리 및/또는 판독 전용 메모리(ROM)(1512) 등의 비휘발성 메모리 형태의 컴퓨터 판독가능 매체를 포함한다. 기동 중과 같은 때에 컴퓨터(1502) 내의 구성요소들 간에 정보를 전송하는 일을 돕는 기본적인 루틴을 포함하는 기본 입/출력 시스템(BIOS)(1514)은 ROM(1512)에 저장되어 있다. RAM(1510)은 일반적으로 처리 장치(1504)가 현재 동작시키고 및/또는 즉각 액세스가능한 데이터 및/또는 프로그램 모듈을 포함한다.
컴퓨터(1502)는 또한 기타 이동식/비이동식, 휘발성/비휘발성 컴퓨터 저장 매체를 포함할 수 있다. 예로서, 도 15는 비이동식, 비휘발성 자기 매체(도시 생략)로부터 판독을 하고 그에 기록을 하는 하드 디스크 드라이브(1516), 이동식, 비휘발성 자기 디스크(1520)(예를 들어, "플로피 디스크")로부터 판독을 하고 그에 기록을 하는 자기 디스크 드라이브(1518), 및 CD-ROM, DVD-ROM 또는 기타 광 매체 등의 이동식, 비휘발성 광 디스크(1524)로부터 판독을 하고 및/또는 그에 기록을 하는 광 디스크 드라이브(1522)를 나타내고 있다. 하드 디스크 드라이브(1516), 자기 디스크 드라이브(1518) 및 광 디스크 드라이브(1522) 각각은 하나 이상의 데이터 미디어 인터페이스(1525)에 의해 시스템 버스(1508)에 연결된다. 다른 대안으로서, 하드 디스크 드라이브(1516), 자기 디스크 드라이브(1518), 및 광 디스크 드라이브(1522)는 SCSI 인터페이스(도시 생략)에 의해 시스템 버스(1508)에 연결될 수 있다.
이들 디스크 드라이브 및 이들과 연관된 컴퓨터 판독가능 매체는 컴퓨터(1502)에 대한 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 및 기타 데이터의 비휘발성 저장을 제공한다. 이 예가 하드 디스크(1516), 이동식 자기 디스크(1520), 및 이동식 광 디스크(1524)를 나타내고 있지만, 자기 카세트 또는 기타 자기 저장 장치, 플래쉬 메모리 카드, CD-ROM, DVD(digital versatile disk) 또는 기타 광 저장 장치, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 전기적 소거가능 프로그램가능 판독 전용 메모리(EEPROM), 기타 등등의 컴퓨터에 의해 액세스가능한 데이터를 저장할 수 있는 기타 유형의 컴퓨터 판독가능 매체도 역시 이 예시적인 컴퓨팅 시스템 및 환경을 구현하는 데 이용될 수 있다는 것을 잘 알 것이다.
예로서, 운영 체제(1526), 하나 이상의 애플리케이션 프로그램(1528), 기타 프로그램 모듈(1530) 및 프로그램 데이터(1532)를 비롯한, 임의의 수의 프로그램 모듈이 하드 디스크(1516), 자기 디스크(1520), 광 디스크(1524), ROM(1512), 및/또는 RAM(1510) 상에 저장될 수 있다. 이러한 운영 체제(1526), 하나 이상의 애플리케이션 프로그램(1528), 기타 프로그램 모듈(1530) 및 프로그램 데이터(1532)(또는 이들의 어떤 조합) 각각이 사용자 네트워크 액세스 정보에 대한 캐싱 방식의 실시예를 포함할 수 있다.
컴퓨터(1502)는 통신 매체라고 하는 다양한 컴퓨터/프로세서 판독가능 매체 를 포함할 수 있다. 통신 매체는 일반적으로 반송파 또는 기타 전송 메카니즘 등의 피변조 데이터 신호에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터를 구현하며, 임의의 정보 전달 매체를 포함한다. 용어 "피변조 데이터 신호"란 신호에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상이 설정 또는 변경된 신호를 의미한다. 제한이 아닌 예로서, 통신 매체는 유선 네트워크 또는 직접 배선 접속 등의 유선 매체, 및 음향, RF, 적외선 및 기타 무선 매체 등의 무선 매체를 포함한다. 상기한 매체들의 임의의 것의 조합도 역시 컴퓨터 판독가능 매체의 범위 내에 포함된다.
사용자는 키보드(1534) 및 포인팅 장치(1536)(예를 들어, "마우스") 등의 입력 장치를 통해 컴퓨터 시스템(1502)에 명령 및 정보를 입력할 수 있다. 기타 입력 및/또는 주변 장치(1538)(구체적으로 도시하지 않음)로는 스마트 카드 및/또는 스마트 카드 판독기, 마이크, 조이스틱, 게임 패드, 위성 안테나, 직렬 포트, 스캐너, 기타 등등이 있을 수 있다. 이들 및 기타 입력 장치는 시스템 버스(1508)에 연결되어 있는 입/출력 인터페이스(1540)를 통해 처리 장치(1504)에 연결되지만, 병렬 포트, 게임 포트 또는 USB(universal serial bus) 등의 기타 인터페이스 및 버스 구조에 의해 연결될 수 있다.
모니터(1542) 또는 기타 유형의 디스플레이 장치도 역시 비디오 어댑터(1544) 등의 인터페이스를 통해 시스템 버스(1508)에 연결될 수 있다. 모니터(1542)에 부가하여, 기타 출력 주변 장치는 입/출력 인터페이스(1540)를 통해 컴퓨터(1502)에 연결될 수 있는 스피커(도시 생략) 및 프린터(1546) 등의 컴포넌트들 을 포함할 수 있다.
컴퓨터(1502)는 원격 컴퓨팅 장치(1548) 등의 하나 이상의 원격 컴퓨터에의 논리적 접속을 사용하여 네트워크화된 환경에서 동작할 수 있다. 예로서, 원격 컴퓨팅 장치(1548)는 퍼스널 컴퓨터, 휴대용 컴퓨터, 서버, 라우터, 네트워크 컴퓨터, 피어 장치 또는 기타 통상의 네트워크 노드, 등등일 수 있다. 원격 컴퓨팅 장치(1548)는 컴퓨터 시스템(1502)과 관련하여 본 명세서에 기술된 구성요소 및 특징들 중 다수 또는 그 전부를 포함할 수 있는 휴대용 컴퓨터로서 나타내어져 있다.
컴퓨터(1502)와 원격 컴퓨터(1548) 간의 논리적 접속이 근거리 통신망(LAN)(1550) 및 일반적인 원거리 통신망(WAN)(1552)으로 나타내어져 있다. 이러한 네트워킹 환경은 사무실, 전사적 컴퓨터 네트워크, 인트라넷 및 인터넷에서 통상적인 것이다. LAN 네트워킹 환경에서 구현될 때, 컴퓨터(1502)는 네트워크 인터페이스 또는 어댑터(1554)를 통해 근거리 통신망(1550)에 연결된다. WAN 네트워킹 환경에서 구현될 때, 컴퓨터(1502)는 일반적으로 원거리 통신망(1552)을 통해 통신을 설정하기 위한 모뎀(1556) 또는 기타 수단을 포함한다. 컴퓨터(1502)에 대해 내장형 또는 외장형일 수 있는 모뎀(1556)은 입/출력 인터페이스(1540) 또는 기타 적절한 메카니즘을 통해 시스템 버스(1508)에 연결될 수 있다. 도시된 네트워크 접속이 예시적인 것이며 컴퓨터(1502)와 컴퓨터(1548) 간에 통신 링크(들)를 설정하는 기타 수단이 이용될 수 있다는 것을 잘 알 것이다.
컴퓨팅 환경(1500)으로 나타낸 것 등의 네트워크화된 환경에서, 컴퓨터(1502)와 관련하여 도시된 프로그램 모듈들 또는 그의 일부분이 원격 메모리 저 장 장치에 저장될 수 있다. 예로서, 원격 애플리케이션 프로그램(1558)은 원격 컴퓨터(1548)의 메모리 장치 상에 존재한다. 예시를 위해, 애플리케이션 프로그램 및 운영 체제 등의 기타 실행가능 프로그램 컴포넌트가 본 명세서에서 개별 블록으로 도시되어 있지만, 이러한 프로그램 및 모듈이 다양한 때에 컴퓨터 시스템(1502)의 서로 다른 저장 컴포넌트에 존재하고 컴퓨터의 데이터 프로세서(들)에 의해 실행된다는 것을 잘 알 것이다.
내장형 스마트 카드(1562)를 갖는 셀룰러 전화(1560)는 콤 방법(800-1400)이 이용될 수 있는 또다른 환경을 제공한다. 셀 전화는 셀룰러 전화 사업자 또는 서비스와 연관되어 있을 수 있는 컴퓨터(1502)와 통신을 하도록 구성될 수 있다. 이러한 환경에서, 예를 들어, 이 경우에 컴퓨터(1502)를 동작시키는 셀룰러 서비스 제공자의 적법한 고객으로서의 셀 전화(1560)의 진정성을 입증하기 위해 ECC 방법이 사용될 수 있다.
결론
도 7의 신규한 부호있는 홀수로만 된 콤 기록 방법(700)은 홀수 정수에 대한 콤의 시퀀스의 콤 비트-컬럼을 부호있는 홀수로만 된 영이 아닌 표현으로 변환한다. 이 기록 방법을 사용하여, 도 8 내지 도 12의 몇가지 신규한 비SPA-방지 및 SPA-방지 콤 방법(800-1200)은 타원 곡선 암호 시스템에 대한 점 곱셈을 계산하도록 구성될 수 있다. 기술된 콤 방법은 공지된 비SPA-방지 및 SPA-방지 콤 방법보다 더 적은 점들을 저장하며 더 빠르게 실행된다. 그에 부가하여, 기술된 부호있는 홀수로만 된 콤 방법은 콤 방법의 이점 - 사전-계산 점들이 사전에 또는 다른 곳에서 계산될 때 윈도우 방법 및 비SPA-방지 부호있는 m-ary 윈도우 방법보다 훨씬 더 빠르게 실행됨 - 을 물려 받는다. 그에 따라, 도 8 내지 도 12의 부호있는 홀수로만 된 콤 방법(800-1200)은 전원 및 컴퓨팅 자원이 아주 귀한 스마트 카드 및 내장된 시스템에서 사용하기에 아주 적합하다. 타원 곡선 및 파라미터를 선택함에 있어서 랜덤화 기법 및 어떤 예방책과 결합될 때, SPA-방지 콤 방법은 모든 사이드-채널 공격을 좌절시킬 수 있다.
마무리하면, 본 개시 내용의 여러 측면들이 양호한 실시예의 구조적 및/또는 방법적 특징을 구체적으로 기술하는 표현을 포함하지만, 첨부된 청구항들이 기술된 특정의 특징 또는 작용에 한정되지 않는다는 것을 잘 알 것이다. 오히려, 특정의 특징 및 작용은 예시적인 구현으로서만 기술된 것이며 보다 일반적인 개념을 나타낸 것이다. 게다가, 다수의 특징들은 이들 특징이 해결할 수 있는 예시적인 문제점을 먼저 확인하는 것으로 본 명세서에 기술되어 있다. 이러한 방식으로 설명한다고 하여 다른 사람들이 본 명세서에 지정된 방식으로 문제점을 이해하고 및/또는 명확하게 표현한다고 인정하는 것은 아니다. 관련 기술 분야에 존재하는 문제점에 대한 이해 및 명확한 표현이 본 발명의 일부라는 것을 잘 알 것이다. 보다 구체적으로는, 이러한 개시 내용의 배경 섹션에 기술된 특징들이 종래 기술을 구성한다고 본 명세서에서 인정하는 것이 아니다. 게다가, 본 개시 내용의 요약 섹션 및 요약서에 기재된 주제가 청구항들에 기재된 주제를 제한하지 않는다.
Claims (20)
- 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체로서,상기 컴퓨터 실행가능 명령어는,홀수 정수 k를 이진 표현으로 변환하는 명령어, 및상기 이진 표현을 콤 비트-컬럼(comb bit-column)으로 구성하는 명령어를 포함하며,상기 콤 비트-컬럼 각각은 부호있는 홀수 정수인 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제1항에 있어서, 상기 구성하는 명령어는 각각의 콤 비트-컬럼에 대해
및
에 따라 상기 이진 표현을 구성하는 명령어를 포함하는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제1항에 있어서, 상기 구성하는 명령어는,각각의 비트-컬럼에서의 최하위 비트가 1 또는 -1 중 어느 하나이도록 상기 홀수 정수 k의 상기 이진 표현의 최하위 d 비트의 각각의 비트를 변환하는 명령어, 및i번째 위치에서의 결과 비트가 0 또는 부호있는 1 중 어느 하나이도록 상기 이진 표현 중 d보다 상위에 있는 비트들을 변환하는 명령어를 포함하며,상기 부호있는 1은 (i mod d)번째 위치에 있는 비트에 따라 부호가 정해지는(signed) 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제3항에 있어서, 상기 최하위 d 비트의 각각의 비트를 변환하는 명령어가 최하위 비트로부터 상위 비트들 쪽으로 실행하는 인덱스 i에 대한 루프를 구성하는 명령어를 포함하며,이 루프 내에서 최하위 d 비트는,인 경우,
로 설정하고,
인 경우,
및
로 설정하는 것에 따라서 설정되는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제3항에 있어서, d보다 상위에 있는 비트들을 변환하는 명령어는,현재 비트의 부호를 동일한 콤 비트-컬럼에서의 최하위 비트의 부호와 비교하는 명령어, 및부호가 다르고 상기 현재 비트가 1인 경우, 상기 현재 비트를로 설정하고 k의 값을 유지하기 위해 그 다음 상위 비트의 값을 1만큼 증분시키는 명령어를 포함하는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제3항에 있어서, d보다 상위에 있는 비트를 변환하는 명령어는,e의 초기값을 설정하는 명령어, 및루프 내에서 e가 홀수이고인 경우,
및
로 설정하고, 그렇지 않은 경우,
및
로 설정하는 루프를 구성하는 명령어를 포함하는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제1항에 있어서, 기록을 위한 명령어는 타원 곡선 점 곱셈에서 사용하도록 구성되어 있으며,상기 컴퓨터 판독가능 매체는,점 P 및 상기 정수 k(단, k는 그에 부가하여 짝수 정수일 수 있음)를 수신하는 명령어,적어도 부분적으로 k의 값에 기초하여 k'(단, k'은 홀수 정수임)을 설정하는 명령어,상기 변환하는 명령어 및 상기 구성하는 명령어에 따라 k'에 대응하는 콤 비트-컬럼을 계산하는 명령어,값를 계산하기 위해 상기 콤 비트-컬럼 및 상기 점 P를 처리하는 명령어,
k에 기초하여를 도출하기 위해 부가적인 계산들을 수행하는 명령어, 및
를 출력하는 명령어를 더 포함하는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제7항에 있어서, k가 짝수일 때는 k' = k+1로 설정하고 그렇지 않은 경우에는 k' = k인 것에 따라 k'을 설정하는 명령어,를 무한대의 초기값으로 설정하는 명령어,
루프 내에서가 먼저 두배점 연산되고 이어서 콤 비트-컬럼의 양과 상기 점 P를 곱한 것에 가산되는 루프를 구성하는 명령어, 및
k가 짝수인 경우에서 P를 차감하는 명령어를 더 포함하는, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제7항에 있어서, k'을 설정하는 명령어는 k mod 4의 값에 기초하여 k'을 설정하는 명령어를 포함하고,상기 콤 비트-컬럼 및 상기 점 P를 처리하는 명령어는 k mod 4의 값에 따라를 설정하는 명령어를 포함하는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제7항에 있어서, k'을 설정하는 명령어는 k가 짝수일 때는 k' = k+1이고 그렇지 않은 경우에는 k' = k+2인 것에 따라 k'을 설정하는 명령어를 포함하며,를 계산하기 위해 상기 콤 비트-컬럼 및 상기 점 P를 처리하는 명령어는 k가 짝수인지 홀수인지에 따라 서로 다르게
를 설정하는 명령어를 포함하는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제7항에 있어서, 상기 방법이 SPA(Simple Power Analysis)를 방지하도록 하기 위해 더미 동작들(dummy operations)을 삽입하는 명령어를 더 포함하는, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제7항에 있어서, DPA(Differential Power Analysis)를 방지하기 위해 랜덤화 기법 및 타원 곡선의 선택을 이용하는 명령어를 더 포함하는, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제7항에 있어서, 홀수 차수의 점 P를 수신하는 명령어,
k'을및 k의 함수로서 설정하는 명령어, 및
상기 비트-컬럼 및 상기 P를 처리하는 명령어를 더 포함하며,상기 처리에서의 조건부 단계들이를 계산하기 위해
및 k에 대한 값에 기초하는 것인, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제13항에 있어서, k가 홀수일 때는 k' = k로 설정하고 그렇지 않은 경우에는 k' =-k로 설정하는 것에 따라 k'을 설정하는 명령어,
를 무한대의 초기값으로 설정하는 명령어, 및
루프 내에서가 먼저 두배점 연산되고 이어서 k가 홀수인지 짝수인지에 따라 콤 비트-컬럼의 양을 상기 점 P와 곱한 것이
에 가산되거나
로부터 차감되는 루프를 구성하는 명령어를 더 포함하는, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 제13항에 있어서,인 경우에는
으로 설정하고 그렇지 않은 경우에는
로 설정하는 것에 따라
을 설정하는 명령어,
k*이 짝수일 때는 k' = k*+1로 설정하고 그렇지 않은 경우에는 k' = k*+2로 설정하는 것에 따라 k'을 설정하는 명령어,를 무한대의 초기값으로 설정하는 명령어,
루프 내에서가 먼저 두배점 연산되고 이어서 k가
보다 큰지 여부에 따라 콤 비트-컬럼의 양을 상기 점 P와 곱한 것이
로부터 차감되거나
에 가산되는 루프를 구성하는 명령어,
를 계산하는 명령어,
k가보다 큰 경우에는
로 설정하고 그렇지 않은 경우에는
로 설정하는 것에 따라
를 설정하는 명령어, 및
k*이 짝수인 경우에는를
에 가산하고 그렇지 않은 경우에는
를
에 가산하는 것에 따라
에 값을 가산하는 명령어를 더 포함하는, 기록을 위한 컴퓨터 실행가능 명령어를 포함하는 하나 이상의 컴퓨터 판독가능 매체.
- 기록을 하도록 구성되어 있는 컴퓨터 시스템으로서,홀수 정수 k를 수신하는 수단,상기 홀수 정수 k를 이진 표현으로 변환하는 수단,상기 이진 표현을 콤 비트-컬럼으로 구성하는 수단 - 상기 콤 비트-컬럼 각각은 부호있는 홀수 정수임 -, 및상기 콤 비트-컬럼을 출력하는 수단을 포함하는, 기록을 하도록 구성되어 있 는 컴퓨터 시스템.
- 제16항에 있어서, 상기 변환하는 수단은 각각의 콤 비트-컬럼에 대해
및
에 따라 상기 이진 표현을 구성하는 수단을 포함하는 것인, 기록을 하도록 구성되어 있는 컴퓨터 시스템.
- 제16항에 있어서, 상기 변환하는 수단은,최하위 비트로부터 상위 비트들 쪽으로 실행하는 인덱스 i에 대한 루프를 구성하는 것을 포함하는 최하위 d 비트의 각각의 비트를 변환하는 수단 - 이 루프 내에서 상기 최하위 d 비트는,인 경우,
로 설정하고,
인 경우,
및
로 설정하는 것에 따라서 설정됨 -, 및
e의 초기값을 설정하는 것, 및루프 내에서 e가 홀수이고인 경우,
및
로 설정하고, 그렇지 않은 경우,
및
로 설정하는 루프를 구성하는 것을 포함하는 d보다 상위 비트들을 변환하는 수단을 포함하는 것인, 기록 을 하도록 구성되어 있는 컴퓨터 시스템.
- 타원 곡선 점 곱셈을 위해 구성된 컴퓨터 시스템으로서,점 P 및 정수 k(단, k는 짝수 또는 홀수 정수임)를 수신하는 명령어,적어도 부분적으로 k의 값에 기초하여 k'(단, k'은 홀수 정수임)을 설정하는 수단,상기 홀수 정수 k'을 콤 비트-컬럼을 포함하는 이진 표현으로 변환하는 수단 - 상기 콤 비트-컬럼 각각은 부호있는 홀수 정수임 -,값를 계산하기 위해 상기 콤 비트-컬럼 및 상기 점 P를 처리하는 수단 -
는 k의 서로 다른 값에 대해 서로 다르게 설정될 수 있음 -, 및
를 출력하는 수단을 포함하는, 타원 곡선 점 곱셈을 위해 구성된 컴퓨터 시스템. - 제19항에 있어서, 홀수 차수의 점 P를 수신하는 수단,
k'을및 k의 함수로서 설정하는 수단, 및
상기 비트-컬럼 및 상기 P를 처리하는 수단을 더 포함하며,상기 처리에서의 조건부 단계들이를 계산하기 위해
및 k에 대한 값에 기초하는 것인, 타원 곡선 점 곱셈을 위해 구성된 컴퓨터 시스템.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/173,251 US7602907B2 (en) | 2005-07-01 | 2005-07-01 | Elliptic curve point multiplication |
| US11/173,251 | 2005-07-01 | ||
| PCT/US2006/025498 WO2007005563A2 (en) | 2005-07-01 | 2006-06-29 | Elliptic curve point multiplication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20080019642A true KR20080019642A (ko) | 2008-03-04 |
| KR101255393B1 KR101255393B1 (ko) | 2013-04-17 |
Family
ID=37605020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020077030378A KR101255393B1 (ko) | 2005-07-01 | 2006-06-29 | 타원 곡선 점 곱셈 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7602907B2 (ko) |
| EP (1) | EP1889391B1 (ko) |
| JP (1) | JP5301989B2 (ko) |
| KR (1) | KR101255393B1 (ko) |
| CN (1) | CN101507176B (ko) |
| CA (1) | CA2614120C (ko) |
| WO (1) | WO2007005563A2 (ko) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7505585B2 (en) * | 2002-06-25 | 2009-03-17 | The United States Of America As Represented By The Director, The National Security Agency | Method of generating cryptographic key using elliptic curve and expansion in joint sparse form and using same |
| WO2007048430A1 (en) * | 2005-10-28 | 2007-05-03 | Telecom Italia S.P.A. | A method for scalar multiplication in elliptic curve groups over binary polynomial fields for side-channel attack-resistant cryptosystems |
| JP4682852B2 (ja) * | 2006-01-16 | 2011-05-11 | ソニー株式会社 | 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム |
| KR100850202B1 (ko) * | 2006-03-04 | 2008-08-04 | 삼성전자주식회사 | Ecc 패스트 몽고매리 전력 래더 알고리즘을 이용하여dfa 에 대응하는 암호화 방법 |
| US8050403B2 (en) | 2007-03-06 | 2011-11-01 | Research In Motion Limited | Method and apparatus for generating a public key in a manner that counters power analysis attacks |
| US8559625B2 (en) * | 2007-08-07 | 2013-10-15 | Inside Secure | Elliptic curve point transformations |
| JP4861272B2 (ja) * | 2007-08-31 | 2012-01-25 | 日本電信電話株式会社 | 楕円曲線暗号演算装置、方法、プログラム |
| US7991162B2 (en) * | 2007-09-14 | 2011-08-02 | University Of Ottawa | Accelerating scalar multiplication on elliptic curve cryptosystems over prime fields |
| US8233615B2 (en) * | 2008-01-15 | 2012-07-31 | Inside Secure | Modular reduction using a special form of the modulus |
| US8619977B2 (en) * | 2008-01-15 | 2013-12-31 | Inside Secure | Representation change of a point on an elliptic curve |
| JP2010068293A (ja) * | 2008-09-11 | 2010-03-25 | Toshiba Corp | 秘密情報を用いて演算する装置、方法およびプログラム |
| EP2169535A1 (en) * | 2008-09-22 | 2010-03-31 | Thomson Licensing | Method, apparatus and computer program support for regular recoding of a positive integer |
| JP5225115B2 (ja) * | 2009-01-15 | 2013-07-03 | 株式会社東芝 | Naf変換装置 |
| US8542820B2 (en) * | 2009-02-05 | 2013-09-24 | Infineon Technologies Ag | Apparatus for calculating a result of a scalar multiplication |
| JP5327380B2 (ja) * | 2010-03-31 | 2013-10-30 | 富士通株式会社 | 暗号処理装置および暗号処理方法 |
| WO2012090288A1 (ja) | 2010-12-27 | 2012-07-05 | 富士通株式会社 | 暗号処理装置、暗号処理方法、およびプログラム |
| CN103282950B (zh) * | 2010-12-27 | 2015-11-25 | 三菱电机株式会社 | 运算装置、运算装置的椭圆标量乘法方法以及运算装置的剩余运算方法 |
| CN102790673B (zh) * | 2011-05-17 | 2017-05-10 | 上海华虹集成电路有限责任公司 | 一种适用于ecc算法的抗错误攻击的方法 |
| CN102306091B (zh) * | 2011-07-08 | 2014-04-16 | 西安电子科技大学 | 椭圆曲线点乘硬件快速实现方法 |
| CN102902897B (zh) * | 2011-07-25 | 2016-08-24 | 上海华虹集成电路有限责任公司 | 适用于ecc点乘算法的抗无穷远点攻击的方法 |
| WO2013116916A1 (en) * | 2012-02-09 | 2013-08-15 | Irdeto Canada Corporation | System and method for generating and protecting cryptographic keys |
| FR3010210B1 (fr) * | 2013-08-29 | 2017-01-13 | Stmicroelectronics Rousset | Protection d'un calcul contre des attaques par canaux caches |
| US9645794B2 (en) | 2014-09-23 | 2017-05-09 | Texas Instruments Incorporated | Homogeneous atomic pattern for double, add, and subtract operations for digital authentication using elliptic curve cryptography |
| US9590805B1 (en) * | 2014-12-23 | 2017-03-07 | EMC IP Holding Company LLC | Ladder-based cryptographic techniques using pre-computed points |
| JP6293681B2 (ja) * | 2015-01-19 | 2018-03-14 | 日本電信電話株式会社 | マルチスカラー倍算演算装置、マルチスカラー倍算演算方法、プログラム |
| US9531531B2 (en) * | 2015-05-06 | 2016-12-27 | Qualcomm Incorporated | Methods and devices for fixed execution flow multiplier recoding and scalar multiplication |
| CN106301770A (zh) * | 2016-08-22 | 2017-01-04 | 大唐微电子技术有限公司 | 一种Java卡SM2数字签名验证或信息加密的方法及装置 |
| CN108242994B (zh) | 2016-12-26 | 2021-08-13 | 阿里巴巴集团控股有限公司 | 密钥的处理方法和装置 |
| KR101914028B1 (ko) * | 2017-04-28 | 2018-11-01 | 삼성에스디에스 주식회사 | 부채널 공격에 안전한 연산 장치 및 방법 |
| GB201707168D0 (en) * | 2017-05-05 | 2017-06-21 | Nchain Holdings Ltd | Computer-implemented system and method |
| US11451382B2 (en) * | 2018-05-14 | 2022-09-20 | nChain Holdings Limited | Method and system for communicating a secret |
| CN109831290B (zh) * | 2019-01-24 | 2021-06-11 | 上海交通大学 | 针对基于cave算法认证协议的侧信道分析方法 |
| CN112068799B (zh) * | 2019-06-11 | 2022-08-02 | 云南大学 | 一种最优带符号二进制快速计算方法以及椭圆曲线标量乘法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6252959B1 (en) * | 1997-05-21 | 2001-06-26 | Worcester Polytechnic Institute | Method and system for point multiplication in elliptic curve cryptosystem |
| JP2001526416A (ja) * | 1997-12-05 | 2001-12-18 | シキュアード インフォメイション テクノロジー、 インコーポレイテッド | 楕円曲線暗号化演算の最適化用変換方法 |
| JP3145368B2 (ja) * | 1998-09-03 | 2001-03-12 | 日本電信電話株式会社 | 楕円曲線演算装置、演算方法及びその方法を実施するプログラムを記録した記録媒体 |
| EP0984357B1 (en) | 1998-09-03 | 2003-04-16 | Nippon Telegraph and Telephone Corporation | Apparatus and method for elliptic-curve multiplication and recording medium having recorded thereon a program for implementing the method |
| US6298135B1 (en) * | 1999-04-29 | 2001-10-02 | Motorola, Inc. | Method of preventing power analysis attacks on microelectronic assemblies |
| JP2003091236A (ja) * | 2001-09-19 | 2003-03-28 | Nagoya Industrial Science Research Inst | 楕円曲線スカラー倍点演算装置、楕円曲線スカラー倍点演算方法、楕円曲線スカラー倍点演算プログラム及び記録媒体 |
| CN100452695C (zh) * | 2002-11-29 | 2009-01-14 | 北京华大信安科技有限公司 | 椭圆曲线加密解密方法和装置 |
| CN100440776C (zh) * | 2002-11-29 | 2008-12-03 | 北京华大信安科技有限公司 | 椭圆曲线签名和验证签名方法和装置 |
| JP4423900B2 (ja) * | 2003-08-05 | 2010-03-03 | 株式会社日立製作所 | 楕円曲線暗号におけるスカラー倍計算方法と、その装置およびそのプログラム |
-
2005
- 2005-07-01 US US11/173,251 patent/US7602907B2/en active Active
-
2006
- 2006-06-29 CN CN2006800315433A patent/CN101507176B/zh active Active
- 2006-06-29 KR KR1020077030378A patent/KR101255393B1/ko active IP Right Grant
- 2006-06-29 CA CA2614120A patent/CA2614120C/en active Active
- 2006-06-29 WO PCT/US2006/025498 patent/WO2007005563A2/en active Application Filing
- 2006-06-29 JP JP2008520297A patent/JP5301989B2/ja active Active
- 2006-06-29 EP EP06785921.5A patent/EP1889391B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN101507176B (zh) | 2012-07-04 |
| WO2007005563A2 (en) | 2007-01-11 |
| WO2007005563A3 (en) | 2009-04-23 |
| JP5301989B2 (ja) | 2013-09-25 |
| KR101255393B1 (ko) | 2013-04-17 |
| EP1889391A4 (en) | 2016-11-30 |
| JP2009500676A (ja) | 2009-01-08 |
| CA2614120A1 (en) | 2007-01-11 |
| CA2614120C (en) | 2015-02-24 |
| US20070064931A1 (en) | 2007-03-22 |
| EP1889391A2 (en) | 2008-02-20 |
| EP1889391B1 (en) | 2020-08-26 |
| US7602907B2 (en) | 2009-10-13 |
| CN101507176A (zh) | 2009-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101255393B1 (ko) | 타원 곡선 점 곱셈 | |
| US7676037B2 (en) | Cryptographic method capable of protecting elliptic curve code from side channel attacks | |
| JP2008252299A (ja) | 暗号処理システム及び暗号処理方法 | |
| KR20060116612A (ko) | 이진 필드 ecc에서 랜덤 포인트 표현을 이용하여 파워해독의 복잡도를 증가시키기 위한 암호화 방법 및 장치 | |
| US20140294174A1 (en) | Efficient Prime-Number Check | |
| US11824986B2 (en) | Device and method for protecting execution of a cryptographic operation | |
| Krämer et al. | Fault attacks on UOV and rainbow | |
| WO2017190223A1 (en) | Method and system for cheon resistant static diffie-hellman security | |
| JP4616169B2 (ja) | モンゴメリ乗算剰余における変換パラメータの計算装置、方法およびそのプログラム | |
| JP4423900B2 (ja) | 楕円曲線暗号におけるスカラー倍計算方法と、その装置およびそのプログラム | |
| KR100564599B1 (ko) | 역원 계산 회로, 역원계산 방법 및 상기 역원계산 방법을실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수있는 기록매체 | |
| EP3809628B1 (en) | Method and system for selecting a secure prime for finite field diffie-hellman | |
| Feng et al. | Efficient comb elliptic curve multiplication methods resistant to power analysis | |
| US10305678B2 (en) | Imbalanced montgomery ladder | |
| US10903975B2 (en) | Apparatus and method for performing operation being secure against side channel attack | |
| Liu et al. | A novel elliptic curve scalar multiplication algorithm against power analysis | |
| KR100368204B1 (ko) | 정규 기저를 이용한 역원 계산 알고리즘 | |
| KR20240040437A (ko) | 암호 연산 방법, 및 상기 방법을 수행하는 전자 장치 | |
| KR20190064063A (ko) | 단일파형공격을 차단하기 위한 타원곡선 암호화 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20160318 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20170317 Year of fee payment: 5 |